Microsoft Intune용 인증서 커넥터의 필수 조건

아티클
10/31/2024

Microsoft Intune 인증서 커넥터의 필수 구성 요소 및 인프라 요구 사항을 검토합니다. 일부 필수 구성 요소 및 인프라 요구 사항은 지원하도록 커넥터 instance 구성하는 기능에 따라 달라질 수 있습니다.

일반 필수 구성 요소

커넥터 소프트웨어를 설치하는 컴퓨터에 대한 요구 사항:

Windows Server 2012 R2 이상

참고

서버 설치에는 데스크톱 환경이 포함되고 브라우저 사용이 지원되어야 합니다. 자세한 내용은 Windows Server 2016 설명서의 데스크톱 환경을 사용하여 서버 설치를 참조하세요.
.NET 4.7.2
TLS(전송 계층 보안) 1.2 자세한 내용은 Microsoft Entra 설명서에서 사용자 환경에서 TLS 1.2에 대한 지원 사용을 참조하세요.
서버는 관리 디바이스와 동일한 네트워크 요구 사항을 충족해야 합니다. Microsoft Intune 네트워크 엔드포인트 및 Intune 네트워크 구성 요구 사항 및 대역폭을 참조하세요.
커넥터 소프트웨어의 자동 업데이트를 지원하려면 서버에 Azure 업데이트 서비스에 대한 액세스 권한이 있어야 합니다.
- 포트: 443
- 엔드포인트: autoupdate.msappproxy.net
보안 강화 구성을 비활성화해야 합니다.

PKCS

PKCS(프라이빗 및 퍼블릭 키 쌍) 인증서 템플릿에 대한 요구 사항:

PKCS 요청에 사용하는 인증서 템플릿은 인증서 커넥터 서비스 계정이 인증서를 등록할 수 있는 권한으로 구성되어야 합니다.
인증서 템플릿을 CA(인증 기관)에 추가해야 합니다.

참고

PKCS를 지원하는 커넥터 인스턴스를 사용하여 Intune 서비스 큐에서 보류 중인 PKCS 요청을 검색하고, 가져온 인증서를 처리하고, 해지 요청을 처리할 수 있습니다. 어떤 커넥터로 각 요청을 처리할지를 정의하는 것은 불가능합니다.

따라서 PKCS를 지원하는 각 커넥터에는 동일한 권한이 있어야 하며 PKCS 프로필의 뒷부분에 정의된 모든 인증 기관과 연결할 수 있어야 합니다.

PKCS 가져온 인증서

PKCS 가져온 인증서를 지원하려면 커넥터를 호스트하는 서버에 커넥터 서비스 사용자가 키를 검색할 수 있도록 키 스토리지 공급자 액세스를 구성하는 것과 같은 추가 구성이 필요합니다.

PKCS 가져온 인증서에 대한 지원에 대한 자세한 내용은 Intune 가져온 PKCS 인증서 구성 및 사용을 참조하세요.

해지 필수 조건

커넥터 서비스 계정에서 인증서를 해지할 수 있도록 인증 기관을 구성해야 합니다.

SCEP

SCEP(단순 인증서 등록 프로토콜) 인증서를 지원하려면 커넥터를 호스트하는 Windows Server가 일반적인 필수 구성 요소 외에도 다음 필수 조건을 충족해야 합니다.

IIS 7 이상
Active Directory 인증 서비스 역할의 일부인 NDES(네트워크 디바이스 등록 서비스) 서비스 커넥터는 발급 CA(인증 기관)와 동일한 서버에서 지원되지 않습니다. 자세한 내용은 Intune SCEP를 지원하도록 인프라 구성을 참조하세요.

Windows Server에서 를 선택하여 다음 서버 역할 및 기능을 추가합니다.

