Vorbereiten von Zertifikaten und Netzwerkprofilen für Microsoft Managed Desktop

  • Artikel

Die zertifikatbasierte Authentifizierung ist eine häufige Anforderung für Kunden, die Microsoft Managed Desktop verwenden. Möglicherweise benötigen Sie Zertifikate für Folgendes:

  • Zugreifen auf Wi-Fi oder LAN
  • Verbinden zu VPN-Lösungen
  • Greifen Sie auf interne Ressourcen in Ihrer Organisation zu

Da Microsoft Managed Desktop-Geräte mit Microsoft Entra-ID verknüpft sind und von Microsoft Intune verwaltet werden, müssen Sie solche Zertifikate bereitstellen, indem Sie folgendes verwenden:

  • Simple Certificate Enrollment Protocol (SCEP) oder
  • PKCS-Zertifikatinfrastruktur (Public Key Cryptography Standard), die in Intune integriert ist.

Anforderungen für Zertifikate

Stammzertifikate sind erforderlich, um Zertifikate über eine SCEP- oder PKCS-Infrastruktur bereitzustellen. Andere Anwendungen und Dienste in Ihrer Organisation erfordern möglicherweise die Bereitstellung von Stammzertifikaten auf Ihren Microsoft Managed Desktop-Geräten.

Bevor Sie SCEP- oder PKCS-Zertifikate für Microsoft Managed Desktop bereitstellen, sollten Sie Anforderungen für jeden Dienst sammeln, der ein Benutzer- oder Gerätezertifikat in Ihrer Organisation erfordert. Um diese Aktivität zu vereinfachen, können Sie eine der folgenden Planungsvorlagen verwenden:

Anforderungen an die Wi-Fi-Konnektivität

Damit ein Gerät automatisch mit der erforderlichen Wi-Fi-Konfiguration für Ihr Unternehmensnetzwerk bereitgestellt wird, benötigen Sie möglicherweise ein Wi-Fi-Konfigurationsprofil.

Sie können Microsoft Managed Desktop so konfigurieren, dass diese Profile auf Ihren Geräten bereitgestellt werden. Wenn Ihre Netzwerksicherheit erfordert, dass Geräte Teil der lokalen Domäne sind, müssen Sie möglicherweise Ihre Wi-Fi-Netzwerkinfrastruktur bewerten, um sicherzustellen, dass sie mit Microsoft Managed Desktop-Geräten kompatibel ist. Microsoft Managed Desktop-Geräte sind nur Microsoft Entra eingebunden.

Bevor Sie eine Wi-Fi-Konfiguration auf Microsoft Managed Desktop-Geräten bereitstellen, müssen Sie die Anforderungen Ihrer Organisation für jedes Wi-Fi-Netzwerk erfassen. Um diese Aktivität zu vereinfachen, können Sie diese WLAN-Profilvorlage verwenden.

Anforderungen an kabelgebundene Konnektivität und 802.1x-Authentifizierung

Wenn Sie die 802.1x-Authentifizierung verwenden, um den Zugriff von Geräten auf Ihr lokales Netzwerk (LAN) zu sichern, müssen Sie die erforderlichen Konfigurationsdetails auf Ihre Microsoft Managed Desktop-Geräte übertragen.

Microsoft Managed Desktop-Geräte mit Windows 10, Version 1809 oder höher, unterstützen die Bereitstellung einer 802.1x-Konfiguration über den WiredNetwork-Konfigurationsdienstanbieter (CSP). Weitere Informationen finden Sie in der WiredNetwork-CSP Dokumentation.

Bevor Sie ein Konfigurationsprofil für kabelgebundene Netzwerke auf Microsoft Managed Desktop-Geräten bereitstellen, stellen Sie die Anforderungen Ihrer Organisation für Ihr kabelgebundenes Unternehmensnetzwerk zusammen.

