Partager via


Prérequis de Certificate Connector pour Microsoft Intune

Avant d’installer et de configurer Certificate Connector pour Microsoft Intune, passez en revue les prérequis et les spécifications de l’infrastructure, qui peuvent varier selon les fonctionnalités pour lesquelles vous allez configurer la prise en charge par une instance de connecteur.

Conditions préalables générales

Spécifications pour l’ordinateur où est installé le logiciel du connecteur :

PKCS

Spécifications pour les modèles de certificat PKCS :

  • Les modèles de certificat que vous allez utiliser pour les demandes PKCS doivent être configurées avec des autorisations qui permettent au Compte de service Certificate Connector d’inscrire automatiquement le certificat.
  • Les modèles de certificat doivent être ajoutés à l’autorité de certification.

Remarque

Toute instance du connecteur qui prend en charge PKCS peut être utilisée pour récupérer les demandes PKCS en attente auprès de la file d’attente du service Intune, traiter les certificats importés et gérer les demandes de révocation. Il n’est pas possible de définir le connecteur qui gère chaque requête.

Par conséquent, chaque connecteur qui prend en charge PKCS doit avoir les mêmes autorisations et être en mesure de se connecter à toutes les autorités de certification définies plus loin dans les profils PKCS.

Certificats PKCS importés

Pour prendre en charge les certificats PKCS importés, le serveur qui héberge le connecteur nécessite des configurations supplémentaires, comme la configuration d’un fournisseur de stockage de clés pour permettre à l’utilisateur du service du connecteur de récupérer des clés.

Pour plus d’informations sur la prise en charge des certificats PKCS importés, consultez Configurer et utiliser des certificats PKCS importés avec Intune.

Prérequis pour la révocation

SCEP

Le serveur Windows qui héberge le connecteur doit satisfaire aux prérequis suivants qui s’ajoutent aux prérequis suivants :

  • IIS 7 ou ultérieur
  • Service d’inscription de périphérique réseau (NDES, Network Device Enrollment Service), qui fait partie du rôle Services de certificats Active Directory. Le connecteur n’est pas pris en charge sur le même serveur que celui de votre autorité de certification émettrice. Pour plus d’informations, consultez Configurer l’infrastructure pour prendre en charge SCEP avec Intune

Sur le serveur Windows Server, sélectionnez les rôles serveur et les fonctionnalités suivants :

  • Rôles serveur :

    • Services de certificat Active Directory
    • Serveur Web (IIS)
  • Fonctionnalités :

    • Fonctionnalités .NET Framework 4.7
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF, services
        • Activation HTTP
  • AD CS > Services de rôle :

    • Service d’inscription de périphérique réseau : pour le connecteur SCEP, quand vous utilisez une autorité de certification Microsoft, installez et configurez le rôle serveur Service d’inscription de périphérique réseau (NDES). Quand vous configurez NDES, vous devez affecter un compte d’utilisateur pour qu’il soit utilisé par le pool d’applications NDES. NDES a également ses propres spécifications.
  • Rôle de serveur web (IIS) > Services de rôle :

    • Sécurité
      • Filtrage des demandes
    • Développement d’applications
      • Extensibilité .NET 4.7
      • ASP.NET 4.7
    • Outils de gestion
      • Console de gestion IIS
      • Compatibilité de gestion IIS 6
        • Compatibilité de métabase IIS 6
        • Compatibilité avec le service WMI IIS 6

    NDES nécessite aussi les fonctionnalités .NET Framework 3.5 suivantes :

    • .NET Framework 3.5
    • Activation HTTP

Spécifications pour les modèles de certificat SCEP :

  • Les modèles de certificat que vous allez utiliser pour les demandes SCEP doivent être configurés avec des autorisations qui permettent au compte de service de Certificate Connector d’inscrire automatiquement le certificat.
  • Les modèles de certificat doivent être ajoutés à l’autorité de certification.

Comptes

Préparez les comptes suivants avant d’installer le logiciel Certificate Connector.

Compte d’installation

Vous pouvez utiliser n’importe quel compte d’utilisateur disposant des autorisations d’administrateur local sur le serveur Windows Server pour installer le logiciel du connecteur. Vous pouvez utiliser ce même compte pour configurer le serveur Windows Server avec le rôle serveur NDES Windows si vous utilisez SCEP et une autorité de certification Microsoft.

Compte de service Certificate Connector

Certificate Connector nécessite un compte à utiliser comme compte de service. Ce compte est utilisé par le connecteur pour accéder au serveur Windows Server, pour communiquer avec Intune et pour accéder à l’autorité de certification pour traiter les demandes PKI.

Le compte de service du connecteur doit disposer des autorisations suivantes :

  • Ouvrir une session en tant que service
  • Les autorisations Émettre et gérer des certificats sur l’autorité de certification (nécessaires seulement pour les scénarios de révocation).
  • Les autorisations Lire et Inscrire sur les modèles de certificat que vous allez utiliser pour émettre des certificats.
  • Autorisations sur le fournisseur de stockage de clés (KSP) utilisé par l’importation PFX. Consultez Importer des certificats PFX dans Intune.

Les options suivantes sont prises en charge pour une utilisation en tant que compte de service Certificate Connector :

  • SYSTÈME
  • Utilisateur de domaine : utilisez n’importe quel compte d’utilisateur de domaine ayant la qualité d’administrateur sur le serveur Windows Server.

Pour plus d’informations, consultez Installer Certificate Connector pour Microsoft Intune.

Utilisateur du pool d’applications NDES

Pour utiliser SCEP avec une autorité de certification Microsoft, vous devez ajouter NDES au serveur qui héberge le connecteur avant de l’installer. Quand vous configurez NDES, vous devez spécifier un compte à utiliser comme utilisateur du pool d’applications, qui peut également être appelé « compte de service NDES ». Ce compte peut être un compte d’utilisateur local ou de domaine, et il doit disposer des autorisations suivantes :

  • Les autorisations Lire et Inscrire sur chaque modèle de certificat SCEP que vous allez utiliser pour émettre des certificats.
  • Membre du groupe IIS_IUSRS.

Pour obtenir des conseils sur la configuration du rôle serveur NDES pour Certificate Connector pour Microsoft Intune, consultez configurer NDES dans Configurer l’infrastructure pour prendre en charge SCEP avec Intune.

Utilisateur Microsoft Entra

Lors de la configuration du connecteur, vous devez utiliser un compte d’utilisateur qui est administrateur général ou administrateur Intune et auquel une licence Intune est attribuée.

Étapes suivantes

Installer Certificate Connector pour Microsoft Intune