適用于 Microsoft Intune 的憑證連接器
若要Microsoft Intune支援使用憑證進行驗證,以及使用 S/MIME 簽署和加密電子郵件,您可以使用憑證連接器進行Microsoft Intune。 憑證連接器是您在內部部署伺服器上安裝的軟體,可協助傳遞和管理Intune管理裝置的憑證。
本文介紹適用于Microsoft Intune的憑證連接器、其生命週期,以及如何讓它保持在最新狀態。
提示
從 2021 年 7 月 29 日開始,適用于 Microsoft Intune 的憑證連接器會取代使用適用于 Microsoft Intune 和 Microsoft Intune 連接器的 PFX 憑證連接器。 新的連接器包含前兩個連接器的功能。 隨著適用于 Microsoft 的憑證連接器 6.2109.51.0 版發行,不再支援先前的連接器。
連接器概觀
若要使用憑證連接器,您必須先從 Microsoft Intune 系統管理中心內下載軟體,然後再安裝在 Windows Server 上。
在安裝期間,您可以安裝一或多個連接器功能,包括支援:
- PKCS) 憑證 (私密金鑰和公開金鑰組
- PKCS 匯入的憑證
- 簡單的憑證註冊通訊協定 (SCEP)
- 憑證撤銷
您也會指派服務帳戶來執行連接器。 此帳戶用於與您的憑證授權單位單位的所有互動,以及憑證發行、撤銷和更新。 服務帳戶支援的選項包括連接器伺服器 SYSTEM 帳戶或網域帳戶。
安裝連接器之後,您可以隨時再次執行連接器組態,以更新或變更您已安裝的功能。 安裝並設定之後,連接器可以自動安裝未來的更新,讓您的連接器保持最新版本。
Intune支援在租使用者中安裝多個連接器實例,而且每個實例都可支援不同的功能。 如果您使用多個支援不同功能的連接器,憑證要求一律會路由傳送至相關的連接器。 例如,如果您安裝兩個支援 PKCS 的連接器,再安裝兩個支援 PKCS 和 SCEP 的連接器,PKCS 的憑證工作可以由四個連接器中的任何一個管理,但 SCEP 的工作只會導向到支援 SCEP 的兩個連接器。
憑證連接器的每個實例都與由Intune管理的裝置具有相同的網路需求。 如需詳細資訊,請參閱適用于Microsoft Intune的網路端點,以及Intune網路設定需求和頻寬。
憑證連接器的功能
適用于 Microsoft Intune 的憑證連接器支援:
PKCS #12 憑證要求。
PKCS 匯入的憑證 (特定使用者的 S/MIME 電子郵件加密的 PFX 檔案) 。
發出簡單的憑證註冊通訊協定 (SCEP) 憑證。 當您使用 Active Directory 憑證服務憑證授權單位單位 (CA) ,也稱為 Microsoft CA時,您也必須在裝載連接器的伺服器上設定網路裝置註冊服務 (NDES) 。
搭配協力廠商憑證授權單位單位使用 SCEP,不需要使用憑證連接器來進行Microsoft Intune。
憑證撤銷。
自動更新 新版本。 當裝載憑證連接器的伺服器可以存取網際網路時,它們會自動安裝新的更新以維持最新狀態。 當連接器無法自動更新時,您可以手動更新連接器。
每個Intune租使用者最多安裝 100 個連接器實例,每個實例都位於不同的 Windows Server 上。 當您使用多個連接器時:
連接器的每個實例都必須能夠存取用來加密每個已上傳 PFX 檔案密碼的私密金鑰。
連接器的每個實例都應該是相同的版本。 因為連接器支援最新版本的自動更新,所以可以透過Intune為您管理更新。
您的基礎結構支援備援和負載平衡,因為任何支援相同連接器功能的可用連接器實例都可以處理您的憑證要求。
您可以設定 Proxy 以允許連接器與Intune通訊。
注意事項
支援 PKCS 的任何連接器實例都可以用來從Intune服務佇列擷取擱置中的 PKCS 要求、處理匯入的憑證,以及處理撤銷要求。 您無法定義哪個連接器會處理每個要求。 因此,每個支援 PKCS 的連接器都必須具有相同的許可權,而且能夠與稍後在 PKCS 設定檔中定義的所有憑證授權單位單位連線。
生命週期
系統會定期發行憑證連接器的更新。 新連接器更新的公告,包括每個更新的版本和發行日期,會出現在本文中憑 證連接器的新 功能一節中。
每個新的連接器版本:
在新版本發行後,支援六個月。 在此期間,自動更新可以安裝較新的連接器版本。 更新的連接器版本可以包含但不限於錯誤修正、效能和功能改善。
如果支援中斷連接器失敗,您必須更新為最新支援的版本。
