Konfigurieren und Verwenden Ihrer PKCS-Zertifikate mit IntuneConfigure and use PKCS certificates with Intune

Intune unterstützt die Verwendung von (PKCS-)Zertifikaten für private und öffentliche Schlüssel.Intune supports the use of private and public key pair (PKCS) certificates. In diesem Artikel erfahren Sie, wie Sie erforderliche Infrastrukturelemente wie lokale Zertifikatconnectors konfigurieren, ein PKCS-Zertifikat exportieren und dieses anschließend zu einem Intune-Gerätekonfigurationsprofil hinzufügen.This article can help you configure the required infrastructure like on-premises certificate connectors, export a PKCS certificate, and then add the certificate to an Intune device configuration profile.

Mit den in Microsoft Intune integrierten Einstellungen lassen sich PKCS-Zertifikate für die Authentifizierung bei und den Zugriff auf Unternehmensressourcen verwenden.Microsoft Intune includes built-in settings to use PKCS certificates for access and authentication to your organizations resources. Mit Zertifikaten wird der Zugriff auf Unternehmensressourcen (z. B. ein VPN- oder ein WLAN-Netzwerk) authentifiziert und gesichert.Certificates authenticate and secure access to your corporate resources like a VPN or a WiFi network. Stellen Sie diese Einstellungen in Intune über Gerätekonfigurationsprofile bereit.You deploy these settings to devices using device configuration profiles in Intune.

AnforderungenRequirements

Wenn Sie PKCS-Zertifikate mit Intune verwenden möchten, müssen Sie über folgende Infrastruktur verfügen:To use PKCS certificates with Intune, you'll need the following infrastructure:

  • Active Directory-Domäne:Active Directory domain:
    Alle in diesem Abschnitt aufgeführten Server müssen der Active Directory-Domäne angehören.All servers listed in this section must be joined to your Active Directory domain.

    Informationen zum Installieren und Konfigurieren von Active Directory Domain Services (AD DS) finden Sie unter AD DS Design and Planning (AD DS-Entwurf und -Planung).For more information about installing and configuring Active Directory Domain Services (AD DS), see AD DS Design and Planning.

  • Zertifizierungsstelle:Certification Authority:
    Eine UnternehmenszertifizierungsstelleAn Enterprise Certification Authority (CA).

    Informationen zum Installieren und Konfigurieren von Active Directory-Zertifikatdiensten finden Sie unter Active Directory Certificate Services Step-by-Step Guide (Ausführliche Anleitung zu den Active Directory-Zertifikatdiensten).For information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Warnung

    Für Intune müssen AD CS mit einer Unternehmenszertifizierungsstelle, nicht mit einer eigenständigen Zertifizierungsstelle ausgeführt werden.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Einen ClientA client:
    Zum Herstellen einer Verbindung mit der Unternehmenszertifizierungsstelle.To connect to the Enterprise CA.

  • Ein Stammzertifikat:Root certificate:
    Eine exportierte Kopie Ihres Stammzertifikats aus Ihrer Unternehmenszertifizierungsstelle.An exported copy of your root certificate from your Enterprise CA.

  • Microsoft Intune Certificate Connector (auch als NDES-Certificate Connector bezeichnet):Microsoft Intune Certificate Connector (also called the NDES Certificate Connector):
    Navigieren Sie im Intune-Portal zu Gerätekonfiguration > Certificate Connectors > Hinzufügen, und führen Sie die notwendigen Schritte aus, um den Connector für PKCS #12 zu installieren.In the Intune portal, go to Device configuration > Certificate Connectors > Add, and follow the Steps to install the connector for PKCS #12. Verwenden Sie den Downloadlink im Portal zum Herunterladen des Installationsprogramms für den Certificate Connector (NDESConnectorSetup.exe).Use the download link in the portal to start download of the certificate connector installer NDESConnectorSetup.exe.

    Intune unterstützt bis zu 100 Instanzen dieses Connectors pro Mandant, wobei sich jede Instanz auf einem separaten Windows-Server befindet.Intune supports up to 100 instances of this connector per tenant, with each instance on a separate Windows server. Sie können eine Instanz dieses Connectors auf demselben Server wie eine Instanz des PFX-Zertifikatconnectors für Microsoft Intune installieren.You can install an instance of this connector on the same server as an instance of the PFX Certificate Connector for Microsoft Intune. Wenn Sie mehrere Connectors verwenden, unterstützt die Connectorinfrastruktur Hochverfügbarkeit und Lastenausgleich, da jede verfügbare Connectorinstanz ihre PKCS-Zertifikatanforderungen verarbeiten kann.When you use multiple connectors the connector infrastructure supports high availability and load balancing as any available connector instance can process your PKCS certificate requests.

