Łączniki certyfikatów dla Microsoft Intune

Ważna

Od 29 lipca 2021 r. łącznik certyfikatów dla Microsoft Intune zastępuje użycie łącznika certyfikatów PFX dla łącznika Microsoft Intune i łącznika Microsoft Intune. Nowy łącznik zawiera funkcje obu poprzednich łączników. Obsługa poprzednich łączników opisanych w tym artykule zakończyła się 22.09.2021 r. wydaniem łącznika certyfikatów dla firmy Microsoft w wersji 6.2109.51.0.

Jeśli musisz zainstalować nowy łącznik certyfikatów lub ponownie zainstalować łącznik, zainstaluj nowszy łącznik certyfikatów dla Microsoft Intune. Aby uzyskać więcej informacji, zobacz Łącznik certyfikatów dla Microsoft Intune.

Aby obsługiwać używanie certyfikatów do uwierzytelniania oraz podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME, usługa Intune wymaga użycia łącznika certyfikatów. Łącznik certyfikatów to oprogramowanie instalowane na serwerze lokalnym. Łącznik umożliwia urządzeniom zarządzanym w chmurze aprowizowanie certyfikatów z infrastruktury lokalnej, takiej jak urząd wystawiający certyfikaty.

Dostępne łączniki

Istnieją dwa łączniki certyfikatów dla usługi Intune. Każdy z nich ma własne zastosowania i wymagania.

Łącznik certyfikatów PFX dla Microsoft Intune

Łącznik certyfikatów PFX obsługuje wdrażanie certyfikatów dla żądań certyfikatów PKCS #12 i obsługuje żądania plików PFX zaimportowanych do usługi Intune w celu szyfrowania wiadomości e-mail S/MIME dla określonego użytkownika.

Porada

Przed sierpniową aktualizacją tego łącznika (wersja 6.2008.60.607) żądania certyfikatów PKCS #12 były obsługiwane przez łącznik certyfikatów usługi Intune. Wraz z aktualizacją z sierpnia funkcjonalność wszystkich żądań certyfikatów PKCS została skonsolidowana w łączniku certyfikatów PFX, który obsługuje automatyczną aktualizację łącznika do nowych wersji i wymaga użycia .NET Framework wersji 4.7.2.

Ten łącznik obsługuje również następujące trzy platformy, które nie są obsługiwane za pośrednictwem łącznika Microsoft Intune:

• Android Enterprise — w pełni zarządzane
• Android Enterprise — dedykowane
• Android Enterprise — profil służbowy Corporate-Owned

Funkcjonalność łącznika Microsoft Intune Nie jest przestarzała i można nadal używać jej z profilami certyfikatów PKCS dla niektórych platform. Jeśli jednak nie używasz protokołu SCEP lub w inny sposób wymagasz użycia usługi NDES, możesz przełączyć się do łącznika certyfikatów PFX i usunąć usługę NDES z serwerów.

Łącznik certyfikatów PFX:

• Obsługuje wiele wystąpień tego łącznika dla każdej dzierżawy usługi Intune. Każde wystąpienie łącznika musi być zainstalowane w systemie Windows Server i mieć dostęp do klucza prywatnego używanego do szyfrowania haseł przekazanych plików PFX.

  Uwaga

  Wszystkie łączniki muszą mieć te same uprawnienia i mieć możliwość nawiązywania połączenia ze wszystkimi urzędami certyfikacji zdefiniowanymi później w profilach PKCS.

  Każde wystąpienie tego łącznika może pobierać oczekujące żądania PKCS z kolejki usługi Intune, ponieważ nie można określić, który łącznik obsługuje każde żądanie.

  To samo dotyczy odwołania certyfikatu.

• Można zainstalować na tym samym serwerze, który hostuje wystąpienie łącznika Microsoft Intune.

