分享方式:

Microsoft Intune 的憑證連接器

  • 文章

重要事項

從 2021 年 7 月 29 日開始,適用於 Microsoft Intune 的憑證連接器會取代使用適用於 Microsoft Intune 和 Microsoft Intune 連接器的 PFX 憑證連接。 新的連接器包含前兩個連接器的功能。 本文所述先前連接器的支援已於 2021 年 9 月 22 日終止,並推出適用於 Microsoft 的憑證連接器 6.2109.51.0 版。

如果您需要安裝新的憑證連接器,或重新安裝連接器,請安裝適用於 Microsoft Intune的較新憑證連接器。 如需詳細資訊,請參閱適用於 Microsoft Intune的憑證連接器

為了支援使用憑證進行驗證,以及使用 S/MIME 簽署和加密電子郵件,Intune 需要使用憑證連接器。 憑證連接器是您在內部部署伺服器上安裝的軟體。 連接器可讓雲端管理的裝置從內部部署基礎結構布建憑證,例如頒發證書頒發機構單位。

可用的連接器

Intune 有兩個憑證連接器。 每個都有自己的用途和需求。

適用於 Microsoft Intune的 PFX 憑證連接器

PFX 憑證連接器支援 PKCS #12 憑證要求的憑證部署,並處理針對特定使用者的 S/MIME 電子郵件加密,匯入至 Intune 的 PFX 檔案要求。

提示

在 8 月更新此連接器之前 (版本 6.2008.60.607) ,PKCS #12 憑證要求是由 Intune 憑證連接器處理。 使用 8 月更新時,所有 PKCS 憑證要求的功能已合併在 PFX 憑證連接器中,該連接器支援將連接器自動更新為新版本,而且需要使用 .NET Framework 4.7.2 版。

此連接器也支援下列三個平臺,不支援透過 Microsoft Intune 連接器:

  • Android Enterprise – 完全受控
  • Android Enterprise – 專用
  • Android Enterprise – Corporate-Owned 工作配置檔

Microsoft Intune 連接器的功能不會被取代,您可以繼續搭配某些平臺的 PKCS 憑證配置檔使用它。 不過,如果您不使用 SCEP 或需要使用 NDES,您可以切換至 PFX 憑證連接器,並從您的伺服器移除 NDES。

PFX 憑證連接器

  • 針對每個 Intune 租用戶支援此連接器的多個實例。 連接器的每個實例都必須安裝在 Windows Server 上,並可存取用來加密已上傳 PFX 檔案密碼的私鑰。

    注意事項

    所有連接器都必須具有相同的許可權,而且能夠與稍後在 PKCS 配置檔中定義的所有證書頒發機構單位連線。

    此連接器的任何實例都可以從 Intune 服務佇列擷取暫止的 PKCS 要求,因此無法定義哪個連接器會處理每個要求。

    這同樣適用於證書吊銷。

  • 可以安裝在裝載 Microsoft Intune 連接器實例的相同伺服器上。

  • 每個租使用者最多支援100個此連接器實例,每個實例都位於不同的Windows伺服器上。 當您使用多個連接器時:

    • 您環境中所有 PFX 憑證連接器 的實例都應該是相同的版本。
    • 您的基礎結構支援備援和負載平衡,因為任何可用的連接器實例都可以處理您的憑證要求。

  • 支援 新版本的自動更新 。 若要自動安裝新版本,裝載連接器的計算機必須連 絡埠443 上的 autoupdate.msappproxy.net。 如果連接器無法自動更新,您可以手動更新連接器。

  • 支持憑證撤銷 (需要連接器執行 6.2008.60.607 版或更新版本)

  • 具有與受控裝置相同的網路需求

    如需詳細資訊,請參閱適用於 Microsoft Intune的網路端點,以及 Intune 網路設定需求和頻寬

連接器安裝所在的 Windows 伺服器

  • 必須執行 Windows Server 2012 R2 或更新版本。
  • 執行 .NET 4.7.2 Framework。

若要安裝 PFX 憑證連接器

如需此連接器安裝的指引,請參閱 下載、安裝及設定 PFX 憑證連接器

Microsoft Intune 連接器

Microsoft Intune 連接器有時稱為 Microsoft Intune 憑證連接器。 當您使用 簡單憑證註冊通訊協定 (SCEP) ,並具有 Active Directory 憑證服務證書頒發機構單位 (CA) 時,此連接器支持憑證部署。 這種類型的 CA 也稱為 Microsoft CA

