Verwenden von Zertifikaten zur Authentifizierung in Microsoft Intune

Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen die Endbenutzer keine Benutzernamen und Kennwörter eingeben. Dadurch wird ein nahtloser Zugriff ermöglicht. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.

Einführung in Zertifikate mit Intune

Zertifikate bieten authentifizierten Zugriff ohne Verzögerung über die folgenden zwei Phasen:

  • Authentifizierungsphase: Die Authentizität des Benutzers wird überprüft, um zu bestätigen, dass der Benutzer die Person ist, für die er sich ausgibt.
  • Autorisierungsphase: Der Benutzer unterliegt Bedingungen, für die bestimmt wird, ob dem Benutzer Zugriff gewährt werden soll.

Typische Verwendungsszenarien für Zertifikate sind:

  • Netzwerkauthentifizierung (z. B. 802.1x) mit Geräte- oder Benutzerzertifikaten
  • Authentifizierung mit VPN-Servern unter Verwendung von Geräte- oder Benutzerzertifikaten
  • Signieren von E-Mails basierend auf Benutzerzertifikaten

Intune unterstützt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) und importierte PKCS-Zertifikate als Methoden zum Bereitstellen von Zertifikaten auf Geräten. Die verschiedenen Bereitstellungsmethoden weisen unterschiedliche Anforderungen und Ergebnisse auf. Beispiel:

  • SCEP stellt Zertifikate bereit, die für jede Anforderung des Zertifikats eindeutig sind.
  • PKCS stellt für jedes Gerät ein eindeutiges Zertifikat bereit.
  • Mit importierten PKCS-Zertifikaten können Sie das Zertifikat, das Sie aus einer Quelle exportiert haben, (z. B. aus einem E-Mail-Server) für mehrere Empfänger bereitstellen. Dieses freigegebene Zertifikat ist hilfreich, um sicherzustellen, dass alle Benutzer oder Geräte anschließend E-Mails entschlüsseln können, die mit diesem Zertifikat verschlüsselt wurden.

Zum Bereitstellen eines bestimmten Zertifikats für einen Benutzer oder ein Gerät verwendet Intune ein Zertifikatprofil.

Zusätzlich zu den drei Zertifikattypen und Bereitstellungsmethoden benötigen Sie ein vertrauenswürdiges Stammzertifikat von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA). Die Zertifizierungsstelle kann eine lokale Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters sein. Das vertrauenswürdige Stammzertifikat richtet eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden. Um dieses Zertifikat bereitzustellen, verwenden Sie das Profil für vertrauenswürdige Zertifikate und stellen es für dieselben Geräte und Benutzer bereit, die die Zertifikatprofile für SCEP, PKCS und importierte PKCS-Zertifikate erhalten.

Tipp

Intune unterstützt auch die Verwendung abgeleiteter Anmeldeinformationen für Umgebungen, für die Smartcards verwendet werden müssen.

Erforderliche Komponenten für die Verwendung von Zertifikaten

  • Eine Zertifizierungsstelle. Die Zertifizierungsstelle ist die Vertrauensquelle, auf die sich die Zertifikate für die Authentifizierung beziehen. Sie können eine Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters verwenden.
  • Lokale Infrastruktur. Welche Infrastruktur Sie benötigen, hängt von den verwendeten Zertifikattypen ab:
  • Ein vertrauenswürdiges Stammzertifikat. Bevor Sie SCEP- oder PKCS-Zertifikatprofile bereitstellen, stellen Sie das vertrauenswürdige Stammzertifikat von Ihrer Zertifizierungsstelle mithilfe eines vertrauenswürdigen Zertifikatprofils bereit. Mit diesem Profil können Sie die Vertrauensstellung zwischen dem Gerät und der Zertifizierungsstelle einrichten. Es ist für die anderen Zertifikatprofile erforderlich.

Nachdem ein vertrauenswürdiges Stammzertifikat bereitgestellt wurde, können Sie Zertifikatprofile bereitstellen, um Benutzern und Geräten Zertifikate für die Authentifizierung bereitzustellen.

Auswählen des richtigen Zertifikatprofils

Die folgenden Vergleiche sind nicht vollständig, sollen aber dabei helfen, die Verwendung der verschiedenen Zertifikatprofiltypen zu unterscheiden.

Profiltyp Details
Vertrauenswürdiges Zertifikat Wird verwendet, um den öffentlichen Schlüssel (Zertifikat) von einer Stammzertifizierungsstelle oder zwischengeschalteten Zertifizierungsstelle für Benutzer und Geräte bereitzustellen, um eine Vertrauensstellung zurück zur Quellzertifizierungsstelle herzustellen. Für andere Zertifikatprofile sind das vertrauenswürdige Zertifikatprofil und das zugehörige Stammzertifikat erforderlich.
SCEP-Zertifikat Stellt eine Vorlage für eine Zertifikatanforderung für Benutzer und Geräte bereit. Jedes Zertifikat, das mithilfe von SCEP bereitgestellt wird, ist eindeutig und an den Benutzer oder das Gerät gebunden, der bzw. das das Zertifikat anfordert.

Mit SCEP können Sie Zertifikate für Geräte bereitstellen, die keine Benutzeraffinität haben, einschließlich der Verwendung von SCEP zum Bereitstellen eines Zertifikats auf einem KIOSK- oder benutzerlosen Gerät.
PKCS-Zertifikat Stellt eine Vorlage für eine Zertifikatanforderung bereit, die den Zertifikattyp eines Benutzers oder eines Geräts angibt.

