Microsoft Intune 证书连接器的先决条件

在安装并配置 Microsoft Intune 证书连接器之前，请查看先决条件和基础结构要求，这些内容可能会有所不同，具体取决于要配置连接器实例以提供支持的功能。

一般先决条件

安装连接器软件的计算机要求：

• Windows Server 2012 R2 或更高版本。

  注意

  服务器安装必须包括桌面体验并支持使用浏览器。 有关详细信息，请参阅 Windows Server 2016 文档中的安装具有桌面体验的服务器。

• .NET 4.7.2

• 传输层安全性 (TLS) 1.2。 有关详细信息，请参阅 Microsoft Entra 文档中的在环境中启用对 TLS 1.2 的支持。

• 服务器必须满足与托管设备相同的网络要求。 请参阅 Microsoft Intune 网络终结点和 Intune 网络配置要求和带宽

• 若要支持连接器软件的自动更新，该服务器必须拥有对 Azure 更新服务的访问权限：

  • 端口：443
  • 终结点：autoupdate.msappproxy.net

• 必须停用 增强安全配置。

PKCS

PKCS 证书模板要求：

• 用于 PKCS 请求的证书模板必须配置允许证书连接器服务帐户注册证书的权限。
• 必须将证书模板添加到证书颁发机构 (CA)。

注意

支持 PKCS 的连接器的任何实例都可用于从 Intune 服务队列检索挂起的 PKCS 请求，处理导入的证书以及处理吊销请求。 无法定义处理每个请求的连接器。

因此，支持 PKCS 的每个连接器必须具有相同的权限，并且能够与稍后在 PKCS 配置文件中定义的所有证书颁发机构连接。

PKCS 导入的证书

要支持 PKCS 导入的证书，托管连接器的服务器需要进行其他配置，例如配置密钥存储提供程序访问权限以允许连接器服务用户检索密钥。

有关对 PKCS 导入的证书的支持方面的信息，请参阅在 Intune 中配置和使用导入的 PKCS 证书

吊销的先决条件

• 必须配置证书颁发机构，使其允许连接器服务帐户吊销证书。

SCEP

托管连接器的 Windows 服务器必须满足除一般先决条件之外的以下先决条件：

• IIS 7 或更高版本
• 网络设备注册服务 (NDES) 服务，它是 Active Directory 认证服务角色的一部分。 不支持在证书颁发机构 (CA) 所在的同一服务器上使用该连接器。 有关详细信息，请参阅配置基础结构以支持在 Intune 中使用 SCEP

在 Windows Server 上，配置并选择以下服务器角色和功能：

• 服务器角色：

  • Active Directory 证书服务
  • Web 服务器 (IIS)

• 功能：

  • .NET Framework 4.7 功能
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF 服务
      • HTTP 激活

• AD CS > 角色服务：

  • 网络设备注册服务 - 对于连接器 SCEP，如果使用 Microsoft CA，请安装并配置网络设备注册服务 (NDES) 服务器角色。 配置 NDES 时，需要分配一个用户帐户以供 NDES 应用程序池使用。 NDES 也有其自身的要求。

• Web 服务器角色 (IIS) > 角色服务：

  • 安全性
    • 请求筛选
  • 应用程序开发
    • .NET Extensibility 4.7
    • ASP.NET 4.7
  • 管理工具
    • IIS 管理控制台
    • IIS 6 管理兼容性
      • IIS 6 元数据库兼容性
      • IIS 6 WMI 兼容性

  此外，NDES 还需要具有以下 .NET Framework 3.5 功能：

  • .NET Framework 3.5
  • HTTP 激活

SCEP 证书模板要求：

• 必须对用于 SCEP 请求的证书模板进行配置，使其拥有允许证书连接器服务帐户自动注册证书的权限。
• 必须将证书模板添加到 CA 中。

帐户

在安装证书连接器软件之前准备好以下帐户。

安装帐户

你可以使用在 Windows 服务器上具有本地管理权限的任何用户帐户来安装连接器软件。 如果使用 SCEP 和 Microsoft CA，还可使用此帐户来配置具有 NDES Windows 服务器角色的 Windows 服务器。

证书连接器服务帐户

证书连接器需要一个帐户用作服务帐户。 连接器使用此帐户访问 Windows 服务器、与 Intune 通信并访问证书颁发机构来服务 PKI 请求。

连接器服务帐户必须具有以下权限：

• 以服务形式登录
• 在证书颁发机构颁发和管理证书的权限（仅在吊销场景中需要）。
• 对用于颁发证书的任何证书模板的“读取”和“注册”权限。
• PFX 导入使用的密钥存储提供程序 (KSP) 的权限。 请参阅将 PFX 证书导入 Intune。

支持将以下选项用作证书连接器服务帐户：

• 系统
• 域用户 - 使用充当 Windows Server 上的管理员的任何域用户帐户。

有关详细信息，请参阅安装 Microsoft Intune 证书连接器。

NDES 应用程序池用户

要将 SCEP 和 Microsoft CA 配合使用，需要在安装连接器之前将 NDES 添加到托管连接器的服务器。 配置 NDES 时，需要指定一个帐户以用作应用程序池用户，该帐户也可以称为 NDES 服务帐户。 此帐户可以是本地帐户或域用户帐户，并且必须具有以下权限：

• 对用于颁发证书的每个 SCEP 证书模板的“读取”和“注册”权限。
• IIS_IUSRS 组的成员。

有关为 Microsoft Intune 证书连接器配置 NDES 服务器角色的指南，请参阅“配置基础结构以支持在 Intune 中使用 SCEP”一文中的设置 NDES部分。

Microsoft Entra用户

配置连接器时，需要使用以下用户帐户：是全局管理员或 Intune 管理员，并且分配有 Intune 许可证。

后续步骤

安装 Microsoft Intune 证书连接器