當您搭配 Microsoft CA 使用 SCEP 時,也必須設定 網路裝置註冊服務 (NDES) 。 基於這個理由,此連接器通常稱為 NDES 憑證連接器

如果您使用 第三方證書頒發機構單位,則不需要使用此連接器,也不需要 NDES。

Microsoft Intune 連接器

  • 支持發行 SCEP 憑證

  • 可用來發行 PKCS 憑證給大部分的裝置平臺,但不能全部發行。 此連接器不支援發行 PKCS 憑證來執行下列動作:

    • Android Enterprise – 完全受控
    • Android Enterprise – 專用
    • Android Enterprise – Corporate-Owned 工作配置檔

    若要支援這些平臺,請使用 PFX 憑證連接器,其支援對所有裝置平臺發行 PKCS 憑證。 如果您未使用 SCEP,則可以卸載此連接器,並只使用 PFX 憑證連接器。

    注意事項

    使用 PKCS 時,所有連接器都必須具有相同的許可權,而且能夠與稍後在 PKCS 配置檔中定義的所有證書頒發機構單位連線。

    此連接器的任何實例都可以從 Intune 服務佇列擷取暫止的 PKCS 要求,因此無法定義哪個連接器會處理每個要求。

    這同樣適用於證書吊銷。

  • 安裝在 Windows 伺服器上,該伺服器也可以裝載 PFX 憑證連接器的實例

  • 每個租使用者最多支援100個此連接器實例,每個實例都位於不同的Windows伺服器上。 當您使用多個連接器時:

    • 您環境中 Microsoft Intune 連接器的所有實例都應該是相同的版本。
    • 您的基礎結構支援備援和負載平衡,因為任何可用的連接器實例都可以處理您的憑證要求。

  • 需要 手動更新 才能安裝新版本的連接器。 手動更新需要您卸載目前的連接器,然後安裝新版的連接器。 您不應該需要其他動作。

  • 支援 美國聯邦資訊處理標準 (FIPS) 模式。 不需要 FIPS。 啟用 FIPS 時,您可以發出和撤銷憑證。

  • 具有與受 控裝置相同的網路需求。

    如需詳細資訊,請參閱適用於 Microsoft Intune的網路端點,以及 Intune 網路設定需求和頻寬

連接器安裝所在的 Windows 伺服器

  • 必須執行 Windows Server 2012 R2 或更新版本。
  • 執行 .NET 4.5 Framework。 當此連接器與 PFX 憑證連接器安裝在同一部伺服器上時,您必須使用 PFX 連接器所需的 .NET 4.7.2 Framework。
  • 不能是裝載發行證書頒發機構單位 (CA) 的相同伺服器。
  • 搭配 Microsoft CA 使用 SCEP 時,需要存取執行 NDES 的伺服器。 NDES 會在 Windows 伺服器上執行,而且可以在與此連接器相同的伺服器上執行。

需要 NDES 時

  • 在裝載 NDES 的伺服器和裝載 Microsoft Intune 連接器的伺服器上,必須停用 Internet Explorer 增強式安全性設定。

  • 連接器需要額外的設定才能與 NDES 通訊。 您會找到安裝和設定 NDES 的程式,以及安裝 Microsoft Intune 連接器的程式。

    如需 NDES 的詳細資訊,請參閱 網路裝置註冊服務指引

若要安裝 Microsoft Intune 連接器

如需安裝此連接器的指引,請參閱設定 基礎結構以支援搭配 Intune 的 SCEP

連接器生命週期

重要事項

從 2021 年 7 月 29 日開始,適用於 Microsoft Intune 的憑證連接器會取代 PFX Certificate Connector for Microsoft IntuneMicrosoft Intune Connector 的使用。 新的連接器包含前兩個連接器的功能。

憑證連接器的更新版本會定期發行。 新連接器版本的公告會出現在Intune 的新 功能文章和本文結尾附近的 連接器新 功能一節中。

當新版本發行時,舊版的支援會以有限的寬限期取代,以繼續使用。 寬限期到期之後,該已淘汰版本的支援就會結束,而且可以隨時停止運作。 寬限期為六個月。

規劃在第一次有機會時將連接器更新為最新版本。 每個連接器都有不同的更新路徑:

