Konfigurieren des einmaligen Anmeldens für Microsoft Entra verbundene Geräte

In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:

Windows Hello for Business in Kombination mit Microsoft Entra verbundenen Geräten erleichtert Benutzern den sicheren Zugriff auf cloudbasierte Ressourcen mit starken, zweistufigen Anmeldeinformationen. Wenn Organisationen Ressourcen in die Cloud umstellen, bleiben einige Ressourcen möglicherweise lokal, und Microsoft Entra verbundenen Geräte müssen möglicherweise darauf zugreifen. Mit zusätzlichen Konfigurationen für die Hybridbereitstellung können Sie einmaliges Anmelden für lokale Ressourcen für Microsoft Entra verbundene Geräte mithilfe Windows Hello for Business mithilfe eines Schlüssels oder zertifikats bereitstellen.

Hinweis

Diese Schritte sind bei Verwendung des Kerberos-Vertrauensstellungsmodells in der Cloud nicht erforderlich.

Voraussetzungen

Im Gegensatz zu Microsoft Entra hybrid eingebundenen Geräten haben Microsoft Entra eingebundene Geräte keine Beziehung zu Ihrer Active Directory-Domäne. Dieser Faktor beeinflusst die Art, in der sich Benutzer gegenüber Active Directory authentifizieren. Überprüfen Sie die folgenden Konfigurationen, um sicherzustellen, dass sie Microsoft Entra eingebundenen Geräte unterstützen:

  • Verteilungspunkt der Zertifikatsperrliste (Certificate Revocation List, CRL)
  • Domänencontrollerzertifikate
  • Netzwerkinfrastruktur vorhanden, um die lokalen Domänencontroller zu erreichen. Wenn die Computer extern sind, können Sie eine beliebige VPN-Lösung verwenden.

CRL-Verteilungspunkt (CDP)

Von einer Zertifizierungsstelle ausgestellte Zertifikate können widerrufen werden. Wenn eine Zertifizierungsstelle ein Zertifikat widerruft, schreibt sie Informationen zum Zertifikat in eine Zertifikatsperrliste (Certificate Revocation List , CRL).
Während der Zertifikatüberprüfung vergleicht Windows das aktuelle Zertifikat mit Informationen in der Zertifikatsperrliste, um zu ermitteln, ob das Zertifikat gültig ist.

Screenshot der CDP-Eigenschaft eines Zertifikats.

Im Screenshot zeigt die CDP-Eigenschaft des Domänencontrollerzertifikats einen LDAP-Pfad an. Die Verwendung von Active Directory für mit der Domäne verbundene Geräte bietet einen hochgradig verfügbaren CRL-Verteilungspunkt. Allerdings können Microsoft Entra eingebundene Geräte keine Daten aus Active Directory lesen, und die Zertifikatüberprüfung bietet keine Möglichkeit, sich vor dem Lesen der Zertifikatsperrliste zu authentifizieren. Die Authentifizierung wird zu einem zirkulären Problem: Der Benutzer versucht, sich zu authentifizieren, muss aber Active Directory lesen, um die Authentifizierung abzuschließen, aber der Benutzer kann Active Directory nicht lesen, weil er sich nicht authentifiziert hat.

Um dieses Problem zu beheben, muss der CRL-Verteilungspunkt ein Speicherort sein, auf den Microsoft Entra angeschlossenen Geräte zugreifen können, für die keine Authentifizierung erforderlich ist. Die einfachste Lösung besteht darin, den CRL-Verteilungspunkt auf einem Webserver zu veröffentlichen, auf dem HTTP (nicht HTTPS) verwendet wird.

Wenn Ihr CRL-Verteilungspunkt keinen HTTP-Verteilungspunkt auflistet, müssen Sie die ausstellende Zertifizierungsstelle neu konfigurieren, um einen HTTP-Zertifikatsperrlistenverteilungspunkt (vorzugsweise zuerst) in die Liste der Verteilungspunkte aufzunehmen.