如果您封鎖連接器的自動更新,請規劃在六個月內手動更新連接器,然後才終止對已安裝版本的支援。 支援結束之後,您必須將連接器更新為仍受支援的版本,以接收連接器問題的支援。
不支援的連接器在新版本發行後,會繼續運作長達 18 個月。 18 個月後,連接器功能可能會因為服務等級改善、更新或解決未來可能出現的常見安全性弱點而失敗。
例如,當連接器版本 6.2203.12.0 于 2022 年 5 月 4 日發行時,連接器舊版 6.2202.38.0 將會在 2022 年 11 月 4 日從支援中卸載。 雖然在 2023 年 11 月之前不支援) ,但舊版連接器應該會繼續運作 (。 在 2023 年 11 月之後,連接器舊版可能會停止與Intune通訊。
自動更新
Intune可以在該連接器版本發行後,于稍後自動將連接器更新為最新版本。
若要自動更新,裝載連接器的伺服器必須存取 Azure 更新服務:
- 埠: 443
- 端點: autoupdate.msappproxy.net
當防火牆、基礎結構或網路組態限制自動更新的存取時,請解決封鎖問題,或手動將連接器更新為新版本。
手動更新
手動更新憑證連接器的程式與重新安裝連接器的程式相同。
即使憑證連接器支援自動更新,您還是可以手動更新憑證連接器。 例如,當網路設定封鎖自動更新時,您可以手動更新連接器。
重新安裝憑證連接器
在裝載連接器的 Windows Server 上,執行連接器安裝程式以卸載連接器。
若要安裝新版本,請使用 程式來安裝新版本的連接器。 安裝較新版本的連接器時,請務必檢查是否有任何新的或更新的 必要條件 。
連接器狀態
在Microsoft Intune系統管理中心,您可以選取憑證連接器來檢視其狀態的相關資訊:
移至租使用者管理>連接器和權杖憑>證連接器。
選取連接器以檢視其狀態。
檢視連接器狀態時:
- 已淘汰的連接器會顯示 警告。 在六個月的寬限期之後,警告會變更為錯誤。
- 超過寬限期的連接器會顯示錯誤。 不再支援這些連接器,而且可以隨時停止運作。
記錄
適用于Microsoft Intune的憑證連接器記錄可作為安裝連接器之伺服器上的事件記錄檔:
- > 事件檢視器應用程式和服務記錄>Microsoft>Intune>Certificate 連接器
下列記錄可供使用且預設為 50 MB,且已啟用自動封存:
- 管理員記錄檔 - 此記錄檔會針對連接器的每個要求包含一個記錄事件。 事件包括 成功 與要求相關資訊,或包含要求和錯誤相關資訊 的錯誤 。
- 作業記錄- 此記錄檔會顯示在管理員記錄中找到的其他資訊,而且可用於偵錯問題。 此記錄也會顯示進行中的作業,而不是單一事件。
除了預設記錄層級之外,您還可以為每個記錄啟用偵錯記錄,以取得更多詳細資料。
事件識別碼
所有事件都有下列其中一個識別碼:
- 0001-0999 - 未與任何特定案例相關聯
- 1000-1999 - PKCS
- 2000-2999 - PKCS 匯入
- 3000-3999 - 撤銷
- 4000-4999 - SCEP
- 5000-5999 - 連接器健康情況
工作類別
所有事件都會標記為工作類別目錄,以協助篩選。 工作類別包含但不限於下列清單:
PKCS
Admin
事件識別碼:1000 - PkcsRequestSuccess
已成功將 PKCS 要求上傳至 Intune。事件識別碼:1001 - PkcsRequestFailure
無法完成或上傳 PKCS 要求以Intune。事件識別碼:1200 - PkcsRecryptRequestSuccess
已成功處理 PKCS 重新加密要求。事件識別碼:1201 - PkcsRecryptRequestFailure
無法處理 PKCS 重新加密要求。
作業
事件識別碼:1002 - PkcsDownloadSuccess
已成功從 Intune 下載 PKCS 要求。事件識別碼:1003 - PkcsDownloadFailure
無法從 Intune 下載 PKCS 要求。事件識別碼:1020 - PkcsDownloadedRequest
已成功從 Intune 下載 PKCS 要求事件識別碼:1032 - PkcsDigiCertRequest
已成功從 Intune 下載 DigiCert CA 的 PKCS 要求。事件識別碼:1050 - PkcsIssuedSuccess
成功發行 PKCS 憑證。事件識別碼:1051 - PkcsIssuedFailedAttempt