  • 適用於 Microsoft Intune 的 PFX 憑證連接器 - 支援自動更新。
  • Microsoft Intune 連接器 - 需要手動更新。

自動更新

當連接器類型和環境支援時,Intune 可以在該連接器版本發行后,於稍後自動將連接器更新為最新版本。

若要自動更新,裝載連接器的伺服器必須存取 Azure 更新服務

  • 埠: 443
  • 端點: autoupdate.msappproxy.net

當防火牆、基礎結構或網路組態限制自動更新的存取時,請解決封鎖問題,或手動將連接器更新為新版本。

手動更新

手動更新憑證連接器的程式與重新安裝連接器的程式相同。

即使憑證連接器支援自動更新,您還是可以手動更新憑證連接器。 例如,當網路設定封鎖自動更新時,您可以手動更新連接器。

重新安裝憑證連接器

  1. 在裝載連接器的 Windows 伺服器上,使用 Windows Apps 和功能 卸載連接器。

  2. 若要安裝新版本,請使用 程式來安裝新版本的連接器。 安裝較新版本的連接器時,請務必檢查是否有任何新的或更新的必要條件:

連接器狀態

在 Microsoft Intune 系統管理中心,您可以選取憑證連接器來檢視其狀態的相關信息:

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 租使用者管理>連接器和令牌憑證>連接器

  3. 選取連接器以檢視其狀態。

檢視連接器狀態時:

  • 已淘汰的連接器會顯示警告。 在六個月的寬限期之後,警告會變更為錯誤。
  • 超過寬限期的連接器會顯示錯誤。 不再支援這些連接器,而且可以隨時停止運作。

記錄

下列記錄詳細數據可從連接器 6.2101.13.0 版開始提供。

PFX 憑證連接器的記錄可作為安裝連接器之伺服器上的事件記錄檔:

  • >事件檢視器 應用程式和服務記錄>Microsoft>Intune 憑證>連接器

下列記錄可供使用,且預設為 50 MB,且已啟用自動封存:

  • 管理員 記錄檔 - 此記錄檔會針對連接器的每個要求包含一個記錄事件。 事件包括 成功 與要求相關信息,或包含要求和錯誤相關信息 的錯誤
  • 作業記錄 - 此記錄會顯示比在 管理員 記錄中找到的其他資訊,而且可用於偵錯問題。 此記錄也會顯示 PFX 憑證連接器的持續作業,而不是單一事件。

事件標識碼

所有事件都有下列其中一個識別碼:

  • 0001-0999 - 未與任何特定案例相關聯
  • 1000-1999 - PKCS
  • 2000-2999 - PKCS 匯入
  • 3000-3999 - 撤銷

工作類別

所有事件都會標記為工作類別目錄,以協助篩選。 工作類別包含但不限於下列清單:

PKCS

  • Admin
    • PkcsRequestSuccess - 已成功完成 PKCS 要求並上傳至 Intune。
    • PkcsRequestFailure - 無法完成 PKCS 要求或將 PKCS 要求上傳至 Intune。
  • 作業
    • PkcsDownloadSuccess - 已成功從 Intune 下載 PKCS 要求
    • PkcsDownloadFailure - 從 Intune 下載 PKCS 要求時發生失敗
    • PkcsDownloadedRequest - 來自 Intune 的單一下載要求詳細數據
    • PkcsIssuedSuccess - 發出要求的憑證
    • PkcsIssuedFailedAttempt - 發出要求的憑證時發生失敗
    • PkcsIssuedFailure - 無法發行要求的憑證
    • PkcsUploadSuccess - 成功上傳至 Intune 的要求詳細數據
    • PkcsUploadFailure - 將要求上傳至 Intune 時發生失敗
    • PkcsUploadedRequest - 上傳至 Intune 的要求詳細數據