• Obsługuje maksymalnie 100 wystąpień tego łącznika na dzierżawę z każdym wystąpieniem na osobnym serwerze z systemem Windows. W przypadku korzystania z wielu łączników:

  • Wszystkie wystąpienia łącznika certyfikatów PFX w środowisku powinny być w tej samej wersji.
  • Infrastruktura obsługuje nadmiarowość i równoważenie obciążenia, ponieważ każde dostępne wystąpienie łącznika może przetwarzać żądania certyfikatów.

• Obsługuje automatyczne aktualizacje nowych wersji. Aby automatycznie zainstalować nowe wersje, komputer hostujący łącznik musi skontaktować się z autoupdate.msappproxy.net na porcie 443. Jeśli automatyczne aktualizowanie łącznika nie powiedzie się, możesz ręcznie zaktualizować łącznik.

• Obsługuje odwoływanie certyfikatów (wymaga uruchomienia łącznika w wersji 6.2008.60.607 lub nowszej )

• Ma takie same wymagania sieciowe jak urządzenia zarządzane

  Aby uzyskać więcej informacji, zobacz Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth (Wymagania dotyczące konfiguracji sieci i przepustowości usługi Intune).

Serwer z systemem Windows, na którym jest instalowany łącznik:

• Musi działać Windows Server 2012 R2 lub nowszym.
• Uruchom platformę .NET 4.7.2.

Aby zainstalować łącznik certyfikatów PFX:

Aby uzyskać wskazówki dotyczące instalacji tego łącznika, zobacz Pobieranie, instalowanie i konfigurowanie łącznika certyfikatów PFX.

Łącznik Microsoft Intune

Łącznik Microsoft Intune jest czasami nazywany łącznikiem certyfikatów Microsoft Intune. Ten łącznik obsługuje wdrażanie certyfikatów w przypadku korzystania z protokołu SCEP (Simple Certificate Enrollment Protocol ) i posiadania urzędu certyfikacji usług certyfikatów Active Directory.This connector supports certificate deployment when you use Simple Certificate Enrollment Protocol (SCEP) and have an Active Directory Certificate Services Certification Authority (CA). Ten typ urzędu certyfikacji jest również nazywany urzędem certyfikacji firmy Microsoft.

W przypadku używania protokołu SCEP z urzędem certyfikacji firmy Microsoft należy również skonfigurować usługę rejestracji urządzeń sieciowych (NDES). Z tego powodu ten łącznik jest często nazywany łącznikiem certyfikatów usługi NDES.

Jeśli używasz urzędu certyfikacji innej firmy, nie musisz używać tego łącznika, a usługa NDES nie jest wymagana.

Łącznik Microsoft Intune:

• Obsługuje wystawianie certyfikatów SCEP

• Może służyć do wystawiania certyfikatów PKCS dla większości platform urządzeń, ale nie dla wszystkich. Ten łącznik nie obsługuje wystawiania certyfikatów PKCS dla:

  • Android Enterprise — w pełni zarządzane
  • Android Enterprise — dedykowane
  • Android Enterprise — profil służbowy Corporate-Owned

  Aby obsługiwać te platformy, użyj łącznika certyfikatów PFX, który obsługuje wystawianie certyfikatów PKCS na wszystkich platformach urządzeń. Jeśli nie używasz protokołu SCEP, możesz odinstalować ten łącznik i użyć tylko łącznika certyfikatów PFX.

  Uwaga

  W przypadku PKCS wszystkie łączniki muszą mieć te same uprawnienia i mieć możliwość nawiązywania połączenia ze wszystkimi urzędami certyfikacji zdefiniowanymi później w profilach PKCS.

  Każde wystąpienie tego łącznika może pobierać oczekujące żądania PKCS z kolejki usługi Intune, ponieważ nie można określić, który łącznik obsługuje każde żądanie.

  To samo dotyczy odwołania certyfikatu.

• Instaluje na serwerze z systemem Windows, który może również hostować wystąpienie łącznika certyfikatów PFX.

