Соединитель сертификатов для Microsoft Intune

Для поддержки использования сертификатов для проверки подлинности и подписывания и шифрования электронной почты с помощью S/MIME в Microsoft Intune требуется использовать соединитель сертификатов для Microsoft Intune. Соединитель сертификатов — это программное обеспечение, устанавливаемое на локальном сервере в целях упрощения предоставления сертификатов и управления ими для устройств под управлением Intune.

В этой статье приводятся общие сведения о соединителе сертификатов для Microsoft Intune, его жизненном цикле и способах его обновления.

Совет

С 29 июля 2021 г. соединитель сертификатов для Microsoft Intune заменяет использование соединителя сертификатов PFX для Microsoft Intune и соединителя Microsoft Intune. В новом соединителе объединены функциональные возможности обоих предыдущих соединителей. С выпуском соединителя сертификатов для Microsoft версии 6.2109.51.0 предыдущие соединители больше не поддерживаются.

Обзор соединителя

Чтобы использовать соединитель сертификатов, сначала скачайте программное обеспечение из центра администрирования Microsoft Intune, которое затем установите на Windows Server.

Во время установки можно установить один компонент соединителя или несколько, включая поддержку для следующих возможностей.

  • Сертификаты с парой закрытого и открытого ключей (PKCS)
  • Импортированные сертификаты PKCS
  • Протокол SCEP
  • Отзыв сертификата

Для запуска соединителя нужно также назначить учетную запись службы. Эта учетная запись используется для всех взаимодействий с центром сертификации, а также для выдачи, отзыва и продления сертификатов. Поддерживаются следующие варианты учетной записи службы: учетная запись SYSTEM серверов соединителей или учетная запись домена.

После установки соединителя можно снова запустить конфигурацию соединителя, чтобы обновить его или изменить установленные компоненты. После установки и настройки соединитель может автоматически устанавливать будущие обновления, чтобы использовать самые последние выпуски соединителей.

Intune поддерживает установку нескольких экземпляров соединителя в клиенте, и каждый экземпляр может поддерживать различные функции и компоненты. При использовании нескольких соединителей, поддерживающих различные функции и компоненты, запросы сертификатов всегда направляются в соответствующий соединитель. Например, при установке двух соединителей, поддерживающих PKCS, и установке двух других соединителей, поддерживающих PKCS и SCEP, задачи сертификатов для PKCS могут управляться любым из четырех соединителей, но задачи для SCEP направляются только на два соединителя, поддерживающие SCEP.

Каждый экземпляр соединителя сертификатов предъявляет те же требования к сети, что и устройства под управлением Intune. Дополнительные сведения см. в статье Конечные точки сети для Microsoft Intune.

Возможности соединителя сертификатов

Соединитель сертификатов для Microsoft Intune поддерживает следующие возможности и компоненты.

  • Запросы сертификатов PKCS #12.

  • Импортированные сертификаты PKCS (PFX-файл) для шифрования электронной почты S/MIME для определенного пользователя.

  • Выдача сертификатов SCEP. При использовании центра сертификации (ЦС) служб Active Directory, также называемого ЦС Майкрософт, необходимо настроить службу регистрации сертификатов для сетевых устройств (NDES) на сервере, на котором размещен соединитель.

    Использование SCEP со сторонним центром сертификации не требует использования соединителя сертификатов для Microsoft Intune.

  • Отзыв сертификатов.

  • Автоматические обновления до новых версий. Если серверы, на которых размещается соединитель сертификатов, имеют доступ к Интернету, они автоматически устанавливают новые обновления. Если соединитель не удается обновить автоматически, его можно обновить вручную.

  • Установка до 100 экземпляров соединителя для каждого клиента Intune, при этом каждый экземпляр находится на отдельном сервере Windows Server. При использовании нескольких соединителей:

    • Каждый экземпляр соединителя должен иметь доступ к закрытому ключу, используемому для шифрования паролей отправленных PFX-файлов.

    • Каждый экземпляр соединителя должен иметь одну и ту же версию. Так как соединитель поддерживает автоматическое обновление до последней версии, управление обновлениями осуществляет Intune.

    • Инфраструктура поддерживает избыточность и балансировку нагрузки, так как любой доступный экземпляр соединителя, который поддерживает те же возможности соединителя, может обрабатывать запросы сертификатов.

    • Можно настроить прокси-сервер, чтобы разрешить соединителю обмениваться данными с Intune.

    • Соединитель сертификатов не должен устанавливаться на том же сервере, что и соединитель Intune для Active Directory.

