Konfigurieren von Zertifikaten in Microsoft IntuneHow to configure certificates in Microsoft Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Wenn Sie Benutzern den Zugriff auf Unternehmensressourcen über VPN, WLAN oder E-Mail-Profile gestatten, können Sie diese Verbindungen mit Zertifikaten authentifizieren.When you give users access to corporate resources through VPN, Wi-Fi, or email profiles, you can authenticate these connections by using certificates. Die Eingabe von Benutzernamen und Kennwörtern zum Authentifizieren von Verbindungen wird damit überflüssig.These remove the need to enter user names and passwords to authenticate connections.

Mit Intune können Sie diese Zertifikate Geräten zuweisen, die Sie verwalten.You can use Intune to assign these certificates to devices you manage. Intune unterstützt das Zuweisen und Verwalten dieser Zertifikattypen:Intune supports assigning and managing these certificate types:

  • Simple Certificate Enrollment-Protokoll (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (oder PFX)PKCS#12 (or PFX)

Jeder dieser Zertifikattypen hat eigene Voraussetzungen und Infrastrukturanforderungen.Each of these certificate types has it's own prerequisites, and infrastructure requirements.

Allgemeiner WorkflowGeneral workflow

  1. Stellen Sie sicher, dass Sie die richtige Zertifikatinfrastruktur eingerichtet haben.Ensure you have the right certificate infrastructure in place. Sie können SCEP-Zertifikate und PKCS-Zertifikate verwenden.You can use SCEP certificates, and PKCS certificates.
  2. Installieren Sie auf jedem Gerät ein Stammzertifikat oder ein Zertifikat einer Zwischenzertifizierungsstelle, damit das Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.Install a root certificate or an intermediate Certification Authority (CA) certificate on each device so that the device recognizes the legitimacy of your CA. Erstellen Sie zu diesem Zweck ein vertrauenswürdiges Zertifikatprofil und weisen Sie es zu.To do this, create and assign a trusted certificate profile. Wenn Sie dieses Profil zuweisen, wird das Stammzertifikat von den Geräten, die Sie mit Intune verwalten, angefordert und empfangen.When you assign this profile, the devices that you manage with Intune will request and receive the root certificate. Sie müssen für jede Plattform ein eigenes Profil erstellen.You have to create a separate profile for each platform. Vertrauenswürdige Zertifikatprofile sind für folgende Plattformen verfügbar:Trusted certificate profiles are available for these platforms:
    • iOS 8.0 und höheriOS 8.0 and later
    • macOS 10.9 und höhermacOS 10.9 and later
    • Android 4,0 und höherAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows Phone 8.1 und höherWindows Phone 8.1 and later
    • Windows 10 und höherWindows 10 and later
  3. Erstellen Sie Zertifikatprofile, damit Geräte ein Zertifikat für die Authentifizierung des VPN-, WLAN- und E-Mail-Zugriffs anfordern.Create certificate profiles so that devices request a certificate to be used for authentication of VPN, Wi-Fi, and email access. Sie können ein PKCS- oder SCEP-Zertifikatprofil für Geräte auf diesen Plattformen erstellen und zuweisen:You can create and assign a PKCS or a SCEP certificate profile for devices running these platforms:

    • iOS 8.0 und höheriOS 8.0 and later
    • Android 4,0 und höherAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 10 (Desktop und Mobile) und höherWindows 10 (desktop and mobile) and later

      Ein SCEP-Zertifikatprofil können Sie nur bei folgenden Plattformen anwenden:You can only use a SCEP certificate profile with these platforms:

  • macOS 10.9 und höhermacOS 10.9 and later
  • Windows Phone 8.1 und höherWindows Phone 8.1 and later

Sie müssen für jede Geräteplattform ein eigenes Profil erstellen.You must create a separate profile for each device platform. Nachdem Sie das Profil erstellt haben, ordnen Sie es dem bereits erstellten vertrauenswürdigen Stammzertifikatprofil zu.When you create the profile, associate it with the trusted root certificate profile that you've already created.

Weitere ÜberlegungenFurther considerations

  • Wenn Sie über keine Unternehmenszertifizierungsstelle verfügen, müssen Sie eine erstellen.If you don't have an Enterprise Certification Authority, you must create one.
  • Wenn Sie sich basierend auf Ihren Geräteplattformen entschließen, das SCEP-Profil (Simple Certificate Enrollment Protocol) zu verwenden, müssen Sie auch einen NDES-Server (Network Device Enrollment Service) konfigurieren.If you decide, based on your device platforms, to use the Simplified Certificate Enrollment Protocol (SCEP) profile, you'll also need to configure a Network Device Enrollment Service (NDES) server.
  • Unabhängig davon, ob Sie SCEP- oder PKCS-Profile verwenden möchten, müssen Sie den Microsoft Intune Certificate Connector herunterladen und konfigurieren.Whether you plan to use SCEP or PKCS profiles, you must download and configure the Microsoft Intune Certificate Connector.

Schritt 1: Konfigurieren der ZertifikatinfrastrukturStep 1- Configure your certificate infrastructure

Unter den folgenden Themen finden Sie Hilfe zum Konfigurieren der Infrastruktur für jeden Zertifikatprofiltyp:See one of the following topics for help configuring the infrastructure for each type of certificate profile:

Schritt 2: Exportieren des vertrauenswürdigen Zertifikats der StammzertifizierungsstelleStep 2 - Export your trusted root CA certificate

Exportieren Sie das Zertifikat vertrauenswürdigen Stammzertifizierungsstelle als CER-Datei aus der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät, das die ausstellende Zertifizierungsstelle als vertrauenswürdig erachtet.Export the Trusted Root Certification Authorities (CA) certificate as a .cer file from the issuing CA, or from any device that trusts your issuing CA. Exportieren Sie auf keinen Fall den privaten Schlüssel.Do not export the private key.

Sie importieren dieses Zertifikat, wenn Sie ein vertrauenswürdiges Zertifikatprofil einrichten.You'll import this certificate when you set up a trusted certificate profile.

Schritt 3: Erstellen von vertrauenswürdigen ZertifikatprofilenStep 3: Create trusted certificate profiles

Sie müssen ein Profil mit einem vertrauenswürdigen Zertifikat erstellen, bevor Sie ein SCEP- oder PKCS-Zertifikatprofil erstellen können.You must create a trusted certificate profile before you can create a SCEP or PKCS certificate profile. Sie benötigen ein Profil mit einem vertrauenswürdigen Zertifikat und ein SCEP- oder PKCS-Profil für jede Geräteplattform.You need a trusted certificate profile and a SCEP or PKCS profile for each device platform. Der Ablauf des Erstellens vertrauenswürdiger Zertifikate ist für jede Geräteplattform ähnlich.The flow for creating trusted certificates is similar for each device platform.

So erstellen Sie ein vertrauenswürdiges ZertifikatprofilTo create a trusted certificate profile

  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.
  2. Wählen Sie Weitere Dienste > Überwachung und Verwaltung > Intune aus.Choose More Services > Monitoring + Management > Intune.
  3. Wählen Sie auf dem Blatt Intune die Option Gerätekonfiguration aus.On the Intune blade, choose Device configuration.
  4. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Verwalten > Profile aus.On the Device Configuration blade, choose Manage > Profiles.
  5. Wählen Sie auf dem Blatt „Profile“ die Option Profil erstellen aus.On the profiles blade, choose Create Profile.
  6. Geben Sie auf dem Blatt Profil erstellen einen Namen und eine Beschreibung für das vertrauenswürdige Zertifikatprofil ein.On the Create Profile blade, enter a Name and Description for the trusted certificate profile.
  7. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für das vertrauenswürdige Zertifikat aus.From the Platform drop-down list, select the device platform for this trusted certificate. Derzeit können Sie eine der folgenden Plattformen für Zertifikateinstellungen auswählen:Currently, you can choose one of the following platforms for certificate settings:
    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows 10 und höherWindows 10 and later
  8. Wählen Sie in der Dropdownliste Profiltyp die Option Vertrauenswürdiges Zertifikat aus.From the Profile type type drop-down list, choose Trusted certificate.
  9. Navigieren Sie zu dem Zertifikat, das Sie in Aufgabe 1 gespeichert haben, und klicken Sie dann auf OK.Browse to the certificate you saved in task 1, then click OK.
  10. Wählen Sie (nur bei Windows 8.1- und Windows 10-Geräten) den Zielspeicher für das vertrauenswürdige Zertifikat aus:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:
    • Computerzertifikatspeicher – StammComputer certificate store - Root
    • Computerzertifikatspeicher – ZwischenspeicherComputer certificate store - Intermediate
    • Benutzerzertifikatspeicher – ZwischenspeicherUser certificate store - Intermediate
  11. Klicken Sie zum Abschluss auf OK. Navigieren Sie, wenn Sie fertig sind, zurück zum Blatt Profil erstellen, und klicken Sie auf Erstellen.When you're done, choose OK, go back to the Create Profile blade, and hit Create.

Das Profil wird erstellt und auf dem Blatt mit der Profilliste angezeigt.The profile will be created and appears on the profiles list blade.

Wenn Sie fortfahren und dieses Profil Gruppen zuweisen möchten, lesen Sie unter Zuweisen von Geräteprofilen nach.If you want to go ahead and assign this profile to groups, see How to assign device profiles.

Hinweis

Android-Geräte zeigen eine Benachrichtigung an, dass ein Drittanbieter ein vertrauenswürdiges Zertifikat installiert hat.Android devices will display a notice that a third party has installed a trusted certificate.

Schritt 4: Erstellen von SCEP- oder PKCS-ZertifikatprofilenStep 4: Create SCEP or PKCS certificate profiles

Unter den folgenden Themen finden Sie Hilfe zum Konfigurieren und Zuweisen jedes Zertifikatprofiltyps:See one of the following topics for help configuring and assigning each type of certificate profile:

Nachdem Sie ein Profil des vertrauenswürdigen Zertifikats erstellt haben, erstellen Sie SCEP- oder PKCS-Zertifikatprofile für jede Plattform, die Sie verwenden möchten.After you create a trusted certificate profile, create SCEP or PKCS certificate profiles for each platform you want to use. Wenn Sie ein SCEP-Zertifikatprofil erstellen, müssen Sie ein vertrauenswürdiges Zertifikatprofil für dieselbe Plattform angeben.When you create a SCEP certificate profile, you must specify a trusted certificate profile for that same platform. Auf diese Weise werden die beiden Zertifikatprofile verknüpft. Sie müssen jedes Profil trotzdem separat zuweisen.This links the two certificate profiles, but you still must assign each profile separately.

Nächste SchritteNext steps

Allgemeine Informationen zum Zuweisen von Geräteprofilen finden Sie unter Zuweisen von Geräteprofilen.See How to assign device profiles for general information about how to assign device profiles.