• Obsługuje maksymalnie 100 wystąpień tego łącznika na dzierżawę z każdym wystąpieniem na osobnym serwerze z systemem Windows. W przypadku korzystania z wielu łączników:

  • Wszystkie wystąpienia łącznika Microsoft Intune w środowisku powinny być w tej samej wersji.
  • Infrastruktura obsługuje nadmiarowość i równoważenie obciążenia, ponieważ każde dostępne wystąpienie łącznika może przetwarzać żądania certyfikatów.

• Wymaga ręcznej aktualizacji w celu zainstalowania nowej wersji łącznika. Ręczna aktualizacja wymaga odinstalowania bieżącego łącznika, a następnie zainstalowania nowej wersji łącznika. Dodatkowe akcje nie powinny być wymagane.

• Obsługuje tryb FIPS (Federal Information Processing Standard ). Protokół FIPS nie jest wymagany. Po włączeniu programu FIPS można wystawiać i odwoływać certyfikaty.

• Ma takie same wymagania sieciowe jak urządzenia zarządzane.

  Aby uzyskać więcej informacji, zobacz Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth (Wymagania dotyczące konfiguracji sieci i przepustowości usługi Intune).

Serwer z systemem Windows, na którym jest instalowany łącznik:

• Musi działać Windows Server 2012 R2 lub nowszym.
• Uruchom platformę .NET 4.5. Jeśli ten łącznik jest instalowany na tym samym serwerze co łącznik certyfikatów PFX, należy użyć programu .NET 4.7.2 Framework, który jest wymagany przez łącznik PFX.
• Nie może być tym samym serwerem, który hostuje urząd wystawiający certyfikaty (CA).
• W przypadku korzystania z protokołu SCEP z urzędem certyfikacji firmy Microsoft wymagany jest dostęp do serwera z uruchomioną usługą NDES. Usługa NDES działa na serwerze z systemem Windows i może działać na tym samym serwerze co ten łącznik.

Gdy jest wymagana usługa NDES:

• Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer musi być wyłączona na serwerze hostującym usługę NDES i na serwerze hostującym łącznik Microsoft Intune.

• Łącznik wymaga dodatkowych konfiguracji do komunikacji z usługą NDES. Znajdziesz procedury instalowania i konfigurowania usługi NDES przy użyciu procedur instalowania łącznika Microsoft Intune.

  Aby uzyskać więcej informacji na temat usługi NDES, zobacz Network Device Enrollment Service Guidance (Wskazówki dotyczące usługi rejestracji urządzeń sieciowych).

Aby zainstalować łącznik Microsoft Intune:

Aby uzyskać wskazówki dotyczące instalacji tego łącznika, zobacz Konfigurowanie infrastruktury do obsługi protokołu SCEP w usłudze Intune.

Cykl życia łącznika

Ważna

Od 29 lipca 2021 r. łącznik certyfikatów dla Microsoft Intune zastępuje użycie łącznika certyfikatów PFX dla łącznika Microsoft Intune i łącznika Microsoft Intune. Nowy łącznik zawiera funkcje obu poprzednich łączników.

Okresowo wydawane są zaktualizowane wersje łączników certyfikatów. Ogłoszenia dotyczące nowych wersji łączników są wyświetlane w artykule Co nowego dla usługi Intune oraz w sekcji Co nowego dla łączników pod koniec tego artykułu.

W przypadku wydania nowej wersji obsługa poprzedniej wersji jest przestarzała z ograniczonym okresem prolongaty na potrzeby dalszego użytkowania. Po wygaśnięciu okresu prolongaty obsługa tej przestarzałej wersji kończy się i może przestać działać w dowolnym momencie. Okres prolongaty wynosi sześć miesięcy.

Zaplanuj aktualizację łącznika do najnowszej wersji przy pierwszej okazji. Każdy łącznik ma inną ścieżkę aktualizacji:

• Łącznik certyfikatów PFX dla Microsoft Intune — obsługuje aktualizacje automatyczne.
• łącznik Microsoft Intune — wymaga ręcznej aktualizacji.

Aktualizacja automatyczna

Jeśli jest obsługiwana przez typ łącznika i środowisko, usługa Intune może automatycznie zaktualizować łącznik do najnowszej wersji wkrótce po wydaniu tej wersji łącznika.

Aby zaktualizować automatycznie, serwer hostujący łącznik musi uzyskać dostęp do usługi aktualizacji platformy Azure:

• Port: 443
• Punkt końcowy: autoupdate.msappproxy.net

Gdy zapory, infrastruktura lub konfiguracje sieci ograniczają dostęp do automatycznej aktualizacji, rozwiąż problemy z blokowaniem lub ręcznie zaktualizuj łącznik do nowej wersji.

Ręczna aktualizacja

Proces ręcznej aktualizacji łącznika certyfikatów jest taki sam w przypadku ponownej instalacji łącznika.

Łącznik certyfikatów można ręcznie zaktualizować nawet wtedy, gdy obsługuje on aktualizacje automatyczne. Na przykład można ręcznie zaktualizować łącznik, gdy konfiguracja sieci blokuje automatyczną aktualizację.

Aby ponownie zainstalować łącznik certyfikatów

1. Na serwerze z systemem Windows hostującym łącznik odinstaluj łącznik za pomocą aplikacji i funkcji systemu Windows .

2. Aby zainstalować nową wersję, użyj procedury, aby zainstalować nową wersję łącznika. Upewnij się, że podczas instalowania nowszej wersji łącznika są sprawdzane wszelkie nowe lub zaktualizowane wymagania wstępne:

   • SCEP: Konfigurowanie infrastruktury do obsługi protokołu SCEP w usłudze Intune
   • PKCS: pobieranie, instalowanie i konfigurowanie łącznika certyfikatów PFX dla Microsoft Intune

Stan łącznika

W centrum administracyjnym Microsoft Intune możesz wybrać łącznik certyfikatów, aby wyświetlić informacje o jego stanie:

1. Zaloguj się do centrum administracyjnego Microsoft Intune

2. Przejdź do pozycji Łączniki administracji>dzierżawy i tokeny Łączniki certyfikatów>.

3. Wybierz łącznik, aby wyświetlić jego stan.

Podczas wyświetlania stanu łącznika:

• Przestarzałe łączniki będą wyświetlane z ostrzeżeniem. Po sześciomiesięcznym okresie prolongaty ostrzeżenie zmieni się na Błąd.
• Łączniki, które wykraczają poza okres prolongaty, pokazują błąd. Te łączniki nie są już obsługiwane i mogą przestać działać w dowolnym momencie.

Rejestrowanie

Następujące szczegóły rejestrowania są dostępne począwszy od łącznika w wersji 6.2101.13.0.

Dzienniki łącznika certyfikatów PFX są dostępne jako dzienniki zdarzeń na serwerze, na którym zainstalowano łącznik:

• > Podgląd zdarzeń Aplikacja i dzienniki usług Łączniki certyfikatów> usługiMicrosoft>Intune>

Następujące dzienniki są dostępne i domyślnie 50 MB z włączoną automatyczną archiwizowaniem:

• Administracja Dziennik — ten dziennik zawiera jedno zdarzenie dziennika na żądanie do łącznika. Zdarzenia obejmują powodzenie z informacjami o żądaniu lub błąd z informacjami o żądaniu i błędzie.
• Dziennik operacyjny — ten dziennik zawiera dodatkowe informacje, które znajdują się w dzienniku Administracja i mogą być używane w przypadku problemów z debugowaniem. Ten dziennik zawiera również bieżące operacje dla łącznika certyfikatów PFX zamiast pojedynczych zdarzeń.