      Примечание.

      Любой экземпляр соединителя, поддерживающий PKCS, можно использовать для получения ожидающих запросов PKCS из очереди службы Intune, обработки импортированных сертификатов и обработки запросов отзыва. Невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.

      Поэтому все соединители, поддерживающие PKCS, должны иметь одинаковые разрешения и возможность подключаться ко всем центрам сертификации, определенным далее в профилях PKCS.

Список разрешенных идентификаторов SCEP

Начиная с Intune соединителя сертификатов версии 6.2510.3.2002, служба проверки SCEP блокирует неизвестные расширения сертификатов, чтобы укрепить состояние безопасности соединителя. Допускаются и применяются только следующие идентификаторы расширения сертификатов.

OID Имя расширения Описание
2.5.29.19 Основные ограничения Указывает, может ли субъект сертификата выступать в качестве центра сертификации (ЦС) и, если да, то максимальное число подчиненных ЦС, разрешенное в цепочке сертификатов.
2.5.29.14 Идентификатор ключа субъекта Определяет открытый ключ, связанный с субъектом сертификата. Обычно это хэш SHA-1 открытого ключа.
1.3.6.1.4.1.311.21.8 Версия центра сертификации Указывает версию центра сертификации, выдающего сертификат.
1.3.6.1.4.1.311.20.2 Имя шаблона сертификата Указывает шаблон сертификата, используемый для выдачи сертификата.
2.5.29.1 Идентификатор центра (не рекомендуется) Ранее использовался для идентификации центра выдачи.
2.5.29.3 Политики сертификатов (не рекомендуется) Ранее использовался для передачи сведений о политике сертификата.
2.16.840.1.113730.1.11 Расширение сертификата Netscape Устаревшее расширение сертификата Netscape.

Срок

Периодически выпускаются обновления соединителя сертификатов. Объявления о новых обновлениях соединителя, включая номера версий и даты выпуска каждого обновления, отображаются в этой статье в разделе Новые возможности соединителя сертификатов.

Каждый выпуск нового соединителя:

  • Поддерживается в течение шести месяцев после выпуска новой версии. В течение этого времени автоматические обновления могут устанавливать обновленные версии соединителя. В обновленных версиях соединителя могут быть исправлены ошибки, повышена производительность, улучшена функциональность и т. д.

  • Если соединитель не поддерживается, необходимо обновить до последней поддерживаемой версии.

  • Если вы заблокировали автоматическое обновление соединителя, запланируйте обновление этого соединителя вручную в течение шести месяцев, до прекращения поддержки установленной версии. После окончания поддержки необходимо обновить соединитель до версии, которая остается в поддержке, чтобы получить поддержку по проблемам с соединителем.

  • Соединители, которые не поддерживаются, будут работать до 18 месяцев после выпуска новой версии. Через 18 месяцев функциональность соединителя может отказать из-за улучшений уровня обслуживания, обновлений или решения распространенных уязвимостей безопасности, которые могут быть обнаружены в будущем.

Например, если соединитель версии 6.2203.12.0, выпущенный 4 мая 2022 г., то поддержка соединителя предыдущей версии 6.2202.38.0 отпадает 4 ноября 2022 г. Предыдущая версия соединителя должна продолжать функционировать (но не поддерживаться) до ноября 2023 г. После ноября 2023 г. соединитель предыдущей версии может перестать взаимодействовать с Intune.

Автоматическое обновление

Intune может автоматически обновить соединитель до последней версии вскоре после выпуска этой версии соединителя.

Для автоматического обновления сервер, на котором размещен соединитель, должен получить доступ к службе обновления Azure:

  • Порт: 443
  • Конечная точка: autoupdate.msappproxy.net

Если брандмауэры, инфраструктура или конфигурации сети ограничивают доступ для автоматического обновления, устраните блокирующие проблемы или вручную обновите соединитель до новой версии.

Обновление вручную

Процесс обновления соединителя сертификатов вручную аналогичен процессу переустановки соединителя.

Соединитель сертификатов можно обновить вручную, даже если он поддерживает автоматические обновления. Например, можно вручную обновить соединитель, если конфигурация сети блокирует автоматическое обновление.

Повторная установка соединителя сертификатов

  1. На сервере Windows Server, на котором размещен соединитель, запустите программу установки соединителя, чтобы удалить соединитель.

  2. Чтобы установить новую версию, используйте процедуру установки новой версии соединителя. Обязательно проверка требования при установке более новой версии соединителя.

Состояние соединителя

В Центре администрирования Microsoft Intune можно выбрать соединитель сертификатов, чтобы просмотреть сведения о его состоянии:

  1. Вход в Центр администрирования Microsoft Intune

  2. Выберите Администрирование клиента>Соединители и токены>Соединители сертификатов.

  3. Выберите соединитель, чтобы просмотреть его состояние.

    При просмотре состояния соединителя:

    • Устаревшие соединители отображаются с предупреждениями. По истечении 6-месячного периода отсрочки предупреждение изменится на ошибку.
    • Для соединителей, для которых истек период отсрочки, отображается ошибка. Эти соединители больше не поддерживаются и могут перестать работать в любое время.

Ведение журнала

Журналы для соединителя сертификатов для Microsoft Intune доступны в виде журналов событий на сервере, где установлен соединитель.

  • Просмотр событий>Журналы приложений и служб>Microsoft>Intune>Соединители сертификатов

Доступны следующие журналы (размер по умолчанию 50 МБ, автоматическое архивирование включено).

  • Журнал администратора — этот журнал содержит по одному событию журнала на запрос к соединителю. События включают либо success с информацией о запросе, либо error с информацией о запросе и ошибке.
  • Операционный журнал — этот журнал отображает дополнительные сведения, помимо тех, которые присутствуют в журнале администратора, и может использоваться при отладке. В этом журнале также отображаются текущие операции, а не отдельные события.

Дополнительно к уровню ведения журнала по умолчанию можно включить ведение журнала отладки для каждого журнала, чтобы получить дополнительные сведения.

ИД событий

Все события имеют один из следующих идентификаторов:

  • 0001-0999 — событие не связано ни с одним конкретным сценарием
  • 1000-1999 — PKCS
  • 2000-2999 — импорт PKCS
  • 3000–3999 — отмена
  • 4000–4999 — SCEP
  • 5000–5999 — работоспособность соединителя

Категории задач

Все события помечаются категорией задач для удобства фильтрования. В приведенном ниже списке указаны некоторые категории задач.

Стандарты шифрования с открытым ключом

  • Admin

    • Идентификатор события: 1000 - PkcsRequestSuccess Запрос PKCS успешно отправлен в Intune.

    • Идентификатор события: 1001 - PkcsRequestFailure Не удалось выполнить или отправить запрос PKCS в Intune.

    • Идентификатор события: 1200 - PkcsRecryptRequestSuccess Запрос повторного шифрования PKCS успешно обработан.

    • Идентификатор события: 1201 - PkcsRecryptRequestFailure Не удалось обработать запрос повторного шифрования PKCS.

  • Операционные

    • Идентификатор события: 1002 - PkcsDownloadSuccess Запросы PKCS успешно загружены из Intune.

    • Идентификатор события: 1003 - PkcsDownloadFailure Не удалось загрузить запросы PKCS из Intune.

    • Идентификатор события: 1020 - PkcsDownloadedRequest Запрос PKCS успешно скачан с Intune

    • Идентификатор события: 1032 - PkcsDigiCertRequest Запрос PKCS для ЦС DigiCert успешно скачан с Intune.

    • Идентификатор события: 1050 - PkcsIssuedSuccess Сертификат PKCS успешно выдан.

    • Идентификатор события: 1051 - PkcsIssuedFailedAttempt Не удалось выдать сертификат PKCS, повторите попытку.

    • Идентификатор события: 1052 - PkcsIssuedFailure Не удалось выдать сертификат PKCS.

    • Идентификатор события: 1100 - PkcsUploadSuccess Результаты запроса PKCS успешно отправлены в Intune.

    • Идентификатор события: 1101 - PkcsUploadFailure Не удалось отправить результаты запроса PKCS в Intune.

    • Идентификатор события: 1102 - PkcsUploadedRequest Запрос PKCS успешно отправлен в Intune.

    • Идентификатор события: 1202 - PkcsRecryptDownloadSuccess Успешно скачанные запросы повторного шифрования PKCS.

    • Идентификатор события: 1203 - PkcsRecryptDownloadFailure Не удалось загрузить запросы повторного шифрования PKCS.

    • Идентификатор события: 1220 - PkcsRecryptDownloadedRequest Успешно скачан запрос повторного шифрования PKCS.

    • Идентификатор события: 1250 - PkcsRecryptReencryptSuccess Полезные данные сертификата PKCS успешно зашифрованы повторно.

    • Идентификатор события: 1251 - PkcsRecryptDecryptSuccess Полезные данные сертификата PKCS успешно расшифрованы.

    • Идентификатор события: 1252 - PkcsRecryptDecryptFailure Не удалось расшифровать полезные данные сертификата PKCS.

    • Идентификатор события: 1253 - PkcsRecryptReencryptFailure Не удалось повторно зашифровать полезные данные сертификата PKCS.

    • Идентификатор события: 1300 - PkcsRecryptUploadSuccess Результаты запроса повторного шифрования PKCS успешно отправлены в Intune.

    • Идентификатор события: 1301 - PkcsRecryptUploadFailure Не удалось отправить результаты запроса повторного шифрования PKCS в Intune.

    • Идентификатор события: 1302 - PkcsRecryptUploadedRequest Успешно отправлен запрос повторного шифрования PKCS в Intune.

Импорт PKCS

  • Admin

    • Идентификатор события: 2000 - PkcsImportRequestSuccess Запросы на импорт PKCS успешно загружены из Intune.

    • Идентификатор события: 2001 - PkcsImportRequestFailure Не удалось обработать запрос на импорт PKCS от Intune.

  • Операционные

    • Идентификатор события: 2202 - PkcsImportDownloadSuccess Запросы на импорт PKCS успешно загружены из Intune.

    • Идентификатор события: 2203 - PkcsImportDownloadFailure Не удалось скачать запросы на импорт PKCS из Intune.

    • Идентификатор события: 2020 - PkcsImportDownloadedRequest Запрос на импорт PKCS успешно скачан с Intune.

    • Идентификатор события: 2050 - PkcsImportReencryptSuccess Успешно повторно зашифрован сертификат импорта PKCS.

    • Идентификатор события: 2051 - PkcsImportReencryptFailedAttempt Не удалось повторно зашифровать сертификат импорта PKCS, повторите попытку.

    • Идентификатор события: 2052 - PkcsImportReencryptFailure Не удалось повторно зашифровать импортированный сертификат.

    • Идентификатор события: 2100 - PkcsImportUploadSuccess Результаты запроса импорта PKCS успешно отправлены в Intune.

    • Идентификатор события: 2101 - PkcsImportUploadFailure Не удалось отправить результаты запроса PKCS в Intune.

    • Идентификатор события: 2102 - PkcsImportUploadedRequest Запрос на импорт PKCS успешно отправлен в Intune.

Отзыв

  • Admin

    • Идентификатор события: 3000 - RevokeRequestSuccess Запросы на отзыв успешно загружены из Intune.

    • Идентификатор события: 3001 - RevokeRequestFailure Произошел сбой при скачивании запросов на отзыв из Intune.

  • Операционные

    • Идентификатор события: 3002 - RevokeDownloadSuccess Запросы на отзыв успешно загружены из Intune.

    • Идентификатор события: 3003 - RevokeDownloadFailure Произошел сбой при скачивании запросов на отзыв из Intune.

    • Идентификатор события: 3020 - RevokeDownloadedRequest Сведения об одном скачанном запросе из Intune

    • Идентификатор события: 3032 - RevokeDigicertRequest Получен запрос на отзыв от Intune и запрос на пересылку в Digicert для выполнения запроса.

    • Идентификатор события: 3050 - RevokeSuccess Сертификат успешно отозван.

    • Идентификатор события: 3051 - RevokeFailure Произошел сбой при отзыве сертификата.

    • Идентификатор события: 3052 - RevokeFailedAttempt Не удалось отозвать сертификат, повторите попытку.

    • Идентификатор события: 3100 - RevokeUploadSuccess Результаты запроса на отзыв успешно отправлены в Intune.

    • Идентификатор события: 3101 - RevokeUploadFailure Не удалось отправить результаты запроса на отзыв в Intune.

    • Идентификатор события: 3102 - RevokeUploadedRequest Запрос на отзыв успешно отправлен в Intune.

SCEP

  • Admin

    • Идентификатор события: 4000 - ScrepRequestSuccess Запрос SCEP успешно обработан и уведомлен Intune.

    • Идентификатор события: 4001 - ScepRequestIssuedFailure Не удалось обработать запрос SCEP и уведомить Intune.

    • Идентификатор события: 4002 - ScepRequestUploadFailure Запрос SCEP успешно обработан, но не удалось уведомить Intune.

  • Операционные

    • Идентификатор события: 4003 - ScepRequestReceived Успешно получен запрос SCEP от устройства.