Hinweis

Wenn Ihre Zertifizierungsstelle sowohl die Basis- als auch die Delta-Zertifikatsperrliste veröffentlicht hat, stellen Sie sicher, dass Sie die Delta-Zertifikatsperrliste im HTTP-Pfad veröffentlichen. Schließen Sie den Webserver ein, um die Delta-Zertifikatsperrliste abzurufen, indem Sie doppelte Escapezeichen auf dem Webserver (IIS) zulassen.

Domänencontrollerzertifikate

Zertifizierungsstellen schreiben CDP-Informationen in Zertifikate, während sie ausgestellt werden. Wenn sich der Verteilungspunkt ändert, müssen zuvor ausgestellte Zertifikate erneut ausgestellt werden, damit die Zertifizierungsstelle das neue CDP enthält. Das Domänencontrollerzertifikat ist eine der kritischen Komponenten von Microsoft Entra verbundenen Geräten, die sich bei Active Directory authentifizieren.

Warum muss Windows das Domänencontrollerzertifikat überprüfen?

Windows Hello for Business erzwingt die strenge KDC-Überprüfungssicherheitsfunktion bei der Authentifizierung von einem Microsoft Entra verbundenen Gerät bei einer Domäne. Diese Durchsetzung erzwingt restriktivere Kriterien, die vom Schlüsselverteilungscenter (Key Distribution Center, KDC) erfüllt werden müssen. Bei der Authentifizierung mit Windows Hello for Business auf einem Microsoft Entra verbundenen Gerät überprüft der Windows-Client die Antwort vom Domänencontroller, indem er sicherstellt, dass alle folgenden Punkte erfüllt sind:

  • Der Domänencontroller verfügt über den privaten Schlüssel für das bereitgestellte Zertifikat.
  • Die Stammzertifizierungsstelle, die das Zertifikat des Domänencontrollers ausgestellt hat, befindet sich in den vertrauenswürdigen Stammzertifizierungsstellen des Geräts.
  • Verwenden der Zertifikatvorlage für die Kerberos-Authentifizierung anstelle einer anderen älteren Vorlage
  • Das Zertifikat des Domänencontrollers verfügt über die erweiterte Schlüsselverwendung ( EKU) für die KDC-Authentifizierung .
  • Der alternative Antragstellername des Domänencontrollers weist einen DNS-Namen auf, der mit dem Namen der Domäne übereinstimmt.
  • Der Signaturhashalgorithmus des Domänencontrollerzertifikats lautet sha256.
  • Der öffentliche Schlüssel des Domänencontrollerzertifikats ist RSA (2048 Bits).

Wichtig

Die Authentifizierung von einem Microsoft Entra hybrid eingebundenen Gerät bei einer Domäne mit Windows Hello for Business erzwingt nicht, dass das Domänencontrollerzertifikat die KDC-Authentifizierungs-EKU enthält. Wenn Sie Microsoft Entra eingebundenen Geräte zu einer vorhandenen Domänenumgebung hinzufügen, vergewissern Sie sich, dass Ihr Domänencontrollerzertifikat aktualisiert wurde, um die KDC-Authentifizierungs-EKU einzuschließen.

Konfigurieren eines Zertifikatsperrlistenverteilungspunkts für eine ausstellende Zertifizierungsstelle

Verwenden Sie diese Prozeduren, um die Zertifizierungsstelle zu aktualisieren, die Domänencontrollerzertifikate ausstellt, um einen HTTP-basierten CRL-Verteilungspunkt einzuschließen.

Konfigurieren der Internet-Informationsdienste, um den CRL-Verteilungspunkt zu hosten

Sie müssen Ihre neue Zertifikatsperrliste auf einem Webserver hosten, damit Microsoft Entra eingebundenen Geräte Zertifikate problemlos ohne Authentifizierung überprüfen können. Sie können diese Dateien auf verschiedene Arten auf Webservern hosten. Die folgenden Schritte sind nur ein Schritt und können für Administratoren nützlich sein, die mit dem Hinzufügen eines neuen CRL-Verteilungspunkts nicht vertraut sind.

Wichtig

Konfigurieren Sie den IIS-Server, auf dem Ihr CRL-Verteilungspunkt gehostet wird, nicht mit HTTPS oder einem Serverauthentifizierungszertifikat. Clients sollten mithilfe von http auf den Verteilungspunkt zugreifen.

Installieren des Webservers

  1. Melden Sie sich als lokaler Administrator bei Ihrem Server an, und starten Sie Server-Manager, wenn er während der Anmeldung nicht gestartet wurde.
  2. Wählen Sie im Navigationsbereich den Knoten Lokaler Server aus. Wählen Sie Verwalten und dann Rollen und Features hinzufügen aus.
  3. Wählen Sie im Assistenten zum Hinzufügen von Rollen und Featuresdie Option Serverauswahl aus. Stellen Sie sicher, dass der ausgewählte Server der lokale Server ist. Wählen Sie Serverrollen aus. Aktivieren Sie das Kontrollkästchen neben Webserver (IIS)
  4. Wählen Sie weiter aus, bis die verbleibenden Optionen im Assistenten vorhanden sind, übernehmen Sie die Standardwerte, und installieren Sie die Webserverrolle.

Konfigurieren des Webservers

  1. Öffnen Sie in der Windows-Verwaltung den IIS-Manager (Internetinformationsdienste).

  2. Erweitern Sie den Navigationsbereich, um Standardwebsiteanzuzeigen. Wählen Sie die Standardwebsite aus, klicken Sie dann mit der rechten Maustaste darauf, und wählen Sie Virtuelles Verzeichnis hinzufügen... aus.

  3. Geben Sie im Dialogfeld Virtuelles Verzeichnis hinzufügen im Feld Aliascdp ein. Geben Sie für den physischen Pfad den physischen Dateispeicherort ein, an dem Sie die Zertifikatsperrliste hosten möchten. In diesem Beispiel wird der Pfad c:\cdp verwendet. Wählen Sie OKVirtuelles Verzeichnis hinzufügen aus.

    Hinweis

    Notieren Sie sich diesen Pfad, da Sie ihn später wieder benötigen, um Freigabe- und Dateiberechtigungen zu konfigurieren.

  4. Wählen Sie im Navigationsbereich unter StandardwebsiteCDP aus. Öffnen Sie Verzeichnissuche im Inhaltsbereich. Wählen Sie im Detailbereich Aktivieren aus.

  5. Wählen Sie im Navigationsbereich unter StandardwebsiteCDP aus. Konfiguration öffnen Editor

  6. Navigieren Sie in der Liste Abschnitt zu system.webServer/security/requestFiltern derIIS-Konfiguration Editor requestFiltering.

  7. Konfigurieren Sie in der Liste der benannten Wertepaare im Inhaltsbereich allowDoubleEscaping auf den Wert True. Wählen Sie übernehmen im Aktionsbereich IIS-Konfiguration Editor doppelten Escapezeichen aus.

  8. Schließen des Iis-Managers (Internetinformationsdienste)

Erstellen eines DNS-Ressourceneintrags für die CRL-Verteilungspunkt-URL

  1. Öffnen Sie auf Ihrem DNS-Server oder auf einer Verwaltungsarbeitsstation den DNS-Manager in den Verwaltungstools.
  2. Erweitern Sie Forward-Lookupzonen, um die DNS-Zone für Ihre Domäne anzuzeigen. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Ihren Domänennamen, und wählen Sie Neuer Host (A oder AAAA) aus.
  3. Geben Sie im Dialogfeld Neuer Hostcrl im Feld Name ein. Geben Sie die IP-Adresse des Webservers ein, den Sie in IP-Adresse konfiguriert haben. Wählen Sie Host hinzufügen aus. Wählen Sie OK aus, um das Dialogfeld DNS zu schließen. Wählen Sie FertigCreate DNS-Hosteintrag aus.
  4. Schließen des DNS-Managers

Vorbereiten einer Dateifreigabe zum Hosten der Zertifikatsperrliste

Bei diesen Verfahren werden NTFS und Freigabeberechtigungen auf dem Webserver konfiguriert, damit die Zertifizierungsstelle die Zertifikatsperrliste automatisch veröffentlichen kann.

Konfigurieren der CDP-Dateifreigabe

  1. Öffnen Sie auf dem Webserver Windows Explorer, und navigieren Sie zu dem Ordner cdp, den Sie in Schritt 3 von Konfigurieren des Webservers erstellt haben.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner cdp , und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Freigabe aus. Wählen Sie Erweiterte Freigabe aus.
  3. Wählen Sie Diesen Ordner freigeben aus. Geben Sie cdp$ in Freigabenameein. Wählen Sie BerechtigungenCDP-Freigabe aus.
  4. Wählen Sie im Dialogfeld Berechtigungen für cdp$ die Option Hinzufügen aus.
  5. Wählen Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Option Objekttypen aus. Wählen Sie im Dialogfeld Objekttypen die Option Computer und dann OK aus.
  6. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen unter Geben Sie die auszuwählenden Objektnamen ein den Namen des Servers ein, auf dem die Zertifizierungsstelle ausgeführt wird, die die Zertifikatsperrliste ausgibt, und wählen Sie dann Namen überprüfen aus. Wählen Sie OK aus.
  7. Wählen Sie im Dialogfeld Berechtigungen für cdp$ die Zertifizierungsstelle aus der Liste Gruppen- oder Benutzernamenaus. Wählen Sie im Abschnitt Berechtigungen fürZulassen für Vollzugriff aus. Wählen Sie OKCDP-Freigabeberechtigungen aus.
  8. Wählen Sie im Dialogfeld Erweiterte Freigabe die Option OK aus.

Tipp

Stellen Sie sicher, dass Benutzer auf zugreifen \\Server FQDN\sharenamekönnen.

Deaktivieren der Zwischenspeicherung

  1. Öffnen Sie auf dem Webserver Windows Explorer, und navigieren Sie zu dem Ordner cdp, den Sie in Schritt 3 von Konfigurieren des Webservers erstellt haben.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner cdp , und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Freigabe aus. Wählen Sie Erweiterte Freigabe aus.
  3. Wählen Sie Zwischenspeichern aus. Wählen Sie Keine Dateien oder Programme aus dem freigegebenen Ordner verfügbarOffline-CDP-Zwischenspeicherung deaktivieren aus.
  4. Wählen Sie OK aus.

Konfigurieren der NTFS-Berechtigung für den CDP-Ordner

  1. Öffnen Sie auf dem Webserver Windows Explorer, und navigieren Sie zu dem Ordner cdp, den Sie in Schritt 3 von Konfigurieren des Webservers erstellt haben.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner cdp , und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Sicherheit aus.
  3. Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.
  4. Wählen Sie im Dialogfeld Berechtigungen für cdp die Option CDP-NTFS-Berechtigungenhinzufügen aus.
  5. Wählen Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählendie Option Objekttypen aus. Wählen Sie im Dialogfeld Objekttypen die Option Computer aus. Wählen Sie OK aus.
  6. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen unter Geben Sie die auszuwählenden Objektnamen ein den Namen der Zertifizierungsstelle ein, und wählen Sie dann Namen überprüfen aus. Wählen Sie OK aus.
  7. Wählen Sie im Dialogfeld Berechtigungen für cdp den Namen der Zertifizierungsstelle aus der Liste Gruppen- oder Benutzernamen aus. Wählen Sie im Abschnitt Berechtigungen fürZulassen für Vollzugriff aus. Wählen Sie OK aus.
  8. Wählen Sie im Dialogfeld cdp-Eigenschaften die Option Schließen aus.

Konfigurieren des neuen CDP und des Veröffentlichungsspeicherorts in der ausstellenden Zertifizierungsstelle

Der Webserver ist zum Hosten des CRL-Verteilungspunkts bereit. Konfigurieren Sie nun die ausstellende Zertifizierungsstelle, um die Zertifikatsperrliste am neuen Speicherort zu veröffentlichen und den neuen Zertifikatsperrlistenverteilungspunkt einzuschließen.

Konfigurieren des CRL-Verteilungspunktes.

  1. Melden Sie sich auf der ausstellenden Zertifizierungsstelle als lokaler Administrator an. Starten der Zertifizierungsstellenkonsole über die Verwaltungstools
  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und wählen Sie Eigenschaften aus.
  3. Wählen Sie Erweiterungen. Wählen Sie auf der Registerkarte Erweiterungen in der Liste Erweiterung auswählen die Option CRL-Verteilungspunkt (CDP) aus.
  4. Wählen Sie auf der Registerkarte Erweiterungendie Option Hinzufügen aus. Geben Sie http://crl.[Domänenname]/cdp/ am Speicherort ein. Beispielsweise <http://crl.corp.contoso.com/cdp/> oder <http://crl.contoso.com/cdp/> (vergessen Sie nicht den nachgestellten Schrägstrich) CDP-Dialogfeld
  5. Wählen Sie in der Liste Variable die Option <CaName> und dann Einfügen aus. Wählen Sie in der Liste Variable die Option <CRLNameSuffix> und dann Einfügen aus. Wählen Sie <DeltaCRLAllowed> aus der Liste Variable und dann Einfügen aus.
  6. Geben Sie .crl am Ende des Textes bei Speicherortein. Wählen Sie OK aus.
  7. Wählen Sie das CDP aus, das Sie soeben erstellt haben CDP complete http.
  8. Wählen Sie In CRLs einschließen aus. Clients verwenden diese Option, um Delta-CRL-Speicherorte zu finden.
  9. Wählen Sie In CDP-Erweiterung ausgestellter Zertifikate einschließen aus.
  10. Wählen Sie Anwenden aus, speichern Sie Ihre Auswahl. Wählen Sie Nein aus, wenn Sie den Dienst neu starten möchten.

Hinweis

Optional können Sie nicht verwendete CRL-Verteilungspunkte und Veröffentlichungsspeicherorte entfernen.

Konfigurieren des Veröffentlichungsspeicherortes der CRL

  1. Melden Sie sich auf der ausstellenden Zertifizierungsstelle als lokaler Administrator an. Starten der Konsole der Zertifizierungsstelle über die Verwaltung
  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und wählen Sie Eigenschaften aus.
  3. Wählen Sie Erweiterungen. Wählen Sie auf der Registerkarte Erweiterungen in der Liste Erweiterung auswählen die Option CRL-Verteilungspunkt (CDP) aus.
  4. Wählen Sie auf der Registerkarte Erweiterungendie Option Hinzufügen aus. Geben Sie den Computer- und den Freigabenamen ein, den Sie für Ihren CRL-Verteilungspunkt in CDP-Dateifreigabe konfigurieren festgelegt haben. Beispiel: \\app\cdp$\ (vergessen Sie nicht den nachgestellten umgekehrten Schrägstrich)
  5. Wählen Sie in der Liste Variable die Option <CaName> und dann Einfügen aus. Wählen Sie in der Liste Variable die Option <CRLNameSuffix> und dann Einfügen aus. Wählen Sie <DeltaCRLAllowed> aus der Liste Variable und dann Einfügen aus.
  6. Geben Sie .crl am Ende des Textes bei Speicherortein. Wählen Sie OK aus.
  7. Wählen Sie das CDP aus, das Sie soeben erstellt haben .
  8. Wählen Sie CrLs an diesem Speicherort veröffentlichen aus.
  9. Wählen Sie Delta-CRLs an diesem Speicherort veröffentlichen aus.
  10. Wählen Sie Anwenden aus, speichern Sie Ihre Auswahl. Wählen Sie Ja aus, wenn Sie den Dienst neu starten möchten. Wählen Sie OK aus, um das Eigenschaftendialogfeld zu schließen.

