Prerequisiti per il connettore di certificati per Microsoft Intune
Prima di installare e configurare il connettore di certificati per Microsoft Intune, esaminare i prerequisiti e i requisiti dell'infrastruttura, che possono variare a seconda delle funzionalità che verranno configurate per supportare un'istanza del connettore.
Prerequisiti generali
Requisiti per il computer in cui si installa il software del connettore:
Windows Server 2012 R2 o versioni successive.
Nota
L'installazione del server deve includere l'esperienza desktop e il supporto dell'uso di un browser. Per altre informazioni, vedere Installare server con Esperienza desktop nella documentazione di Windows Server 2016.
.NET 4.7.2
Transport Layer Security (TLS) 1.2. Per altre informazioni, vedere Abilitare il supporto per TLS 1.2 nell'ambiente nella documentazione Microsoft Entra.
Il server deve soddisfare gli stessi requisiti di rete dei dispositivi gestiti. Vedere Endpoint di rete per Microsoft Intune e requisiti di configurazione di rete e larghezza di banda di Intune
Per supportare gli aggiornamenti automatici del software del connettore, il server deve avere accesso al servizio di aggiornamento di Azure:
- Porta: 443
- Endpoint: autoupdate.msappproxy.net
La configurazione di sicurezza avanzata deve essere disattivata.
PKCS
Requisiti per i modelli di certificato PKCS:
- I modelli di certificato che verranno usati per le richieste PKCS devono essere configurati con autorizzazioni che consentano all'account del servizio connettore di certificati di registrare il certificato.
- I modelli di certificato devono essere aggiunti all'Autorità di certificazione (CA).
Nota
Qualsiasi istanza del connettore che supporta PKCS può essere usata per recuperare le richieste PKCS in sospeso dalla coda del servizio Intune, elaborare certificati importati e gestire le richieste di revoca. Non è possibile definire quale connettore gestisce ogni richiesta. Pertanto, ogni connettore che supporta PKCS deve avere le stesse autorizzazioni ed essere in grado di connettersi a tutte le autorità di certificazione definite più avanti nei profili PKCS.
Certificati PKCS importati
Per supportare i certificati importati PKCS, il server che ospita il connettore richiede configurazioni aggiuntive, ad esempio la configurazione dell'accesso di un provider di archiviazione delle chiavi per consentire all'utente del servizio connettore di recuperare le chiavi.
Per informazioni sul supporto per i certificati importati PKCS, vedere Configurare e usare i certificati PKCS importati con Intune
Prerequisiti di revoca
- L'Autorità di certificazione deve essere configurata per consentire all'account del servizio connettore di revocare i certificati.
SCEP
Windows Server che ospita il connettore deve soddisfare i prerequisiti seguenti, oltre ai prerequisiti generali:
- IIS 7 o versione successiva
- Servizio Registrazione dispositivi di rete, che fa parte del ruolo Servizi di certificazione Active Directory. Il connettore non è supportato nello stesso server dell'autorità di certificazione emittente. Per altre informazioni, vedere Configurare l'infrastruttura per supportare SCEP con Intune
In Windows Server configurare selezionare i ruoli e le funzionalità del server seguenti:
Ruoli server:
- Servizi certificati Active Directory
- Web Server (IIS)
Funzionalità:
- Funzionalità di .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- Servizi WCF
- Attivazione HTTP
- Funzionalità di .NET Framework 4.7
Servizi certificati Active Directory > Servizi ruolo:
- Servizio Registrazione dispositivi di rete: per il connettore SCEP quando si usa una CA Microsoft, installare e configurare il ruolo del server Network Device Enrollment Service (NDES). Quando si configura NDES, è necessario assegnare un account utente per l'uso da parte del pool di applicazioni NDES. NDES ha anche i propri requisiti.
Ruolo server Web (IIS) > Servizi ruolo:
- Sicurezza
- Filtro richieste
- Sviluppo di applicazioni
- Estendibilità .NET 4.7
- ASP.NET 4.7
- Strumenti di gestione
- Console di gestione IIS
- Compatibilità gestione IIS 6
- Compatibilità metabase IIS 6
- Compatibilità WMI con IIS 6
NDES richiede inoltre le funzionalità di following.NET Framework 3.5:
- .NET Framework 3.5
- Attivazione HTTP
- Sicurezza
Requisiti per i modelli di certificato SCEP:
- I modelli di certificato che verranno usati per le richieste SCEP devono essere configurati con autorizzazioni che consentano all'account del servizio Connettore di certificati di registrare automaticamente il certificato.
- I modelli di certificato devono essere aggiunti alla CA.
Account
Preparare gli account seguenti prima di installare il software del connettore di certificati.
Account di installazione
È possibile usare qualsiasi account utente con autorizzazioni amministrative locali in Windows Server per installare il software del connettore. È possibile usare questo stesso account per configurare Windows Server con il ruolo server Windows NDES se si usa SCEP e una CA Microsoft.
Account del servizio connettore di certificati
Il connettore di certificati richiede un account da usare come account del servizio. Questo account viene usato dal connettore per accedere a Windows Server, comunicare con Intune e accedere all'Autorità di certificazione per gestire le richieste PKI.
L'account del servizio connettore deve disporre delle autorizzazioni seguenti:
- Accesso come servizio
- Rilasciare e gestire le autorizzazioni dei certificati nell'autorità di certificazione (obbligatorio solo per gli scenari di revoca).
- Leggere e registrare le autorizzazioni per qualsiasi modello di certificato che si userà per rilasciare certificati.
- Autorizzazioni per il provider di archiviazione chiavi (KSP) usato dall'importazione PFX. Vedere Importare certificati PFX in Intune.
Le opzioni seguenti sono supportate per l'uso come account del servizio connettore di certificati:
- SISTEMA
- Utente di dominio : usare qualsiasi account utente di dominio amministratore in Windows Server.
Per altre informazioni, vedere Installare il connettore di certificati per Microsoft Intune.
Utente del pool di applicazioni del servizio registrazione dispositivi di rete
Per usare SCEP con una CA Microsoft, è necessario aggiungere NDES al server che ospita il connettore prima di installare il connettore. Quando si configura NDES, è necessario specificare un account da usare come utente del pool di applicazioni, che può anche essere definito account del servizio NDES. Questo account può essere un account utente locale o di dominio e deve disporre delle autorizzazioni seguenti:
- Leggere e registrare le autorizzazioni per ogni modello di certificato SCEP che si userà per rilasciare certificati.
- Membro del gruppo IIS_IUSRS .
Per indicazioni sulla configurazione del ruolo del server NDES per il connettore di certificati per Microsoft Intune, vedere Configurare il servizio Registrazione dispositivi di rete in Configurare l'infrastruttura per supportare SCEP con Intune.
Microsoft Entra utente
Quando si configura il connettore, è necessario usare un account utente che: è un Amministrazione globale o in Intune Amministrazione e ha una licenza di Intune assegnata.
Passaggi successivi
Installare il connettore di certificati per Microsoft Intune
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per