    • Идентификатор события: 4004 - ScepVerifySuccess Запрос SCEP успешно проверен с Intune.

    • Идентификатор события: 4005 - ScepVerifyFailure Не удалось проверить запрос SCEP с помощью Intune.

    • Идентификатор события: 4006 - ScepIssuedSuccess Сертификат успешно выдан для запроса SCEP.

    • Идентификатор события: 4007 - ScepIssuedFailure Не удалось выдать сертификат для запроса SCEP.

    • Идентификатор события: 4008 - ScepNotifySuccess Успешно уведомлен Intune результата запроса SCEP.

    • Идентификатор события: 4009 - ScepNotifyAttemptFailed Не удалось уведомить Intune о результатах запроса SCEP, повторите попытку.

    • Идентификатор события: 4010 - ScepNotifySaveToDiskFailed Не удалось записать уведомление на диск и не удалось уведомить Intune о состоянии запроса.

Работоспособность соединителя

  • Операционные

    • Идентификатор события: 5000 - HealthMessageUploadSuccess Сообщения о работоспособности успешно отправлены в Intune.

    • Идентификатор события: 5001 - HealthMessageUploadFailedAttempt Не удалось отправить сообщения о работоспособности в Intune, повторите попытку.

    • Идентификатор события: 5002 - HealthMessageUploadFailure Не удалось отправить сообщения о работоспособности в Intune.

Новые возможности соединителя сертификатов

Обновления для соединителя сертификатов для Microsoft Intune периодически выпускаются с жизненным циклом поддержки в течение шести месяцев. При обновлении соединителя вы можете ознакомиться с изменениями в этом разделе.

Новые обновления для соединителя могут стать доступными для каждого клиента через неделю или больше.

Важно!

Начиная с апреля 2022 г. соединители сертификатов, предшествующие версии 6.2101.13.0, станут нерекомендуемыми и будут отображать состояние ошибки. Начиная с августа 2022 г. эти версии соединителя не смогут отзывать сертификаты. Начиная с сентября 2022 г. эти версии соединителя не смогут выдавать сертификаты. Сюда входят соединитель сертификатов PFX для Microsoft Intune и соединитель Microsoft Intune, который 29 июля 2021 г. был заменен соединителем сертификатов для Microsoft Intune (как описано в этой статье).

18 февраля 2026 г.

Версия 6.2510.3.2002 — изменения в этом выпуске:

  • Улучшена проверка SCEP за счет блокировки неизвестных расширений OID. Полный справочник см. в списке разрешенных идентификаторов SCEP OID.
  • Чтобы обеспечить бесперебойную выдачу сертификатов и управление ими, необходимо автоматически или вручную обновить соединитель сертификатов Intune.

22 июля 2025 г.

Версия 6.2406.0.2002 — изменения в этом выпуске:

  • Устраняет проблему с повторяющимися версиями при установке соединителя.
  • Нет функциональных изменений по версии 6.2406.1001

12 июня 2025 г.

Версия 6.2406.0.1002 — изменения в этом выпуске:

  • Обновленная подписывание кода
  • Нет функциональных изменений по версии 6.2406.1001

19 сентября 2024 г.

Версия 6.2406.0.1001 — изменения в этом выпуске:

  • Изменения в требованиях к поддержке KB5014754
  • Улучшено ведение журнала импорта и конвейера PKCS
  • Исправления ошибок
  • Улучшения безопасности

15 февраля 2023 г.

Версия 6.2301.1.0 — изменения в этом выпуске:

  • Сведения о ведении журнала для сопоставления с журналами службы Intune
  • Улучшения ведения журнала в потоке выдачи сертификатов PFX

21 сентября 2022 г.

Версия 6.2206.122.0 — изменения в этом выпуске:

  • Улучшена телеметрия в дополнение к исправлению ошибок и повышению производительности

30 июня 2022 г.

Версия 6.2205.201.0 — изменения в этом выпуске:

  • Обновлен канал телеметрии в Intune, чтобы разрешить администратору Intune собирать данные на портале

4 мая 2022 г.

Версия 6.2203.12.0 — изменения в этом выпуске:

  • Поддержка поставщиков CNG для сертификатов проверки подлинности клиента
  • Улучшена поддержка автоматического продления сертификатов проверки подлинности клиента

10 марта 2022 г.

Версия 6.2202.38.0. Это обновление содержит следующее:

  • Изменения поддержки TLS 1.2 для автоматического обновления

Дальнейшие действия

Предварительные требования для соединителя сертификатов для Microsoft Intune

  • Last updated on