Eine neue CRL veröffentlichen

  1. Melden Sie sich auf der ausstellenden Zertifizierungsstelle als lokaler Administrator an. Starten der Konsole der Zertifizierungsstelle über die Verwaltung
  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Widerrufene Zertifikate, zeigen Sie auf Alle Aufgaben, und wählen Sie Neue Zertifikatsperrlisteveröffentlichen aus.
  3. Wählen Sie im Dialogfeld Zertifikatsperrliste veröffentlichendie Option Neue Zertifikatsperrliste und dann OK aus.

Überprüfen der CDP-Veröffentlichung

Überprüfen Sie, ob der neue CRL-Verteilungspunkt funktioniert.

  1. Öffnen Sie einen Webbrowser. Navigieren Sie zu http://crl.[yourdomain].com/cdp. Es sollten zwei Dateien angezeigt werden, die nach der Veröffentlichung der neuen Zertifikatsperrliste Validate the new CRL erstellt wurden.

Domänencontrollerzertifikate neu ausstellen

Wenn die Zertifizierungsstelle ordnungsgemäß mit einem gültigen HTTP-basierten Zertifikatsperrlistenverteilungspunkt konfiguriert ist, müssen Sie Zertifikate auf Domänencontrollern erneut ausstellen, da das alte Zertifikat nicht über den aktualisierten CRL-Verteilungspunkt verfügt.

  1. Anmelden eines Domänencontrollers mit Administratoranmeldeinformationen
  2. Öffnen des Dialogfelds Ausführen Geben Sie certlm.msc ein, um den Zertifikat-Manager für den lokalen Computer zu öffnen.
  3. Erweitern Sie im Navigationsbereich Persönlich. Wählen Sie Zertifikate aus. Wählen Sie im Detailbereich das vorhandene Domänencontrollerzertifikat aus, das die KDC-Authentifizierung in der Liste Der persönliche Speicher für beabsichtigte Zweckedes Zertifikat-Managers enthält.
  4. Klicken Sie mit der rechten Maustaste auf das ausgewählte Zertifikat. Zeigen Sie auf Alle Aufgaben , und wählen Sie dann Zertifikat mit neuem Schlüssel erneuern... aus. Wählen Sie im Assistenten für die Zertifikatregistrierungdie Option NächsteVerlängerung mit neuem Schlüssel aus.
  5. Vergewissern Sie sich auf der Seite Zertifikate anfordern des Assistenten, dass das ausgewählte Zertifikat die richtige Zertifikatvorlage hat, und stellen Sie sicher, dass der Status verfügbar ist. Wählen Sie Registrieren aus.
  6. Wählen Sie nach Abschluss der Registrierung Fertig stellen aus, um den Assistenten zu schließen.
  7. Wiederholen Sie dieses Verfahren auf allen Domänencontrollern.

Hinweis

Sie können Domänencontroller so konfigurieren, dass sie ihre Zertifikate automatisch registrieren und erneuern. Die automatische Zertifikatregistrierung trägt dazu bei, Authentifizierungsausfälle aufgrund von abgelaufenen Zertifikaten zu verhindern. Informationen zur Bereitstellung der automatischen Zertifikatregistrierung für Domänencontroller finden Sie unter Bereitstellungshandbücher für Windows Hello.

Wichtig

Wenn Sie die automatische Zertifikatregistrierung nicht verwenden, erstellen Sie eine Kalendererinnerung, um Sie zwei Monate vor Ablaufdatum des Zertifikats zu benachrichtigen. Senden Sie die Erinnerung an mehrere Personen in der Organisation, um sicherzustellen, dass mehr als ein oder zwei Personen wissen, wann diese Zertifikate ablaufen.

Überprüfen des CDP im neuen Zertifikat

  1. Anmelden eines Domänencontrollers mit Administratoranmeldeinformationen

  2. Öffnen des Dialogfelds Ausführen Geben Sie certlm.msc ein, um den Zertifikat-Manager für den lokalen Computer zu öffnen.

