Konfigurieren und Verwenden von SCEP-Zertifikaten mit IntuneConfigure and use SCEP certificates with Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Lesen Sie die Einführung in Intune.Read the introduction to Intune.

In diesem Artikel wird erläutert, wie Sie Ihre Infrastruktur konfigurieren und dann SCEP-Zertifikatprofile (Simple Certificate Enrollment Protocol) mit Intune erstellen und zuweisen.This article shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

Konfigurieren der lokalen InfrastrukturConfigure on-premises infrastructure

  • Active Directory-Domäne: Alle in diesem Abschnitt aufgeführten Server (außer dem Webanwendungsproxy-Server) müssen der Active Directory-Domäne angehören.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Zertifizierungsstelle (Certification Authority, CA): Eine Unternehmenszertifizierungsstelle, die auf einer Enterprise-Edition von Windows Server 2008 R2 oder höher ausgeführt wird.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Eine eigenständige Zertifizierungsstelle wird nicht unterstützt.A Standalone CA is not supported. Informationen finden Sie unter Installieren der Zertifizierungsstelle.For details, see Install the Certification Authority. Wenn die Zertifizierungsstelle unter Windows Server 2008 R2 ausgeführt wird, müssen Sie den Hotfix von KB2483564 installieren.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • NDES-Server: Auf einem Server mit Windows Server 2012 R2 oder höher müssen Sie den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) einrichten.NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune unterstützt die Verwendung von NDES nicht, wenn es auf einem Server ausgeführt wird, der auch die Unternehmenszertifizierungsstelle ausführt.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Im Leitfaden für den Registrierungsdienst für Netzwerkgeräte finden Sie Anweisungen zum Konfigurieren von Windows Server 2012 R2 als Host für den Registrierungsdienst für Netzwerkgeräte (NDES).See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Der NDES-Server muss in die Domäne eingebunden werden, die die Zertifizierungsstelle hostet, er darf sich aber nicht auf dem gleichen Server befinden wie die Zertifizierungsstelle.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Weitere Informationen zum Bereitstellen des NDES-Servers in einer separaten Gesamtstruktur, in einem isolierten Netzwerk oder in einer internen Domäne finden Sie unter Verwenden eines Richtlinienmoduls mit dem Registrierungsdienst für Netzwerkgeräte.More information about deploying the NDES server in a separate forest, isolated network, or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Certificate Connector: Verwenden Sie das Azure-Portal zum Herunterladen des Installationsprogramms für den Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (ndesconnectorssetup.exe). Dann können Sie ndesconnectorssetup.exe auf dem Server ausführen, der die Rolle „Registrierungsdienst für Netzwerkgeräte“ (Network Device Enrollment Service, NDES) hostet, wo Sie den Certificate Connector installieren möchten.Then you can run ndesconnectorssetup.exe on the server hosting the Network Device Enrollment Service (NDES) role where you want to install the Certificate Connector.

  • Webanwendungsproxy-Server (optional): Verwenden Sie einen Server unter Windows Server 2012 R2 oder höher als Webanwendungsproxy-Server (WAP).Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Diese Konfiguration:This configuration:

    • ermöglicht Geräten das Empfangen von Zertifikaten über eine Internetverbindung,Allows devices to receive certificates using an Internet connection.
    • ist eine Sicherheitsempfehlung, wenn Geräte eine Verbindung über das Internet herstellen, um Zertifikate zu empfangen oder zu erneuern.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

Zusätzliche InformationenAdditional

  • Auf dem Server, der den WAP hostet, muss ein Update installiert werden , das die Unterstützung für lange URLs aktiviert, die vom Registrierungsdienst für Netzwerkgeräte verwendet werden.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Dieses Update ist im Updaterollup vom Dezember 2014enthalten oder kann auch einzeln von KB3011135heruntergeladen werden.This update is included with the December 2014 update rollup, or individually from KB3011135.
  • Der WAP-Server muss über ein SSL-Zertifikat verfügen, das mit dem Namen übereinstimmt, der für externe Clients veröffentlicht wird. Außerdem muss das SSL-Zertifikat, das auf dem NDES-Server verwendet wird, vertrauenswürdig sein.The WAP server must have an SSL certificate that matches the name being published to external clients, and trust the SSL certificate used on the NDES server. Diese Zertifikate ermöglichen dem WAP-Server, die SSL-Verbindung von Clients zu beenden und eine neue SSL-Verbindung mit dem NDES-Server herzustellen.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server.

Weitere Informationen finden Sie unter Planzertifikate und Arbeiten mit dem Webanwendungsproxy.For more information, see Plan certificates for WAP and general information about WAP servers.

NetzwerkanforderungenNetwork requirements

Für Datenverkehr aus dem Internet zum Umkreisnetzwerk: Lassen Sie über Port 443 Datenverkehr von allen Hosts/IP-Adressen im Internet zum NDES-Server zu.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Für Datenverkehr aus dem Umkreisnetzwerk zum vertrauenswürdigen Netzwerk: Lassen Sie alle Ports und Protokolle zu, die für den Domänenzugriff auf den in die Domäne eingebundenen NDES-Server benötigt werden.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Der NDES-Server benötigt Zugriff auf die Zertifikatserver, DNS-Server, Configuration Manager-Server und Domänencontroller.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers, and domain controllers.

Es wird empfohlen, den NDES-Server über einen Proxy zu veröffentlichen, z. B. über den Azure AD-Anwendungsproxy, Web Access Proxy oder einen Proxy eines Drittanbieters.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Zertifikate und VorlagenCertificates and templates

