Entfernen von SCEP- und PKCS-Zertifikaten in Microsoft Intune
In Microsoft Intune können Sie mithilfe von Zertifikatprofilen des Typs Simple Certificate Enrollment Protocol (SCEP) und Public Key Cryptography Standards (PKCS) Zertifikate zu Geräten hinzufügen.
Diese Zertifikate können anschließend wieder entfernt werden, wenn Sie das Gerät zurücksetzen oder außer Betrieb nehmen. Zertifikate, die von Intune bereitgestellt wurden, werden ebenfalls entfernt, wenn das Profil, das das Zertifikat bereitgestellt hat, nicht mehr auf das Gerät oder den Benutzer ausgerichtet ist. In anderen Szenarien werden Zertifikate automatisch entfernt bzw. verbleiben auf dem Gerät. In diesem Artikel werden einige häufig auftretende Szenarios sowie deren Auswirkungen auf PKCS- und SCEP-Zertifikate aufgeführt.
Hinweis
Führen Sie die folgenden Schritte aus, um Zertifikate für einen Benutzer zu entfernen und zu widerrufen, der aus lokales Active Directory oder Microsoft Entra ID entfernt wird:
- Setzen Sie das Gerät des Benutzers zurück, oder nehmen Sie es außer Betrieb.
- Entfernen Sie den Benutzer aus lokales Active Directory oder Microsoft Entra ID.
Der Großteil dieses Artikels gilt für SCEP- und PKCS-Zertifikatprofile, jedoch nicht für importierte PKCS-Zertifikate. Importierte PKCS-Zertifikate werden von Intune entfernt, wenn Unternehmensdaten vom Gerät entfernt werden oder wenn die Registrierung eines Geräts für die Verwaltung aufgehoben wird.
Manuell gelöschte Zertifikate
Das manuelle Löschen eines Zertifikats ist ein plattformübergreifendes Szenario und gilt für Zertifikate, die von SCEP- oder PKCS-Zertifikatsprofilen bereitgestellt werden. So kann beispielsweise ein Benutzer ein Zertifikat von einem Gerät löschen, wenn das Gerät weiterhin einer Zertifikatsrichtlinie unterliegt.
Wenn sich das Gerät in diesem Szenario nach dem Löschen des Zertifikats das nächste Mal bei Intune eincheckt, wird festgestellt, dass es nicht mehr konform ist, da ihm das erwartete Zertifikat fehlt. Intune stellt dann ein neues Zertifikat aus, damit das Gerät wieder den Anforderungen entspricht. Zum Wiederherstellen des Zertifikats ist keine weitere Aktion erforderlich.
Hinweis
SCEP-Zertifikate werden entfernt, aber nicht widerrufen , wenn sie eine Drittanbieterzertifizierungsstelle verwenden.
Windows-Geräte
SCEP-Zertifikate
Ein SCEP-Zertifikat wird widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
- Das Gerät wird aus einer Microsoft Entra Gruppe entfernt.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
Ein SCEP-Zertifikat wird widerrufen, wenn:
- ein Administrator das SCEP-Profil ändert oder aktualisiert.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
SCEP-Zertifikate verbleiben auf dem Gerät (d. h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
PKCS-Zertifikate
PKCS-Zertifikate werden widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
Ein PKCS-Zertifikat wird entfernt, wenn:
- Das PKCS-Zertifikatprofil ist nicht mehr auf das Gerät oder den Benutzer ausgerichtet.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
PKCS-Zertifikate verbleiben auf dem Gerät (d.h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
- ein Administrator das PKCS-Profil ändert oder aktualisiert.
iOS-Geräte
SCEP-Zertifikate
Ein SCEP-Zertifikat wird widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
- Das Gerät wird aus der gruppe Microsoft Entra entfernt.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
Ein SCEP-Zertifikat wird widerrufen, wenn:
- ein Administrator das SCEP-Profil ändert oder aktualisiert.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
SCEP-Zertifikate verbleiben auf dem Gerät (d. h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
PKCS-Zertifikate
PKCS-Zertifikate werden widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
Ein PKCS-Zertifikat wird entfernt, wenn:
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
Das Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
PKCS-Zertifikate verbleiben auf dem Gerät (d.h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
- ein Administrator das PKCS-Profil ändert oder aktualisiert
Android KNOX-Geräte
SCEP-Zertifikate
Ein SCEP-Zertifikat wird widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
Ein SCEP-Zertifikat wird widerrufen, wenn:
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
- Das Gerät wird aus einer Microsoft Entra Gruppe entfernt.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
- ein Administrator das SCEP-Profil ändert oder aktualisiert.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
SCEP-Zertifikate verbleiben auf dem Gerät (d. h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
PKCS-Zertifikate
PKCS-Zertifikate werden widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Zurücksetzen ausführt.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
PKCS-Zertifikate verbleiben auf dem Gerät (d.h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
- ein Administrator das PKCS-Profil ändert oder aktualisiert.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
Hinweis
Android for Work-Geräte sind für die zuvor genannten Szenarios nicht freigegeben. Android-Legacygeräte (jedes Profilgerät, das kein Samsung- oder Work-Gerät ist) sind nicht für die Entfernung von Zertifikaten freigegeben.
macOS-Zertifikate
SCEP-Zertifikate
Ein SCEP-Zertifikat wird widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
- Das Gerät wird aus einer Microsoft Entra Gruppe entfernt.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird.
Ein SCEP-Zertifikat wird widerrufen, wenn:
- ein Administrator das SCEP-Profil ändert oder aktualisiert.
SCEP-Zertifikate verbleiben auf dem Gerät (d.h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
Hinweis
Die Aktion Zurücksetzen zum Zurücksetzen von macOS-Geräten auf die Werkseinstellungen wird nicht unterstützt.
PKCS-Zertifikate
PKCS-Zertifikate werden widerrufen und entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
Ein Stammzertifikat wird entfernt, wenn:
- die Registrierung eines Benutzers aufgehoben wird.
- ein Administrator die Aktion Außer Betrieb nehmen ausführt.
PKCS-Zertifikate verbleiben auf dem Gerät (d. h., sie werden weder widerrufen noch entfernt), wenn:
- ein Benutzer seine Intune-Lizenz verliert.
- ein Administrator die Intune-Lizenz widerruft.
- ein Zertifikatprofil aus der Gruppenzuweisung entfernt wird. (Das Profil wird entfernt.)
- Ein Administrator entfernt den Benutzer oder die Gruppe aus Microsoft Entra ID.
- ein Administrator das PKCS-Profil ändert oder aktualisiert.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für