PKCS 匯入

  • Admin
    • PkcsImportRequestSuccess - 已成功從 Intune 下載 PKCS 匯入要求
    • PkcsImportRequestFailure - 從 Intune 下載 PKCS 匯入要求時發生失敗
  • 作業
    • PkcsImportDownloadSuccess - 已成功從 Intune 下載 PKCS 匯入要求
    • PkcsImportDownloadFailure - 從 Intune 下載 PKCS 匯入要求時發生失敗
    • PkcsImportDownloadedRequest - 來自 Intune 的單一下載要求詳細數據
    • PkcsImportReencryptSuccess - 重新加密匯入的憑證
    • PkcsImportReencryptFailedAttempt - 重新加密匯入的憑證時發生失敗
    • PkcsImportReencryptFailure - 無法重新加密匯入的憑證
    • PkcsImportUploadFailure - 將要求上傳至 Intune 時發生失敗
    • PkcsImportUploadedRequest - 上傳至 Intune 的要求詳細數據

撤銷

  • Admin
    • RevokeRequestSuccess - 已成功從 Intune 下載撤銷要求
    • RevokeRequestFailure - 從 Intune 下載撤銷要求時發生失敗
  • 作業
    • RevokeDownloadSuccess - 已成功從 Intune 下載撤銷要求
    • RevokeDownloadFailure - 從 Intune 下載撤銷要求時發生失敗
    • RevokeDownloadedRequest - 從 Intune 下載單一要求的詳細數據
    • RevokeSuccess - 成功撤銷憑證
    • RevokeFailure - 撤銷憑證時發生失敗
    • RevokeFailedAttempt - 無法撤銷憑證
    • RevokeUploadSuccess - 成功上傳至 Intune 的要求詳細數據
    • RevokeUploadFailure - 將要求上傳至 Intune 時發生失敗
    • RevokeUploadedRequest - 上傳至 Intune 的要求詳細數據

連接器的新功能

兩個憑證連接器的 匯報 會定期發行。 當我們更新連接器時,您可以在這裡閱讀有關變更的資訊。

重要事項

從 2022 年 4 月開始, 6.2101.13.0 版之前的憑證連接器將會被取代,並顯示 [ 錯誤] 狀態。 此狀態不會影響功能。 從 2022 年 6 月開始,這類連接器將無法發行憑證。 如需移至 Microsoft 的新 憑證連接器的詳細資訊,請參閱本文開頭的附注。

PFX 憑證連接器發行歷程記錄

適用於 Microsoft Intune的 PFX 憑證連接器支援自動更新

2021年3月10日

版本 6.2101.16.0。 - 此版本中的變更:

  • 改善 PFX 建立流程,以防止裝載連接器的內部部署伺服器上的憑證要求檔案重複。

2021 年 2 月 24 日

版本 6.2101.13.0。 這個新的連接器版本新增 PFX 連接器 記錄的改善

  • 事件記錄檔的新位置,記錄細分為 管理員、作業 & 偵錯
  • 管理員 & 作業記錄預設為 50 MB - 已啟用自動封存。
  • PKCS 匯入、PKCS 建立和撤銷的 EventID。

2021 年 1 月 26 日

版本 6.2009.2.0 - 此版本中的變更:

  • 改善連接器的升級,以保存執行連接器服務的帳戶。

2021年1月15日

版本 6.2009.1.9 - 此版本中的變更:

  • 改善連接器憑證的更新。

2020 年 10 月 2 日

版本 6.2008.60.612 - 此版本中的變更:

  • 已修正 PKCS 憑證傳遞至 Android Enterprise 完全受控裝置的問題。 此問題需要密碼編譯密鑰儲存提供者 (KSP) 成為舊版提供者。 您現在也可以使用密碼編譯新一代 (CNG) 金鑰儲存提供者。
  • PFX 憑證連接器的 [CA 帳戶 ] 索引標籤變更:您指定的 [用戶名稱] 和 [密碼 (認證) 現在用來簽發憑證和撤銷憑證。 這些認證先前僅用於證書吊銷。

Microsoft Intune 連接器發行歷程記錄

2019年4月2日

版本 6.1904.1.0 - 此版本中的變更:

  • 已修正連接器在使用全域系統管理員帳戶登入連接器之後,可能無法註冊至 Intune 的問題。
  • 包含證書吊銷的可靠性修正。
  • 包含效能修正,以增加處理 PKCS 憑證要求的速度。

後續步驟

為您想要使用的每個平臺建立 SCEP、PKCS 或 PKCS 匯入的憑證設定檔。 若要繼續,請參閱下列文章: