Erstellen und Zuweisen eines SCEP-Zertifikatprofils in Intune

  • Artikel
  • 17 Minuten Lesedauer

Nachdem Sie Ihre Infrastruktur für die Unterstützung von SCEP-Zertifikaten (Simple Certificate Enrollment Protocol) konfiguriert haben, können Sie SCEP-Zertifikatprofile erstellen und Benutzern und Geräten in Intune zuweisen.

Damit Geräte ein SCEP-Zertifikatprofil verwenden können, müssen sie Ihrer vertrauenswürdigen Stammzertifizierungsstelle vertrauen. Die Vertrauensstellung der Stammzertifizierungsstelle wird am besten durch Bereitstellen eines vertrauenswürdigen Zertifikatprofils erreicht, und zwar in derselben Gruppe, die das SCEP-Zertifikatprofil empfängt. Vertrauenswürdige Zertifikatprofile stellen das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle bereit.

Geräte, auf denen Android Enterprise ausgeführt wird, benötigen möglicherweise eine PIN, bevor SCEP sie mit einem Zertifikat bereitstellen kann. Weitere Informationen finden Sie im Artikel zu den PIN-Anforderungen für Android Enterprise.

Hinweis

Ab Android 11 können vertrauenswürdige Zertifikatprofile nicht mehr das vertrauenswürdige Stammzertifikat auf Geräten installieren, die als Android-Geräteadministrator registriert sind. Diese Einschränkung gilt nicht für Samsung Knox.

Weitere Informationen zu dieser Einschränkung finden Sie unter Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren.

Tipp

SCEP-Zertifikatprofile werden für Windows Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.

Erstellen eines SCEP-Zertifikatprofils

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Geräte > Konfigurationsprofile > Profil erstellen aus, und wechseln Sie dorthin.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie die Plattform Ihrer Geräte aus.

    • Profil: Wählen Sie SCEP-Zertifikat aus. Oder wählen Sie Vorlagen > SCEP-Zertifikat aus.

      Für Android Enterprise ist Profiltyp in zwei Kategorien unterteilt: Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil und Persönliches Arbeitsprofil. Stellen Sie sicher, dass Sie das richtige SCEP-Zertifikatprofil für die von Ihnen verwalteten Geräte auswählen.

      SCEP-Zertifikatprofile für das Profil Fully Managed, Dedicated, and Corporate-Owned Work Profile (Vollständig verwaltet, dediziert und unternehmenseigen mit einem Arbeitsprofil) weisen die folgenden Einschränkungen auf:

      1. Unter „Überwachung“ ist die Zertifikatberichterstellung für SCEP-Zertifikatprofile für Gerätebesitzer nicht verfügbar.

      2. Sie können Intune nicht verwenden, um Zertifikate zu widerrufen, die von SCEP-Zertifikatsprofilen für Gerätebesitzer bereitgestellt wurden. Sie können den Widerruf über einen externen Prozess oder direkt mit der Zertifizierungsstelle verwalten.

      3. Für dedizierte Android Enterprise-Geräte werden SCEP-Zertifikatprofile nur für die WLAN-Netzwerkkonfiguration, VPNs und die Authentifizierung unterstützt. SCEP-Zertifikatprofile auf dedizierten Android Enterprise-Geräten werden nicht für die App-Authentifizierung unterstützt.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise SCEP-Profil für das gesamte Unternehmen.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird aber empfohlen.

  6. Wählen Sie Weiter aus.

  7. Nehmen Sie in den Konfigurationseinstellungen die folgenden Konfigurationen vor:

    • Zertifikattyp:

      (Gilt für: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 und Windows 10/11)

      Wählen Sie je nach Verwendung des Zertifikatprofils einen Typ aus:

      • Benutzer: Bei Benutzerzertifikate können sowohl Benutzer- als auch Geräteattribute im Antragstellernamen und im alternativen Antragstellernamen des Zertifikats enthalten sein.

      • Gerät: Bei Gerätezertifikate können nur Geräteattribute im Antragstellernamen und im alternativen Antragstellernamen des Zertifikats enthalten sein.