서버 역할:
- Active Directory 인증서 서비스
- 웹 서버(IIS)
기능:
- .NET Framework 4.7 기능
  - .NET Framework 4.7
  - ASP.NET 4.7
  - WCF 서비스
    - HTTP 활성화
AD CS > 역할 서비스:
- 네트워크 디바이스 등록 서비스 - Microsoft CA를 사용하는 경우 커넥터 SCEP의 경우 NDES(네트워크 디바이스 등록 서비스) 서버 역할을 설치하고 구성합니다. NDES를 구성할 때 NDES 애플리케이션 풀에서 사용할 사용자 계정을 할당해야 합니다. 또한 NDES에는 고유한 요구 사항이 있습니다.
웹 서버 역할(IIS) > 역할 서비스:
- 보안
  - 요청 필터링
- 응용 프로그램 개발
  - .NET 확장성 4.7
  - ASP.NET 4.7
- 관리 도구
  - IIS 관리 콘솔
  - IIS 6 관리 호환성
    - IIS 6 메타데이터 호환성
    - IIS 6 WMI 호환성
또한 NDES에는 다음과 같은 .NET Framework 3.5 기능이 필요합니다.
- .NET Framework 3.5
- HTTP 활성화

SCEP 인증서 템플릿에 대한 요구 사항:

SCEP 요청에 사용하는 인증서 템플릿은 인증서 커넥터 서비스 계정이 인증서를 자동으로 등록할 수 있는 권한으로 구성해야 합니다.
인증서 템플릿을 CA에 추가해야 합니다.

계정

인증서 커넥터 소프트웨어를 설치하기 전에 다음 계정을 준비합니다.

설치 계정

Windows Server에 대한 로컬 관리자 권한이 있는 사용자 계정을 사용하여 커넥터 소프트웨어를 설치할 수 있습니다. SCEP와 Microsoft CA를 사용하는 경우 이 동일한 계정을 사용하여 NDES Windows 서버 역할로 Windows Server를 구성할 수 있습니다.

인증서 커넥터 서비스 계정

인증서 커넥터에는 서비스 계정으로 사용할 계정이 필요합니다. 이 계정은 커넥터에서 Windows Server에 액세스하고, Intune과 통신하고, 인증 기관에 액세스하여 PKI 요청을 처리하는 데 사용됩니다.

커넥터 서비스 계정에는 다음 사용 권한이 있어야 합니다.

서비스로 로그온
인증 기관에 대한 인증서 발급 및 관리 권한(해지 시나리오에만 필요).
인증서를 발급하는 데 사용하는 인증서 템플릿에 대한 사용 권한을 읽고등록합니다.
PFX 가져오기에서 사용되는 KSP(키 스토리지 공급자)에 대한 사용 권한. PFX 인증서를 Intune으로 가져오기를 참조하세요.

인증서 커넥터 서비스 계정으로 사용할 수 있는 옵션은 다음과 같습니다.

SYSTEM
도메인 사용자 - Windows Server의 관리자인 도메인 사용자 계정을 사용합니다.

자세한 내용은 Microsoft Intune용 인증서 커넥터 설치를 참조하세요.

NDES 애플리케이션 풀 사용자

Microsoft CA에서 SCEP를 사용하려면 커넥터를 설치하기 전에 커넥터를 호스트하는 서버에 NDES를 추가해야 합니다. NDES를 구성할 때 NDES 서비스 계정이라고도 하는 애플리케이션 풀 사용자로 사용할 계정을 지정해야 합니다. 이 계정은 로컬 또는 도메인 사용자 계정일 수 있으며 다음과 같은 사용 권한이 있어야 합니다.

인증서를 발급하는 데 사용하는 각 SCEP 인증서 템플릿에 대한 읽기 및등록 권한
IIS_IUSRS 그룹의 구성원.

Microsoft Intune용 인증서 커넥터에 대해 NDES 서버 역할을 구성하는 방법에 대한 지침은 Intune을 사용하여 SCEP를 지원하도록 인프라 구성에서 NDES 설정을 참조하세요.

Microsoft Entra 사용자

커넥터를 구성할 때 전역 관리 또는 Intune 관리 할당된 Intune 라이선스가 있는 사용자 계정을 사용해야 합니다.

다음 단계

Microsoft Intune용 인증서 커넥터 설치

다음을 통해 공유