So erfassen Sie die Anforderungen an kabelgebundene Unternehmensnetzwerke:

  1. Melden Sie sich bei einem Gerät an, auf dem Ihr vorhandenes 802.1x-Profil konfiguriert ist und das mit dem LAN-Netzwerk verbunden ist.
  2. Öffnen Sie eine Eingabeaufforderung mit administrativen Anmeldeinformationen.
  3. Suchen Sie den Namen der LAN-Schnittstelle, indem Sie ausführen netsh interface show interface.
  4. Exportieren Sie das LAN-Profil-XML, indem Sie ausführen netsh lan export profile folder=. Interface=”interface_name”.
  5. Wenn Sie Ihr exportiertes Profil auf einem Microsoft Managed Desktop-Gerät testen müssen, führen Sie netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

Stellen Sie die Zertifikatinfrastruktur bereit

Wenn Sie bereits über eine vorhandene SCEP- oder PKCS-Infrastruktur mit Intune verfügen und dieser Ansatz Ihren Anforderungen entspricht, können Sie ihn auch für Microsoft Managed Desktop verwenden.

Wenn noch keine SCEP- oder PKCS-Infrastruktur vorhanden ist, müssen Sie eine vorbereiten. Weitere Informationen finden Sie unter Konfigurieren eines Zertifikatprofils für Ihre Geräte in Microsoft Intune.

Stellen Sie ein LAN-Profil bereit

Nachdem Ihr LAN-Profil exportiert wurde, können Sie die Richtlinie für Microsoft Managed Desktop vorbereiten.

So bereiten Sie die Richtlinie für Microsoft Managed Desktop vor:

  1. Erstellen Sie ein benutzerdefiniertes Profil in Microsoft Intune für das LAN-Profil mit den folgenden Einstellungen (siehe Benutzerdefinierte Einstellungen für Windows 10-Geräte in Intune verwenden). Wählen Sie in Benutzerdefinierte OMA-URI-Einstellungen Hinzufügen aus und geben Sie dann die folgenden Werte ein:
    • Name: Modern Workplace-Windows 10 LAN-Profil
    • Beschreibung: Geben Sie eine Beschreibung ein, die einen Überblick über die Einstellung und andere wichtige Details bietet.
    • OMA-URI (Groß-/Kleinschreibung beachten): Geben Sie ein ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • Datentyp: Select String (XML-Datei).
    • Benutzerdefiniertes XML: Laden Sie die exportierte XML-Datei hoch.
  2. Weisen Sie das benutzerdefinierte Profil der Gruppe Modern Workplace Devices – Test zu.
  3. Führen Sie alle Tests, die Sie für erforderlich halten, mit einem Gerät durch, das sich in der Testbereitstellungsgruppe befindet. Weisen Sie bei Erfolg das benutzerdefinierte Profil den folgenden Gruppen zu:
    • Moderne Arbeitsplatzgeräte – Zuerst
    • Moderne Arbeitsplatzgeräte – Schnell
    • Moderne Arbeitsplatzgeräte – breit gefächert

Bereitstellen von Zertifikaten und WLAN-/VPN-Profil

So stellen Sie Zertifikate und Profile bereit:

  1. Erstellen Sie ein Profil für jedes Stamm- und Zwischenzertifikat (siehe Profile für vertrauenswürdige Zertifikate erstellen. Jedes dieser Profile muss eine Beschreibung haben, die ein Ablaufdatum im Format TT/MM/JJJJ enthält. Zertifikatprofile müssen ein Ablaufdatum haben.
  2. Erstellen Sie ein Profil für jedes SCEP- oder PKCS-Zertifikat (siehe Erstellen eines SCEP-Zertifikatprofils oder Erstellen eines PKCS-Zertifikatprofils). Jedes dieser Profile muss eine Beschreibung haben, die ein Ablaufdatum im Format TT/MM/JJJJ enthält. Zertifikatprofile müssen ein Ablaufdatum haben.
  3. Erstellen Sie ein Profil für jedes WLAN-Unternehmensnetzwerk (siehe WLAN-Einstellungen für Geräte mit Windows 10 und höher).
  4. Erstellen Sie ein Profil für jedes Unternehmens-VPN (Informationen zum Hinzufügen von VPN-Verbindungen mit Intune finden Sie unter Geräteeinstellungen für Windows 10 und Windows Holographic).
  5. Weisen Sie die Profile der Gruppe Modern Workplace Devices – Test zu.
  6. Führen Sie alle Tests, die Sie für erforderlich halten, mit einem Gerät durch, das sich in der Testbereitstellungsgruppe befindet. Weisen Sie bei Erfolg das benutzerdefinierte Profil den folgenden Gruppen zu:
    • Moderne Arbeitsplatzgeräte – Zuerst
    • Moderne Arbeitsplatzgeräte – Schnell
    • Moderne Arbeitsplatzgeräte – breit gefächert