Identyfikatory zdarzeń

Wszystkie zdarzenia mają jeden z następujących identyfikatorów:

• 0001-0999 — nie jest skojarzony z żadnym konkretnym scenariuszem
• 1000-1999 - PKCS
• 2000-2999 — Importowanie PKCS
• 3000-3999 — Odwoływanie

Kategorie zadań

Wszystkie zdarzenia są oznaczone etykietą Kategoria zadań, aby ułatwić filtrowanie. Kategorie zadań zawierają, ale nie są ograniczone do następującej listy:

PKCS

• Administrator
  • PkcsRequestSuccess — pomyślnie zrealizowano i przekazano żądanie PKCS do usługi Intune.
  • PkcsRequestFailure — nie można spełnić lub przekazać żądania PKCS do usługi Intune.
• Operacyjne
  • PkcsDownloadSuccess — pomyślnie pobrano żądania PKCS z usługi Intune
  • PkcsDownloadFailure — wystąpił błąd podczas pobierania żądań PKCS z usługi Intune
  • PkcsDownloadedRequest — szczegóły pojedynczego pobranego żądania z usługi Intune
  • PkcsIssuedSuccess — wystawiono certyfikat dla żądania
  • PkcsIssuedFailedAttempt — wystąpił błąd podczas wystawiania certyfikatu dla żądania
  • PkcsIssuedFailure — nie można wystawić certyfikatu dla żądania
  • PkcsUploadSuccess — szczegóły pomyślnego żądania przekazanego do usługi Intune
  • PkcsUploadFailure — wystąpił błąd podczas przekazywania żądań do usługi Intune
  • PkcsUploadedRequest — szczegóły przekazanego żądania do usługi Intune

Importowanie PKCS

• Administrator
  • PkcsImportRequestSuccess — pomyślnie pobrano żądania importu PKCS z usługi Intune
  • PkcsImportRequestFailure — wystąpił błąd podczas pobierania żądań importu PKCS z usługi Intune
• Operacyjne
  • PkcsImportDownloadSuccess — pomyślnie pobrano żądania importu PKCS z usługi Intune
  • PkcsImportDownloadFailure — wystąpił błąd podczas pobierania żądań importu PKCS z usługi Intune
  • PkcsImportDownloadedRequest — szczegóły pojedynczego pobranego żądania z usługi Intune
  • PkcsImportReencryptSuccess — ponowne szyfrowanie zaimportowanego certyfikatu
  • PkcsImportReencryptFailedAttempt — wystąpił błąd podczas ponownego szyfrowania zaimportowanego certyfikatu
  • PkcsImportReencryptFailure — nie można ponownie zaszyfrować zaimportowanego certyfikatu
  • PkcsImportUploadFailure — wystąpił błąd podczas przekazywania żądań do usługi Intune
  • PkcsImportUploadedRequest — szczegóły przekazanego żądania do usługi Intune

Odwołania

• Administrator
  • RevokeRequestSuccess — pomyślnie pobrano żądania odwołania z usługi Intune
  • RevokeRequestFailure — wystąpił błąd podczas pobierania żądań odwołania z usługi Intune
• Operacyjne
  • RevokeDownloadSuccess — pomyślnie pobrano żądania odwołania z usługi Intune
  • RevokeDownloadFailure — wystąpił błąd podczas pobierania żądań odwołania z usługi Intune
  • RevokeDownloadedRequest — szczegóły pojedynczego pobranego żądania z usługi Intune
  • RevokeSuccess — pomyślnie odwołany certyfikat
  • RevokeFailure — wystąpił błąd podczas odwoływania certyfikatu
  • RevokeFailedAttempt — nie można odwołać certyfikatu
  • RevokeUploadSuccess — szczegóły pomyślnego żądania przekazanego do usługi Intune
  • RevokeUploadFailure — wystąpił błąd podczas przekazywania żądań do usługi Intune
  • RevokeUploadedRequest — szczegóły przekazanego żądania do usługi Intune

Co nowego w przypadku łączników

Aktualizacje dla dwóch łączników certyfikatów są okresowo zwalniane. Po zaktualizowaniu łącznika możesz przeczytać o zmianach tutaj.

