Pré-requisitos para perfis de certificados no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Os perfis de certificado no Gestor de Configuração têm dependências externas e dependências no produto.

Importante

A partir da versão 2103 do Gestor de Configuração, esta funcionalidade de acesso a recursos da empresa é depreciada. Utilize Microsoft Intune para implementar perfis de acessoa recursos .

Dependências Externas ao Configuration Manager

Dependência Mais informações
Uma empresa autoridade de certificação (AC) emissora que esteja a executar os Serviços de Certificados do Active Directory (AD CS).

Para revogar certificados, a conta de computador do servidor do site no topo da hierarquia requer direitos de Emitir e Gerir Certificados para cada modelo de certificado utilizado por um perfil de certificado no Configuration Manager. Em alternativa, conceda permissões ao Gestor de Certificados para conceder permissões em todos os modelos de certificado utilizados por essa AC

A aprovação do gestor para pedidos de certificado é suportada. No entanto, os modelos de certificados utilizados para emitir certificados devem ser configurados para Fornecimento no pedido do sujeito do certificado para que o Gestor de Configuração possa fornecer automaticamente este valor.
Para obter mais informações sobre os Serviços de Certificados de Diretório Ativo, consulte a Visão Geral dos Serviços de Certificados do Diretório Ativo.
Utilize o script PowerShell para verificar e, se necessário, instalar os pré-requisitos para o serviço de inscrição do serviço de registo de dispositivos de rede (NDES) e o Ponto de Registo do Certificado do Gestor de Configuração.

O ficheiro de instruções, readme_crp.txt, está localizado em ConfigMgrInstallDir\cd.mais recente\SMSSETUP\POLICYMODULE\X64.

O guião PowerShell, Test-NDES-CRP-Prereqs.ps1, está no mesmo diretório que as instruções.

O script PowerShell deve ser executado localmente no servidor NDES.
O serviço de inscrição de dispositivos de rede (NDES) para serviços de certificados de diretório ativo, em execução em Windows Server 2012 R2.

Além disso:

Os números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não são suportados para a comunicação entre o cliente e o Serviço de Inscrição de Dispositivos de Rede.

O servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede tem de estar num servidor diferente da AC emissora.
O Gestor de Configuração comunica com o Serviço de Inscrição de Dispositivos de Rede em Windows Server 2012 R2 para gerar e verificar pedidos de Protocolo de Inscrição de Certificados Simples (SCEP).

Se emitir certificados para utilizadores ou dispositivos que se conectem a partir da Internet, como dispositivos móveis geridos por Microsoft Intune, esses dispositivos devem poder aceder ao servidor que executa o Serviço de Inscrição de Dispositivos de Rede a partir da Internet. Por exemplo, instale o servidor numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede filtrada).

Se tiver uma firewall entre o servidor que executa o Serviço de Inscrição de Dispositivos de Rede e a AC emissora, tem de configurar a firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores. Este requisito de firewall também se aplica ao servidor que executa o servidor do site do Gestor de Configuração e o CA de emissão, para que o Gestor de Configuração possa revogar os certificados.

Se o Serviço de Inscrição de Dispositivos de Rede estiver configurado para necessitar de SSL, uma melhor prática de segurança é garantir que os dispositivos de ligação possam aceder à lista de revogação do certificado (CRL) para validar o certificado do servidor.

Para obter mais informações sobre o Serviço de Inscrição de Dispositivos de Rede, consulte utilizar um módulo de política com o Serviço de Inscrição de Dispositivos de Rede.
Um certificado de autenticação de cliente PKI e o certificado da AC de raiz exportado. Este certificado autentica o servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede para o Gestor de Configuração.

Para obter mais informações, consulte os requisitos do certificado PKI para o Gestor de Configuração.
Sistemas operativos de dispositivos suportados. Pode implementar perfis de certificados em dispositivos que funcionam Windows 8.1, Windows RT 8.1 e Windows 10.

Dependências do Configuration Manager

Dependência Mais informações
Função do sistema de sites do ponto de registo de certificados Para poder utilizar perfis de certificado, é necessário instalar a função do sistema de sites do ponto de registo de certificados. Esta função comunica com a base de dados do Gestor de Configuração, o servidor do site do Gestor de Configuração e o Módulo de Política do Gestor de Configuração.

Para obter mais informações sobre os requisitos do sistema para esta função do sistema de site e onde instalar a função na hierarquia, consulte a secção Requisitos do Sistema de Sítio nas configurações suportadas para o artigo do Gestor de Configuração.

O ponto de registo do certificado não deve ser instalado no mesmo servidor que executa o Serviço de Inscrição de Dispositivos de Rede.
Módulo de Política do Gestor de Configuração que está instalado no servidor que está a executar o serviço de função de serviço de inscrição de dispositivos de rede para serviços de certificado de diretório ativo Para implementar perfis de certificado, tem de instalar o Módulo de Política do Gestor de Configuração. Pode encontrar este módulo de política no meio de instalação do Gestor de Configuração.
Dados de deteção Os valores para o sujeito do certificado e o nome alternativo do sujeito são fornecidos pelo Gestor de Configuração e obtidos a partir de informações recolhidas a partir da descoberta:

Para certificados de utilizador: Deteção de Utilizadores do Active Directory

Para certificados de computador: Deteção de Sistemas do Active Directory e Deteção de Rede
Permissões de segurança específicas para gerir perfis de certificado É necessário possuir as seguintes permissões de segurança para gerir definições de acesso a recursos da empresa, tais como perfis de certificado, perfis Wi-Fi e perfis VPN:

Para ver e gerir alertas e relatórios sobre perfis de certificado: Criar, Eliminar, Modificar, Modificar Relatório, Leitura e Executar Relatório para o objeto Alertas .

Para criar e gerir perfis de certificados: Política de Autor, Alterar Relatório, Ler e Executar Relatório para o objeto do Perfil de Certificado.

Para gerir implementações de perfis Wi-Fi, certificado e VPN: Implementar Políticas de Configuração, Modificar Alerta de Estado de Clientes, Leitura e Ler Recurso para o objeto Coleção .

Para gerir todas as políticas de configuração: Criar, Eliminar, Modificar, Ler e Definir O Alcance de Segurança para o objeto Desemisso de Configuração.

Para executar consultas relacionadas com perfis de certificado: permissão de Leitura para o objeto Consulta .

Para ver as informações dos perfis de certificado na consola Do Gestor de Configuração: Leia a permissão para o objeto do Site.

Para ver mensagens de estado para perfis de certificado: permissão de Leitura para o objeto Mensagens de Estado .

Para criar e modificar o perfil de certificado de CA Fidedigno: Política de Autor, Alterar Relatório, Ler e Executar Relatório para o objeto de perfil de certificado de CA fidedigno.

Para criar e gerir perfis VPN: Política de Autor, Alterar Relatório, Ler e Executar Relatório para o objeto de perfil VPN.

Para criar e gerir perfis de Wi-Fi: Política de Autor, Alterar Relatório, Ler e Executar Relatório para o objeto de Perfil Wi-Fi.

A função de segurança do Gestor de Acesso a Recursos da Empresa inclui estas permissões que são necessárias para gerir perfis de certificados no Gestor de Configuração. Para mais informações, consulte a secção de administração baseada em funções configurar no artigo de segurança Configure.