Verwenden von Zertifikaten zur Authentifizierung in Microsoft IntuneUse certificates for authentication in Microsoft Intune

Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen die Endbenutzer keine Benutzernamen und Kennwörter eingeben. Dadurch wird ein nahtloser Zugriff ermöglicht.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which can make their access seamless. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.Certificates are also used for signing and encryption of email using S/MIME.

Einführung in Zertifikate mit IntuneIntroduction to certificates with Intune

Zertifikate bieten authentifizierten Zugriff ohne Verzögerung über die folgenden zwei Phasen:Certificates provide authenticated access without delay through the following two phases:

  • Authentifizierungsphase: Die Authentizität des Benutzers wird überprüft, um zu bestätigen, dass der Benutzer derjenige ist, für den er sich ausgibt.Authentication phase: The user’s authenticity is checked to confirm the user is who they claim to be.
  • Autorisierungsphase: Der Benutzer wird Bedingungen unterworfen, für die festgelegt wird, ob dem Benutzer Zugriff gewährt werden soll.Authorization phase: The user is subjected to conditions for which a determination is made on whether the user should be given access.

Typische Verwendungsszenarien für Zertifikate sind:Typical use scenarios for certificates include:

  • Netzwerkauthentifizierung (z. B. 802.1x) mit Geräte- oder BenutzerzertifikatenNetwork authentication (for example, 802.1x) with device or user certs
  • Authentifizierung mit VPN-Servern unter Verwendung von Geräte- oder BenutzerzertifikatenAuthenticating with VPN servers using device or user certs
  • Signieren von E-Mails basierend auf BenutzerzertifikatenSigning e-mail based on user certs

Intune unterstützt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) und importierte PKCS-Zertifikate als Methoden zum Bereitstellen von Zertifikaten auf Geräten.Intune supports Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS), and imported PKCS certificates as methods to provision certificates on devices. Die verschiedenen Bereitstellungsmethoden weisen unterschiedliche Anforderungen und Ergebnisse auf.The different provisioning methods have different requirements, and results. Beispiel:For example:

  • SCEP stellt Zertifikate bereit, die für jede Anforderung des Zertifikats eindeutig sind.SCEP provisions certificates that are unique to each request for the certificate.
  • PKCS stellt für jedes Gerät ein eindeutiges Zertifikat bereit.PKCS provisions each device with a unique certificate.
  • Mit importierten PKCS-Zertifikaten können Sie das Zertifikat, das Sie aus einer Quelle exportiert haben, (z. B. aus einem E-Mail-Server) für mehrere Empfänger bereitstellen.With Imported PKCS, you can deploy the same certificate that you’ve exported from a source, like an email server, to multiple recipients. Dieses freigegebene Zertifikat ist hilfreich, um sicherzustellen, dass alle Benutzer oder Geräte anschließend E-Mails entschlüsseln können, die mit diesem Zertifikat verschlüsselt wurden.This shared certificate is useful to ensure all your users or devices can then decrypt emails that were encrypted by that certificate.

Zum Bereitstellen eines bestimmten Zertifikats für einen Benutzer oder ein Gerät verwendet Intune ein Zertifikatprofil.To provision a user or device with a specific type of certificate, Intune uses a certificate profile.

Zusätzlich zu den drei Zertifikattypen und Bereitstellungsmethoden benötigen Sie ein vertrauenswürdiges Stammzertifikat von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA).In addition to the three certificate types and provisioning methods, you’ll need a trusted root certificate from a trusted Certification Authority (CA). Die Zertifizierungsstelle kann eine lokale Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters sein.The CA can be an on-premises Microsoft Certification Authority, or a third-party Certification Authority. Das vertrauenswürdige Stammzertifikat richtet eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden.The trusted root certificate establishes a trust from the device to your root or intermediate (issuing) CA from which the other certificates are issued. Um dieses Zertifikat bereitzustellen, verwenden Sie das Profil für vertrauenswürdige Zertifikate und stellen es für dieselben Geräte und Benutzer bereit, die die Zertifikatprofile für SCEP, PKCS und importierte PKCS-Zertifikate erhalten.To deploy this certificate, you use the trusted certificate profile, and deploy it to the same devices and users that will receive the certificate profiles for SCEP, PKCS, and imported PKCS.

Tipp

Intune unterstützt auch die Verwendung abgeleiteter Anmeldeinformationen für Umgebungen, für die Smartcards verwendet werden müssen.Intune also supports use of Derived credentials for environments that require use of smartcards.