Ważna

Od kwietnia 2022 r. łączniki certyfikatów starsze niż wersja 6.2101.13.0 będą przestarzałe i będą pokazywać stan Błąd. Ten stan nie ma wpływu na funkcjonalność. Od czerwca 2022 r. takie łączniki nie będą mogły wystawiać certyfikatów. Aby uzyskać szczegółowe informacje na temat przechodzenia do nowego łącznika certyfikatów dla firmy Microsoft, zobacz notatkę na początku tego artykułu.

Historia wydania łącznika certyfikatów PFX

Łącznik certyfikatów PFX dla Microsoft Intunesupportuje aktualizacje automatyczne.

10 marca 2021 r.

Wersja 6.2101.16.0. - Zmiany w tej wersji:

• Ulepszenia przepływu pfx tworzenia, aby zapobiec duplikacji plików żądania certyfikatu na serwerach lokalnych, które hostują łącznik.

24 lutego 2021 r.

Wersja 6.2101.13.0. Ta nowa wersja łącznika dodaje ulepszenia rejestrowania do łącznika PFX:

• Nowa lokalizacja dzienników zdarzeń z dziennikami podzielonymi na Administracja, debugowanie & operacyjnych
• Administracja & domyślnie dzienniki operacyjne to 50 MB — z włączoną funkcją automatycznego archiwizowania.
• Identyfikatory zdarzeń dla importu PKCS, tworzenia i odwoływania PKCS.

wtorek, 26 stycznia 2021 r.

Wersja 6.2009.2.0 — zmiany w tej wersji:

• Ulepsza uaktualnienie łącznika w celu utrwalenia kont z uruchomionymi usługami łącznika.

15 stycznia 2021 r.

Wersja 6.2009.1.9 — zmiany w tej wersji:

• Ulepszenia odnawiania certyfikatu łącznika.

2 października 2020 r.

Wersja 6.2008.60.612 — zmiany w tej wersji:

• Rozwiązano problem z dostarczaniem certyfikatów PKCS do w pełni zarządzanych urządzeń z systemem Android Enterprise. Problem wymagał, aby dostawca magazynu kluczy kryptograficznych (KSP) był starszym dostawcą. Teraz możesz również użyć dostawcy magazynu kluczy kryptograficznych nowej generacji (CNG).
• Zmiany na karcie Konto urzędu certyfikacji łącznika certyfikatów PFX: nazwa użytkownika i hasło (poświadczenia) są teraz używane do wystawiania certyfikatów i odwoływania certyfikatów. Wcześniej te poświadczenia były używane tylko do odwoływania certyfikatów.

Historia wersji łącznika Microsoft Intune

2 kwietnia 2019 r.

Wersja 6.1904.1.0 — zmiany w tej wersji:

• Rozwiązano problem polegający na tym, że łącznik mógł nie zostać zarejestrowany w usłudze Intune po zalogowaniu się do łącznika przy użyciu konta administratora globalnego.
• Zawiera poprawki niezawodności odwołania certyfikatów.
• Zawiera poprawki wydajności, aby zwiększyć szybkość przetwarzania żądań certyfikatów PKCS.

Następne kroki

Utwórz profile zaimportowanych certyfikatów SCEP, PKCS lub PKCS dla każdej platformy, która ma być używana. Aby kontynuować, zobacz następujące artykuły:

• Konfigurowanie infrastruktury do obsługi certyfikatów protokołu SCEP w usłudze Intune
• Konfigurowanie certyfikatów PKCS i zarządzanie nimi za pomocą usługi Intune
• Tworzenie profilu zaimportowanego certyfikatu PKCS
• Rozwiązywanie problemów z łącznikiem Microsoft Intune