Konfigurieren eines Zertifikatprofils für Ihre Geräte in Microsoft IntuneConfigure a certificate profile for your devices in Microsoft Intune

Ist diese Seite hilfreich?

Sie erteilen Benutzern Berechtigungen zum Zugreifen auf Unternehmensressourcen über VPN, WLAN oder E-Mail-Profile.You give users access to corporate resources through VPN, Wi-Fi, or email profiles. Mithilfe von Zertifikaten können Sie diese Verbindungen authentifizieren.Using certificates, you can authenticate these connections. Bei der Verwendung von Zertifikaten ist die Eingabe von Benutzernamen und Kennwörtern nicht zum Authentifizieren erforderlich.When you use certificates, your end users don't need to enter user names and passwords to authenticate.

Mit Intune können Sie diese Zertifikate Geräten zuweisen, die Sie verwalten.You can use Intune to assign these certificates to devices you manage. Intune unterstützt das Zuweisen und Verwalten folgender Zertifikattypen:Intune supports assigning and managing the following certificate types:

  • Simple Certificate Enrollment-Protokoll (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (oder PFX)PKCS#12 (or PFX)

Jeder dieser Zertifikattypen hat eigene Voraussetzungen und Infrastrukturanforderungen.Each of these certificate types has its own prerequisites and infrastructure requirements.

ÜbersichtOverview

  1. Stellen Sie sicher, dass Sie die richtige Zertifikatinfrastruktur eingerichtet haben.Be sure the correct certificate infrastructure is set up. Sie können SCEP-Zertifikate und PKCS-Zertifikate verwenden.You can use SCEP certificates, and PKCS certificates.

  2. Installieren Sie auf jedem Gerät ein Stammzertifikat oder ein Zertifikat einer Zwischenzertifizierungsstelle, damit das Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.Install a root certificate or an intermediate Certification Authority (CA) certificate on each device so that the device recognizes the legitimacy of your CA. Erstellen Sie ein vertrauenswürdiges Zertifikatprofil, und weisen Sie es jedem Gerät zu, um das Zertifikat zu installieren.To install the certificate, create and assign a trusted certificate profile to each device. Wenn Sie dieses Profil zuweisen, wird das Stammzertifikat von den Geräten, die mit Intune verwaltet werden, angefordert und empfangen.When you assign this profile, the Intune-managed devices request and receive the root certificate. Sie müssen für jede Plattform ein eigenes Profil erstellen.You must create a separate profile for each platform. Vertrauenswürdige Zertifikatprofile sind für folgende Plattformen verfügbar:Trusted certificate profiles are available for the following platforms:

    • iOS 8.0 und höheriOS 8.0 and later
    • macOS 10.11 und höhermacOS 10.11 and later
    • Android 4,0 und höherAndroid 4.0 and later
    • Android EnterpriseAndroid Enterprise
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows Phone 8.1 und höherWindows Phone 8.1 and later
    • Windows 10 und höherWindows 10 and later

    Hinweis

    Zertifikatprofile werden nicht auf Geräten unterstützt, die Android Enterprise für dedizierte Geräte ausführen.Certificate profiles are not supported on devices that run Android Enterprise for dedicated devices.

  3. Erstellen Sie Zertifikatprofile, damit Geräte ein Zertifikat für die Authentifizierung des VPN-, WLAN- und E-Mail-Zugriffs anfordern.Create certificate profiles so that devices request a certificate to be used for authentication of VPN, Wi-Fi, and email access. Die folgenden Profiltypen sind für verschiedene Plattformen verfügbar:The following profile types are available for different platforms:

    PlattformPlatform PKCS-ZertifikatPKCS certificate SCEP-ZertifikatSCEP certificate Importiertes PKCS-ZertifikatPKCS imported certificate
    AndroidAndroid JaYes JaYes JaYes
    Android EnterpriseAndroid Enterprise JaYes JaYes JaYes
    iOSiOS JaYes JaYes JaYes
    macOSmacOS JaYes JaYes
    Windows Phone 8.1Windows Phone 8.1 JaYes JaYes
    Windows 8.1 und höherWindows 8.1 and later JaYes
    Windows 10 und höherWindows 10 and later JaYes JaYes JaYes

    Stellen Sie sicher, dass Sie für jede Geräteplattform ein eigenes Profil erstellen.Be sure to create a separate profile for each device platform. Nachdem Sie das Profil erstellt haben, ordnen Sie es dem bereits erstellten vertrauenswürdigen Stammzertifikatprofil zu.When you create the profile, associate it with the trusted root certificate profile that you've already created.

Weitere ÜberlegungenFurther considerations

  • Wenn Sie über keine Unternehmenszertifizierungsstelle verfügen, müssen Sie eine erstellen.If you don't have an Enterprise Certification Authority, you must create one
  • Wenn Sie SCEP-Profile verwenden, müssen Sie einen NDES-Server (NDES = Network Device Enrollment Service; Registrierungsdienst für Netzwerkgeräte) konfigurieren.If you use SCEP profiles, configure a Network Device Enrollment Service (NDES) server
  • Unabhängig davon, ob Sie SCEP- oder PKCS-Profile verwenden möchten, müssen Sie den Microsoft Intune Certificate Connector herunterladen und konfigurieren.Whether you plan to use SCEP or PKCS profiles, download and configure the Microsoft Intune Certificate Connector

Schritt 1: Konfigurieren der ZertifikatinfrastrukturStep 1: Configure your certificate infrastructure

In den folgenden Artikeln finden Sie Hilfe zum Konfigurieren der Infrastruktur für jeden Zertifikatprofiltyp:See one of the following articles for help with configuring the infrastructure for each type of certificate profile:

Schritt 2: Exportieren des vertrauenswürdigen Zertifikats der StammzertifizierungsstelleStep 2: Export your trusted root CA certificate

Exportieren Sie das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle als öffentliches Zertifikat (.cer-Datei) von der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät, das die ausstellende Zertifizierungsstelle als vertrauenswürdig erachtet.Export the Trusted Root Certification Authorities (CA) certificate as a public certificate (.cer) from the issuing CA, or from any device that trusts your issuing CA. Exportieren Sie nicht den privaten Schlüssel (.pfx).Don't export the private key (.pfx).