        Benutzen Sie Gerät für Szenarios mit benutzerlosen Geräten (wie Kioske) oder Windows-Geräten. Auf Windows-Geräten wird das Zertifikat in den Zertifikatspeicher des lokalen Computers eingefügt.

      Hinweis

      Speicherung von Zertifikaten, die von SCEP bereitgestellt werden:

      • macOS: Zertifikate, die Sie mit SCEP bereitstellen, werden immer in der Systemkeychain (Systemspeicher) des Geräts gespeichert.

      • Android: Geräte verfügen über einen VPN- und Apps-Zertifikatspeicher und einen WLAN-Zertifikatspeicher. Intune speichert SCEP-Zertifikate auf einem Gerät immer im VPN- und Apps-Speicher. Durch die Verwendung des VPN- und Apps-Speichers ist das Zertifikat zur Verwendung durch eine beliebige andere App verfügbar.

        Wenn ein SCEP-Zertifikat jedoch auch einem WLAN-Profil zugeordnet ist, wird das Zertifikat auch von Intune im WLAN-Speicher installiert.

        Wenn der Benutzer für VPN-Apps konfiguriert ist, wird er aufgefordert, das richtige Zertifikat auszuwählen. Die automatische Zertifikatgenehmigung für vollständig verwaltete (oder BYOD-Szenarien) wird nicht unterstützt. Wenn alles richtig eingerichtet ist, sollte das richtige Zertifikat bereits im Dialogfeld vorgewählt werden.

    • Format des Antragstellernamens:

      Geben Sie Text ein, um Intune mitzuteilen, wie der Antragstellername in der Zertifikatanforderung automatisch erstellt werden soll. Die Optionen für das Format des Antragstellernamens sind abhängig vom ausgewählten Zertifikattyp (Benutzer oder Gerät).

      Tipp

      Wenn die Länge Ihres Antragstellernamens 64 Zeichen überschreitet, müssen Sie möglicherweise die Erzwingung der Namenslänge für Ihre interne Zertifizierungsstelle deaktivieren. Weitere Informationen finden Sie unter Deaktivieren des Erzwingens der DN-Länge.

      Hinweis

      Es gibt ein bekanntes Problem bei der Verwendung von SCEP zum Abrufen von Zertifikaten, wenn der Antragstellername in der resultierenden Zertifikatsignieranforderung (Certificate Signing Request, CSR) eines der folgenden Zeichen als Escapezeichen enthält (mit vorangestelltem Schrägstrich\):

      • +
      • ;
      • ,
      • =

      Hinweis

      Ab Android 12 unterstützt Android nicht mehr die Verwendung der folgenden Hardwarebezeichner für Geräte mit persönlichem Arbeitsprofil:

      • Seriennummer
      • IMEI
      • MEID

      Intune-Zertifikatprofile für Geräte mit persönlichem Arbeitsprofil, die auf diesen Variablen im Antragstellernamen oder SAN basieren, können auf Geräten, auf denen zum Zeitpunkt der Anmeldung Android 12 oder höher ausgeführt wird, kein Zertifikat bereitstellen. Geräte, die vor dem Upgrade auf Android 12 registriert wurden, können weiterhin Zertifikate erhalten, solange Intune zuvor die Bezeichner für Gerätehardware erhalten hat.

      Weitere Informationen zu dieser und anderen Änderungen, die mit Android 12 eingeführt wurden, finden Sie im Blogbeitrag Android Day Zero Support für Microsoft Endpoint Manager.

      • Benutzerzertifikattyp

        In dieses Textfeld können Sie ein benutzerdefiniertes Format für den Antragstellernamen eingeben, einschließlich statischem Text und Variablen. Es werden zwei Variablenoptionen unterstützt: Common Name (CN) und E-Mail (E).

        E-Mail (E) wird in der Regel mit der Variable {{EmailAddress}} festgelegt. Beispiel: E={{EmailAddress}}

        Allgemeiner Name (CN) kann auf eine der folgenden Variablen festgelegt werden:

        • CN={{UserName}}: Dies ist der Benutzername des Benutzers, z. B. janedoe.

        • CN={{UserPrincipalName}}: Dies ist der Benutzerprinzipalname des Benutzers, z. B. „janedoe@contoso.com“.