ObjektObject DetailsDetails
ZertifikatvorlageCertificate Template Konfigurieren Sie diese Vorlage in der ausstellenden Zertifizierungsstelle.Configure this template on your issuing CA.
ClientauthentifizierungszertifikatClient authentication certificate Dieses Zertifikat, das von der ausstellenden oder öffentlichen Zertifizierungsstelle angefordert wurde, installieren Sie auf dem NDES-Server.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
ServerauthentifizierungszertifikatServer authentication certificate Dieses SSL-Zertifikat, das von der ausstellenden oder öffentlichen Zertifizierungsstelle angefordert wurde, installieren und binden Sie in IIS auf dem NDES-Server.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Zertifikat der vertrauenswürdigen StammzertifizierungsstelleTrusted Root CA certificate Sie exportieren dieses Zertifikat als CER-Datei aus der Stammzertifizierungsstelle oder von einem Gerät, das der Stammzertifizierungsstelle vertraut, und weisen es Geräten mithilfe des Zertifikatprofils der vertrauenswürdigen Zertifizierungsstelle zu.You export this certificate as a .cer file from the root CA or any device that trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Sie verwenden für jede Betriebssystemplattform ein einzelnes Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und ordnen es dem jeweiligen vertrauenswürdigen Stammzertifikatprofil zu, das Sie erstellen.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Sie können bei Bedarf zusätzliche vertrauenswürdige Stammzertifizierungsstellenzertifikate verwenden.You can use additional Trusted Root CA certificates when needed. Sie können dies zum Beispiel vornehmen, um einer Zertifizierungsstelle eine Vertrauensstellung zu gewähren, die die Serverauthentifizierungszertifikate für Ihre WLAN-Zugriffspunkte signiert.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

KontenAccounts

NameName DetailsDetails
NDES-DienstkontoNDES service account Geben Sie ein Domänenbenutzerkonto ein, das als NDES-Dienstkonto verwendet werden soll.Enter a domain user account to use as the NDES Service account.

Konfigurieren der InfrastrukturConfigure your infrastructure

Bevor Sie Zertifikatprofile konfigurieren können, müssen Sie die folgenden Aufgaben ausführen.Before you can configure certificate profiles, complete the following tasks. Diese Aufgaben setzen Kenntnisse in Windows Server 2012 R2 und Active Directory-Zertifikatdiensten voraus:These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Schritt 1: Erstellen eines NDES-DienstkontosStep 1: Create an NDES service account

Schritt 2: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 2: Configure certificate templates on the certification authority

Schritt 3: Konfigurieren der Voraussetzungen auf dem NDES-ServerStep 3: Configure prerequisites on the NDES server

Schritt 4: Konfigurieren von NDES für die Verwendung mit IntuneStep 4: Configure NDES for use with Intune

Schritt 5: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 5: Enable, install, and configure the Intune Certificate Connector

Schritt 1: Erstellen eines NDES-DienstkontosStep 1 - Create an NDES service account

Erstellen Sie ein Domänenbenutzerkonto, das als NDES-Dienstkonto verwendet werden soll.Create a domain user account to use as the NDES service account. Sie geben dieses Konto an, wenn Sie Vorlagen auf der ausstellenden Zertifizierungsstelle konfigurieren, bevor Sie NDES installieren und konfigurieren.You enter this account when you configure templates on the issuing CA before you install and configure NDES. Stellen Sie sicher, dass der Benutzer über die Standardrechte Lokal anmelden, Anmelden als Dienst und Anmelden als Batchauftrag verfügt.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. In einigen Organisationen werden diese Rechte durch Härtungsrichtlinien deaktiviert.Some organizations have hardening policies that disable those rights.

Schritt 2: Konfigurieren von Zertifikatvorlagen für die ZertifizierungsstelleStep 2 - Configure certificate templates on the certification authority

In dieser Aufgabe können Sie die folgenden Aktionen durchführen:In this task, you:

  • Konfigurieren einer Zertifikatvorlage für NDESConfigure a certificate template for NDES
  • Veröffentlichen der Zertifikatvorlage für NDESPublish the certificate template for NDES
Konfigurieren der ZertifizierungsstelleConfigure the certification authority
  1. Melden Sie sich als Unternehmensadministrator an.Sign in as an enterprise administrator.

  2. Verwenden Sie das Snap-In der Zertifizierungsvorlage auf der Zertifizierungsstelle, um eine neue benutzerdefinierte Vorlage zu erstellen.On the issuing CA, use the Certificate Templates snap-in to create a new custom template. Kopieren Sie alternativ eine vorhandene Vorlage, und aktualisieren Sie dann die vorhandene Vorlage (z.B. die Vorlage „Benutzer“) zur Verwendung mit NDES.Or, copy an existing template, and then update the existing template (like the User template) for use with NDES.

    Hinweis

    Die NDES-Zertifikatvorlage muss auf einer v2-Zertifikatvorlage (mit Windows 2003-Kompatibilität) basieren.The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    Die Vorlage muss wie folgt konfiguriert sein:The template must have the following configurations:

    • Geben Sie einen aussagekräftigen Vorlagenanzeigenamen für die Vorlage ein.Enter a friendly Template display name for the template.

    • Klicken Sie unter Antragstellername auf Informationen werden in der Anforderung angegeben.In Subject Name, select Supply in the request. (Sicherheit wird durch das Intune-Richtlinienmodul für NDES erzwungen.)(Security is enforced by the Intune policy module for NDES).

    • Stellen Sie sicher, dass die Beschreibung der Anwendungsrichtlinien unter Erweiterungen die Clientauthentifizierung umfasst.In Extensions, confirm the Description of Application Policies includes Client Authentication.

      Wichtig

      Bearbeiten Sie für iOS- und macOS-Zertifikatvorlagen auf der Registerkarte Erweiterungen die Option Schlüsselverwendung, und stellen Sie sicher, dass die Option Signatur ist Ursprungsnachweis nicht aktiviert ist.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage, and confirm Signature is proof of origin is not selected.

    • Fügen Sie unter Sicherheit das NDES-Dienstkonto hinzu, und weisen Sie ihm Berechtigungen zum Registrieren der Vorlage zu.In Security, add the NDES service account, and give it Enroll permissions to the template. Intune-Administratoren, die SCEP-Profile erstellen, benötigen die Berechtigung Lesen, damit sie beim Erstellen von SCEP-Profilen zu der Vorlage navigieren können.Intune admins who create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

      Hinweis

      Zum Widerrufen von Zertifikaten benötigt das NDES-Dienstkonto die Berechtigung Zertifikate ausstellen und verwalten für jede Zertifikatvorlage, die von einem Zertifikatprofil verwendet wird.To revoke certificates, the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Prüfen Sie auf der Registerkarte Allgemein die Gültigkeitsdauer der Vorlage.Review the Validity period on the General tab of the template. In der Standardeinstellung verwendet Intune den in der Vorlage konfigurierten Wert.By default, Intune uses the value configured in the template. Sie haben jedoch die Möglichkeit, die Zertifizierungsstelle so zu konfigurieren, dass dem Antragsteller ermöglicht wird, einen anderen Wert einzugeben, den Sie dann in der Intune-Verwaltungskonsole festlegen können.However, you have the option to configure the CA to allow the requester to enter a different value, which you can then set from within the Intune Administrator console. Wenn Sie immer den in der Vorlage festgelegten Wert verwenden möchten, überspringen Sie den Rest dieses Schritts.If you want to always use the value in the template, skip the remainder of this step.

    Wichtig

    iOS und macOS verwenden immer den in der Vorlage festgelegten Wert, unabhängig von anderen Konfigurationen, die Sie vornehmen.iOS and macOS always use the value set in the template, regardless of other configurations you make.

Beispiel für die Konfiguration einer Vorlage:Example template configuration:

Vorlage, Registerkarte „Anforderungsverarbeitung“

Vorlage, Registerkarte „Antragstellername“

Vorlage, Registerkarte „Sicherheit“

Vorlage, Registerkarte „Erweiterungen“

Vorlage, Registerkarte „Ausstellungsvoraussetzungen“

Wichtig

Fügen Sie unter „Anwendungsrichtlinien“ nur die erforderlichen Anwendungsrichtlinien hinzu.For Application Policies, only add the application policies required. Sprechen Sie die auszuwählenden Optionen mit Ihren Sicherheitsadministratoren ab.Confirm your choices with your security admins.

Konfigurieren Sie die Zertifizierungsstelle, um dem Antragsteller zu ermöglichen, die Gültigkeitsdauer einzugeben:Configure the CA to allow the requester to enter the validity period:

  1. Führen Sie in der Zertifizierungsstelle die folgenden Befehle aus:On the CA run the following commands:

    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Verwenden Sie auf der ausstellenden Zertifizierungsstelle das Zertifizierungsstellen-Snap-In, um die Zertifikatvorlage zu veröffentlichen.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Wählen Sie den Knoten Zertifikatvorlagen aus, klicken Sie auf Aktion > Neu > Auszustellende Zertifikatvorlage, und wählen Sie dann die Vorlage aus, die Sie in Schritt 2 erstellt haben.Select the Certificate Templates node, click Action > New > Certificate Template to Issue, and then select the template you created in step 2.

  3. Überprüfen Sie, ob die Vorlage veröffentlicht wurde, indem Sie sie im Ordner Zertifikatvorlagen anzeigen.Validate that the template published by viewing it under the Certificate Templates folder.

Schritt 3: Konfigurieren der Voraussetzungen auf dem NDES-ServerStep 3 - Configure prerequisites on the NDES server

In dieser Aufgabe können Sie die folgenden Aktionen durchführen:In this task, you:

  • Hinzufügen von NDES zu einem Windows-Server und Konfigurieren von IIS zur Unterstützung von NDESAdd NDES to a Windows Server and configure IIS to support NDES
  • Hinzufügen des NDES-Dienstkontos zur Gruppe „IIS_IUSR“Add the NDES Service account to the IIS_IUSR group
  • Festlegen des SPN für das NDES-DienstkontoSet the SPN for the NDES Service account
  1. Auf dem Server, der NDES hostet, müssen Sie sich als Unternehmensadministrator anmelden und dann den Assistenten zum Hinzufügen von Rollen und Features zum Installieren von NDES verwenden:On the server that hosts NDES, sign in as an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Wählen Sie im Assistenten die Option Active Directory-Zertifikatdienste , um Zugriff auf die Rollendienste der AD-Zertifikatdienste zu erhalten.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Wählen Sie die Option Registrierungsdienst für Netzwerkgeräte, deaktivieren Sie die Option Zertifizierungsstelle, und schließen Sie den Assistenten dann ab.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tipp

      Klicken Sie im Installationsfortschritt nicht auf Schließen.In Installation progress, do not check Close. Klicken Sie stattdessen auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.Instead, select the Configure Active Directory Certificate Services on the destination server link. Daraufhin wird der Assistent zur AD CS-Konfiguration geöffnet, den Sie für die nächste Aufgabe verwenden.The AD CS Configuration wizard opens, which you use for the next task. Nachdem der Assistent für die AD CS-Konfiguration geöffnet wurde, können Sie den Assistenten zum Hinzufügen von Rollen und Features schließen.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Wenn NDES zum Server hinzugefügt wird, installiert der Assistent ebenfalls IIS.When NDES is added to the server, the wizard also installs IIS. Stellen Sie sicher, dass IIS wie folgt konfiguriert ist:Ensure IIS has the following configurations:

    3. Webserver > Sicherheit > AnforderungsfilterungWeb Server > Security > Request Filtering

    4. Webserver > Anwendungsentwicklung > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Bei der Installation von ASP.NET 3.5 wird .NET Framework 3.5 installiert.Installing ASP.NET 3.5 installs .NET Framework 3.5. Installieren Sie bei Installation von .NET Framework 3.5 sowohl das Feature .NET Framework 3.5 als auch die HTTP-Aktivierung.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

    5. Webserver > Anwendungsentwicklung > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Bei der Installation von ASP.NET 4.5 wird .NET Framework 4.5 installiert.Installing ASP.NET 4.5 installs .NET Framework 4.5. Installieren Sie bei der Installation von .NET Framework 4.5 das Kernfeature .NET Framework 4.5, das Feature ASP.NET 4.5 und das Feature WCF-Dienste > HTTP-Aktivierung.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

    6. Verwaltungstools > IIS 6-Verwaltungskompatibilität > IIS 6-MetabasiskompatibilitätManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

    7. Verwaltungstools > IIS 6-Verwaltungskompatibilität > Kompatibilität mit WMI für IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    8. Fügen Sie auf dem Server das NDES-Dienstkonto als Mitglied der Gruppe IIS_IUSR hinzu.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus, um den SPN (Service Principal Name, Dienstprinzipalname) des NDES-Dienstkontos festzulegen:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

    setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>

    Wenn der NDES-Server zum Beispiel den Namen Server01hat, die Domäne Contoso.comist und das Dienstkonto NDESServicelautet, verwenden Sie Folgendes:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

    setspn –s http/Server01.contoso.com contoso\NDESService

Schritt 4: Konfigurieren von NDES für die Verwendung mit IntuneStep 4 - Configure NDES for use with Intune

In dieser Aufgabe können Sie die folgenden Aktionen durchführen:In this task, you:

  • Konfigurieren von NDES für die Verwendung mit der ausstellenden ZertifizierungsstelleConfigure NDES for use with the issuing CA
  • Binden des Serverauthentifizierungszertifikats (SSL) in IISBind the server authentication (SSL) certificate in IIS
  • Konfigurieren der Anforderungsfilterung in IISConfigure Request Filtering in IIS
  1. Öffnen Sie den AD CS-Konfigurations-Assistent auf dem NDES-Server, und nehmen Sie dann die folgenden Änderungen vor:On the NDES Server, open the AD CS Configuration wizard, and then make the following updates:

    Tipp

    Dieser Assistent ist bereits geöffnet, wenn Sie in der vorherigen Aufgabe auf den Link geklickt haben.If you clicked the link in the previous task, this wizard is already open. Andernfalls öffnen Sie den Server-Manager, um auf die Konfiguration nach der Bereitstellung der Active Directory-Zertifikatdienste zuzugreifen.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Wählen Sie unter Rollendienste die Option Registrierungsdienst für Netzwerkgeräte aus.In Role Services, select the Network Device Enrollment Service
    • Geben Sie unter Dienstkonto für NDES das NDES-Dienstkonto an.In Service Account for NDES, enter the NDES Service Account
    • Klicken Sie unter Zertifizierungsstelle für NDES auf Auswählen, und wählen Sie dann die ausstellende Zertifizierungsstelle aus, auf der Sie die Zertifikatvorlage konfiguriert haben.In CA for NDES, click Select, and then select the issuing CA where you configured the certificate template
    • Legen Sie unter Kryptografie für NDES die Schlüssellänge entsprechend den Anforderungen Ihres Unternehmens fest.In Cryptography for NDES, set the key length to meet your company requirements.
    • Klicken Sie unter Bestätigung auf Konfigurieren, um den Assistenten zu beenden.In Confirmation, select Configure to complete the wizard.
  2. Aktualisieren Sie nach Beendigung des Assistenten den folgenden Registrierungsschlüssel auf dem NDES-Server:After the wizard completes, update the following registry key on the NDES Server:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Identifizieren Sie zunächst den Zweck der Zertifikatvorlage (auffindbar in der Registerkarte Anforderungsverarbeitung), um diesen Schlüssel zu aktualisieren.To update this key, identify the certificate template's Purpose (found on its Request Handling tab). Aktualisieren Sie dann den entsprechenden Registrierungseintrag, indem Sie die vorhandenen Daten mit den Namen der Zertifikatvorlage ersetzen (nicht mit dem Anzeigenamen der Vorlage), den Sie in Aufgabe 1 angegeben haben.Then, update the corresponding registry entry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. In der folgenden Tabelle ist der Zertifikatvorlagenzweck den Werten in der Registrierung zugeordnet:The following table maps the certificate template purpose to the values in the registry:

    Zertifikatvorlagenzweck (auf der Registerkarte „Anforderungsverarbeitung“)Certificate template Purpose (On the Request Handling tab) Zu bearbeitender RegistrierungswertRegistry value to edit In der Intune-Verwaltungskonsole für das SCEP-Profil angezeigter WertValue seen in the Intune admin console for the SCEP profile
    SignaturSignature SignatureTemplateSignatureTemplate Digitale SignaturDigital Signature
    VerschlüsselungEncryption EncryptionTemplateEncryptionTemplate SchlüsselverschlüsselungKey Encipherment
    Signatur und VerschlüsselungSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate SchlüsselverschlüsselungKey Encipherment
    Digitale SignaturDigital Signature

    Wenn der Zweck der Zertifizierungsvorlage zum Beispiel Verschlüsselungist, bearbeiten Sie den Wert EncryptionTemplate so, dass er dem Namen der Zertifikatvorlage entspricht.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Der NDES-Server empfängt sehr lange URLs (Abfragen), weshalb Sie zwei Registrierungseinträge hinzufügen müssen:The NDES server receives long URLs (queries), which require you to add two registry entries:

    StandortLocation WertValue TypType DatenData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (Dezimal)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (Dezimal)65534 (decimal)
  4. Wählen Sie in IIS-Manager Default Web Site > Request Filtering > Edit Feature Setting (Standardwebsite > Abfragefilterung > Featureeinstellungen bearbeiten) aus.In IIS manager, select Default Web Site > Request Filtering > Edit Feature Setting. Ändern Sie wie im Folgenden dargestellt die Maximale URL-Länge und die Maximale Länge einer Abfragezeichenfolge in 65534:Change the Maximum URL length and Maximum query string to 65534, as shown:

    Maximale Länge für URL und Abfragezeichenfolge in IIS

  5. Starten Sie den Server neu.Restart the server. Das Ausführen von iisreset auf dem Server reicht nicht aus, um diese Änderungen abzuschließen.Running iisreset on the server is not sufficient to finalize these changes.

  6. Navigieren Sie zu http://*FQDN*/certsrv/mscep/mscep.dll.Browse to http://*FQDN*/certsrv/mscep/mscep.dll. Eine NDES-Seite wird angezeigt, die der Folgenden ähnelt:You should see an NDES page similar to the following:

    Testen von NDES

    Wenn Sie die Meldung 503 – Dienst nicht verfügbar erhalten, überprüfen Sie die Ereignisanzeige.If you get a 503 Service unavailable, check the event viewer. Wahrscheinlich wurde der Anwendungspool beendet, weil eine notwendige Berechtigung für den NDES-Benutzer fehlt.It's likely that the application pool is stopped due to a missing right for the NDES user. Die entsprechenden Berechtigungen sind in Aufgabe 1 beschrieben.Those rights are described in Task 1.

Installieren und Binden von Zertifikaten auf dem NDES-ServerInstall and bind certificates on the NDES Server
  1. Fordern Sie auf dem NDES-Server ein Serverauthentifizierungszertifikat von der internen oder einer öffentlichen Zertifizierungsstelle an, und installieren Sie es.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Sie binden dieses SSL-Zertifikat anschließend in IIS.You then bind this SSL certificate in IIS.

    Tipp

    Nachdem Sie das SSL-Zertifikat in IIS gebunden haben, installieren Sie ein Clientauthentifizierungszertifikat.After you bind the SSL certificate in IIS, install a client authentication certificate. Dieses Zertifikat kann von jeder Zertifizierungsstelle ausgestellt werden, die vom NDES-Server als vertrauenswürdig eingestuft wird.This certificate can be issued by any CA that is trusted by the NDES Server. Obwohl es sich nicht um die bewährte Methode handelt, können Sie das gleiche Zertifikat für die Server und die Clientauthentifizierung verwenden, solange das Zertifikat über beide erweiterten Schlüsselverwendungen (EKUs) verfügt.Although it's not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKUs). In den folgenden Schritten finden Sie Informationen zu diesen Authentifizierungszertifikaten.Review the following steps for information about these authentication certificates.

    1. Nachdem Sie das Serverauthentifizierungszertifikat erhalten haben, öffnen Sie IIS-Manager, und wählen Sie Standardwebsite aus.After you get the server authentication certificate, open IIS Manager, and select the Default Web Site. Klicken Sie im Bereich Aktionen auf Bindungen.In the Actions pane, select Bindings .

    2. Klicken Sie auf Hinzufügen, legen Sie als Typ die Option httpsfest, und stellen Sie sicher, dass der Port 443ist.Select Add, set Type to https, and then confirm the port is 443. Für eigenständiges Intune wird nur Port 443 unterstützt.Only port 443 is supported for standalone Intune.

    3. Geben Sie unter SSL-Zertifikat das Serverauthentifizierungszertifikat ein.For SSL certificate, enter the server authentication certificate.

      Hinweis

      Wenn der NDES-Server einen externen und einen internen Namen für einzelne Netzwerkadressen verwendet, muss das Serverauthentifizierungszertifikat Folgendes enthalten:If the NDES server uses an external and internal name for a single network address, then the server authentication certificate must have:

      • Einen Antragstellernamen mit einem externen öffentlichen ServernamenA Subject Name with an external public server name
      • Einen alternativen Antragstellernamen, der den internen Servernamen enthältA Subject Alternative Name that includes the internal server name
  2. Fordern Sie auf dem NDES-Server ein Clientauthentifizierungszertifikat von der internen oder einer öffentlichen Zertifizierungsstelle an, und installieren Sie es.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Dies kann dasselbe Zertifikat wie das Serverauthentifizierungszertifikat sein, wenn dieses Zertifikat über beide Funktionen verfügt.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Das Clientauthentifizierungszertifikat muss die folgenden Eigenschaften aufweisen:The client authentication certificate must have the following properties:

    • Erweiterte Schlüsselverwendung: Dieser Wert muss die Clientauthentifizierung umfassen.Enhanced Key Usage: This value must include Client Authentication

    • Antragstellername: Dieser Wert muss mit dem DNS-Namen des Servers identisch sein, auf dem das Zertifikat installiert wird (d.h. dem NDES-Server).Subject Name: This value must be equal to the DNS name of the server where you are installing the certificate (the NDES Server)

Konfigurieren der IIS-AnforderungsfilterungConfigure IIS request filtering
  1. Öffnen Sie auf dem NDES-Server den IIS-Manager, wählen Sie im Bereich Verbindungen die Option Standardwebsite, und öffnen Sie dann die Anforderungsfilterung.On the NDES Server, open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Klicken Sie auf Featureeinstellungen bearbeiten, und legen Sie dann die folgenden Werte fest:Select Edit Feature Settings, and then set the values:

    • Abfragezeichenfolge (Bytes) = 65534query string (Bytes) = 65534
    • Maximale URL-Länge (Bytes) = 65534Maximum URL length (Bytes) = 65534
  3. Überprüfen Sie den folgenden Registrierungsschlüssel:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Stellen Sie sicher, dass die folgenden Werte als DWORD-Einträge festgelegt sind:Confirm the following values are set as DWORD entries:

    • Name: MaxFieldLengthmit einem Dezimalwert von 65534Name: MaxFieldLength, with a decimal value of 65534
    • Name: MaxRequestBytesmit einem Dezimalwert von 65534Name: MaxRequestBytes, with a decimal value of 65534
  4. Starten Sie den NDES-Server neu.Reboot the NDES server. Der Server ist jetzt bereit zur Unterstützung des Zertifikatconnectors.The server is now ready to support the Certificate Connector.

Schritt 5: Aktivieren, Installieren und Konfigurieren des Intune Certificate ConnectorsStep 5 - Enable, install, and configure the Intune certificate connector

In dieser Aufgabe können Sie die folgenden Aktionen durchführen:In this task, you:

  • Aktivieren der Unterstützung für NDES in IntuneEnable support for NDES in Intune.
  • Laden Sie den Certificate Connector herunter, und installieren und konfigurieren Sie ihn auf dem Server, der die Rolle „Registrierungsdienst für Netzwerkgeräte“ (Network Device Enrollment Service, NDES) auf einem Server in Ihrer Umgebung hostet.Download, install, and configure the Certificate Connector on the server hosting the Network Device Enrollment Service (NDES) role a server in your environment. Zum Erhöhen der Skalierbarkeit der NDES-Implementierung ihrer Organisation können Sie mehrere NDES-Server mit einem Microsoft Intune Certificate Connector auf jedem NDES-Server installieren.To increase the scale of the NDES implementation in your organization, you can install multiple NDES servers with a Microsoft Intune Certificate Connector on each NDES server.
Herunterladen, Installieren und Konfigurieren von Certificate ConnectorDownload, install, and configure the certificate connector

ConnectorDownload

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Klicken Sie auf Alle Dienste, filtern Sie nach Intune, und klicken Sie dann auf Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.

  3. Klicken Sie auf Gerätekonfiguration und dann auf Zertifizierungsstelle.Select Device configuration, and then select Certification Authority.

  4. Klicken Sie auf Hinzufügen und dann auf Connectordatei herunterladen.Select Add, and Download the connector file. Speichern Sie den Download an einem Speicherort, auf den Sie auf dem Server zugreifen können, auf dem der Connector installiert wird.Save the download to a location where you can access it from the server where you're going to install it.

  5. Nachdem der Download abgeschlossen ist, führen Sie das heruntergeladene Installationsprogramm (ndesconnectorssetup.exe) auf dem Server aus, der die Rolle „Registrierungsdienst für Netzwerkgeräte“ (Network Device Enrollment Service, NDES) hostet.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on the server hosting the Network Device Enrollment Service (NDES) role. Das Installationsprogramm installiert auch das Richtlinienmodul für NDES und den CRP-Webdienst.The installer also installs the policy module for NDES and the CRP Web Service. (Der CRP-Webdienst „CertificateRegistrationSvc“ wird als Anwendung in IIS ausgeführt.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Hinweis

    Bei der Installation von NDES für eigenständiges Intune wird der CRP-Dienst automatisch mit dem Zertifikatconnector installiert.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Bei Verwendung von Intune mit dem Konfigurations-Manager installieren Sie den Zertifikatregistrierungspunkt als eine separate Standortsystemrolle.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  6. Wenn Sie zur Eingabe des Clientzertifikats für den Certificate Connector aufgefordert werden, wählen Sie Auswählen aus, und wählen Sie das Clientauthentifizierungszertifikat aus, das Sie in Aufgabe 3 auf dem NDES-Server installiert haben.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Nachdem Sie das Clientauthentifizierungszertifikat ausgewählt haben, wird erneut die Oberfläche Clientzertifikat für den Microsoft Intune-Zertifikatconnector angezeigt.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Auch wenn das ausgewählte Zertifikat nicht angezeigt wird, klicken Sie auf Weiter, um die Eigenschaften des Zertifikats anzuzeigen.Although the certificate you selected is not shown, select Next to view the properties of that certificate. Klicken Sie auf Weiter und anschließend auf Installieren.Select Next, and then Install.

  7. Klicken Sie nach Abschluss des Assistenten, jedoch vor dem Schließen des Assistenten auf Zertifikatconnector-Benutzeroberfläche starten.After the wizard completes, but before closing the wizard, Launch the Certificate Connector UI.

    Tipp

    Wenn Sie den Assistenten schließen, bevor Sie die Benutzeroberfläche des Zertifikatconnectors starten, können Sie sie mit dem folgenden Befehl erneut öffnen:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    \NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  8. Gehen Sie auf der Benutzeroberfläche von Zertifikatconnector so vor:In the Certificate Connector UI:

    Klicken Sie auf Anmelden, und geben Sie die Anmeldeinformationen des Intune-Dienstadministrators oder für einen Mandantenadministrator mit der globalen Administratorberechtigung ein.Select Sign In, and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Wichtig

    Dem Benutzerkonto muss eine gültige Intune-Lizenz zugewiesen werden.The user account must be assigned a valid Intune license. Wenn das Benutzerkonto nicht über eine gültige Intune-Lizenz verfügt, schlägt „NDESConnectorUI.exe“ fehl.If the user account does not have a valid Intune license, then NDESConnectorUI.exe fails.

    Wenn Ihr Unternehmen einen Proxyserver verwendet und der Proxy erforderlich ist, damit der NDES-Server auf das Internet zugreifen kann, klicken Sie auf Proxyserver verwenden, und geben Sie dann den Proxyservernamen, den Port und die Kontoanmeldedaten für die Verbindung ein.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, select Use proxy server, and then enter the proxy server name, port, and account credentials to connect.

    Wählen Sie die Registerkarte Erweitert aus, und geben Sie anschließend die Anmeldeinformationen für ein Konto ein, das über die Berechtigung Zertifikate ausstellen und verwalten für die ausstellende Zertifizierungsstelle verfügt.Select the Advanced tab, and then enter credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority. Übernehmen Sie Ihre Änderungen.Apply your changes.

    Sie können jetzt die Benutzeroberfläche des Zertifikatconnectors schließen.You can now close the Certificate Connector UI.

  9. Öffnen Sie eine Eingabeaufforderung, geben Sie services.msc ein, und drücken Sie dann die EINGABETASTE.Open a command prompt, enter services.msc, and then Enter. Führen Sie einen Rechtsklick auf Intune-Connectordienst aus, und wählen Sie Neu starten aus.Right-click the Intune Connector Service, and Restart.

Öffnen Sie zum Überprüfen, ob der Dienst ausgeführt wird, einen Browser, und geben Sie die folgende URL ein.To validate that the service is running, open a browser, and enter the following URL. Es sollte ein 403-Fehler zurückgegeben werden:It should return a 403 error:

http://<FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Erstellen eines SCEP-ZertifikatprofilsCreate a SCEP certificate profile

  1. Öffnen Sie Microsoft Intune im Azure-Portal.In the Azure portal, open Microsoft Intune.

  2. Klicken Sie auf Gerätekonfiguration und anschließend auf Profile und Profil erstellen.Select Device configuration, select Profiles, and select Create profile.

  3. Geben Sie für das SCEP-Zertifikatprofil einen Namen und eine Beschreibung ein.Enter a Name and Description for the SCEP certificate profile.

  4. Wählen Sie in der Dropdownliste Plattform die Geräteplattform für dieses SCEP-Zertifikat aus.From the Platform drop-down list, select the device platform for this SCEP certificate. Derzeit können Sie eine der folgenden Plattformen für Einstellungen für Geräteeinschränkungen auswählen:Currently, you can select one of the following platforms for device restriction settings:

    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 und höherWindows 8.1 and later
    • Windows 10 und höherWindows 10 and later
  5. Wählen Sie in der Dropdownliste Profiltyp die Option SCEP-Zertifikat aus.From the Profile type drop-down list, select SCEP certificate.

  6. Konfigurieren Sie im Bereich SCEP-Zertifikat die folgenden Einstellungen:On the SCEP Certificate pane, configure the following settings:

    • Gültigkeitsdauer des Zertifikats: Wenn Sie den Befehl certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE auf der ausstellenden Zertifizierungsstelle ausgeführt haben, die eine benutzerdefinierte Gültigkeitsdauer ermöglicht, können Sie die verbleibende Dauer bis zum Ablauf des Zertifikats eingeben.Certificate validity period: If you ran the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can enter the amount of remaining time before the certificate expires.
      Sie können einen niedrigeren Wert als den für die Gültigkeitsdauer in der Zertifikatvorlage eingeben, aber keinen höheren.You can enter a value that is lower than the validity period in the certificate template, but not higher. Wenn die Gültigkeitsdauer des Zertifikats in der Zertifikatvorlage beispielsweise zwei Jahre beträgt, können Sie als Wert „ein Jahr“ eingeben, aber nicht „fünf Jahre“.For example, if the certificate validity period in the certificate template is two years, you can enter a value of one year, but not a value of five years. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein.The value must also be lower than the remaining validity period of the issuing CA's certificate.

    • Schlüsselspeicheranbieter (KSP): (Windows Phone 8.1, Windows 8.1, Windows 10) Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10): Enter where the key to the certificate is stored. Wählen Sie einen der folgenden Werte aus:Choose from one of the following values:

      • Bei TPM-KSP (Trusted Platform Module) registrieren, falls vorhanden, andernfalls Software-KSPEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Bei TPM-KSP (Trusted Platform Module) registrieren, andernfalls FehlerEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Bei Passport registrieren, andernfalls Fehler (Windows 10 und höher)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Bei Software-KSP registrierenEnroll to Software KSP
    • Format des Antragstellernamens: Wählen Sie in der Liste aus, wie Intune den Antragstellernamen in der Zertifikatanforderung automatisch erstellt.Subject name format: From the list, select how Intune automatically creates the subject name in the certificate request. Wenn das Zertifikat für einen Benutzer bestimmt ist, können Sie auch die E-Mail-Adresse des Benutzers im Antragstellernamen einschließen.If the certificate is for a user, you can also include the user's email address in the subject name. Es stehen die folgenden Optionen zur Auswahl:Choose from:

      • Nicht konfiguriertNot configured

      • Allgemeiner NameCommon name

      • Allgemeiner Name einschließlich E-Mail-AdresseCommon name including email

      • Allgemeiner Name als E-Mail-AdresseCommon name as email

      • IMEI (International Mobile Equipment Identity)IMEI (International Mobile Equipment Identity)

      • SeriennummerSerial number

      • Benutzerdefiniert: Wenn Sie diese Option auswählen, wird ein weiteres Dropdownfeld angezeigt.Custom: When you select this option, another drop-down field is displayed. In diesem Feld können Sie ein benutzerdefiniertes Format für den Antragstellernamen eingeben.Use this field to enter a custom subject name format. Das benutzerdefinierte Format unterstützt zwei Variablen: Allgemeiner Name (CN) und E-Mail (E).Custom format supports two variables: Common Name (CN) and Email (E). Allgemeiner Name (CN) kann auf eine der folgenden Variablen festgelegt werden:Common Name (CN) can be set to any of the following variables:

        • CN={{UserName}}: Der Benutzerprinzipalname des Benutzers, z.B. janedoe@contoso.com.CN={{UserName}}: The user principle name of the user, such as janedoe@contoso.com

        • CN={{AAD_Device_ID}}: Eine ID, die zugewiesen wird, wenn Sie ein Gerät in Azure Active Directory (AD) registrieren.CN={{AAD_Device_ID}}: An ID assigned when you register a device in Azure Active Directory (AD). Diese ID wird in der Regel für die Authentifizierung bei Azure Active Directory verwendet.This ID is typically used to authenticate with Azure AD.

        • CN={{SERIALNUMBER}}: Die eindeutige Seriennummer (SN) wird in der Regel vom Hersteller verwendet, um ein Gerät zu identifizieren.CN={{SERIALNUMBER}}: The unique serial number (SN) typically used by the manufacturer to identify a device

        • CN={{IMEINumber}}: Die eindeutige IMEI-Nummer (International Mobile Equipment Identity), die verwendet wird, um ein Mobiltelefon zu identifizieren.CN={{IMEINumber}}: The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone

        • CN={{OnPrem_Distinguished_Name}}: Eine Sequenz von relativ definierten Namen, die durch Kommas getrennt sind, z.B. CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.CN={{OnPrem_Distinguished_Name}}: A sequence of relative distingushed names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com

          Damit Sie die {{OnPrem_Distinguished_Name}}-Variable verwenden können, stellen Sie sicher, dass das onpremisesdistingishedname-Benutzerattribut mithilfe von Azure AD Connect mit Ihrem Azure AD synchronisiert wird.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistingishedname user attribute using Azure AD Connect to your Azure AD.

        • CN={{onPremisesSamAccountName}}: Administratoren können das Attribut samAccountName aus Active Directory mithilfe von Azure AD Connect in einem Attribut mit dem Namen onPremisesSamAccountName mit Azure AD synchronisieren.CN={{onPremisesSamAccountName}}: Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName. Intune kann die Variable als Teil einer Zertifikatsausstellungsanforderung im Antragsteller eines SCEP-Zertifikats ersetzen.Intune can substitute that variable as part of a certificate issuance request in the subject of a SCEP certificate. Das Attribut samAccountName ist der zur Unterstützung von Clients und Servern aus einer früheren Version von Windows (vor Windows 2000) verwendete Benutzeranmeldename.The samAccountName attribute is the user logon name used to support clients and servers from a previous version of Windows (pre-Windows 2000). Das Format des Benutzeranmeldenamens ist: DomainName\testUser, oder nur testUser.The user logon name format is: DomainName\testUser, or only testUser.

          Damit Sie die {{onPremisesSamAccountName}}-Variable verwenden können, stellen Sie sicher, dass das onPremisesSamAccountName-Benutzerattribut mithilfe von Azure AD Connect mit Ihrem Azure AD synchronisiert wird.To use the {{onPremisesSamAccountName}} variable, be sure to sync the onPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

        Mithilfe einer Kombination von mindestens einer dieser Variablen und statischen Zeichenfolgen können Sie ein benutzerdefiniertes Format des Antragstellernamens erstellen, z.B.: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, such as: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US.
        In diesem Beispiel haben Sie ein Format für den Antragstellernamen erstellt, das zusätzlich zu den Variablen CN und E entsprechende Zeichenfolgen für Organisationseinheit (OU), Organisation (O), Ort (L), Bundesland/Kanton (ST) und Land (C) verwendet.In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. Die Funktion CertStrToName beschreibt diese Funktion und die unterstützten Zeichenfolgen.CertStrToName function describes this function, and its supported strings.

