Verwenden von Zertifikaten zur Authentifizierung in Microsoft IntuneUse certificates for authentication in Microsoft Intune

Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen die Endbenutzer keine Benutzernamen und Kennwörter eingeben. Dadurch wird ein nahtloser Zugriff ermöglicht.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which helps to make their access seamless. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.Certificates are also used for signing and encryption of email using S/MIME.

Intune unterstützt folgende Zertifikattypen:Intune supports the following certificate types:

  • Simple Certificate Enrollment-Protokoll (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (oder PFX)PKCS#12 (or PFX)
  • Importiertes PKCS-ZertifikatePKCS imported certificates

Erstellen Sie Zertifikatprofile, und weisen Sie sie Geräten zu, um diese Zertifikate bereitzustellen.To deploy these certificates, you’ll create and assign certificate profiles to devices.

Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform.Each individual certificate profile you create supports a single platform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS.For example, if you use PKCS certificates, you’ll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS. Wenn Sie auch SCEP-Zertifikate für diese beiden Plattformen verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS.If you also use SCEP certificates for those two platforms, you’ll create a SCEP certificate profile for Android, and another for iOS.

Allgemeine Aspekte:General considerations:

  • Wenn Sie nicht über eine Unternehmenszertifizierungsstelle (Certification Authority, CA) verfügen, müssen Sie eine erstellen oder eine von einem unserer unterstützten Partner verwenden.If you don't have an Enterprise Certification Authority (CA), you must create one or use one from one of our supported partners.
  • Wenn Sie SCEP-Zertifikatprofile mit Microsoft Active Directory-Zertifikatdiensten verwenden, konfigurieren Sie einen Server für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES).If you use SCEP certificate profiles using Microsoft Active Directory Certificate Services, you’ll configure a Network Device Enrollment Service (NDES) server.
  • Wenn Sie ein SCEP mit einem unserer Zertifizierungsstellenpartner verwenden, müssen Sie es in Intune integrieren.If you use SCEP with one of our certification authority partners, you'll need to integrate it with Intune.
  • Für SCEP- und PKCS-Zertifikatprofile müssen Sie den Microsoft Intune Certificate Connector herunterladen, installieren und konfigurieren.Both SCEP and PKCS certificate profiles require you to download, install, and configure the Microsoft Intune Certificate Connector.
  • Für PCKS-importierte Zertifikate müssen Sie den PFX-Zertifikatconnector für Microsoft Intune herunterladen, installieren und konfigurieren.PCKS imported certificates require you to download, install, and configure the PFX Certificate Connector for Microsoft Intune.
  • PKCS-importierte Zertifikate erfordern, dass Sie Zertifikate aus Ihrer Zertifizierungsstelle exportieren und in Microsoft Intune importieren.PKCS imported certificates require that you export certificates from your certification authority and import them to Microsoft Intune. Weitere Informationen finden Sie unter dem PowerShell-Projekt für PFXImport.See the PFXImport PowerShell project
  • Damit ein Gerät SCEP-, PCKS- oder PKCS-importierte Zertifikatprofile verwendet, muss dieses Gerät Ihrer Stammzertifizierungsstelle vertrauen.For a device to use SCEP, PCKS, or PKCS imported certificate profiles, that device must trust your root Certification Authority. Sie verwenden ein vertrauenswürdiges Zertifikatprofil, um Ihr Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle für Geräte bereitzustellen.You use a trusted certificate profile to deploy your Trusted Root CA certificate to devices.

Unterstützte Plattformen und ZertifikatprofileSupported platforms and certificate profiles

PlattformPlatform Vertrauenswürdiges ZertifikatprofilTrusted certificate profile PKCS-ZertifikatprofilPKCS certificate profile SCEP-ZertifikatprofilSCEP certificate profile Importiertes PKCS-ZertifikatprofilPKCS imported certificate profile
Android-GeräteadministratorAndroid device administrator Unterstützt Unterstützt Unterstützt Unterstützt
Android EnterpriseAndroid Enterprise
– Gerätebesitzer- Device Owner
Unterstützt
Android EnterpriseAndroid Enterprise
– Arbeitsprofil- Work Profile
Unterstützt Unterstützt Unterstützt Unterstützt
iOSiOS Unterstützt Unterstützt Unterstützt Unterstützt
macOSmacOS Unterstützt Unterstützt Unterstützt
Windows Phone 8.1Windows Phone 8.1 Unterstützt Unterstützt Unterstützt
Windows 8.1 und höherWindows 8.1 and later Unterstützt Unterstützt
Windows 10 und höherWindows 10 and later Unterstützt Unterstützt Unterstützt Unterstützt

Exportieren des Zertifikats der vertrauenswürdigen StammzertifizierungsstelleExport the trusted root CA certificate

Wenn Sie PKCS-, SCEP- und PKCS-importierte Zertifikate verwenden möchten, müssen Geräte ihrer Stammzertifizierungsstelle vertrauen.To use PKCS, SCEP, and PKCS imported certificates, devices must trust your root Certification Authority. Um diese Vertrauensstellung einzurichten, exportieren Sie das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle sowie alle Zwischenzertifikate oder ausstellenden Zertifikate von Zertifizierungsstellen als öffentliches Zertifikat (.cer).To establish this trust, you export the Trusted Root Certification Authority (CA) certificate, as well as any intermediate or issuing Certification Authority certificates, as a public certificate (.cer). Sie können diese Zertifikate von der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät erhalten, das Ihrer ausstellenden Zertifizierungsstelle vertraut.You can get these certificates from the issuing CA, or from any device that trusts your issuing CA.

Informationen zum Exportieren des Zertifikats finden Sie in der Dokumentation zu Ihrer Zertifizierungsstelle.To export the certificate, refer to the documentation for your Certification Authority. Sie müssen das öffentliche Zertifikat als CER-Datei exportieren.You’ll need to export the public certificate as a .cer file. Exportieren Sie nicht den privaten Schlüssel, eine PFX-Datei.Don't export the private key, a .pfx file.

Sie verwenden diese CER-Datei, wenn Sie vertrauenswürdige Zertifikatprofile erstellen, um das Zertifikat für Ihre Geräte bereitzustellen.You’ll use this .cer file when you create trusted certificate profiles to deploy that certificate to your devices.

Erstellen von vertrauenswürdigen ZertifikatprofilenCreate trusted certificate profiles

Erstellen Sie ein vertrauenswürdiges Zertifikatprofil, bevor Sie ein SCEP-, PKCS oder PKCS-importiertes Zertifikatprofil erstellen können.Create a trusted certificate profile before you can create a SCEP, PKCS, or PKCS imported certificate profile. Durch Bereitstellen eines vertrauenswürdigen Zertifikatprofils wird sichergestellt, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.Deploying a trusted certificate profile ensures each device recognizes the legitimacy of your CA. SCEP-Zertifikatprofile verweisen direkt auf ein vertrauenswürdiges Zertifikatprofil.SCEP certificate profiles directly reference a trusted certificate profile. PKCS-Zertifikatprofile verweisen nicht direkt auf das Profil des vertrauenswürdigen Zertifikats, sondern direkt auf den Server, der Ihre Zertifizierungsstelle hostet.PKCS certificate profiles don’t directly reference the trusted certificate profile but do directly reference the server that hosts your CA. Importierte PKCS-Zertifikatprofile verweisen nicht direkt auf das Profil des vertrauenswürdigen Zertifikats, sie können es jedoch auf dem Gerät verwenden.PKCS imported certificate profiles don't directly reference the trusted certificate profile but may utilize it on the device. Durch die Bereitstellung eines vertrauenswürdigen Zertifikatprofils auf Geräten wird sichergestellt, dass dieses Vertrauen aufgebaut wird.Deploying a trusted certificate profile to devices ensures this trust is established. Wenn die Stammzertifizierungsstelle von einem Gerät nicht als vertrauenswürdig eingestuft wird, schlägt die SCEP- oder PKCS-Zertifikatprofilrichtlinie fehl.When a device doesn’t trust the root CA, the SCEP or PKCS certificate profile policy will fail.

