Konfigurieren eines Zertifikatprofils für Ihre Geräte in Microsoft IntuneConfigure a certificate profile for your devices in Microsoft Intune

Wenn Sie Benutzern den Zugriff auf Unternehmensressourcen über VPN, WLAN oder E-Mail-Profile gestatten, können Sie diese Verbindungen mit Zertifikaten authentifizieren.When you give users access to corporate resources through VPN, Wi-Fi, or email profiles, you can authenticate these connections by using certificates. Bei der Verwendung von Zertifikaten ist die Eingabe von Benutzernamen und Kennwörtern zum Authentifizieren von Verbindungen nicht erforderlich.When you use certificates, you don't need to enter user names and passwords to authenticate connections

Mit Intune können Sie diese Zertifikate Geräten zuweisen, die Sie verwalten.You can use Intune to assign these certificates to devices you manage. Intune unterstützt das Zuweisen und Verwalten folgender Zertifikattypen:Intune supports assigning and managing the following certificate types:

  • Simple Certificate Enrollment-Protokoll (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (oder PFX)PKCS#12 (or PFX)

Jeder dieser Zertifikattypen hat eigene Voraussetzungen und Infrastrukturanforderungen.Each of these certificate types has its own prerequisites and infrastructure requirements.

ÜberblickOverview

  1. Stellen Sie sicher, dass Sie die richtige Zertifikatinfrastruktur eingerichtet haben.Ensure you have the correct certificate infrastructure in place. Sie können SCEP-Zertifikate und PKCS-Zertifikate verwenden.You can use SCEP certificates, and PKCS certificates.

  2. Installieren Sie auf jedem Gerät ein Stammzertifikat oder ein Zertifikat einer Zwischenzertifizierungsstelle, damit das Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.Install a root certificate or an intermediate Certification Authority (CA) certificate on each device so that the device recognizes the legitimacy of your CA. Erstellen Sie zu diesem Zweck ein vertrauenswürdiges Zertifikatprofil und weisen Sie es zu.To do this, create and assign a trusted certificate profile. Wenn Sie dieses Profil zuweisen, wird das Stammzertifikat von den Geräten, die Sie mit Intune verwalten, angefordert und empfangen.When you assign this profile, the devices that you manage with Intune request and receive the root certificate. Sie müssen für jede Plattform ein eigenes Profil erstellen.You must create a separate profile for each platform. Vertrauenswürdige Zertifikatprofile sind für folgende Plattformen verfügbar:Trusted certificate profiles are available for the following platforms:

    • iOS 8.0 und höheriOS 8.0 and later
    • macOS 10.11 und höhermacOS 10.11 and later
    • Android 4,0 und höherAndroid 4.0 and later
    • Android-ArbeitsprofilAndroid work profile
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows Phone 8.1 und höherWindows Phone 8.1 and later
    • Windows 10 und höherWindows 10 and later
  3. Erstellen Sie Zertifikatprofile, damit Geräte ein Zertifikat für die Authentifizierung des VPN-, WLAN- und E-Mail-Zugriffs anfordern.Create certificate profiles so that devices request a certificate to be used for authentication of VPN, Wi-Fi, and email access. Sie können ein PKCS- oder SCEP-Zertifikatprofil für Geräte erstellen und zuweisen, die folgende Plattformen ausführen:You can create and assign a PKCS or SCEP certificate profile for devices running the following platforms:

    • iOS 8.0 und höheriOS 8.0 and later
    • Android 4,0 und höherAndroid 4.0 and later
    • Android-ArbeitsprofilAndroid work profile
    • Windows 10 (Desktop und Mobile) und höherWindows 10 (desktop and mobile) and later

    Bei Geräten, die folgende Plattformen ausführen, können Sie nur ein SCEP-Zertifikatprofil verwenden:You can only use a SCEP certificate profile for devices running the following platforms:

    • macOS 10.9 und höhermacOS 10.9 and later
    • Windows Phone 8.1 und höherWindows Phone 8.1 and later

Stellen Sie sicher, dass Sie für jede Geräteplattform ein eigenes Profil erstellen.Be sure to create a separate profile for each device platform. Nachdem Sie das Profil erstellt haben, ordnen Sie es dem bereits erstellten vertrauenswürdigen Stammzertifikatprofil zu.When you create the profile, associate it with the trusted root certificate profile that you've already created.

Weitere ÜberlegungenFurther considerations

  • Wenn Sie über keine Unternehmenszertifizierungsstelle verfügen, müssen Sie eine erstellen.If you don't have an Enterprise Certification Authority, you must create one
  • Wenn Sie SCEP-Profile verwenden, müssen Sie einen NDES-Server (NDES = Network Device Enrollment Service; Registrierungsdienst für Netzwerkgeräte) konfigurieren.If you use SCEP profiles, configure a Network Device Enrollment Service (NDES) server
  • Unabhängig davon, ob Sie SCEP- oder PKCS-Profile verwenden möchten, müssen Sie den Microsoft Intune Certificate Connector herunterladen und konfigurieren.Whether you plan to use SCEP or PKCS profiles, download and configure the Microsoft Intune Certificate Connector

Schritt 1: Konfigurieren der ZertifikatinfrastrukturStep 1: Configure your certificate infrastructure

Unter den folgenden Themen finden Sie Hilfe zum Konfigurieren der Infrastruktur für jeden Zertifikatprofiltyp:See one of the following topics for help configuring the infrastructure for each type of certificate profile:

Schritt 2: Exportieren des vertrauenswürdigen Zertifikats der StammzertifizierungsstelleStep 2: Export your trusted root CA certificate

Exportieren Sie das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle als öffentliches Zertifikat (.cer-Datei) von der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät, das die ausstellende Zertifizierungsstelle als vertrauenswürdig erachtet.Export the Trusted Root Certification Authorities (CA) certificate as a public certificate (.cer) from the issuing CA, or from any device that trusts your issuing CA. Exportieren Sie nicht den privaten Schlüssel (.pfx).Do not export the private key (.pfx).

Sie importieren dieses Zertifikat, wenn Sie ein vertrauenswürdiges Zertifikatprofil einrichten.You import this certificate when you set up a trusted certificate profile.

Schritt 3: Erstellen von vertrauenswürdigen ZertifikatprofilenStep 3: Create trusted certificate profiles

Erstellen Sie ein vertrauenswürdiges Zertifikatprofil, bevor Sie ein SCEP- oder PKCS-Zertifikatprofil erstellen können.Create a trusted certificate profile before you can create a SCEP or PKCS certificate profile. Sie benötigen für jede Geräteplattform ein vertrauenswürdiges Zertifikatprofil und ein SCEP- oder PKCS-Profil.A trusted certificate profile and a SCEP or PKCS profile are needed for each device platform. Die Schritte zur Erstellung vertrauenswürdiger Zertifikate sind bei jeder Geräteplattform ähnlich.The steps to create trusted certificates are similar for each device platform.

  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.

  2. Klicken Sie auf Alle Dienste > Intune.Choose All services > Intune. Intune befindet sich im Abschnitt Überwachung + Verwaltung.Intune is located in the Monitoring + Management section.

  3. Klicken Sie im Bereich Intune auf die Option Gerätekonfiguration.On the Intune pane, choose Device configuration.

  4. Klicken Sie im Bereich Gerätekonfiguration auf Verwalten > Profile.On the Device configuration pane, choose Manage > Profiles.

  5. Klicken Sie im Bereich „Profile“ auf Profil erstellen.On the profiles pane, choose Create profile.

  6. Geben Sie im Bereich Profil erstellen einen Namen und eine Beschreibung für das vertrauenswürdige Zertifikatprofil ein.On the Create profile pane, enter a Name and Description for the trusted certificate profile.

  7. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für das vertrauenswürdige Zertifikat aus.From the Platform drop-down list, select the device platform for this trusted certificate. Derzeit können Sie eine der folgenden Plattformen für Zertifikateinstellungen auswählen:Currently, you can choose one of the following platforms for certificate settings:

    • AndroidAndroid
    • Android EnterpriseAndroid enterprise
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows 10 und höherWindows 10 and later
  8. Wählen Sie in der Dropdownliste Profiltyp die Option Vertrauenswürdiges Zertifikat aus.From the Profile type drop-down list, choose Trusted certificate.

  9. Navigieren Sie zu dem Zertifikat, das Sie in Aufgabe 1 gespeichert haben, und klicken Sie dann auf OK.Browse to the certificate you saved in task 1, then click OK.

  10. Wählen Sie (nur bei Windows 8.1- und Windows 10-Geräten) den Zielspeicher für das vertrauenswürdige Zertifikat aus:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Computerzertifikatspeicher – StammComputer certificate store - Root
    • Computerzertifikatspeicher – ZwischenspeicherComputer certificate store - Intermediate
    • Benutzerzertifikatspeicher – ZwischenspeicherUser certificate store - Intermediate
  11. Klicken Sie anschließend auf OK, navigieren Sie wieder zum Bereich Profil erstellen, und klicken Sie auf Erstellen.When you're done, choose OK, go back to the Create profile pane, and select Create.

Das Profil wird erstellt und wird in der Liste angezeigt.The profile is created and appears on the list. Informationen zur Zuweisung dieses Profils zu Gruppen finden Sie unter Zuweisen von Geräteprofilen.To assign this profile to groups, see assign device profiles.

Auf Android-Geräte wird möglicherweise die Benachrichtigung angezeigt, dass ein Drittanbieter ein vertrauenswürdiges Zertifikat installiert hat.Android devices may display a message that a third party has installed a trusted certificate.

Schritt 4: Erstellen von SCEP- oder PKCS-ZertifikatprofilenStep 4: Create SCEP or PKCS certificate profiles

Unter den folgenden Themen finden Sie Hilfe zum Konfigurieren und Zuweisen jedes Zertifikatprofiltyps:See one of the following topics for help configuring and assigning each type of certificate profile:

Nachdem Sie ein Profil des vertrauenswürdigen Zertifikats erstellt haben, erstellen Sie SCEP- oder PKCS-Zertifikatprofile für jede Plattform, die Sie verwenden möchten.After you create a trusted certificate profile, create SCEP or PKCS certificate profiles for each platform you want to use. Wenn Sie ein SCEP-Zertifikatprofil erstellen, geben Sie ein vertrauenswürdiges Zertifikatprofil für dieselbe Plattform ein.When you create a SCEP certificate profile, enter a trusted certificate profile for that same platform. Durch diesen Schritt werden die beiden Zertifikatprofile verknüpft. Sie müssen trotzdem jedes Profil separat zuweisen.This step links the two certificate profiles, but you still must assign each profile separately.

Nächste SchritteNext steps

Allgemeine Informationen zum Zuweisen von Geräteprofilen finden Sie unter Zuweisen von Geräteprofilen.See How to assign device profiles for general information about how to assign device profiles.