  • Alternativer Antragstellername: Geben Sie an, wie die Werte für den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung von Intune automatisch erstellt werden sollen.Subject alternative name: Enter how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Wenn Sie beispielsweise einen Benutzerzertifikattyp auswählen, können Sie den Benutzerprinzipalnamen (User Principal Name, UPN) in den alternativen Antragstellernamen aufnehmen.For example, if you select a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Wenn das Clientzertifikat für die Authentifizierung bei einem Netzwerkrichtlinienserver verwendet werden soll, müssen Sie den alternativen Antragstellernamen auf den Benutzerprinzipalnamen festlegen.If the client certificate is used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.
  • Schlüsselverwendung: Geben Sie Schlüsselverwendungsoptionen für das Zertifikat an.Key usage: Enter the key usage options for the certificate. Folgende Optionen sind verfügbar:Your options:
    • Schlüsselverschlüsselung: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel verschlüsselt ist.Key encipherment: Allow key exchange only when the key is encrypted
    • Digitale Signatur: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel durch eine digitale Signatur geschützt ist.Digital signature: Allow key exchange only when a digital signature helps protect the key
  • Schlüsselgröße (Bit): Wählen Sie die Anzahl der Bits aus, die im Schlüssel enthalten sein sollen.Key size (bits): Select the number of bits contained in the key
  • Hashalgorithmus (Android, Windows Phone 8.1, Windows 8.1, Windows 10): Wählen Sie einen der verfügbaren Hashalgorithmustypen aus, der für dieses Zertifikat verwendet werden soll.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10): Select one of the available hash algorithm types to use with this certificate. Wählen Sie die höchste Sicherheitsebene aus, die die verbundenen Geräten unterstützen.Select the strongest level of security that the connecting devices support.
  • Stammzertifikat: Wählen Sie ein Profil für ein Zertifikat der Stammzertifizierungsstelle aus, das Sie zuvor konfiguriert und dem Benutzer oder Gerät zugewiesen haben.Root Certificate: Choose a root CA certificate profile you previously configured and assigned to the user or device. Dieses Zertifizierungsstellenzertifikat muss das Stammzertifikat für die Zertifizierungsstelle sein, die das Zertifikat ausstellt, das Sie in diesem Zertifikatprofil konfigurieren.This CA certificate must be the root certificate for the CA that issues the certificate that you are configuring in this certificate profile.
  • Erweiterte Schlüsselverwendung: Klicken Sie auf Hinzufügen, um Werte für den beabsichtigten Zweck des Zertifikats hinzuzufügen.Extended key usage: Add values for the certificate's intended purpose. In den meisten Fällen erfordert das Zertifikat Clientauthentifizierung, damit der Benutzer bzw. das Gerät auf einem Server authentifiziert werden kann.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. Sie können jedoch nach Bedarf weitere Schlüsselverwendungen hinzufügen.However, you can add any other key usages as required.
  • RegistrierungseinstellungenEnrollment Settings
    • Erneuerungsschwellenwert (%): Geben Sie den Prozentsatz der Zertifikatgültigkeitsdauer an, die verbleibt, bevor das Gerät eine Erneuerung des Zertifikats anfordert.Renewal threshold (%): Enter the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • SCEP-Server-URLs: Geben Sie eine oder mehrere URLs für die NDES-Server ein, die Zertifikate über SCEP ausstellen.SCEP Server URLs: Enter one or more URLs for the NDES Servers that issues certificates via SCEP.
    • Klicken Sie auf OK, und erstellen Sie Ihr Profil.Select OK, and Create your profile.

Das Profil wird erstellt und im Bereich „Profilliste“ angezeigt.The profile is created and appears on the profiles list pane.

Zuweisen des ZertifikatprofilsAssign the certificate profile

Beachten Sie Folgendes, bevor Sie Gruppen Zertifikatprofile zuweisen:Consider the following before you assign certificate profiles to groups:

  • Wenn Sie Gruppen Zertifikatprofile zuweisen, wird die Zertifikatsdatei aus dem Profil des vertrauenswürdigen Zertifizierungsstellenzertifikats auf dem Gerät installiert.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Das Gerät verwendet das SCEP-Zertifikatprofil, um eine Zertifikatanforderung für das Gerät zu erstellen.The device uses the SCEP certificate profile to create a certificate request by the device.

  • Zertifikatprofile werden nur auf den Geräten installiert, auf denen die beim Erstellen des Profils verwendete Plattform ausgeführt wird.Certificate profiles install only on devices running the platform you use when you created the profile.

  • Sie können Zertifikatprofile zu Benutzer- oder Gerätesammlungen zuweisen.You can assign certificate profiles to user collections or to device collections.

  • Damit Zertifikate möglichst schnell nach der Geräteregistrierung auf Geräten veröffentlicht werden können, weisen Sie das Zertifikatprofil besser einer Benutzergruppe zu (nicht einer Gerätegruppe).To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Wenn Sie es einer Gerätegruppe zuweisen, muss eine vollständige Geräteregistrierung stattfinden, bevor das Gerät Richtlinien empfängt.If you assign to a device group, a full device registration is required before the device receives policies.

  • Obwohl Sie jedes Profil separat zuweisen, müssen Sie auch die vertrauenswürdige Stammzertifizierungsstelle und das SCEP- oder PKCS-Profil zuweisen.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. Andernfalls schlägt die SCEP- oder PKCS-Zertifikatrichtlinie fehl.Otherwise, the SCEP or PKCS certificate policy fails.

    Hinweis

    Unter iOS sollten Ihnen mehrere Kopien des Zertifikats im Verwaltungsprofil angezeigt werden, wenn Sie mehrere Ressourcenprofile bereitstellen, die das gleiche Zertifikatprofil verwenden.For iOS, you should expect to see multiple copies of the certificate in the management profile if you deploy multiple resource profiles that use the same certificate profile.

Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Geräteprofilen.For information about how to assign profiles, see How to assign device profiles.