    Dieser Connector verarbeitet PKCS-Zertifikatanforderungen, die für die Authentifizierung oder Signierung von E-Mails mit S/MIME verwendet werden.This connector processes PKCS certificate requests used for authentication or S/MIME email signing.

    Der Microsoft Intune Certificate Connector unterstützt ebenfalls den FIPS-Modus (Federal Information Processing Standard).The Microsoft Intune Certificate Connector also supports Federal Information Processing Standard (FIPS) mode. FIPS ist nicht erforderlich, Sie können jedoch Zertifikate ausstellen und widerrufen, wenn dieser Modus aktiviert ist.FIPS isn't required, but you can issue and revoke certificates when it's enabled.

  • PFX-Zertifikatconnector für Microsoft Intune:PFX Certificate Connector for Microsoft Intune:
    Wenn Sie die E-Mailverschlüsselung mit S/MIME verwenden möchten, verwenden Sie das Intune-Portal, um den Connector für Importierte PFX-Zertifikate herunterzuladen.If you plan to use S/MIME email encryption, use the Intune portal to download the connector for Imported PFX certificates. Navigieren Sie zu Gerätekonfiguration > Certificate Connectors > Hinzufügen, und führen Sie die notwendigen Schritte aus, um den Connector für importierte PFX-Zertifikate zu installieren.Go to Device configuration > Certificate Connectors > Add, and follow the Steps to install connector for Imported PFX certificates. Verwenden Sie den Downloadlink im Portal zum Herunterladen des Installationsprogramms PfxCertificateConnectorBootstrapper.exe.Use the download link in the portal to start download of the installer PfxCertificateConnectorBootstrapper.exe.

    Jeder Intune-Mandant unterstützt eine einzelne Instanz dieses Connectors.Each Intune tenant supports a single instance of this connector. Sie können diesen Connector auf demselben Server wie eine Instanz des Microsoft Intune Certificate Connectors installieren.You can install this connector on the same server as an instance of the Microsoft Intune Certificate connector.

    Der Connector verarbeitet Anforderungen für PFX-Dateien, die in Intune importiert werden, um E-Mails eines bestimmten Benutzers mit S/MIME zu verschlüsseln.This connector handles requests for PFX files imported to Intune for S/MIME email encryption for a specific user.

    Dieser Connector kann sich automatisch selbst installieren, sobald neue Versionen zur Verfügung stehen.This connector can automatically update itself when new versions become available. Sie müssen Folgendes tun, um die Updatefunktion zu verwenden:To use the update capability, you must:

    • Installieren Sie den importierten PFX-Certificate Connector für Microsoft Intune auf Ihrem Server.Install the Imported PFX Certificate Connector for Microsoft Intune on your server.
    • Wenn Sie automatisch wichtige Updates erhalten möchten, vergewissern Sie sich, dass die Firewalls geöffnet sind, über die der Connector autoupdate.msappproxy.net auf Port 443 kontaktieren kann.To automatically receive important updates, ensure firewalls are open that allow the connector to contact autoupdate.msappproxy.net on port 443.
  • Windows Server:Windows Server:
    Verwenden Sie Windows Server, um Folgendes zu hosten:You use a Windows Server to host:

    • den Microsoft Intune Certificate Connector zur Authentifizierung und Signierung von E-Mails mit S/MIMEMicrosoft Intune Certificate Connector - for authentication and S/MIME email signing scenarios
    • den PFX-Certificate Connector für Microsoft Intune zur Verschlüsselung von E-Mails mit S/MIMEPFX Certificate Connector for Microsoft Intune - for S/MIME email encryption scenarios.

    Sie können beide Connectors (den Microsoft Intune Certificate Connector und den PFX-Certificate Connector) auf demselben Server ausführen.You can install both connectors (Microsoft Intune Certificate Connector and PFX Certificate Connector) on the same server.