Erstellen Sie ein separates vertrauenswürdiges Zertifikatprofil für jede Geräteplattform, die Sie unterstützen möchten, genauso wie bei den SCEP-, PCKS- und PKCS-importierten Zertifikatprofilen.Create a separate trusted certificate profile for each device platform you want to support, just as you'll do for SCEP, PCKS, and PKCS imported certificate profiles.

So erstellen Sie ein vertrauenswürdiges ZertifikatprofilTo create a trusted certificate profile

  1. Melden Sie sich beim Intune-Portal an.Sign in to the Intune portal.
  2. Klicken Sie auf Gerätekonfiguration > Verwalten > Profile > Profil erstellen.Select Device configuration > Manage > Profiles > Create profile.
  3. Geben Sie für das vertrauenswürdige Zertifikatprofil einen Namen und eine Beschreibung ein.Enter a Name and Description for the trusted certificate profile.
  4. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für das vertrauenswürdige Zertifikat aus.From the Platform drop-down list, select the device platform for this trusted certificate.
  5. Wählen Sie in der Dropdownliste Profiltyp die Option Vertrauenswürdiges Zertifikat aus.From the Profile type drop-down list, choose Trusted certificate.
  6. Navigieren Sie zur CER-Datei des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle, die Sie zur Verwendung mit diesem Zertifikatprofil exportiert haben, und klicken Sie dann auf OK.Browse to the trusted root CA certificate .cer file you exported for use with this certificate profile, and then select OK.
  7. Wählen Sie (nur bei Windows 8.1- und Windows 10-Geräten) den Zielspeicher für das vertrauenswürdige Zertifikat aus:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:
    • Computerzertifikatspeicher – StammComputer certificate store - Root
    • Computerzertifikatspeicher – ZwischenspeicherComputer certificate store - Intermediate
    • Benutzerzertifikatspeicher – ZwischenspeicherUser certificate store - Intermediate
  8. Klicken Sie anschließend auf OK, navigieren Sie wieder zum Bereich Profil erstellen, und klicken Sie auf Erstellen.When you're done, choose OK, go back to the Create profile pane, and select Create. Das Profil wird in der Liste der Profile im Anzeigebereich Gerätekonfiguration – Profile mit dem Profiltyp Vertrauenswürdiges Zertifikat angezeigt.The profile appears in the list of profiles on the Device configuration – Profiles view pane, with a profile type of Trusted certificate. Stellen Sie sicher, dass Sie dieses Profil Geräten zuweisen, die SCEP- oder PCKS-Zertifikate verwenden werden.Be sure to assign this profile to devices that will use SCEP or PCKS certificates. Informationen zur Zuweisung des Profils zu Gruppen finden Sie unter Zuweisen von Geräteprofilen.To assign the profile to groups, see assign device profiles.

Hinweis

Auf Android-Geräten wird möglicherweise die Benachrichtigung angezeigt, dass ein Drittanbieter ein vertrauenswürdiges Zertifikat installiert hat.Android devices might display a message that a third party has installed a trusted certificate.

Zusätzliche RessourcenAdditional resources

Nächste SchritteNext steps

Nachdem Sie die Profile des vertrauenswürdigen Zertifikats erstellt und zugewiesen haben, erstellen Sie SCEP-, PKCS- oder importierte PKCS- Zertifikatprofile für jede Plattform, die Sie verwenden möchten.After you create and assign trusted certificate profiles, create SCEP, PKCS, or PKCS imported certificate profiles for each platform you want to use. Weitere Informationen zum Fortfahren finden Sie in den folgenden Artikeln:To continue, see the following articles: