Vereisten voor certificaatprofielen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Certificaatprofielen in Configuration Manager externe afhankelijkheden en afhankelijkheden in het product hebben.
Belangrijk
Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
Afhankelijkheden extern naar Configuration Manager
| Afhankelijkheid | Meer informatie |
|---|---|
| Een certificeringsinstantie (CA) die Active Directory Certificate Services (AD CS) uitvoert. Als u certificaten wilt intrekken, moet het computeraccount van de siteserver boven aan de hiërarchie certificaten uitgeven en beheren voor elke certificaatsjabloon die wordt gebruikt door een certificaatprofiel in Configuration Manager. U kunt ook certificaatbeheermachtigingen verlenen om machtigingen te verlenen voor alle certificaatsjablonen die door die CA worden gebruikt Goedkeuring van de manager voor certificaataanvragen wordt ondersteund. De certificaatsjablonen die worden gebruikt om certificaten uit te geven, moeten echter worden geconfigureerd voor Opgeven in de aanvraag voor het certificaatonderwerp, zodat Configuration Manager deze waarde automatisch kan opgeven. |
Zie Overzicht van Active Directory Certificate Services voor meer informatie over Active Directory Certificate Services. |
| Gebruik het PowerShell-script om de vereisten voor de NDES-functieservice (Network Device Enrollment Service) en het Configuration Manager Certificate Registration Point te controleren en indien nodig te installeren. |
Het instructiebestand, readme_crp.txt, bevindt zich in ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. Het PowerShell-script, Test-NDES-CRP-Prereqs.ps1, bevindt zich in dezelfde map als de instructies. Het PowerShell-script moet lokaal worden uitgevoerd op de NDES-server. |
| De NDES-functieservice (Network Device Enrollment Service) voor Active Directory Certificate Services, die wordt uitgevoerd op Windows Server 2012 R2. Bovendien: Andere poortnummers dan TCP 443 (voor HTTPS) of TCP 80 (voor HTTP) worden niet ondersteund voor de communicatie tussen de client en de registratieservice voor netwerkapparaten. De server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd, moet zich op een andere server bevinden dan de verlenende CA. |
Configuration Manager communiceert met de registratieservice voor netwerkapparaten in Windows Server 2012 R2 om SCEP-aanvragen (Simple Certificate Enrollment Protocol) te genereren en te verifiëren. Als u certificaten uitgeeft aan gebruikers of apparaten die verbinding maken via internet, zoals mobiele apparaten die worden beheerd door Microsoft Intune, moeten deze apparaten toegang hebben tot de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd vanaf internet. Installeer bijvoorbeeld de server in een perimeternetwerk (ook wel dmz, gedemilitariseerde zone en gescreend subnet genoemd). Als u een firewall hebt tussen de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd en de verlenende CA, moet u de firewall configureren om het communicatieverkeer (DCOM) tussen de twee servers toe te staan. Deze firewallvereiste is ook van toepassing op de server waarop de Configuration Manager siteserver en de verlenende CA wordt uitgevoerd, zodat Configuration Manager certificaten kunt intrekken. Als de registratieservice voor netwerkapparaten is geconfigureerd om SSL te vereisen, is het een aanbevolen beveiligingsprocedure om ervoor te zorgen dat verbindende apparaten toegang hebben tot de certificaatintrekkingslijst (CRL) om het servercertificaat te valideren. Zie Een beleidsmodule gebruiken met de registratieservice voor netwerkapparaten voor meer informatie over de registratieservice voor netwerkapparaten. |
| Een PKI-clientverificatiecertificaat en geëxporteerd basis-CA-certificaat. | Met dit certificaat wordt de server geverifieerd waarop de registratieservice voor netwerkapparaten wordt uitgevoerd voor Configuration Manager. Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie. |
| Ondersteunde apparaatbesturingssystemen. | U kunt certificaatprofielen implementeren op apparaten met Windows 8.1, Windows RT 8.1 en Windows 10. |
afhankelijkheden Configuration Manager
| Afhankelijkheid | Meer informatie |
|---|---|
| Sitesysteemrol certificaatregistratiepunt | Voordat u certificaatprofielen kunt gebruiken, moet u de sitesysteemrol certificaatregistratiepunt installeren. Deze rol communiceert met de Configuration Manager-database, de Configuration Manager siteserver en de Configuration Manager Policy Module. Zie de sectie Sitesysteemvereisten in het artikel Ondersteunde configuraties voor Configuration Manager voor meer informatie over systeemvereisten voor deze sitesysteemrol en waar u de rol in de hiërarchie kunt installeren. Het certificaatregistratiepunt mag niet worden geïnstalleerd op dezelfde server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd. |
| Configuration Manager beleidsmodule die is geïnstalleerd op de server waarop de functieservice Registratieservice voor netwerkapparaten voor Active Directory Certificate Services wordt uitgevoerd | Als u certificaatprofielen wilt implementeren, moet u de module Configuration Manager-beleid installeren. U vindt deze beleidsmodule op de Configuration Manager installatiemedia. |
| Detectiegegevens | Waarden voor het certificaatonderwerp en de alternatieve naam van het onderwerp worden opgegeven door Configuration Manager en opgehaald uit informatie die wordt verzameld via detectie: Voor gebruikerscertificaten: Active Directory-gebruikersdetectie Voor computercertificaten: Active Directory-systeemdetectie en netwerkdetectie |
| Specifieke beveiligingsmachtigingen voor het beheren van certificaatprofielen | U moet over de volgende beveiligingsmachtigingen beschikken om instellingen voor toegang tot bedrijfsresources te beheren, zoals certificaatprofielen, Wi-Fi profielen en VPN-profielen: Waarschuwingen en rapporten voor certificaatprofielen weergeven en beheren: Maken, Verwijderen, Wijzigen, Rapport wijzigen, Lezen en Rapport uitvoeren voor het object Waarschuwingen . Certificaatprofielen maken en beheren: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het certificaatprofielobject . Wi-Fi-, certificaat- en VPN-profielimplementaties beheren: Configuratiebeleid implementeren, Waarschuwing clientstatus wijzigen, Lezen en Resource lezen voor het verzamelingsobject . Alle configuratiebeleidsregels beheren: Maken, Verwijderen, Wijzigen, Lezen en Beveiligingsbereik instellen voor het object Configuratiebeleid . Query's uitvoeren met betrekking tot certificaatprofielen: leesmachtiging voor het queryobject. Informatie over certificaatprofielen weergeven in de Configuration Manager-console: Leesmachtiging voor het object Site. Statusberichten voor certificaatprofielen weergeven: leesmachtiging voor het object Statusberichten . Het profiel voor het vertrouwde CA-certificaat maken en wijzigen: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het vertrouwde CA-certificaatprofielobject . VPN-profielen maken en beheren: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het VPN-profielobject . Voor het maken en beheren van Wi-Fi profielen: Auteursbeleid, Rapport wijzigen, Lezen en Rapport uitvoeren voor het Wi-Fi-profielobject . De beveiligingsrol Bedrijfsresourcetoegangsmanager bevat deze machtigingen die vereist zijn voor het beheren van certificaatprofielen in Configuration Manager. Zie de sectie Op rollen gebaseerd beheer configureren in het artikel Beveiliging configureren voor meer informatie. |
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor