憑證設定檔在 Configuration Manager 中的必要條件

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意事項

本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。

System Center 2012 Configuration Manager 中的憑證設定檔具有外部相依性,以及產品中的相依性。

相依性

詳細資訊

執行 Active Directory 憑證服務 (AD CS) 的企業發行憑證授權單位 (CA)。

若要撤銷憑證,發行 CA 必須在階層的頂端設定網站伺服器的發行和管理憑證權限。

System_CAPS_note注意事項

支援由管理員核准憑證要求。 不過,用來發行憑證的憑證範本必須針對憑證主體設定為 [在要求中提供],Configuration Manager 才能自動提供這個值。

如需有關 Active Directory 憑證服務的詳細資訊,請參閱您的 Windows Server 文件:

Active Directory 憑證服務的網路裝置註冊服務角色服務 (在 Windows Server 2012 R2 上執行)。

其他情況:

  • 用戶端與網路裝置註冊服務之間的通訊不支援 TCP 443 (供 HTTPS 使用) 或 TCP 80 (供 HTTP 使用) 以外的連接埠號碼。

  • 執行網路裝置註冊服務的伺服器必須位於與發行 CA 不同的伺服器上。

Configuration Manager 會在 Windows Server 2012 R2 中與網路裝置註冊服務通訊,以產生並驗證簡單憑證註冊通訊協定 (SCEP) 要求。

如果您將發行憑證給從網際網路連線的使用者或裝置 (例如 Microsoft Intune 所管理的行動裝置),則這些裝置必須能夠從網際網路存取執行網路裝置註冊服務的伺服器。 例如,在周邊網路 (也稱為 DMZ、非軍事區域和遮蔽式子網路) 中安裝伺服器。

如果您在執行網路裝置註冊服務的伺服器和發行 CA 的伺服器之間有防火牆,就必須將防火牆設定為允許兩個伺服器之間的通訊 (DCOM)。 這項防火牆需求也適用於執行 Configuration Manager 網站伺服器和發行 CA 的伺服器,如此 Configuration Manager 才能撤銷憑證。

如果網路裝置註冊服務設定為需要 SSL (安全性最佳作法),請確保連線的裝置可以存取憑證撤銷清單 (CRL) 以驗證伺服器憑證。

如需 Windows Server 2012 R2 中網路裝置註冊服務的詳細資訊,請參閱 Using a Policy Module with the Network Device Enrollment Service (使用原則模組搭配網路裝置註冊服務)

如果發行 CA 執行 Windows Server 2008 R2,則伺服器需要適用於 SCEP 更新要求的 Hotfix。

如果 Hotfix 尚未安裝在發行 CA 電腦上,請安裝 Hotfix。 如需詳細資訊,請參閱 Microsoft 知識庫中的文章 2483564:如果使用 NDES 管理憑證,Windows Server 2008 R2 中 SCEP 憑證的更新要求會失敗

PKI 用戶端驗證憑證和匯出的根 CA 憑證。

此憑證會對 Configuration Manager 驗證執行網路裝置註冊服務的伺服器。

如需詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

支援的裝置作業系統。

您可以將憑證設定檔部署至執行 iOS、Windows 8.1、Windows RT 8.1 和 Android 作業系統的裝置上。

相依性

詳細資訊

憑證登錄點網站系統角色

您必須先安裝憑證登錄點網站系統角色,才能使用憑證設定檔。 此角色會與 Configuration Manager 資料庫、Configuration Manager 網站伺服器和 Configuration Manager 原則模組通訊。

如需有關此網站系統角色的系統需求及此角色在階層中的安裝位置的詳細資訊,請參閱下列文件:

System_CAPS_important重要事項

憑證登錄點不能安裝在執行網路裝置註冊服務的同一部伺服器上。

安裝在執行 Active Directory 憑證服務之網路裝置註冊服務角色服務的伺服器上的 Configuration Manager 原則模組

若要部署憑證設定檔,您必須安裝 Configuration Manager 原則模組。 您可以在 Configuration Manager 安裝媒體上找到此原則模組。

探索資料

憑證主體以及主體別名的值都是由 Configuration Manager 提供,並且是從探索收集的資訊擷取而來。

  • 使用者憑證:Active Directory 使用者探索

  • 電腦憑證:Active Directory 系統探索和網路探索

如需有關探索的詳細資訊,請參閱規劃 Configuration Manager 中的探索

管理憑證設定檔的特定安全性權限

您必須具有下列安全性權限才能管理公司資源存取設定,例如憑證設定檔、Wi-Fi 設定檔和 VPN 設定檔:

  • 若要檢視和管理憑證設定檔的警示和報告:[警示] 物件的 [建立]、[刪除]、[修改]、[修改報告]、[讀取] 及 [執行報告]。

  • 若要建立和管理憑證設定檔:[憑證設定檔] 物件的 [撰寫原則]、[修改報告]、[讀取] 及 [執行報告]。

  • 若要管理 Wi-Fi、憑證和 VPN 設定檔部署:[集合] 物件的 [部署設定原則]、[修改用戶端狀態警示]、[讀取] 及 [讀取資源]。

  • 若要管理所有設定原則:[設定原則] 物件的 [建立]、[刪除]、[修改]、[讀取] 及 [設定安全性範圍]。

  • 若要執行憑證設定檔相關的查詢:[查詢] 物件的 [讀取] 權限。

  • 若要檢視 Configuration Manager 主控台中的憑證設定檔資訊:[網站] 物件的 [讀取] 權限。

  • 若要檢視憑證設定檔的狀態訊息:[狀態訊息] 物件的 [讀取] 權限。

  • 若要建立和修改信任的 CA 憑證設定檔:[信任的 CA 憑證設定檔] 物件的 [撰寫原則]、[修改報告]、[讀取] 及 [執行報告]。

  • 若要建立和管理 VPN 設定檔:[VPN 設定檔] 物件的 [撰寫原則]、[修改報告]、[讀取] 及 [執行報告]。

  • 若要建立和管理 Wi-Fi 設定檔:[Wi-Fi 設定檔] 物件的 [撰寫原則]、[修改報告]、[讀取] 及 [執行報告]。

[公司資源存取管理員] 安全性角色包括在 Configuration Manager 中管理憑證設定檔所需的權限。 如需詳細資訊,請參閱設定 Configuration Manager 的安全性主題中的設定以角色為基礎的系統管理一節。

顯示: