Prérequis de Certificate Connector pour Microsoft Intune
Avant d’installer et de configurer Certificate Connector pour Microsoft Intune, passez en revue les prérequis et les spécifications de l’infrastructure, qui peuvent varier selon les fonctionnalités pour lesquelles vous allez configurer la prise en charge par une instance de connecteur.
Conditions préalables générales
Spécifications pour l’ordinateur où est installé le logiciel du connecteur :
Windows Server 2012 R2 ou ultérieure.
Remarque
L’installation du serveur doit inclure l’expérience Bureau et le support technique d’un navigateur. pour plus d’informations, consultez Installer un serveur avec expérience Bureau dans la documentation Windows Server 2016.
.NET 4.7.2
TLS (Transport Layer Security) 1.2. Pour plus d’informations, consultez Activer la prise en charge de TLS 1.2 dans votre environnement dans la documentation Microsoft Entra.
Le serveur doit répondre aux mêmes exigences réseau que les appareils gérés. Consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise et bande passante du réseau pour Intune.
Pour prendre en charge les mises à jour automatiques du logiciel du connecteur, le serveur doit avoir accès au service des mises à jour Azure :
- Port : 443
- Point de terminaison : autoupdate.msappproxy.net
La Configuration de sécurité renforcée doit être désactivée.
PKCS
Spécifications pour les modèles de certificat PKCS :
- Les modèles de certificat que vous allez utiliser pour les demandes PKCS doivent être configurées avec des autorisations qui permettent au Compte de service Certificate Connector d’inscrire automatiquement le certificat.
- Les modèles de certificat doivent être ajoutés à l’autorité de certification.
Remarque
Toute instance du connecteur qui prend en charge PKCS peut être utilisée pour récupérer les demandes PKCS en attente auprès de la file d’attente du service Intune, traiter les certificats importés et gérer les demandes de révocation. Il n’est pas possible de définir le connecteur qui gère chaque requête.
Par conséquent, chaque connecteur qui prend en charge PKCS doit avoir les mêmes autorisations et être en mesure de se connecter à toutes les autorités de certification définies plus loin dans les profils PKCS.
Certificats PKCS importés
Pour prendre en charge les certificats PKCS importés, le serveur qui héberge le connecteur nécessite des configurations supplémentaires, comme la configuration d’un fournisseur de stockage de clés pour permettre à l’utilisateur du service du connecteur de récupérer des clés.
Pour plus d’informations sur la prise en charge des certificats PKCS importés, consultez Configurer et utiliser des certificats PKCS importés avec Intune.
Prérequis pour la révocation
- L’autorité de certification doit être configurée pour autoriser le compte de service du connecteur à révoquer des certificats.
SCEP
Le serveur Windows qui héberge le connecteur doit satisfaire aux prérequis suivants qui s’ajoutent aux prérequis suivants :
- IIS 7 ou ultérieur
- Service d’inscription de périphérique réseau (NDES, Network Device Enrollment Service), qui fait partie du rôle Services de certificats Active Directory. Le connecteur n’est pas pris en charge sur le même serveur que celui de votre autorité de certification émettrice. Pour plus d’informations, consultez Configurer l’infrastructure pour prendre en charge SCEP avec Intune
Sur le serveur Windows Server, sélectionnez les rôles serveur et les fonctionnalités suivants :
Rôles serveur :
- Services de certificat Active Directory
- Serveur Web (IIS)
Fonctionnalités :
- Fonctionnalités .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- WCF, services
- Activation HTTP
- Fonctionnalités .NET Framework 4.7
AD CS > Services de rôle :
- Service d’inscription de périphérique réseau : pour le connecteur SCEP, quand vous utilisez une autorité de certification Microsoft, installez et configurez le rôle serveur Service d’inscription de périphérique réseau (NDES). Quand vous configurez NDES, vous devez affecter un compte d’utilisateur pour qu’il soit utilisé par le pool d’applications NDES. NDES a également ses propres spécifications.
Rôle de serveur web (IIS) > Services de rôle :
- Sécurité
- Filtrage des demandes
- Développement d’applications
- Extensibilité .NET 4.7
- ASP.NET 4.7
- Outils de gestion
- Console de gestion IIS
- Compatibilité de gestion IIS 6
- Compatibilité de métabase IIS 6
- Compatibilité avec le service WMI IIS 6
NDES nécessite aussi les fonctionnalités .NET Framework 3.5 suivantes :
- .NET Framework 3.5
- Activation HTTP
- Sécurité
Spécifications pour les modèles de certificat SCEP :
- Les modèles de certificat que vous allez utiliser pour les demandes SCEP doivent être configurés avec des autorisations qui permettent au compte de service de Certificate Connector d’inscrire automatiquement le certificat.
- Les modèles de certificat doivent être ajoutés à l’autorité de certification.
Comptes
Préparez les comptes suivants avant d’installer le logiciel Certificate Connector.
Compte d’installation
Vous pouvez utiliser n’importe quel compte d’utilisateur disposant des autorisations d’administrateur local sur le serveur Windows Server pour installer le logiciel du connecteur. Vous pouvez utiliser ce même compte pour configurer le serveur Windows Server avec le rôle serveur NDES Windows si vous utilisez SCEP et une autorité de certification Microsoft.
Compte de service Certificate Connector
Certificate Connector nécessite un compte à utiliser comme compte de service. Ce compte est utilisé par le connecteur pour accéder au serveur Windows Server, pour communiquer avec Intune et pour accéder à l’autorité de certification pour traiter les demandes PKI.
Le compte de service du connecteur doit disposer des autorisations suivantes :
- Ouvrir une session en tant que service
- Les autorisations Émettre et gérer des certificats sur l’autorité de certification (nécessaires seulement pour les scénarios de révocation).
- Les autorisations Lire et Inscrire sur les modèles de certificat que vous allez utiliser pour émettre des certificats.
- Autorisations sur le fournisseur de stockage de clés (KSP) utilisé par l’importation PFX. Consultez Importer des certificats PFX dans Intune.
Les options suivantes sont prises en charge pour une utilisation en tant que compte de service Certificate Connector :
- SYSTÈME
- Utilisateur de domaine : utilisez n’importe quel compte d’utilisateur de domaine ayant la qualité d’administrateur sur le serveur Windows Server.
Pour plus d’informations, consultez Installer Certificate Connector pour Microsoft Intune.
Utilisateur du pool d’applications NDES
Pour utiliser SCEP avec une autorité de certification Microsoft, vous devez ajouter NDES au serveur qui héberge le connecteur avant de l’installer. Quand vous configurez NDES, vous devez spécifier un compte à utiliser comme utilisateur du pool d’applications, qui peut également être appelé « compte de service NDES ». Ce compte peut être un compte d’utilisateur local ou de domaine, et il doit disposer des autorisations suivantes :
- Les autorisations Lire et Inscrire sur chaque modèle de certificat SCEP que vous allez utiliser pour émettre des certificats.
- Membre du groupe IIS_IUSRS.
Pour obtenir des conseils sur la configuration du rôle serveur NDES pour Certificate Connector pour Microsoft Intune, consultez configurer NDES dans Configurer l’infrastructure pour prendre en charge SCEP avec Intune.
Utilisateur Microsoft Entra
Lors de la configuration du connecteur, vous devez utiliser un compte d’utilisateur qui est administrateur général ou administrateur Intune et auquel une licence Intune est attribuée.