Exportieren des Stammzertifikats aus der UnternehmenszertifizierungsstelleExport the root certificate from the Enterprise CA

Jedes Gerät benötigt ein Zertifikat einer Stamm- oder Zwischenzertifizierungsstelle für die Geräteauthentifizierung über VPN, WLAN oder andere Ressourcen.To authenticate a device with VPN, WiFi, or other resources, a device needs a root or intermediate CA certificate. Die folgenden Schritte erläutern, wie das erforderliche Zertifikat von Ihrer Unternehmenszertifizierungsstelle abgerufen wird.The following steps explain how to get the required certificate from your Enterprise CA.

Verwenden der Befehlszeile:Use a command line:

  1. Melden Sie sich bei dem Server für Ihre Stammzertifizierungsstelle mit einem Administratorkonto an.Log into the Root Certification Authority server with Administrator Account.

  2. Navigieren Sie zu Starten > Ausführen, und geben Sie Cmd ein, um die Eingabeaufforderung zu öffnen.Go to Start > Run, and then enter Cmd to open command prompt.

  3. Geben Sie certutil -ca.cert ca_name.cer an, um das Stammzertifikat als Datei mit dem Namen ca_name.cer zu exportieren.Specify certutil -ca.cert ca_name.cer to export the Root certificate as a file named ca_name.cer.

Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleConfigure certificate templates on the CA

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Öffnen Sie die Konsole Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.Open the Certification Authority console, right-click Certificate Templates, and select Manage.

  3. Suchen Sie die Zertifikatvorlage Benutzer, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Vorlage duplizieren aus.Find the User certificate template, right-click it, and choose Duplicate Template. Dann werden die Eigenschaften der neuen Vorlage geöffnet.Properties of New Template opens.

    Hinweis

    Zur Signierung und Verschlüsselung von E-Mails mit S/MIME nutzen viele Administratoren für die jeweiligen Schritte unterschiedliche Zertifikate.For S/MIME email signing and encryption scenarios, many administrators use separate certificates for signing and encryption. Wenn Sie Microsoft Active Directory-Zertifikatdienste verwenden, können Sie die Vorlage Nur Exchange-Signatur für Zertifikate zum Signieren von E-Mails mit S/MIME verwenden. Die Vorlage Exchange-Benutzer können Sie für Zertifikate zur Verschlüsselung mit S/MIME nutzen.If you're using Microsoft Active Directory Certificate Services, you can use the Exchange Signature Only template for S/MIME email signing certificates, and the Exchange User template for S/MIME encryption certificates. Wenn Sie auf eine Drittanbieter-Zertifizierungsstelle zurückgreifen, sollten Sie sich mit deren Leitfaden zum Einrichten von Signatur- und Verschlüsselungsvorlagen vertraut machen.If you're using a 3rd-party certification authority, it's suggested to review their guidance to set up signing and encryption templates.

  4. Gehen Sie auf der Registerkarte Konformität wie folgt vor:On the Compatibility tab:

    • Legen Sie Zertifizierungsstelle auf Windows Server 2008 R2 fest.Set Certification Authority to Windows Server 2008 R2
    • Legen Sie Zertifizierungsstelle auf Windows 7/Server 2008 R2 fest.Set Certificate recipient to Windows 7 / Server 2008 R2
  5. Legen Sie auf der Registerkarte Allgemein für Vorlagenanzeigename einen für Sie aussagekräftigen Namen fest.On the General tab, set Template display name to something meaningful to you.

    Warnung

    Vorlagenname entspricht standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen.Template name by default is the same as Template display name with no spaces. Notieren Sie sich den Namen der Vorlage, da Sie diesen später brauchen werden.Note the template name, you need it later.

  6. Klicken Sie unter Anforderungsverarbeitung auf Exportieren von privatem Schlüssel zulassen.In Request Handling, select Allow private key to be exported.

  7. Bestätigen Sie unter Kryptografie, dass die Minimale Schlüsselgröße auf 2048 festgelegt ist.In Cryptography, confirm that the Minimum key size is set to 2048.

  8. Klicken Sie unter Antragstellername auf Supply in the request (Informationen werden in der Anforderung angegeben).In Subject Name, choose Supply in the request.

  9. Überprüfen Sie unter Erweiterungen, ob „Verschlüsselndes Dateisystem“, „Sichere E-Mail“ und „Clientauthentifizierung“ unter Anwendungsrichtlinien angezeigt werden.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Wichtig

    Wechseln Sie für iOS-Zertifikatvorlagen auf die Registerkarte Erweiterungen, aktualisieren Sie die Option Schlüsselverwendung, und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  10. Fügen Sie unter Sicherheit das Computerkonto für den Server hinzu, auf dem Sie den Microsoft Intune Certificate Connector installieren.In Security, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector. Weisen Sie diesem Konto die Berechtigungen Lesen und Registrieren zu.Allow this account Read and Enroll permissions.

