Vereisten voor de certificaatconnector voor Microsoft Intune

  • Artikel

Voordat u de certificaatconnector voor Microsoft Intune installeert en configureert, controleert u de vereisten en infrastructuurvereisten. Deze kunnen variëren, afhankelijk van de functies die u gaat configureren voor ondersteuning van een connectorexemplaren.

Algemene vereisten

Vereisten voor de computer waarop u de connectorsoftware installeert:

PKCS

Vereisten voor PKCS-certificaatsjablonen:

  • Certificaatsjablonen die u gebruikt voor PKCS-aanvragen, moeten worden geconfigureerd met machtigingen waarmee het serviceaccount van de certificaatconnector het certificaat kan registreren.
  • De certificaatsjablonen moeten worden toegevoegd aan de certificeringsinstantie (CA).

Opmerking

Elk exemplaar van de connector dat PKCS ondersteunt, kan worden gebruikt om in behandeling zijnde PKCS-aanvragen op te halen uit de Intune-servicewachtrij, geïmporteerde certificaten te verwerken en intrekkingsaanvragen te verwerken. Het is niet mogelijk om te definiëren welke connector elke aanvraag verwerkt.

Daarom moet elke connector die PKCS ondersteunt dezelfde machtigingen hebben en verbinding kunnen maken met alle certificeringsinstanties die later in de PKCS-profielen zijn gedefinieerd.

Geïmporteerde PKCS-certificaten

Ter ondersteuning van geïmporteerde PKCS-certificaten vereist de server die als host fungeert voor de connector aanvullende configuraties, zoals het configureren van toegang tot een sleutelopslagprovider, zodat de gebruiker van de connectorservice sleutels kan ophalen.

Zie Geïmporteerde PKCS-certificaten configureren en gebruiken met Intune voor informatie over ondersteuning voor geïmporteerde PKCS-certificaten

Intrekkingsvereisten

  • De certificeringsinstantie moet zodanig worden geconfigureerd dat het serviceaccount van de connector certificaten kan intrekken.

SCEP

De Windows-server die als host fungeert voor de connector moet voldoen aan de volgende vereisten, naast de algemene vereisten:

Selecteer op de Windows Server de volgende serverfuncties en -onderdelen:

  • Serverfuncties:

    • Active Directory Certificate Services
    • Webserver (IIS)

  • Functies:

    • .NET Framework 4.7-functies
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF-services
        • HTTP-activering

  • AD CS > Functieservices:

    • Registratieservice voor netwerkapparaten: voor de connector SCEP wanneer u een Microsoft-CA gebruikt, installeert en configureert u de NDES-serverfunctie ( Network Device Enrollment Service ). Wanneer u NDES configureert, moet u een gebruikersaccount toewijzen voor gebruik door de NDES-toepassingsgroep. NDES heeft ook zijn eigen vereisten.

  • Webserverfunctie (IIS) > Functieservices:

    • Beveiliging
      • Aanvraagfiltering
    • Toepassingsontwikkeling
      • .NET-uitbreidbaarheid 4.7
      • ASP.NET 4.7
    • Beheerhulpprogramma's
      • IIS-beheerconsole
      • IIS 6-beheercompatibiliteit
        • Compatibiliteit met IIS 6-metabase
        • IIS 6 WMI-compatibiliteit

    Daarnaast is voor NDES de following.NET Framework 3.5-functies vereist:

    • .NET Framework 3.5
    • HTTP-activering

Vereisten voor SCEP-certificaatsjablonen:

  • Certificaatsjablonen die u voor SCEP-aanvragen gebruikt, moeten worden geconfigureerd met machtigingen waarmee het serviceaccount van de Certificaatconnector het certificaat automatisch kan inschrijven.
  • De certificaatsjablonen moeten worden toegevoegd aan de CA.

Accounts

Bereid de volgende accounts voor voordat u de certificaatconnectorsoftware installeert.

Installatieaccount

U kunt elk gebruikersaccount met lokale beheerdersmachtigingen op de Windows Server gebruiken om de connectorsoftware te installeren. U kunt hetzelfde account gebruiken om de Windows Server te configureren met de NDES Windows-serverfunctie als u SCEP en een Microsoft CA gebruikt.

Serviceaccount voor certificaatconnector

Voor de certificaatconnector moet een account worden gebruikt als serviceaccount. Dit account wordt gebruikt door de connector om toegang te krijgen tot de Windows Server, te communiceren met Intune en toegang te krijgen tot de certificeringsinstantie om PKI-aanvragen te verwerken.

Het connectorserviceaccount moet de volgende machtigingen hebben:

  • Aanmelden als service
  • Certificaten verlenen en beheren voor de certificeringsinstantie (alleen vereist voor intrekkingsscenario's).
  • Lees- en inschrijvingsmachtigingen voor een certificaatsjabloon die u gebruikt om certificaten uit te geven.
  • Machtigingen voor de Key Storage Provider (KSP) die wordt gebruikt door PFX Import. Zie PFX-certificaten importeren in Intune.

De volgende opties worden ondersteund voor gebruik als het serviceaccount van de certificaatconnector:

  • SYSTEEM
  • Domeingebruiker : gebruik een domeingebruikersaccount dat een beheerder is op de Windows Server.

Zie De certificaatconnector voor Microsoft Intune installeren voor meer informatie.

Gebruiker van NDES-toepassingsgroep

Als u SCEP wilt gebruiken met een Microsoft CA, moet u NDES toevoegen aan de server die als host fungeert voor de connector voordat u de connector installeert. Wanneer u NDES configureert, moet u een account opgeven voor gebruik als de gebruiker van de groep van toepassingen. Dit kan ook worden aangeduid als het NDES-serviceaccount. Dit account kan een lokaal of domeingebruikersaccount zijn en moet de volgende machtigingen hebben:

  • Lees- en inschrijvingsmachtigingen voor elke SCEP-certificaatsjabloon die u gebruikt om certificaten uit te geven.
  • Lid van de groep IIS_IUSRS .

Zie NDES instellen in Infrastructuur configureren voor ondersteuning van SCEP met Intune voor hulp bij het configureren van de NDES-serverfunctie voor de certificaatconnector voor Microsoft Intune.

Microsoft Entra gebruiker

Wanneer u de connector configureert, moet u een gebruikersaccount gebruiken dat: een globale Beheer of Intune-Beheer is en waaraan een Intune-licentie is toegewezen.

Volgende stappen

De certificaatconnector voor Microsoft Intune installeren