Dela via

Krav för certifikatanslutningsappen för Microsoft Intune

  • Artikel

Innan du installerar och konfigurerar certifikatanslutningsappen för Microsoft Intune bör du granska kraven för krav och infrastruktur, som kan variera beroende på vilka funktioner du konfigurerar en anslutningsinstans för att stödja.

Allmänna krav

Krav för den dator där du installerar anslutningsprogrammet:

PKCS

Krav för PKCS-certifikatmallar:

  • Certifikatmallar som du ska använda för PKCS-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstkontot kan registrera certifikatet.
  • Certifikatmallarna måste läggas till i certifikatutfärdare (CA).

Obs!

Alla instanser av anslutningsappen som stöder PKCS kan användas för att hämta väntande PKCS-begäranden från Intune Service-kön, bearbeta importerade certifikat och hantera begäranden om återkallning. Det går inte att definiera vilken anslutningsapp som hanterar varje begäran.

Därför måste varje anslutningsapp som stöder PKCS ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.

PKCS-importerade certifikat

För att stödja PKCS-importerade certifikat kräver servern som är värd för anslutningsappen ytterligare konfigurationer, till exempel att konfigurera en åtkomst för nyckellagringsprovidern så att anslutningstjänstens användare kan hämta nycklar.

Information om stöd för PKCS-importerade certifikat finns i Konfigurera och använda importerade PKCS-certifikat med Intune

Krav för återkallning

SCEP

Windows Server som är värd för anslutningsappen måste uppfylla följande krav utöver de allmänna förutsättningarna:

  • IIS 7 eller senare
  • NDES-tjänsten (Network Device Enrollment Service), som ingår i rollen Active Directory Certification Services. Anslutningsappen stöds inte på samma server som den utfärdande certifikatutfärdare (CA). Mer information finns i Konfigurera infrastruktur för att stödja SCEP med Intune

På Windows Server konfigurerar du välj följande serverroller och funktioner:

  • Serverroller:

    • Active Directory Certificate Services
    • Webbserver (IIS)

  • Funktioner:

    • .NET Framework 4.7-funktioner
      • .NET Framework 4,7
      • ASP.NET 4.7
      • WCF-tjänster
        • HTTP-aktivering

  • AD CS > Rolltjänster:

    • Registreringstjänst för nätverksenheter – För anslutningstjänsten SCEP när du använder en Microsoft CA installerar och konfigurerar du serverrollen Registreringstjänst för nätverksenheter (NDES). När du konfigurerar NDES måste du tilldela ett användarkonto för användning av NDES-programpoolen. NDES har också sina egna krav.

  • Webbserverroll (IIS) > Rolltjänster:

    • Säkerhet
      • Begärandefiltrering
    • Programutveckling
      • .NET-utökningsbarhet 4.7
      • ASP.NET 4.7
    • Hanteringsverktyg
      • IIS-hanteringskonsol
      • IIS 6-hanteringskompatibilitet
        • IIS 6-metabaskompatibilitet
        • IIS 6 WMI-kompatibilitet

    Dessutom kräver NDES following.NET Framework 3.5-funktioner:

    • .NET Framework 3.5
    • HTTP-aktivering

Krav för SCEP-certifikatmallar:

  • Certifikatmallar som du ska använda för SCEP-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstens konto kan registrera certifikatet automatiskt.
  • Certifikatmallarna måste läggas till i certifikatutfärdare.

Konton

Förbered följande konton innan du installerar programmet för certifikatanslutningsappen.

Installationskonto

Du kan använda alla användarkonton som har lokal administratörsbehörighet på Windows Server för att installera anslutningsprogrammet. Du kan använda samma konto för att konfigurera Windows Server med NDES Windows-serverrollen om du använder SCEP och en Microsoft CA.

Tjänstkonto för certifikatanslutningsprogram

Certifikatanslutningsappen kräver att ett konto används som ett tjänstkonto. Det här kontot används av anslutningsappen för att komma åt Windows Server, kommunicera med Intune och få åtkomst till certifikatutfärdare för att hantera PKI-begäranden.

Anslutningstjänstkontot måste ha följande behörigheter:

  • Logga in som tjänst
  • Utfärda och hantera certifikatbehörigheter på certifikatutfärdare (krävs endast för återkallningsscenarier).
  • Läs och registrera behörigheter för alla certifikatmallar som du ska använda för att utfärda certifikat.
  • Behörigheter till nyckellagringsprovidern (KSP) som används av PFX-import. Se Importera PFX-certifikat till Intune.

Följande alternativ stöds för användning som certifikatanslutningstjänstkonto:

  • System
  • Domänanvändare – Använd alla domänanvändarkonton som är administratör på Windows Server.

Mer information finns i Installera certifikatanslutningsappen för Microsoft Intune.

Användare av NDES-programpool

Om du vill använda SCEP med en Microsoft CA måste du lägga till NDES på servern som är värd för anslutningsappen innan du installerar anslutningsappen. När du konfigurerar NDES måste du ange ett konto som ska användas som programpoolsanvändare, vilket även kan kallas NDES-tjänstkontot. Det här kontot kan vara ett lokalt användarkonto eller domänanvändarkonto och måste ha följande behörigheter:

  • Läsa och registrera behörigheter för varje SCEP-certifikatmall som du använder för att utfärda certifikat.
  • Medlem i gruppen IIS_IUSRS .

Information om hur du konfigurerar NDES-serverrollen för certifikatanslutningsappen för Microsoft Intune finns i Konfigurera NDES i Konfigurera infrastruktur för att stödja SCEP med Intune.

Microsoft Entra användare

När du konfigurerar anslutningsappen måste du använda ett användarkonto som: antingen är en global Admin eller Intune-Admin och har en Tilldelad Intune-licens.

Nästa steg

Installera certifikatanslutningsappen för Microsoft Intune