  11. Wählen Sie Anwenden > OK aus, um die Zertifikatvorlage zu speichern.Select Apply > OK to save the certificate template. Schließen Sie die Zertifikatvorlagenkonsole.Close the Certificate Templates Console.

  12. Klicken Sie in der Konsole Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage.In the Certification Authority console, right-click Certificate Templates > New > Certificate Template to Issue. Wählen Sie die Vorlage aus, die Sie in den vorherigen Schritten erstellt haben.Choose the template that you created in the previous steps. Wählen Sie OK aus.Select OK.

  13. Gehen Sie folgendermaßen vor, damit der Server Zertifikate für registrierte Geräte und Benutzer verwaltet:For the server to manage certificates for enrolled devices and users, use the following steps:

    1. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie Eigenschaften.Right-click the Certification Authority, choose Properties.
    2. Fügen Sie auf der Registerkarte „Sicherheit“ das Computerkonto des Servers hinzu, auf dem Sie die Connectors (entweder den Microsoft Intune Certificate Connector oder den PFX Certificate Connector für Microsoft Intune) ausführen.On the security tab, add the Computer account of the server where you run the connectors (Microsoft Intune Certificate Connector or PFX Certificate Connector for Microsoft Intune).
    3. Erteilen Sie dem Computerkonto die Zulassungsberechtigungen Zertifikate ausstellen und verwalten und Zertifikate anfordern.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  14. Melden Sie sich von der Unternehmenszertifizierungsstelle ab.Sign out of the Enterprise CA.

Herunterladen, Installieren und Konfigurieren der ZertifikatconnectorsDownload, install, and configure the certificate connectors

Microsoft Intune-ZertifikatconnectorMicrosoft Intune Certificate Connector

Wichtig

Der Microsoft Intune Certificate Connector kann nicht auf der ausgebenden Zertifizierungsstelle installiert werden. Die Installation muss auf einer separaten Windows Server-Instanz erfolgen.The Microsoft Intune Certificate Connector cannot be installed on the issuing Certificate Authority (CA), and instead must be installed on a separate Windows server.

  1. Melden Sie sich bei Intune an.Sign in to Intune.

  2. Klicken Sie auf Gerätekonfiguration > Certificate Connectors > Hinzufügen.Select Device configuration > Certification Connectors > Add.

  3. Laden Sie die Connectordatei herunter, und speichern Sie sie an einem Speicherort, auf den Sie über den Server zugreifen, auf dem Sie den Connector installieren werden.Download and save the connector file to a location you can access from the server where you're going to install the connector.

    Herunterladen von Microsoft Intune Certificate Connector

  4. Melden Sie sich beim Server an, sobald der Download abgeschlossen ist.After the download completes, sign in to the server. Führen Sie anschließend Folgendes durch:Then:

    1. Stellen Sie sicher, dass .NET Framework 4.5 oder höher installiert ist (dies ist für den NDES Certificate Connector erforderlich).Be sure .NET 4.5 Framework or higher is installed, as it's required by the NDES Certificate connector. .NET Framework 4.5 ist automatisch in Windows Server 2012 R2 und höheren Versionen enthalten..NET 4.5 Framework is automatically included with Windows Server 2012 R2 and newer versions.
    2. Führen Sie das Installationsprogramm (NDESConnectorSetup.exe) aus, und übernehmen Sie den Standardspeicherort.Run the installer (NDESConnectorSetup.exe), and accept the default location. Dadurch wird der Connector unter \Program Files\Microsoft Intune\NDESConnectorUI installiert.It installs the connector to \Program Files\Microsoft Intune\NDESConnectorUI. Klicken Sie unter den Optionen des Installationsprogramms auf PFX Distribution (PFX-Verteilung).In Installer Options, select PFX Distribution. Setzen Sie die Installation fort, und schließen Sie sie ab.Continue and complete the installation.
    3. Der Connectordienst wird standardmäßig auf dem lokalen Systemkonto ausgeführt.By default, the connector service runs under the local system account. Wenn ein Proxy für den Internetzugriff erforderlich ist, müssen Sie überprüfen, ob das lokale Dienstkonto auf die Proxyeinstellungen auf dem Server zugreifen kann.If a proxy is required to access the internet, confirm that the local service account can access the proxy settings on the server.
  5. Der Microsoft Intune Certificate Connector wird auf der Registerkarte Registrierung geöffnet. Klicken Sie zum Aktivieren der Verbindung mit Intune auf Anmelden, und geben Sie ein Konto mit globalen Administratorberechtigungen an.The Microsoft Intune Certificate Connector opens the Enrollment tab. To enable the connection to Intune, Sign In, and enter an account with global administrative permissions.