Erforderliche Komponenten für die Verwendung von ZertifikatenWhat’s required to use certificates

  • Eine Zertifizierungsstelle.A Certification Authority. Die Zertifizierungsstelle ist die Vertrauensquelle, auf die sich die Zertifikate für die Authentifizierung beziehen.Your CA is the source of trust that the certificates reference for authentication. Sie können eine Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters verwenden.You can use a Microsoft CA or a third-party CA.
  • Lokale Infrastruktur.On-premises infrastructure. Die erforderliche Infrastruktur hängt von den verwendeten Zertifikattypen ab:The infrastructure you’ll require depends on the certificate types you’ll use:
  • Ein vertrauenswürdiges Stammzertifikat.A trusted root certificate. Bevor Sie SCEP- oder PKCS-Zertifikatprofile bereitstellen, stellen Sie das vertrauenswürdige Stammzertifikat von Ihrer Zertifizierungsstelle mithilfe eines vertrauenswürdigen Zertifikatprofils bereit.Before you deploy SCEP or PKCS certificate profiles, deploy the trusted root certificate from your CA using a trusted certificate profile. Mit diesem Profil können Sie die Vertrauensstellung zwischen dem Gerät und der Zertifizierungsstelle einrichten. Es ist für die anderen Zertifikatprofile erforderlich.This profile helps establish the trust from the device back to the CA and is required by the other certificate profiles.

Nachdem ein vertrauenswürdiges Stammzertifikat bereitgestellt wurde, können Sie Zertifikatprofile bereitstellen, um Benutzern und Geräten Zertifikate für die Authentifizierung bereitzustellen.With a trusted root certificate deployed, you’ll then be ready to deploy certificate profiles to provision users and devices with certificates for authentication.

Auswählen des richtigen ZertifikatprofilsWhich certificate profile to use

Die folgenden Vergleiche sind nicht vollständig, sollen aber dabei helfen, die Verwendung der verschiedenen Zertifikatprofiltypen zu unterscheiden.The following comparisons aren’t comprehensive but intended to help distinguish the use of the different certificate profile types.

ProfiltypProfile type DetailsDetails
Vertrauenswürdiges ZertifikatTrusted certificate Verwenden Sie diesen Typ, um den öffentlichen Schlüssel (Zertifikat) von einer Stammzertifizierungsstelle oder einer Zwischenzertifizierungsstelle für Benutzer und Geräte bereitzustellen, um eine Vertrauensstellung zurück zur Quellzertifizierungsstelle herzustellen.Use to deploy the public key (certificate) from a root CA or intermediary CA to users and devices to establish a trust back to the source CA. Für andere Zertifikatprofile sind das vertrauenswürdige Zertifikatprofil und sein Stammzertifikat erforderlich.Other certificate profiles require the trusted certificate profile and its root certificate.
SCEP-ZertifikatSCEP certificate Stellt eine Vorlage für eine Zertifikatanforderung für Benutzer und Geräte bereit.Deploys a template for a certificate request to users and devices. Jedes Zertifikat, das mithilfe von SCEP bereitgestellt wird, ist eindeutig und an den Benutzer oder das Gerät gebunden, der bzw. das das Zertifikat anfordert.Each certificate that’s provisioned using SCEP is unique and tied to the user or device that requests the certificate.

Mit SCEP können Sie Zertifikate für Geräte bereitstellen, die keine Benutzeraffinität haben, einschließlich der Verwendung von SCEP zum Bereitstellen eines Zertifikats auf einem KIOSK- oder benutzerlosen Gerät.With SCEP, you can deploy certificates to devices that lack a user affinity, including use of SCEP to provision a certificate on KIOSK or user-less device.
PKCS-ZertifikatPKCS certificate Stellt eine Vorlage für eine Zertifikatanforderung bereit, die den Zertifikattyp eines Benutzers oder eines Geräts angibt.Deploys a template for a certificate request that specifies a certificate type of either user or device.

– Anforderungen für den Zertifikattyp „Benutzer“ erfordern immer Benutzeraffinität.- Requests for a certificate type of user always require user affinity. Bei der Bereitstellung für einen Benutzer erhält jedes der Geräte des Benutzers ein eindeutiges Zertifikat.When deployed to a user, each of the user’s devices receives a unique certificate. Bei der Bereitstellung auf einem Gerät mit einem Benutzer wird dieser Benutzer dem Zertifikat dieses Geräts zugeordnet.When deployed to a device with a user, that user is associated with the certificate for that device. Bei der Bereitstellung auf einem benutzerlosen Gerät wird kein Zertifikat bereitgestellt.When deployed to a userless device, no certificate is provisioned.
– Für Vorlagen mit dem Zertifikattyp „Gerät“ ist für die Zertifikatbereitstellung keine Benutzeraffinität erforderlich.- Templates with a certificate type of device don’t require user affinity to provision a certificate. Durch Bereitstellung auf einem Gerät wird das Gerät bereitgestellt.Deployment to a device provisions the device. Durch Bereitstellung für einen Benutzer wird das Gerät, auf dem der Benutzer gerade angemeldet ist, mit einem Zertifikat bereitgestellt.Deployment to a user provisions the device the user is signed into with a certificate.
Importiertes PKCS-ZertifikatPKCS imported certificate Stellt ein einzelnes Zertifikat für mehrere Geräte und Benutzer bereit, wodurch Szenarien wie S/MIME-Signierung und Verschlüsselung unterstützt werden.Deploys a single certificate to multiple devices and users, which supports scenarios like S/MIME signing and encryption. Wenn Sie z. B. das gleiche Zertifikat auf jedem Gerät bereitstellen, kann jedes dieser Geräte E-Mails entschlüsseln, die von diesem gleichen E-Mail-Server empfangen werden.For example, by deploying the same certificate to each device, each device can decrypt email received from that same email server.

Andere Zertifikatbereitstellungsmethoden sind für dieses Szenario unzureichend, da SCEP für jede Anforderung ein eindeutiges Zertifikat erstellt und PKCS jedem Benutzer ein anderes Zertifikat zuordnet, wodurch verschiedene Benutzer verschiedene Zertifikate erhalten.Other certificate deployment methods are insufficient for this scenario, as SCEP creates a unique certificate for each request, and PKCS associates a different certificate for each user, with different users receiving different certificates.

Von Intune unterstützte Zertifikate und NutzungIntune supported certificates and usage

TypType AuthentifizierungAuthentication S/MIME-SignaturS/MIME Signing S/MIME-VerschlüsselungS/MIME encryption
Über PKCS (Public Key Cryptography Standards) importiertes ZertifikatPublic Key Cryptography Standards (PKCS) imported certificate Unterstützt Unterstützt
PKCS#12 (oder PFX)PKCS#12 (or PFX) Unterstützt Unterstützt
Simple Certificate Enrollment-Protokoll (SCEP)Simple Certificate Enrollment Protocol (SCEP) Unterstützt Unterstützt

Um diese Zertifikate bereitzustellen, erstellen Sie Zertifikatprofile und weisen sie Geräten zu.To deploy these certificates, you'll create and assign certificate profiles to devices.

Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform.Each individual certificate profile you create supports a single platform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS/iPadOS.For example, if you use PKCS certificates, you'll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS/iPadOS. Wenn Sie für diese beiden Plattformen auch SCEP-Zertifikate verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS/iPadOS.If you also use SCEP certificates for those two platforms, you'll create a SCEP certificate profile for Android, and another for iOS/iPadOS.

Allgemeine Überlegungen bei der Verwendung einer Microsoft-ZertifizierungsstelleGeneral considerations when you use a Microsoft Certification Authority

Bei der Verwendung einer Microsoft-Zertifizierungsstelle (Certification Authority) gilt Folgendes:When you use a Microsoft Certification Authority (CA):

Allgemeine Überlegungen bei der Verwendung einer Drittanbieter-ZertifizierungsstelleGeneral considerations when you use a third-party Certification Authority

Bei der Verwendung einer Drittanbieter-Zertifizierungsstelle (Certification Authority, nicht von Microsoft) gilt Folgendes:When you use a third-party (non-Microsoft) Certification Authority (CA):

Unterstützte Plattformen und ZertifikatprofileSupported platforms and certificate profiles

PlattformPlatform Vertrauenswürdiges ZertifikatprofilTrusted certificate profile PKCS-ZertifikatprofilPKCS certificate profile SCEP-ZertifikatprofilSCEP certificate profile Importiertes PKCS-ZertifikatprofilPKCS imported certificate profile
Android-GeräteadministratorAndroid device administrator UnterstütztSupported
(siehe Hinweis 1)(see Note 1)
Unterstützt Unterstützt Unterstützt
Android EnterpriseAndroid Enterprise
– Vollständig verwaltet (Gerätebesitzer)- Fully Managed (Device Owner)
Unterstützt Unterstützt Unterstützt Unterstützt
Android EnterpriseAndroid Enterprise
– Dediziert (Gerätebesitzer)- Dedicated (Device Owner)
Unterstützt Unterstützt Unterstützt Unterstützt
Android EnterpriseAndroid Enterprise
– Unternehmenseigenes Arbeitsprofil- Corporate-Owned Work Profile
Unterstützt Unterstützt Unterstützt Unterstützt
Android EnterpriseAndroid Enterprise
– persönliche Arbeitsprofile- Personally-Owned Work Profile
Unterstützt Unterstützt Unterstützt Unterstützt
iOS/iPadOSiOS/iPadOS Unterstützt Unterstützt Unterstützt Unterstützt
macOSmacOS Unterstützt Unterstützt Unterstützt Unterstützt
Windows 8.1 und höherWindows 8.1 and later Unterstützt Unterstützt
Windows 10 und höherWindows 10 and later Unterstützt Unterstützt Unterstützt Unterstützt
  • *Hinweis 1: Ab Android 11 können vertrauenswürdige Zertifikatprofile nicht mehr das vertrauenswürdige Stammzertifikat auf Geräten installieren, die als Android-Geräteadministrator registriert sind.Note 1 _ - Beginning with Android 11, trusted certificate profiles can no longer install the trusted root certificate on devices that are enrolled as _Android device administrator. Diese Einschränkung gilt nicht für Samsung Knox.This limitation doesn't apply to Samsung Knox. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren.For more information, see Trusted certificate profiles for Android device administrator.

Zusätzliche RessourcenAdditional resources

Nächste SchritteNext steps

Erstellen von Zertifikatprofilen:Create certificate profiles:

Erfahren Sie mehr über Zertifikatconnectors.Learn about Certificate connectors