無法發行 PKCS 憑證, 會再試一次。事件識別碼:1052 - PkcsIssuedFailure
無法發行 PKCS 憑證。事件識別碼:1100 - PkcsUploadSuccess
已成功將 PKCS 要求結果上傳至 Intune。事件識別碼:1101 - PkcsUploadFailure
無法將 PKCS 要求結果上傳至 Intune。事件識別碼:1102 - PkcsUploadedRequest
已成功將 PKCS 要求上傳至 Intune。事件識別碼:1202 - PkcsRecryptDownloadSuccess
已成功下載 PKCS 重新加密要求。事件識別碼:1203 - PkcsRecryptDownloadFailure
無法下載 PKCS 重新加密要求。事件識別碼:1220 - PkcsRecryptDownloadedRequest
已成功下載 PKCS 重新加密要求。事件識別碼:1250 - PkcsRecryptReencryptSuccess
成功重新加密的 PKCS 憑證承載。事件識別碼:1251 - PkcsRecryptDecryptSuccess
已成功解密 PKCS 憑證承載。事件識別碼:1252 - PkcsRecryptDecryptFailure
無法解密 PKCS 憑證承載。事件識別碼:1253 - PkcsRecryptReencryptFailure
無法重新加密 PKCS 憑證承載。事件識別碼:1300 - PkcsRecryptUploadSuccess
已成功將 PKCS 重新加密要求結果上傳至 Intune。事件識別碼:1301 - PkcsRecryptUploadFailure
無法將 PKCS 重新加密要求結果上傳至 Intune。事件識別碼:1302 - PkcsRecryptUploadedRequest
已成功將 PKCS 重新加密要求上傳至 Intune。
PKCS 匯入
Admin
事件識別碼:2000 - PkcsImportRequestSuccess
已成功從 Intune 下載 PKCS 匯入要求。事件識別碼:2001 - PkcsImportRequestFailure
無法處理來自 Intune 的 PKCS 匯入要求。
作業
事件識別碼:2202 - PkcsImportDownloadSuccess
已成功從 Intune 下載 PKCS 匯入要求。事件識別碼:2203 - PkcsImportDownloadFailure
無法從 Intune 下載 PKCS 匯入要求。事件識別碼:2020 - PkcsImportDownloadedRequest
已成功從 Intune 下載 PKCS 匯入要求。事件識別碼:2050 - PkcsImportReencryptSuccess
成功重新加密 PKCS 匯入憑證。事件識別碼:2051 - PkcsImportReencryptFailedAttempt
無法重新加密 PKCS 匯入憑證,請再試一次。事件識別碼:2052 - PkcsImportReencryptFailure
無法重新加密匯入的憑證。事件識別碼:2100 - PkcsImportUploadSuccess
已成功將 PKCS 匯入要求結果上傳至 Intune。事件識別碼:2101 - PkcsImportUploadFailure
無法將 PKCS 要求結果上傳至 Intune。事件識別碼:2102 - PkcsImportUploadedRequest
已成功將 PKCS 匯入要求上傳至 Intune。
撤銷
Admin
事件識別碼:3000 - RevokeRequestSuccess
已成功從 Intune 下載撤銷要求。事件識別碼:3001 - RevokeRequestFailure
從 Intune 下載撤銷要求時發生失敗。
作業
事件識別碼:3002 - RevokeDownloadSuccess
已成功從 Intune 下載撤銷要求。事件識別碼:3003 - RevokeDownloadFailure
從 Intune 下載撤銷要求時發生失敗。事件識別碼:3020 - RevokeDownloadedRequest
來自 Intune 的單一下載要求詳細資料事件識別碼:3032 - RevokeDigicertRequest
收到來自Intune的撤銷要求,並將要求轉送至 Digicert 以履行要求。事件識別碼:3050 - RevokeSuccess