  6. Es wird empfohlen, auf der Registerkarte Erweitert die Option Konto SYSTEM dieses Computers verwenden (Standard) aktiviert zu lassen.On the Advanced tab, it's recommended to leave Use this computer's SYSTEM account (default) selected.

  7. Anwenden > Schließen.Apply > Close

  8. Wechseln Sie zurück zum Intune-Portal (Intune > Gerätekonfiguration > Certificate Connectors).Go back to the Intune portal (Intune > Device Configuration > Certification Connectors). Nach einigen Momenten wird ein grünes Häkchen angezeigt, und der Verbindungsstatus ist Aktiv.After a few moments, a green check mark is shown, and the Connection status is Active. Ihr Connectorserver kann jetzt mit Intune kommunizieren.Your connector server can now communicate with Intune.

  9. Wenn Sie in Ihrer Netzwerkumgebung über einen Webproxy verfügen, müssen Sie möglicherweise zusätzliche Konfigurationen vornehmen, damit der Connector funktioniert.If you have a web proxy in your networking environment, you might need additional configurations to enable the connector to work. Weitere Informationen finden Sie in der Azure Active Directory-Dokumentation unter Verwenden von vorhandenen lokalen Proxyservern.For more information, see Work with existing on-premises proxy servers in the Azure Active Directory documentation.

Hinweis

Der Microsoft Intune Certificate Connector unterstützt TLS 1.2.The Microsoft Intune Certificate Connector supports TLS 1.2. Wenn TLS 1.2 auf dem Server installiert ist, der den Connector hostet, verwendet dieser TLS 1.2.If TLS 1.2 is installed on the server that hosts the Connector, the connector uses TLS 1.2. Andernfalls wird TLS 1.1 verwendet.Otherwise, TLS 1.1 is used. Derzeit wird TLS 1.1 für die Authentifizierung zwischen den Geräten und dem Server verwendet.Currently, TLS 1.1 is used for authentication between the devices and server.

PFX Certificate Connector für Microsoft IntunePFX Certificate Connector for Microsoft Intune

  1. Melden Sie sich bei Intune an.Sign in to Intune.

  2. Klicken Sie auf Gerätekonfiguration > Certificate Connectors > Hinzufügen.Select Device configuration > Certification Connectors > Add

  3. Laden Sie den PFX Certificate Connector für Microsoft Intune herunter und speichern Sie ihn.Download and save the PFX Certificate Connector for Microsoft Intune. Speichern Sie sie an einem Ort, auf den von dem Server aus zugegriffen werden kann, auf dem der Connector installiert wird.Save it to a location accessible from the server where you're going to install the connector.

  4. Melden Sie sich beim Server an, sobald der Download abgeschlossen ist.After the download completes, sign in to the server. Führen Sie anschließend Folgendes durch:Then:

    1. Stellen Sie sicher, dass .NET Framework 4.6 oder höher installiert ist (dies ist für den PFX Certificate Connector für Microsoft Intune erforderlich).Be sure .NET 4.6 Framework or higher is installed, as it's required by the PFX Certificate Connector for Microsoft Intune. Wenn .NET Framework 4.6 nicht installiert ist, wird es vom Installer automatisch installiert.If .NET 4.6 Framework isn't installed, the installer installs it automatically.
    2. Führen Sie den Installer (PfxCertificateConnectorBootstrapper.exe) aus, und übernehmen Sie den Standardspeicherort. Dadurch wird der Connector unter Program Files\Microsoft Intune\PFXCertificateConnector gespeichert.Run the installer (PfxCertificateConnectorBootstrapper.exe), and accept the default location, which installs the connector to Program Files\Microsoft Intune\PFXCertificateConnector.
    3. Der Connectordienst wird auf dem lokalen Systemkonto ausgeführt.The connector service runs under the local system account. Wenn ein Proxy für den Internetzugriff erforderlich ist, müssen Sie überprüfen, ob das lokale Dienstkonto auf die Proxyeinstellungen auf dem Server zugreifen kann.If a proxy is required for internet access, then confirm that the local service account can access the proxy settings on the server.
  5. Nach der Installation wird die Registerkarte Registrierung vom PFX Certificate Connector für Microsoft Intune geöffnet.The PFX Certificate Connector for Microsoft Intune opens the Enrollment tab after installation. Klicken Sie auf Anmelden, und geben Sie anschließend ein Konto mit Berechtigungen eines globalen Administrators oder Intune-Administrators an, um die Verbindung mit Intune zu aktivieren.To enable the connection to Intune, Sign In, and enter an account with Azure global administrator or Intune administrator permissions.

  6. Schließen Sie das Fenster.Close the window.

  7. Wechseln Sie zurück zum Azure-Portal (Intune > Gerätekonfiguration > Certificate Connectors).Go back to the Azure portal (Intune > Device Configuration > Certification Connectors). Nach einigen Momenten wird ein grünes Häkchen angezeigt, und der Verbindungsstatus ist Aktiv.After a few moments, a green check mark is shown, and the Connection status is Active. Ihr Connectorserver kann jetzt mit Intune kommunizieren.Your connector server can now communicate with Intune.

Erstellen eines vertrauenswürdigen ZertifikatprofilsCreate a trusted certificate profile

  1. Navigieren Sie im Azure-Portal zu Intune > Gerätekonfiguration > Profile > Profil erstellen.In the Azure portal, go to Intune > Device configuration > Profiles > Create profile. Navigieren Sie zu Intune, und erstellen Sie ein neues Profil für ein vertrauenswürdiges ZertifikatNavigate to Intune and create a new profile for a trusted certificate

  2. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:

    • Name für das ProfilName for the profile
    • Optional eine BeschreibungOptionally set a description
    • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
    • Für Profiltyp die Option Vertrauenswürdiges ZertifikatSet Profile type to Trusted certificate
  3. Gehen Sie zu Einstellungen, und geben Sie die zuvor exportierte CER-Datei mit dem Zertifikat der Stammzertifizierungsstelle an.Go to Settings, and enter the .cer file Root CA Certificate you previously exported.

    Hinweis

    Je nach der in Schritt 2 ausgewählten Plattform besitzen Sie möglicherweise die Option zum Auswählen des Zielspeichers für das Zertifikat.Depending on the platform you chose in Step 2, you may or may not have an option to choose the Destination store for the certificate.

    Profil erstellen und ein vertrauenswürdiges Zertifikat hochladen

  4. Wählen Sie OK > Erstellen aus, um Ihr Profil zu speichern.Select OK > Create to save your profile.

  5. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

Erstellen eines PKCS-ZertifikatprofilsCreate a PKCS certificate profile

  1. Navigieren Sie im Azure-Portal zu Intune > Gerätekonfiguration > Profile > Profil erstellen.In the Azure portal, go to Intune > Device configuration > Profiles > Create profile.

  2. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:

    • Name für das ProfilName for the profile
    • Optional eine BeschreibungOptionally set a description
    • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
    • Für Profiltyp die Option PKCS-ZertifikatSet Profile type to PKCS certificate
  3. Gehen Sie zu Einstellungen, und geben Sie die folgenden Eigenschaften ein:Go to Settings, and enter the following properties:

    • Verlängerungsschwellenwert (%) : Empfohlen sind 20%.Renewal threshold (%): Recommended is 20%.
    • Gültigkeitsdauer des Zertifikats: Wenn Sie die Zertifikatvorlage nicht geändert haben, kann diese Option auf ein Jahr festgelegt werden.Certificate validity period: If you didn't change the certificate template, this option may be set to one year.
    • Schlüsselspeicheranbieter (KSP) : Wählen Sie für Windows den Schlüsselspeicherort auf dem Gerät aus.Key storage provider (KSP): For Windows, select where to store the keys on the device.
    • Zertifizierungsstelle: Zeigt den internen vollqualifizierten Domänennamen (FQDN) Ihrer Unternehmenszertifizierungsstelle an.Certification authority: Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
    • Name der Zertifizierungsstelle: Zeigt den Namen der Unternehmenszertifizierungsstelle an (z.B. „Contoso-Zertifizierungsstelle“).Certification authority name: Lists the name of your Enterprise CA, such as "Contoso Certification Authority".
    • Name der Zertifikatvorlage: Der Name der zuvor erstellten Vorlage.Certificate template name: The name of the template created earlier. Beachten Sie, dass der Vorlagenname standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen entspricht.Remember Template name by default is the same as Template display name with no spaces.
    • Format des Antragstellernamens: Legen Sie diese Option auf Allgemeiner Name fest, falls kein anderes Format erforderlich ist.Subject name format: Set this option to Common name unless otherwise required.
    • Alternativer Antragstellername: Legen Sie diese Option auf Benutzerprinzipalname (UPN) fest, sofern nichts anderes erforderlich ist.Subject alternative name: Set this option to User principal name (UPN) unless otherwise required.
  4. Wählen Sie OK > Erstellen aus, um Ihr Profil zu speichern.Select OK > Create to save your profile.

  5. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

    Hinweis

    Auf Geräten mit einem Android Enterprise-Profil sind Zertifikate, die über ein PKCS-Zertifikatprofil installiert wurden, nicht sichtbar.On devices with an Android Enterprise profile, certificates installed using a PKCS certificate profile are not visible on the device. Um die erfolgreiche Zertifikatbereitstellung zu bestätigen, überprüfen Sie den Status des Profils in der Intune-Konsole.To confirm successful certificate deployment, check the status of the profile in the Intune console.

Erstellen eines Profils für ein importiertes PKCS-ZertifikatCreate a PKCS imported certificate profile

Sie können Zertifikate, die von einer beliebigen Zertifizierungsstelle für einen bestimmten Benutzer ausgestellt wurden, in Intune importieren.You can import certificates previously issued to a specific user from any CA in to Intune. Importierte Zertifikate werden auf allen Geräten installiert, die ein Benutzer registriert.Imported certificates are installed on each device that a user enrolls. Die Verschlüsselung von E-Mails mit S/MIME ist das häufigste Szenario für den Import vorhandener PFX-Zertifikate in Intune.S/MIME email encryption is the most common scenario for importing existing PFX certificates in to Intune. Ein Benutzer kann zum Verschlüsseln von E-Mails mehrere Zertifikate verwenden.A user may have many certificates to encrypt email. Die privaten Schlüssel dieser Zertifikate müssen auf allen Geräten des Benutzers vorhanden sein, damit die zuvor verschlüsselten E-Mails entschlüsselt werden können.The private keys of those certificates must exist on all of a user's devices so they can decrypt previously encrypted email.

Zum Importieren von Zertifikaten in Intune können Sie die auf GitHub bereitgestellten PowerShell-Cmdlets verwenden.To import certificates into Intune, you can use the PowerShell cmdlets provided on GitHub.

Nach dem Importieren der Zertifikate in Intune erstellen Sie ein Profil für ein importiertes PKCS-Zertifikat und weisen es Azure Active Directory-Gruppen zu:After importing the certificates to Intune, create a PKCS imported certificate profile, and assign it to Azure Active Directory groups.

  1. Navigieren Sie im Azure-Portal zu Intune > Gerätekonfiguration > Profile > Profil erstellen.In the Azure portal, go to Intune > Device configuration > Profiles > Create profile.

  2. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:

    • Name für das ProfilName for the profile
    • Optional eine BeschreibungOptionally set a description
    • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
    • Für Profiltyp die Option Importiertes PKCS-ZertifikatSet Profile type to PKCS imported certificate
  3. Gehen Sie zu Einstellungen, und geben Sie die folgenden Eigenschaften ein:Go to Settings, and enter the following properties:

    • Beabsichtigter Zweck: Der Zweck der Zertifikate, die für dieses Profil importiert werden.Intended purpose: The intended purpose of the certificates that are imported for this profile. Ein Administrator kann Zertifikate mit unterschiedlichen Zwecken (z.B. zur Authentifizierung oder zum Signieren/Verschlüsseln mit S/MIME) importieren.An administrator may have imported certificates with different intended purposes (such as authentication, S/MIME signing, or S/MIME encryption). Der Zweck, der im Zertifikatprofil ausgewählt wird, entspricht demjenigen des Zertifikatprofils mit den korrekten importierten Zertifikaten.The intended purpose selected in the certificate profile matches the certificate profile with the right imported certificates.
    • Gültigkeitsdauer des Zertifikats: Wenn Sie die Zertifikatvorlage nicht geändert haben, kann diese Option auf ein Jahr festgelegt werden.Certificate validity period: If you didn't change the certificate template, this option may be set to one year.
    • Schlüsselspeicheranbieter (KSP) : Wählen Sie für Windows den Schlüsselspeicherort auf dem Gerät aus.Key storage provider (KSP): For Windows, select where to store the keys on the device.
  4. Wählen Sie OK > Erstellen aus, um Ihr Profil zu speichern.Select OK > Create to save your profile.

  5. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see assign Microsoft Intune device profiles.

Neuerungen für ConnectorsWhat's new for Connectors

Es werden regelmäßig Updates für die beiden Certificate Connectors veröffentlicht.Updates for the two certificate connectors are released periodically. Sobald wir ein Update für einen Connector veröffentlichen, werden Sie hier darüber informiert.When we update a connector, you can read about the changes here.

Der PFX-Certificate Connector für Microsoft Intune unterstützt automatische Updates. Der Intune Certificate Connector wird hingegen manuell aktualisiert.The PFX Certificates Connector for Microsoft Intune supports automatic updates, while the Intune Certificate Connector is updated manually.

17. Mai 2019May 17, 2019

  • PFX-Zertifikatconnector für Microsoft Intune – Version 6.1905.0.404PFX Certificates Connector for Microsoft Intune - version 6.1905.0.404
    Änderungen in diesem Release:Changes in this release:
    • Ein Problem wurde behoben, bei dem vorhandene PFX-Zertifikate weiter erneut verarbeitet werden, was bewirkt, dass der Connector die Verarbeitung neuer Anforderungen beendet.Fixed an issue where existing PFX certificates continue to be reprocessed which causes the connector to stop processing new requests.

6. Mai 2019May 6, 2019

  • PFX-Zertifikatconnector für Microsoft Intune – Version 6.1905.0.402PFX Certificates Connector for Microsoft Intune - version 6.1905.0.402
    Änderungen in diesem Release:Changes in this release:
    • Das Abrufintervall für den Connector wird von 5 Minuten auf 30 Sekunden verkürzt.The polling interval for the connector is reduced from 5 minutes to 30 seconds.

2. April 2019April 2, 2019

  • Intune-Zertifikatconnector – Version 6.1904.1.0Intune Certificate Connector - version 6.1904.1.0
    Änderungen in diesem Release:Changes in this release:

    • Es wurde ein Problem behoben, bei dem die Möglichkeit bestand, dass sich der Connector nach der Anmeldung mit dem globalen Administratorkonto nicht bei Intune registrieren konnte.Fixed an issue where the connector might fail to enroll to Intune after signing in to the connector with a global administrator account.
    • Umfasst Fehlerbehebungen in Bezug auf die Zuverlässigkeit bei ZertifikatsperrungenIncludes reliability fixes to certificate revocation.
    • Umfasst Fehlerbehebungen in Bezug auf die Leistung, um die Verarbeitung von Anforderungen von PKCS-Zertifikaten zu beschleunigenIncludes performance fixes to increase how quickly PKCS certificate requests are processed.
  • PFX-Zertifikatconnector für Microsoft Intune – Version 6.1904.0.401PFX Certificates Connector for Microsoft Intune - version 6.1904.0.401

    Hinweis

    Ein automatisches Update für diese Version des PFX-Connectors ist erst ab dem 11. April 2019 verfügbar.Automatic update for this version of the PFX connector is not available until April 11th, 2019.

    Änderungen in diesem Release:Changes in this release:

    • Es wurde ein Problem behoben, bei dem die Möglichkeit bestand, dass sich der Connector nach der Anmeldung mit dem globalen Administratorkonto nicht bei Intune registrieren konnte.Fixed an issue where the connector might fail to enroll to Intune after signing in to the connector with a global administrator account.

Nächste SchritteNext steps

Das Profil ist nun erstellt, führt aber noch keine Aktionen durch.The profile is created, but it's not doing anything yet. Die nächsten Schritte sind das Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune und das Überwachen von Geräteprofilen in Microsoft Intune.Next, assign the profile and monitor its status.

Lesen Sie auch die Artikel Konfigurieren und Verwenden von SCEP-Zertifikaten mit Intune oder Ausstellen von PKCS-Zertifikaten über einen DigiCert-PKI-Manager-Webdienst.Use SCEP certificates, or issue PKCS certificates from a Digicert PKI manager web service.