Sie importieren dieses Zertifikat, wenn Sie ein vertrauenswürdiges Zertifikatprofil einrichten.You import this certificate when you set up a trusted certificate profile.

Schritt 3: Erstellen von vertrauenswürdigen ZertifikatprofilenStep 3: Create trusted certificate profiles

Erstellen Sie ein vertrauenswürdiges Zertifikatprofil, bevor Sie ein SCEP- oder PKCS-Zertifikatprofil erstellen können.Create a trusted certificate profile before you can create a SCEP or PKCS certificate profile. Sie benötigen für jede Geräteplattform ein vertrauenswürdiges Zertifikatprofil und ein SCEP- oder PKCS-Profil.A trusted certificate profile and a SCEP or PKCS profile are needed for each device platform. Die Schritte zur Erstellung vertrauenswürdiger Zertifikate sind bei jeder Geräteplattform ähnlich.The steps to create trusted certificates are similar for each device platform.

  1. Melden Sie sich bei Intune an.Sign in to Intune.

  2. Klicken Sie auf Gerätekonfiguration > Verwalten > Profile > Profil erstellen.Select Device configuration > Manage > Profiles > Create profile.

  3. Geben Sie für das vertrauenswürdige Zertifikatprofil einen Namen und eine Beschreibung ein.Enter a Name and Description for the trusted certificate profile.

  4. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für das vertrauenswürdige Zertifikat aus.From the Platform drop-down list, select the device platform for this trusted certificate. Folgende Optionen sind verfügbar:Your options:

    • AndroidAndroid
    • Android EnterpriseAndroid Enterprise
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows 10 und höherWindows 10 and later
  5. Wählen Sie in der Dropdownliste Profiltyp die Option Vertrauenswürdiges Zertifikat aus.From the Profile type drop-down list, choose Trusted certificate.

  6. Navigieren Sie zum Zertifikat, das Sie unter Schritt 2: Exportieren des vertrauenswürdigen Zertifikats der Stammzertifizierungsstelle gespeichert haben, und klicken Sie dann auf OK.Browse to the certificate you saved in Step 2: Export your trusted root CA certificate, then select OK.

  7. Wählen Sie (nur bei Windows 8.1- und Windows 10-Geräten) den Zielspeicher für das vertrauenswürdige Zertifikat aus:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Computerzertifikatspeicher – StammComputer certificate store - Root
    • Computerzertifikatspeicher – ZwischenspeicherComputer certificate store - Intermediate
    • Benutzerzertifikatspeicher – ZwischenspeicherUser certificate store - Intermediate
  8. Klicken Sie anschließend auf OK, navigieren Sie wieder zum Bereich Profil erstellen, und klicken Sie auf Erstellen.When you're done, choose OK, go back to the Create profile pane, and select Create.

Das Profil wird erstellt und wird in der Liste angezeigt.The profile is created and appears on the list. Informationen zur Zuweisung dieses Profils zu Gruppen finden Sie unter Zuweisen von Geräteprofilen.To assign this profile to groups, see assign device profiles.

Hinweis

Auf Android-Geräte wird möglicherweise die Benachrichtigung angezeigt, dass ein Drittanbieter ein vertrauenswürdiges Zertifikat installiert hat.Android devices may display a message that a third party has installed a trusted certificate.

Schritt 4: Erstellen von SCEP- oder PKCS-ZertifikatprofilenStep 4: Create SCEP or PKCS certificate profiles

In den folgenden Artikeln finden Sie Hilfe zum Konfigurieren und Zuweisen jedes Zertifikatprofiltyps:See one of the following articles for help with configuring and assigning each type of certificate profile:

Nachdem Sie ein Profil des vertrauenswürdigen Zertifikats erstellt haben, erstellen Sie SCEP- oder PKCS-Zertifikatprofile für jede Plattform, die Sie verwenden möchten.After you create a trusted certificate profile, create SCEP or PKCS certificate profiles for each platform you want to use. Wenn Sie ein SCEP-Zertifikatprofil erstellen, geben Sie ein vertrauenswürdiges Zertifikatprofil für dieselbe Plattform ein.When you create a SCEP certificate profile, enter a trusted certificate profile for that same platform. Durch diesen Schritt werden die beiden Zertifikatprofile verknüpft. Sie müssen trotzdem jedes Profil separat zuweisen.This step links the two certificate profiles, but you still must assign each profile separately.

Nächste SchritteNext steps

Zuweisen von GeräteprofilenAssign device profiles
Use S/MIME to sign and encrypt emails (Verwenden von S/MIME zum Signieren und Verschlüsseln von E-Mails)Use S/MIME to sign and encrypt emails
Use third-party certificate authority (Verwenden einer Drittanbieter-Zertifizierungsstelle)Use third-party certificate authority

Siehe auchSee also

Problembehandlung der NDES-Konfiguration für die Verwendung mit Microsoft Intune-ZertifikatprofilenTroubleshooting NDES configuration for use with Microsoft Intune certificate profiles

Problembehandlung für die Bereitstellung eines SCEP-Zertifikatprofils in Microsoft IntuneTroubleshooting SCEP certificate profile deployment in Microsoft Intune