– Anforderungen für den Zertifikattyp „Benutzer“ erfordern immer Benutzeraffinität. Bei der Bereitstellung für einen Benutzer erhält jedes der Geräte des Benutzers ein eindeutiges Zertifikat. Bei der Bereitstellung auf einem Gerät mit einem Benutzer wird dieser Benutzer dem Zertifikat dieses Geräts zugeordnet. Bei der Bereitstellung auf einem benutzerlosen Gerät wird kein Zertifikat bereitgestellt.
– Für Vorlagen mit dem Zertifikattyp „Gerät“ ist für die Zertifikatbereitstellung keine Benutzeraffinität erforderlich. Durch Bereitstellung auf einem Gerät wird das Gerät bereitgestellt. Durch Bereitstellung für einen Benutzer wird das Gerät, auf dem der Benutzer gerade angemeldet ist, mit einem Zertifikat bereitgestellt.
Importiertes PKCS-Zertifikat Stellt ein einzelnes Zertifikat für mehrere Geräte und Benutzer bereit, wodurch Szenarien wie S/MIME-Signierung und Verschlüsselung unterstützt werden. Wenn Sie z. B. das gleiche Zertifikat auf jedem Gerät bereitstellen, kann jedes dieser Geräte E-Mails entschlüsseln, die von diesem gleichen E-Mail-Server empfangen werden.

Andere Zertifikatbereitstellungsmethoden sind für dieses Szenario unzureichend, da SCEP für jede Anforderung ein eindeutiges Zertifikat erstellt und PKCS jedem Benutzer ein anderes Zertifikat zuordnet, wodurch verschiedene Benutzer verschiedene Zertifikate erhalten.

Von Intune unterstützte Zertifikate und Nutzung

Typ Authentifizierung S/MIME-Signatur S/MIME-Verschlüsselung
Über PKCS (Public Key Cryptography Standards) importiertes Zertifikat Unterstützt Unterstützt
PKCS#12 (oder PFX) Unterstützt Unterstützt
Simple Certificate Enrollment-Protokoll (SCEP) Unterstützt Unterstützt

Um diese Zertifikate bereitzustellen, erstellen Sie Zertifikatprofile und weisen sie Geräten zu.

Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS/iPadOS. Wenn Sie für diese beiden Plattformen auch SCEP-Zertifikate verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS/iPadOS.

Allgemeine Überlegungen bei der Verwendung einer Microsoft-Zertifizierungsstelle

Bei der Verwendung einer Microsoft-Zertifizierungsstelle (Certification Authority) gilt Folgendes:

Allgemeine Überlegungen bei der Verwendung einer Drittanbieter-Zertifizierungsstelle

Bei der Verwendung einer Drittanbieter-Zertifizierungsstelle (Certification Authority, nicht von Microsoft) gilt Folgendes:

  • Führen Sie folgende Schritte aus, um SCEP-Zertifikatprofile zu verwenden:

    • Konfigurieren Sie Integration mit einer Drittanbieter-Zertifizierungsstelle von einem unserer unterstützten Partner. Beim Einrichten müssen die Anweisungen der Drittanbieter-Zertifizierungsstelle befolgt werden, um die Integration der Zertifizierungsstelle in Intune abzuschließen.
    • Erstellen Sie eine Anwendung in Azure AD, die Rechte an Intune delegiert, um die Aufforderungsüberprüfung von SCEP-Zertifikaten durchzuführen.
  • Im Fall von importierten PKCS-Zertifikaten ist es erforderlich, den Microsoft Intune Certificate Connector zu installieren.

  • Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:

    • vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
    • SCEP-Zertifikatprofile
    • PKCS-Zertifikatprofile (werden nur mit der DigiCert PKI-Plattform unterstützt)
    • importierte PKCS-Zertifikatprofile

Unterstützte Plattformen und Zertifikatprofile

Plattform Vertrauenswürdiges Zertifikatprofil PKCS-Zertifikatprofil SCEP-Zertifikatprofil Importiertes PKCS-Zertifikatprofil
Android-Geräteadministrator Unterstützt
(siehe Hinweis 1)
Unterstützt Unterstützt Unterstützt
Android für Unternehmen
– Vollständig verwaltet (Gerätebesitzer)
Unterstützt Unterstützt Unterstützt Unterstützt
Android für Unternehmen
– Dediziert (Gerätebesitzer)
Unterstützt Unterstützt Unterstützt Unterstützt
Android für Unternehmen
– Unternehmenseigenes Arbeitsprofil
Unterstützt Unterstützt Unterstützt Unterstützt
Android für Unternehmen
– persönliche Arbeitsprofile
Unterstützt Unterstützt Unterstützt Unterstützt
Android (AOSP) Unterstützt Unterstützt
iOS/iPadOS Unterstützt Unterstützt Unterstützt Unterstützt
macOS Unterstützt Unterstützt Unterstützt Unterstützt
Windows 8.1 und höher Unterstützt Unterstützt
Windows 10/11 Unterstützt
(siehe Hinweis 2)
Unterstützt
(siehe Hinweis 2)
Unterstützt
(siehe Hinweis 2)
Unterstützt

Nächste Schritte

Weitere Ressourcen

Erstellen von Zertifikatprofilen:

Informieren Sie sich weiter über den Microsoft Intune Certificate Connector.