成功撤銷憑證。事件識別碼:3051 - RevokeFailure
撤銷憑證時發生失敗。事件識別碼:3052 - RevokeFailedAttempt
無法撤銷憑證, 會再試一次。事件識別碼:3100 - RevokeUploadSuccess
已成功將撤銷要求結果上傳至 Intune。事件識別碼:3101 - RevokeUploadFailure
無法將撤銷要求結果上傳至 Intune。事件識別碼:3102 - RevokeUploadedRequest
已成功將撤銷要求上傳至 Intune。
SCEP
Admin
事件識別碼:4000 - ScrepRequestSuccess
已成功處理 SCEP 要求並通知Intune。事件識別碼:4001 - ScepRequestIssuedFailure
無法處理 SCEP 要求並通知Intune。事件識別碼:4002 - ScepRequestUploadFailure
已成功處理 SCEP 要求,但無法通知Intune。
作業
事件識別碼:4003 - ScepRequestReceived
已成功收到來自裝置的 SCEP 要求。事件識別碼:4004 - ScepVerifySuccess
已使用 Intune 成功驗證 SCEP 要求。事件識別碼:4005 - ScepVerifyFailure
無法使用 Intune 驗證 SCEP 要求。事件識別碼:4006 - ScepIssuedSuccess
已成功核發 SCEP 要求的憑證。事件識別碼:4007 - ScepIssuedFailure
無法發出 SCEP 要求的憑證。事件識別碼:4008 - ScepNotifySuccess
成功通知Intune SCEP 要求的結果。事件識別碼:4009 - ScepNotifyAttemptFailed
無法通知Intune SCEP 要求的結果, 會再試一次。事件識別碼:4010 - ScepNotifySaveToDiskFailed
無法將通知寫入磁片,且無法通知Intune要求狀態。
連接器健康情況
作業
事件識別碼:5000 - HealthMessageUploadSuccess已成功將健康情況訊息上傳至 Intune。
事件識別碼:5001 - HealthMessageUploadFailedAttempt無法將健康情況訊息上傳至 Intune, 會再試一次。
事件識別碼:5002 - HealthMessageUploadFailure無法將健康情況訊息上傳至 Intune。
憑證連接器的新功能
Microsoft Intune憑證連接器的更新會定期發行,然後支援六個月。 當我們更新連接器時,您可以在這裡閱讀變更。
連接器的新更新可能需要一周或更多時間,才能供每個租使用者使用。
重要事項
從 2022 年 4 月開始, 6.2101.13.0 版之前的憑證連接器將會被取代,並顯示 [ 錯誤] 狀態。 從 2022 年 8 月開始,這些連接器版本將 無法 撤銷憑證。 從 2022 年 9 月開始,這些連接器版本將 無法 發行憑證。 這包括適用于 Microsoft Intune 和 Microsoft Intune 連接器的 PFX 憑證連接器,該連接器在 2021 年 7 月 29 日已由適用于 Microsoft Intune (的憑證連接器取代,如本文) 所述。
2023 年 2 月 15 日
版本 6.2301.1.0 - 此版本中的變更:
- 記錄資訊以與Intune服務記錄相互關聯
- PFX 憑證發行流程中的記錄改善
2022 年 9 月 21 日
版本 6.2206.122.0 - 此版本中的變更:
- 除了錯誤修正和效能改善之外,還改善了遙測
2022 年 6 月 30 日
版本 6.2205.201.0 - 此版本中的變更:
- 已將遙測通道更新為 Intune,以允許Intune系統管理員在入口網站中收集資料
2022 年 5 月 4 日
版本 6.2203.12.0 - 此版本中的變更:
- 支援用戶端驗證憑證的 CNG 提供者
- 已改善用戶端驗證憑證自動更新的支援
2022 年 3 月 10 日
版本 6.2202.38.0。 此更新包括:
- 支援 TLS 1.2 進行自動更新的變更
後續步驟
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: