Konfigurieren und Verwalten von PKCS-Zertifikaten mit IntuneConfigure and manage PKCS certificates with Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

AnforderungenRequirements

Um PKCS-Zertifikate mit Intune zu verwenden, müssen Sie über folgende Infrastruktur verfügen:To use PKCS certificates with Intune, you must have the following infrastructure:

  • Eine vorhandene konfigurierte AD DS-Domäne (Active Directory Domain Services).An existing Active Directory Domain Services (AD DS) domain configured.

    Weitere Informationen zur Installation und Konfiguration von AD DS finden Sie im Artikel AD DS-Entwurf und Planung.If you need more information about how to install and configure AD DS see the article AD DS Design and Planning.

  • Eine vorhandene konfigurierte Unternehmenszertifizierungsstelle.An existing Enterprise Certification Authority (CA) configured.

    Weitere Informationen zum Installieren und Konfigurieren von Active Directory-Zertifikatdiensten (AD CS) finden Sie im Artikel Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten.If you need more information about how to install and configure Active Directory Certificate Services (AD CS) see the article Active Directory Certificate Services Step-by-Step Guide.

    Warnung

    Für Intune müssen AD CS mit einer Unternehmenszertifizierungsstelle, nicht mit einer eigenständigen Zertifizierungsstelle ausgeführt werden.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Ein Client mit Konnektivität zur Unternehmenszertifizierungsstelle.A client that has connectivity to the Enterprise CA.

  • Eine exportierte Kopie Ihres Stammzertifikats aus Ihrer Unternehmenszertifizierungsstelle.An exported copy of your root certificate from your Enterprise CA.
  • Der Microsoft Intune Certificate Connector (NDESConnectorSetup.exe) muss aus dem Intune-Portal heruntergeladen worden sein.The Microsoft Intune Certificate Connector (NDESConnectorSetup.exe) downloaded from your Intune Portal.
  • Eine verfügbare Windows Server-Instanz zum Hosten des Microsoft Intune Certificate Connectors (NDESConnectorSetup.exe).A Windows Server available to host the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe).

Exportieren des Stammzertifikats aus der UnternehmenszertifizierungsstelleExport the root certificate from the Enterprise CA

Sie benötigen auf jedem Gerät ein Zertifikat einer Stamm- oder Zwischenzertifizierungsstelle für die Authentifizierung bei VPN, WLAN und anderen Ressourcen.You need a root or intermediate CA certificate on each device for authentication with VPN, WiFi, and other resources. Die folgenden Schritte erläutern, wie das erforderliche Zertifikat von Ihrer Unternehmenszertifizierungsstelle abgerufen wird.The following steps explain how to get the required certificate from your Enterprise CA.

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Öffnen Sie eine Eingabeaufforderung als Administrator.Open a command prompt as an administrator.
  3. Exportieren Sie das Zertifikat der Stammzertifizierungsstelle an einen Speicherort, an dem Sie später darauf zugreifen können.Export the Root CA Certificate to a location where you can access it later.

    Beispiel:For example:

    certutil -ca.cert certnew.cer

    Weitere Informationen finden Sie unter Certutil-Tasks zum Verwalten von Zertifikaten.For more information, see Certutil tasks for managing certificates.

Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleConfigure certificate templates on the certification authority

  1. Melden Sie sich bei Ihrer Unternehmenszertifizierungsstelle mit einem Konto an, das über Administratorrechte verfügt.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Öffnen Sie die Konsole der Zertifizierungsstelle.Open the Certification Authority console.
  3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten.Right-click Certificate Templates and choose Manage.
  4. Suchen Sie die Zertifikatvorlage Benutzer, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Vorlage duplizieren.Locate the User certificate template, right-click it and choose Duplicate Template. Das Fenster Eigenschaften der neuen Vorlage wird geöffnet.A window opens, Properties of New Template.
  5. Auf der Registerkarte Kompatibilität:On the Compatibility tab
    • Legen Sie Zertifizierungsstelle auf Windows Server 2008 R2 fest.Set Certification Authority to Windows Server 2008 R2
    • Legen Sie Zertifizierungsstelle auf Windows 7/Server 2008 R2 fest.Set Certificate recipient to Windows 7 / Server 2008 R2
  6. Auf der Registerkarte Allgemein :On the General tab:

    • Legen Sie für Vorlagenanzeigename einen für Sie aussagekräftigen Namen fest.Set Template display name to something meaningful to you.

    Warnung

    Vorlagenname entspricht standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen.Template name by default is the same as Template display name with no spaces. Notieren Sie sich den Vorlagennamen zur späteren Verwendung.Note the template name for later use.

  7. Aktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen Exportieren von privatem Schlüssel zulassen.On the Request Handling tab, check the Allow private key to be exported box.

  8. Bestätigen Sie auf der Registerkarte Kryptografie, dass die Minimale Schlüsselgröße auf 2048 festgelegt ist.On the Cryptography tab, confirm that the Minimum key size is set to 2048.
  9. Wählen Sie auf der Registerkarte Antragstellername das Optionsfeld Informationen werden in der Anforderung angegeben.On the Subject Name tab, choose the radio button Supply in the request.
  10. Überprüfen Sie auf der Registerkarte Erweiterungen, dass „Verschlüsselndes Dateisystem“, „Sichere E-Mail“ und „Clientauthentifizierung“ unter Anwendungsrichtlinien angezeigt werden.On the Extensions tab, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Wichtig

    Bearbeiten Sie für iOS- und macOS-Zertifikatvorlagen auf der Registerkarte Erweiterungen die Option Schlüsselverwendung, und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  11. Fügen Sie auf der Registerkarte Sicherheit das Computerkonto für den Server hinzu, auf dem Sie den Microsoft Intune Certificate Connector installieren.On the Security tab, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector.

    • Weisen Sie diesem Konto die Berechtigungen Lesen und Registrieren zu.Allow this account Read and Enroll permissions.
  12. Klicken Sie auf Anwenden, und klicken Sie dann auf OK, um die Zertifikatvorlage zu speichern.Click Apply, then click OK to save the certificate template.
  13. Schließen Sie die Zertifikatvorlagenkonsole.Close the Certificate Templates Console.
  14. Klicken Sie in der Konsole der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Neu und auf Auszustellende Zertifikatvorlage.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue.
    • Wählen Sie die Vorlage, die Sie in den vorherigen Schritten erstellt haben, und klicken Sie auf OK.Choose the template that you created in the preceding steps and click OK.
  15. Gehen Sie folgendermaßen vor, damit der Server Zertifikate im Namen von bei Intune registrierten Geräten und Benutzern verwaltet:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    a.a. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie Eigenschaften.Right-click the Certification Authority, choose Properties.

    b.b. Fügen Sie auf der Registerkarte „Sicherheit“ das Computerkonto des Servers hinzu, auf dem Sie den Microsoft Intune Certificate Connector ausführen.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector.

    • Erteilen Sie dem Computerkonto die Zulassungsberechtigungen Zertifikate ausstellen und verwalten und Zertifikate anfordern.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  16. Melden Sie sich von der Unternehmenszertifizierungsstelle ab.Log out of the Enterprise CA.

Laden Sie den Microsoft Intune Certificate Connector herunter, und installieren und konfigurieren Sie ihn.Download install and configure the Microsoft Intune Certificate Connector

ConnectorDownloadConnectorDownload

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Intune > Gerätekonfiguration > Zertifizierungsstelle, und klicken Sie auf Certificate Connector herunterladen.Navigate to Intune, Device configuration, Certification Authority, and click Download the certificate connector.
    • Speichern Sie den Download an einem Speicherort, auf den Sie auf dem Server zugreifen können, auf dem der Connector installiert wird.Save the download to a location where you can access it on the server where you will install it.
  3. Melden Sie sich bei dem Server an, auf dem Sie den Microsoft Intune Certificate Connector installieren möchten.Log in to the server where you will install the Microsoft Intune Certificate Connector.
  4. Führen Sie das Installationsprogramm aus, und übernehmen Sie den Standardspeicherort.Run the installer and accept the default location. Der Connector wird unter „C:\Programme\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe“ installiert.It installs the connector to C:\Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.

    a.a. Wählen Sie auf der Seite mit den Optionen des Installationsprogramms PFX-Verteilung aus, und klicken Sie auf Weiter.On the Installer Options page chose PFX Distribution and click Next.

    b.b. Klicken Sie auf Installieren, und warten Sie auf den Abschluss der Installation.Click Install and wait for installation to complete.

    c.c. Aktivieren Sie auf der Abschlussseite das Kontrollkästchen mit der Bezeichnung Intune-Connector starten, und klicken Sie auf Fertig stellen.On the completion page, check the box labeled Launch Intune Connector and click Finish.

  5. Das Fensters des NDES-Connectors wird jetzt mit der Registerkarte Registrierung geöffnet. Um die Verbindung mit Intune zu aktivieren, müssen Sie auf Anmelden klicken und ein Konto mit Administratorberechtigungen angeben.The NDES Connector window should now open to the Enrollment tab. To enable the connection to Intune, you must click Sign In and provide an account with administrative permissions.

  6. Auf der Registerkarte Erweitert können Sie das Optionsfeld Konto "SYSTEM" dieses Computers verwenden (Standard) ausgewählt lassen.On the Advanced tab, you can leave the radio button Use this computer's SYSTEM account (default) selected.
  7. Klicken Sie auf Anwenden und dann auf Schließen.Click Apply then Close.
  8. Wechseln Sie zurück zum Azure-Portal.Now go back on the Azure portal. Unter Intune > Gerätekonfiguration > Zertifizierungsstelle werden Ihnen nach einigen Minuten ein grünes Häkchen und das Wort Aktiv unter Verbindungsstatus angezeigt.Under Intune, Device configuration, Certification Authority, you should see a green check mark and the word Active under Connection status after a few minutes. Anhand dieser Bestätigung können Sie erkennen, dass der Connector-Server mit Intune kommunizieren kann.This confirmation lets you know that your connector server can communicate with Intune.

Erstellen eines GerätekonfigurationsprofilsCreate a device configuration profile

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Intune > Gerätekonfiguration > Profile, und klicken Sie auf Profil erstellen.Navigate to Intune, Device configuration, Profiles, and click Create profile.

    NavigateIntuneNavigateIntune

  3. Geben Sie die folgenden Informationen ein:Populate the following information:

    • Name für das ProfilName for the profile
    • Optional eine BeschreibungOptionally set a description
    • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
    • Für Profiltyp die Option Vertrauenswürdiges ZertifikatSet Profile type to Trusted certificate
  4. Navigieren Sie zu Einstellungen, und geben Sie die zuvor exportierte CER-Datei mit dem Zertifikat der Stammzertifizierungsstelle an.Navigate to Settings and provide the .cer file Root CA Certificate exported previously.

    Hinweis

    Abhängig von der in Schritt 3 ausgewählten Plattform besitzen Sie möglicherweise die Option zum Auswählen des Zielspeichers für das Zertifikat.Depending on the Platform you chose in Step 3 you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  5. Klicken Sie auf OK und dann auf Erstellen, um Ihr Profil zu speichern.Click OK then Create to save your profile.

  6. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices see How to assign Microsoft Intune device profiles.

Erstellen eines PKCS-ZertifikatprofilsCreate a PKCS Certificate profile

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Navigieren Sie zu Intune > Gerätekonfiguration > Profile, und klicken Sie auf Profil erstellen.Navigate to Intune, Device configuration, Profiles, and click Create profile.
  3. Geben Sie die folgenden Informationen ein:Populate the following information:
    • Name für das ProfilName for the profile
    • Optional eine BeschreibungOptionally set a description
    • Plattform, auf der das Profil bereitgestellt werden sollPlatform to deploy the profile to
    • Für Profiltyp die Option PKCS-ZertifikatSet Profile type to PKCS Certificate
  4. Wechseln Sie zu Einstellungen, und geben Sie die folgenden Informationen an:Navigate to Settings and provide the following information:

    • Erneuerungsschwellenwert (%): Empfohlen wird ein Wert von 20 %.Renewal threshold (%) - Recommended is 20%.
    • Gültigkeitsdauer des Zertifikats: Wenn Sie die Zertifikatvorlage nicht geändert haben, ist diese Option auf ein Jahr festgelegt.Certificate validity period - If you did not change the certificate template this option should be set to one year.
    • Zertifizierungsstelle: Diese Option ist der interne vollqualifizierte Domänenname (FQDN) Ihrer Unternehmenszertifizierungsstelle.Certification authority - This option is the internal fully qualified domain name (FQDN) of your Enterprise CA.
    • Name der Zertifizierungsstelle: Diese Option ist der Name Ihrer Unternehmenszertifizierungsstelle, der sich ggf. vom vorherigen Element unterscheidet.Certification authority name - This option is the name of your Enterprise CA and may be different than the previous item.
    • Name der Zertifikatvorlage: Diese Option ist der Name der zuvor erstellten Vorlage.Certificate template name - This option is the name of the template created earlier. Beachten Sie, dass der Vorlagenname standardmäßig dem Vorlagenanzeigenamen ohne Leerzeichen entspricht.Remember Template name by default is the same as Template display name with no spaces.
    • Format des Antragstellernamens: Legen Sie diese Option auf Allgemeiner Name fest, sofern kein anderes Format erforderlich ist.Subject name format - Set this option to Common name unless otherwise required.
    • Alternativer Antragstellername: Legen Sie diese Option auf Benutzerprinzipalname (UPN) fest, sofern nichts anderes erforderlich ist.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
    • Erweiterte Schlüsselverwendung: Sofern Sie im vorherigen Abschnitt, Konfigurieren von Zertifikatvorlagen für die Zertifizierungsstelle, in Schritt 10 die Standardeinstellungen verwendet haben, fügen Sie aus dem Auswahlfeld die folgenden vordefinierten Werte hinzu:Extended key usage - As long as you used the default settings in Step 10 in the preceding section Configure certificate templates on the certification authority, add the following Predefined values from the selection box:
      • Verwendung für beliebigen ZweckAny Purpose
      • ClientauthentifizierungClient Authentication
      • Sichere E-MailSecure Email
    • Stammzertifikat (für Android-Profile): Diese Option ist die CER-Datei, die in Schritt 3 im vorherigen Abschnitt Exportieren des Stammzertifikats aus der Unternehmenszertifizierungsstelle exportiert wurde.Root Certificate - (For Android Profiles) This option is the .cer file exported in Step 3 under the previous section Export the root certificate from the Enterprise CA.
  5. Klicken Sie auf OK und dann auf Erstellen, um Ihr Profil zu speichern.Click OK, then click Create to save your profile.

  6. Informationen zum Zuweisen des neuen Profils zu einem oder mehreren Geräten finden Sie im Artikel Zuweisen von Microsoft Intune-Geräteprofilen.To assign the new profile to one or more devices, see the article How to assign Microsoft Intune device profiles.