        • CN={{AAD_Device_ID}}: Eine ID, die zugewiesen wird, wenn Sie ein Gerät in Azure Active Directory (AD) registrieren. Diese ID wird in der Regel für die Authentifizierung bei Azure Active Directory verwendet.

        • CN={{DeviceId}}: Dies ist eine ID, die bei der Registrierung eines Geräts bei Intune zugewiesen wird. (unter Android-Enterprise für vollständig verwaltetes, dediziertes und Corporate-Owned-Arbeitsprofil nicht unterstützt)

        • CN={{SERIALNUMBER}}: Die eindeutige Seriennummer (SN) wird in der Regel vom Hersteller verwendet, um ein Gerät zu identifizieren.

        • CN={{IMEINumber}}: Die eindeutige IMEI-Nummer (International Mobile Equipment Identity), die verwendet wird, um ein Mobiltelefon zu identifizieren.

        • CN={{OnPrem_Distinguished_Name}}: Dies ist eine Sequenz relativer definierter Namen, die durch Kommas getrennt sind, z. B. CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

          So verwenden Sie die {{OnPrem_Distinguished_Name}}-Variable:

          • Synchronisieren Sie unbedingt das Benutzerattribut onpremisesdistinguishedname mithilfe von Azure AD Connect mit Ihrer Azure AD-Instanz.
          • Wenn der CN-Wert ein Komma enthält, muss das Format des Antragstellernamens in Anführungszeichen stehen. Beispiel: CN="{{OnPrem_Distinguished_Name}}"

        • CN={{OnPremisesSamAccountName}}: Administratoren können das Attribut „samAccountName“ aus Active Directory mithilfe von Azure AD Connect in ein Attribut namens onPremisesSamAccountName synchronisieren. Intune kann diese Variable als Teil einer Zertifikatsausstellungsanforderung im Antragsteller eines Zertifikats ersetzen. Das Attribut „samAccountName“ ist der zur Unterstützung von Clients und Servern aus einer früheren Version von Windows (vor Windows 2000) verwendete Benutzeranmeldename. Das Format des Benutzeranmeldenamens lautet: DomainName\testUser oder nur testUser.

          Wenn Sie die Variable {{OnPremisesSamAccountName}} verwenden, stellen Sie sicher, dass das Benutzerattribut OnPremisesSamAccountName über Azure AD Connect mit Ihrer Azure AD-Instanz synchronisiert wird.

        Alle im folgenden Abschnitt Gerätezertifikattyp aufgeführten Gerätevariablen können auch in Antragstellernamen für Benutzerzertifikate verwendet werden.

        Mithilfe einer Kombination von mindestens einer dieser Variablen und statischen Textzeichenfolgen können Sie ein benutzerdefiniertes Format des Antragstellernamens erstellen, z. B.: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        Dieses Beispiel enthält das Format des Antragstellernamens, das die Variablen „CN“ und „E“ und Zeichenfolgen für die Werte „Organisationseinheit“, „Organisation“, „Standort“, „Bundesland/Kanton“ und „Land/Region“ verwendet. Die Funktion CertStrToName beschreibt diese Funktion und die unterstützten Zeichenfolgen.

        Benutzerattribute werden nicht für Geräte unterstützt, die nicht über Benutzerzuordnungen verfügen, z. B. Geräte, die als dedizierte Android Enterprise-Geräte registriert sind. Beispielsweise kann ein Profil, das CN={{UserPrincipalName}} im Betreff oder im SAN verwendet, den Benutzerprinzipalnamen nicht abrufen, wenn kein Benutzer auf dem Gerät vorhanden ist.

      • Gerätzertifikattyp

        Formatoptionen für das Format des Antragstellernamens umfassen die folgenden Variablen:

        • {{AAD_Device_ID}} oder {{AzureADDeviceId}}: Beide Variablen können zum Identifizieren eines Geräts über die zugehörige Azure AD-ID verwendet werden.
        • {{DeviceId}} – Die Intune Geräte-ID (unter Android-Enterprise für vollständig verwaltetes, dediziertes und Corporate-Owned-Arbeitsprofil nicht unterstützt)
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (Gilt nur für Windows-Geräte und in Domänen eingebundene Geräte)
        • {{MEID}}

        Sie können diese Variablen sowie statischen Text im Textfeld angeben. Beispielsweise kann der allgemeine Name für ein Gerät namens Device1 als CN={{DeviceName}}Device1 hinzugefügt werden.

        Wichtig

        • Wenn Sie eine Variable angeben, schließen Sie den Variablennamen wie im Beispiel veranschaulicht in doppelte geschweifte Klammern („{{ }}“) ein, um einen Fehler zu vermeiden.
        • Geräteeigenschaften, die im Betreff oder alternativen Antragstellernamen eines Gerätezertifikats wie IMEI, SerialNumber oder FullyQualifiedDomainName verwendet werden, sind Eigenschaften, die von einer Person mit Zugriff auf das Gerät gespooft sein könnten.
        • Ein Gerät muss alle in einem Zertifikatprofil für dieses Profil angegebenen Variablen unterstützen, um auf diesem Gerät installiert werden zu können. Wenn {{IMEI}} beispielsweise im Antragstellernamen eines SCEP-Profils verwendet wird und einem Gerät ohne IMEI-Nummer zugewiesen ist, tritt bei der Profilinstallation ein Fehler auf.

    • Alternativer Antragstellername:
      Wählen Sie aus, auf welche Weise Intune den alternativen Antragstellernamen (Subject Alternative Name, SAN) in der Zertifikatanforderung automatisch erstellen soll. Sie können mehrere alternative Antragstellernamen angeben. Für jeden dieser Namen können Sie eins von vier SAN-Attributen auswählen und einen Textwert für dieses Attribut eingeben. Der Textwert kann Variablen und statischen Text für das Attribut enthalten.

      Wählen Sie aus den verfügbaren SAN-Attributen aus:

      • E-Mail-Adresse
      • Benutzerprinzipalname (UPN)
      • DNS
      • Uniform Resource Identifier (URI)

      Die für den SAN-Wert verfügbaren Variablen richten sich nach dem ausgewählten Zertifikattyp (Benutzer oder Gerät).

      Hinweis

      Ab Android 12 unterstützt Android nicht mehr die Verwendung der folgenden Hardwarebezeichner für Geräte mit persönlichem Arbeitsprofil:

      • Seriennummer
      • IMEI
      • MEID

      Intune-Zertifikatprofile für Geräte mit persönlichem Arbeitsprofil, die auf diesen Variablen im Antragstellernamen oder SAN basieren, können auf Geräten, auf denen zum Zeitpunkt der Anmeldung Android 12 oder höher ausgeführt wird, kein Zertifikat bereitstellen. Geräte, die vor dem Upgrade auf Android 12 registriert wurden, können weiterhin Zertifikate erhalten, solange Intune zuvor die Bezeichner für Gerätehardware erhalten hat.

      Weitere Informationen zu dieser und anderen Änderungen, die mit Android 12 eingeführt wurden, finden Sie im Blogbeitrag Android Day Zero Support für Microsoft Endpoint Manager.

      • Benutzerzertifikattyp

        Mit dem Zertifikattyp Benutzer können Sie jede der oben im Abschnitt „Antragstellername“ beschriebenen Benutzer- oder Gerätezertifikatvariablen verwenden.

        Benutzerzertifikattypen können beispielsweise den Benutzerprinzipalnamen (User Principal Name, UPN) in den alternativen Antragstellernamen aufnehmen. Wenn ein Clientzertifikat für die Authentifizierung bei einem Netzwerkrichtlinienserver verwendet wird, legen Sie den alternativen Antragstellernamen auf den Benutzerprinzipalnamen fest.

      • Gerätzertifikattyp

        Mit dem Zertifikattyp Gerät können Sie jede der im Abschnitt Gerätezertifikattyp beschriebenen Variablen für den Antragstellernamen verwenden.

        Schließen Sie den Variablennamen in geschweifte Klammern ein („{ }“), und fügen Sie den Text für diese Variable hinzu, um einen Wert für ein Attribut anzugeben. Beispielsweise kann mit {{AzureADDeviceId}}.domain.com ein Wert für das DNS-Attribut hinzugefügt werden, wobei .domain.com der Text ist. Einem Benutzer namens User1 wird eine E-Mail-Adresse möglicherweise als {{FullyQualifiedDomainName}}User1@Contoso.com angezeigt.

      Durch eine Kombination einer oder mehrerer dieser Variablen mit statischen Textzeichenfolgen können Sie ein benutzerdefiniertes Format wie das folgende für den alternativen Antragstellernamen erstellen:

      • {{UserName}}-Home

        Wichtig

        • Wenn Sie eine Gerätezertifikatvariable verwenden, schließen Sie den Variablennamen in doppelte geschweifte Klammern ein („{{ }}“).
        • Verwenden Sie für den Text nach der Variable keine geschweiften Klammern { }, senkrechten Striche | und Semikolons ;.
        • Geräteeigenschaften, die im Betreff oder alternativen Antragstellernamen eines Gerätezertifikats wie IMEI, SerialNumber oder FullyQualifiedDomainName verwendet werden, sind Eigenschaften, die von einer Person mit Zugriff auf das Gerät gespooft sein könnten.
        • Ein Gerät muss alle in einem Zertifikatprofil für dieses Profil angegebenen Variablen unterstützen, um auf diesem Gerät installiert werden zu können. Wenn {{IMEI}} beispielsweise im alternativen Antragstellernamen eines SCEP-Profils verwendet wird und einem Gerät ohne IMEI-Nummer zugewiesen ist, tritt bei der Profilinstallation ein Fehler auf.

    • Gültigkeitsdauer des Zertifikats:

      Sie können einen niedrigeren Wert als den für die Gültigkeitsdauer in der Zertifikatvorlage eingeben, aber keinen höheren. Wenn Sie die Zertifikatvorlage so konfiguriert haben, dass ein benutzerdefinierter Wert unterstützt wird, der in der Intune-Konsole festgelegt werden kann, geben Sie mit dieser Einstellung die verbleibende Zeit bis zum Ablauf des Zertifikats an.

      Intune unterstützt einen Gültigkeitszeitraum von bis zu 24 Monaten.

      Wenn die Gültigkeitsdauer des Zertifikats in der Zertifikatvorlage beispielsweise zwei Jahre beträgt, können Sie als Wert „ein Jahr“ eingeben, aber nicht „fünf Jahre“. Zudem muss der Wert niedriger als die verbleibende Gültigkeitsdauer des Zertifikats der ausstellenden Zertifizierungsstelle sein.

      Planen Sie die Verwendung einer Gültigkeitsdauer von fünf oder mehr Tagen. Wenn die Gültigkeitsdauer weniger als fünf Tage beträgt, ist die Wahrscheinlichkeit hoch, dass das Zertifikat in den Zustand „fast abgelaufen“ oder „abgelaufen“ wechselt, was dazu führen kann, dass der MDM-Agent auf Geräten das Zertifikat ablehnt, bevor es installiert wird.

    • Schlüsselspeicheranbieter (KSP):

      (Gilt für: Windows 8.1 und Windows 10/11)

      Geben Sie an, wo der Schlüssel für das Zertifikat gespeichert wird. Wählen Sie aus den folgenden Werten aus:

      • Bei TPM-KSP (Trusted Platform Module) registrieren, falls vorhanden, andernfalls Software-KSP
      • Bei TPM-KSP (Trusted Platform Module) registrieren, andernfalls Fehler
      • Bei Windows Hello for Business registrieren, andernfalls Fehler (Windows 10 und höher)
      • Bei Software-KSP registrieren

    • Schlüsselverwendung:

      Wählen Sie Schlüsselverwendungsoptionen für das Zertifikat aus:

      • Digitale Signatur: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel durch eine digitale Signatur geschützt ist.
      • Schlüsselverschlüsselung: Lässt den Schlüsselaustausch nur zu, wenn der Schlüssel verschlüsselt ist.

    • Schlüsselgröße (Bits):

      Wählen Sie die Anzahl der Bits aus, die im Schlüssel enthalten sein sollen:

      • Nicht konfiguriert
      • 1024
      • 2048
      • 4096 (unterstützt mit iOS/iPadOS 14 und später sowie macOS 11 und später)

    • Hashalgorithmus:

      (Gilt für: Android, Android Enterprise, Windows 8.1 und Windows 10/11)

      Wählen Sie einen der verfügbaren Hashalgorithmustypen, der für dieses Zertifikat verwendet werden soll. Wählen Sie die höchste Sicherheitsebene aus, die die verbundenen Geräten unterstützen.

    • Stammzertifikat:

      Wählen Sie das vertrauenswürdige Zertifikatprofil aus, das Sie zuvor konfiguriert und den entsprechenden Benutzern und Geräten für dieses SCEP-Zertifikatprofil zugewiesen haben. Das vertrauenswürdige Zertifikatprofil wird zum Bereitstellen von Benutzern und Geräten mit dem Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle verwendet. Weitere Informationen zum vertrauenswürdigen Zertifikatprofil finden Sie unter Exportieren des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle und Erstellen vertrauenswürdiger Zertifikatprofile in Verwenden von Zertifikaten für die Authentifizierung in Intune.

      Hinweis

      Wenn Sie über eine PKI-Infrastruktur mit mehreren Ebenen verfügen, beispielsweise eine Stammzertifizierungsstelle und eine ausstellende Zertifizierungsstelle, wählen Sie das vertrauenswürdige Stammzertifikatprofil aus, das die ausstellende Zertifizierungsstelle überprüft.

    • Erweiterte Schlüsselverwendung:

      Fügen Sie Werte für den beabsichtigten Zweck des Zertifikats hinzu. In den meisten Fällen erfordert das Zertifikat Clientauthentifizierung, damit der Benutzer bzw. das Gerät auf einem Server authentifiziert werden kann. Sie können ggf. weitere Schlüsselverwendungen hinzufügen.

    • Verlängerungsschwellenwert (%):

      Geben Sie den Prozentsatz der Zertifikatgültigkeitsdauer an, die verbleibt, bevor das Gerät eine Verlängerung des Zertifikats anfordert. Wenn Sie beispielsweise „20“ eingeben, wird versucht, das Zertifikat zu erneuern, wenn das Zertifikat bereits zu 80 % abgelaufen ist. Die Erneuerungsversuche werden fortgesetzt, bis die Erneuerung erfolgreich ist. Bei der Erneuerung wird ein neues Zertifikat generiert, das zu einem neuen öffentlichen/privaten Schlüsselpaar führt.

      Hinweis

      Erneuerungsverhalten unter iOS/iPadOS und macOS: Zertifikate können nur während der Phase des Verlängerungsschwellenwerts verlängert werden. Darüber hinaus muss das Gerät während der Synchronisierung mit Intune entsperrt werden. Wenn die Verlängerung nicht erfolgreich war, verbleibt das abgelaufene Zertifikat auf dem Gerät, und Intune löst keine Verlängerung mehr aus. Außerdem bietet Intune keine Option zum erneuten Bereitstellen abgelaufener Zertifikate. Betroffene Geräte müssen vorübergehend aus dem SCEP-Profil ausgeschlossen werden, um das abgelaufene Zertifikat zu entfernen und ein neues anzufordern.

    • SCEP-Server-URLs:

      Geben Sie mindestens eine URL für die NDES-Server ein, die Zertifikate über SCEP ausstellen. Geben Sie zum Beispiel https://ndes.contoso.com/certsrv/mscep/mscep.dll ein.

      Es kann sich um eine HTTP- oder HTTPS-URL handeln. Allerdings muss in der SCEP-Server-URL zur Unterstützung der folgenden Geräte „HTTPS“ verwendet werden:

      • Android-Geräteadministrator
      • Android Enterprise-Gerätebesitzer
      • Unternehmenseigenes Android Enterprise-Arbeitsprofil
      • Persönliches Android Enterprise-Arbeitsprofil

      Sie können bei Bedarf zusätzliche SCEP-URLs für Lastenausgleiche hinzufügen. Geräte senden drei separate Aufrufe an den NDES-Server. Mit dem ersten Aufruf werden die Serverfunktionen abgerufen, mit dem zweiten Aufruf erfolgt der Abruf eines öffentlichen Schlüssels, und mit dem dritten Aufruf wird eine Anforderung zur Signierung übermittelt. Wenn Sie mehrere URLs verwenden ist es möglich, dass der Lastenausgleich zur Verwendung einer anderen URL für nachfolgende Aufrufe an einen NDES-Server führt. Wenn innerhalb derselben Anforderung ein anderer Server für einen nachfolgenden Aufruf kontaktiert wird, ist die Anforderung nicht erfolgreich.

      Das Verhalten zur Verwaltung der NDES-Server-URL ist für jede Geräteplattform spezifisch:

      • Android: Das Gerät randomisiert die Liste der URLs, die in der SCEP-Richtlinie empfangen werden, und durchläuft dann die Liste, bis ein zugänglicher NDES-Server ermittelt wird. Das Gerät verwendet dann weiterhin dieselbe URL und denselben Server für den gesamten Prozess. Wenn das Gerät auf keinen der NDES-Server zugreifen kann, wird der Prozess nicht erfolgreich ausgeführt.
      • iOS/iPadOS: Intune randomisiert die URLs und stellt eine einzelne URL für ein Gerät bereit. Wenn das Gerät nicht auf den NDES-Server zugreifen kann, wird die SCEP-Anforderung nicht erfolgreich ausgeführt.
      • Windows: Die Liste der NDES-URLs wird randomisiert und an das Windows-Gerät übergeben, das diese dann in der empfangenen Reihenfolge testet, bis eine verfügbare URL gefunden wird. Wenn das Gerät auf keinen der NDES-Server zugreifen kann, wird der Prozess nicht erfolgreich ausgeführt.

      Wenn ein Gerät den NDES-Server in diesen drei Aufrufen nicht erreicht, wird die SCEP-Anforderung nicht erfolgreich ausgeführt. Dies könnte beispielsweise der Fall sein, wenn eine Lastenausgleichslösung eine andere URL für den zweiten oder dritten Aufruf des NDES-Servers bereitstellt oder einen anderen tatsächlichen NDES-Server basierend auf einer virtualisierten URL für NDES zurückgibt. Nach einer nicht erfolgreichen Anforderung versucht ein Gerät, den Prozess im nächsten Richtlinienzyklus beginnend mit der randomisierten Liste der NDES-URLs (oder mit einer einzelnen URL für iOS/iPadOS) noch mal auszuführen.

  8. Wählen Sie Weiter aus.

  9. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen das Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  10. (Gilt nur für Windows 10/11) Geben Sie unter Anwendbarkeitsregeln Anwendbarkeitsregeln an, um die Zuweisung dieses Profils einzuschränken. Sie können auswählen, dass das Profil basierend auf der Betriebssystemedition oder der Version eines Geräts zugewiesen oder nicht zugewiesen wird.

Weitere Informationen finden Sie im Artikel Erstellen eines Geräteprofils in Microsoft Intune im Abschnitt Anwendbarkeitsregeln.

  1. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf „Erstellen“ klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Vermeiden von Zertifikatsignieranforderungen mit Sonderzeichen als Escapezeichen

Es gibt ein bekanntes Problem bei SCEP- und PKCS-Zertifikatanforderungen, die einen Antragstellernamen (CN) mit einem oder mehreren der folgenden Sonderzeichen als Escapezeichen enthalten. Antragstellernamen, die eines der Sonderzeichen als Escapezeichen enthalten, führen zu einer CSR mit einem falschen Antragstellernamen. Ein falscher Antragstellername führt dazu, dass die SCEP-Challenge-Validierung fehlschlägt und kein Zertifikat ausgestellt wird.

Die Sonderzeichen sind:

  • +
  • ,
  • ;
  • =

Wenn Ihr Antragstellername eines der Sonderzeichen enthält, verwenden Sie eine der folgenden Optionen, um diese Einschränkung zu umgehen:

  • Kapseln Sie den CN-Wert, der das Sonderzeichen enthält, mit Anführungszeichen.
  • Entfernen Sie das Sonderzeichen aus dem CN-Wert.

Beispielsweise haben Sie einen Antragstellernamen, der als Test user (TestCompany, LLC) angezeigt wird. Eine CSR, die einen CN mit dem Komma zwischen TestCompany und LLC umfasst, stellt ein Problem dar. Das Problem kann vermieden werden, indem Sie den gesamten CN in Anführungszeichen setzen oder das Komma zwischen TestCompany und LLC entfernen:

  • Anführungszeichen hinzufügen: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Das Komma entfernen: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Allerdings tritt bei Versuchen, das Komma mithilfe eines umgekehrten Schrägstrichs mit einem Escapezeichen zu versehen, ein Fehler in den CRP-Protokollen auf:

  • Mit Escapezeichen versehenes Komma: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Der Fehler ähnelt dem folgenden:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Zuweisen des Zertifikatprofils

Weisen Sie SCEP-Zertifikatprofile auf die gleiche Weise zu, wie Sie Geräteprofile für andere Zwecke bereitstellen.

Wichtig

Um ein SCEP-Zertifikatprofil zu verwalten, muss ein Gerät auch das vertrauenswürdige Zertifikatprofil erhalten haben, das es mit Ihrem vertrauenswürdigen Zertifikat der Stammzertifizierungsstelle bereitstellt. Es wird empfohlen, jeweils das Profil des vertrauenswürdigen Stammzertifikats sowie das Profil des SCEP-Zertifikats in den gleichen Gruppen bereitzustellen.

Beachten Sie jedoch Folgendes, bevor Sie fortfahren:

  • Wenn Sie Gruppen SCEP-Zertifikatprofile zuweisen, wird die vertrauenswürdige Zertifikatsdatei der Stammzertifizierungsstelle (wie im vertrauenswürdigen Zertifikatprofil angegeben) auf dem Gerät installiert. Das Gerät verwendet das SCEP-Zertifikatprofil, um eine Zertifikatanforderung für das vertrauenswürdige Zertifikat der Stammzertifizierungsstelle zu erstellen.

  • Das SCEP-Zertifikatprofil wird nur auf Geräten installiert, auf denen die Plattform ausgeführt wird, die Sie beim Erstellen des Zertifikatprofils angegeben haben.

  • Sie können Zertifikatprofile zu Benutzer- oder Gerätesammlungen zuweisen.

  • Damit Zertifikate möglichst schnell nach der Geräteregistrierung auf Geräten veröffentlicht werden können, weisen Sie das Zertifikatprofil besser einer Benutzergruppe zu (nicht einer Gerätegruppe). Wenn Sie es einer Gerätegruppe zuweisen, muss eine vollständige Geräteregistrierung stattfinden, bevor das Gerät Richtlinien empfängt.

  • Wenn Sie die Co-Verwaltung für Intune und Configuration Manager verwenden, bewegen Sie in Configuration Manager den Schieberegler für Workloads für die Ressourcenzugriffsrichtlinie auf Intune oder Intune-Pilot. Diese Einstellung ermöglicht es Windows 10/11-Clients, den Prozess zur Anforderung des Zertifikats zu starten.

Hinweis

  • Wenn auf iOS/iPadOS-Geräten ein SCEP-Zertifikatprofil oder ein PKCS-Zertifikatsprofil einem zusätzlichen Profil (z. B. einem WLAN- oder VPN-Profil) zugeordnet ist, erhält das Gerät ein Zertifikat für jedes der zusätzlichen Profile. Dadurch werden für das iOS/iPadOS-Gerät mehrere Zertifikate über die SCEP- oder PKCS-Zertifikatanforderung bereitgestellt.

    Über das SCEP bereitgestellte Zertifikate sind eindeutig. Bei über PKCS bereitgestellten Zertifikaten handelt es sich um dasselbe Zertifikat. Sie scheinen nur unterschiedlich, da jede Profilinstanz im Verwaltungsprofil durch eine separate Zeile dargestellt wird.

  • Auf iOS 13 und macOS 10.15 gibt es einige zusätzliche Sicherheitsanforderungen, die von Apple dokumentiert sind und berücksichtigt werden müssen.

Nächste Schritte

Zuweisen von Profilen

Problembehandlung bei der Bereitstellung von SCEP-Zertifikatprofilen