  3. Erweitern Sie im Navigationsbereich Persönlich. Wählen Sie Zertifikate aus. Doppelklicken Sie im Detailbereich auf das vorhandene Domänencontrollerzertifikat, das die KDC-Authentifizierung in der Liste der beabsichtigten Zwecke enthält.

  4. Wählen Sie die Registerkarte Details aus. Scrollen Sie in der Liste nach unten, bis CRL-Verteilungspunkte in der Spalte Feld der Liste angezeigt werden. Auswählen des CRL-Verteilungspunkts

  5. Überprüfen Sie die Informationen unterhalb der Liste der Felder, um zu bestätigen, dass die neue URL für den CRL-Verteilungspunkt im Zertifikat vorhanden ist. Wählen Sie OK aus.

    Neues Zertifikat mit aktualisiertem CDP.

Bereitstellen des Zertifikats der Stammzertifizierungsstelle auf Microsoft Entra verbundenen Geräten

Die Domänencontroller verfügen über ein Zertifikat, das den neuen CRL-Verteilungspunkt enthält. Als Nächstes benötigen Sie das Unternehmensstammzertifikat, damit Sie es auf Microsoft Entra verbundenen Geräten bereitstellen können. Wenn Sie die Unternehmensstammzertifikate auf einem Gerät bereitstellen, wird sichergestellt, dass das Gerät allen von der Zertifizierungsstelle ausgestellten Zertifikaten vertraut. Ohne das Zertifikat vertrauen Microsoft Entra eingebundenen Geräte den Domänencontrollerzertifikaten nicht, und die Authentifizierung schlägt fehl.

Exportieren des Unternehmensstammzertifikats

  1. Anmelden eines Domänencontrollers mit Administratoranmeldeinformationen
  2. Öffnen des Dialogfelds Ausführen Geben Sie certlm.msc ein, um den Zertifikat-Manager für den lokalen Computer zu öffnen.
  3. Erweitern Sie im Navigationsbereich Persönlich. Wählen Sie Zertifikate aus. Doppelklicken Sie im Detailbereich auf das vorhandene Domänencontrollerzertifikat, das die KDC-Authentifizierung in der Liste der beabsichtigten Zwecke enthält.
  4. Wählen Sie die Registerkarte Zertifizierungspfad aus. Wählen Sie in der Ansicht Zertifizierungspfad den obersten Knoten und dann Zertifikatpfad anzeigen aus.
  5. Wählen Sie im Dialogfeld Neues Zertifikat die Registerkarte Details aus. Wählen Sie die Registerkarte In Dateidetails kopieren und in Datei kopieren aus.
  6. Wählen Sie im Zertifikatexport-AssistentenWeiter aus.
  7. Wählen Sie im Assistenten auf der Seite Dateiformat exportieren die Option Weiter aus.
  8. Geben Sie im Assistenten auf der Seite Zu exportierende Datei den Namen und speicherort des Stammzertifikats ein, und wählen Sie Weiter aus. Wählen Sie Fertig stellen und dann OK aus, um das Erfolgsdialogfeld Stammzertifikat exportieren zu schließen.
  9. Wählen Sie zweimal OK aus, um zum Zertifikat-Manager für den lokalen Computer zurückzukehren. Schließen des Zertifikat-Managers

Bereitstellen des Zertifikats über Intune

Verwenden Sie eine benutzerdefinierte Richtlinie, um Geräte mit Microsoft Intune zu konfigurieren:

  1. Wechseln Sie zum Microsoft Intune Admin Center.
  2. Auswählen von Gerätekonfigurationsprofilen >> Create Profil
  3. Wählen Sie Plattform > Windows 8.1 und höher und Profiltyp > Vertrauenswürdiges Zertifikat aus.
  4. Wählen Sie Create aus.
  5. Wählen Sie unter Konfigurationseinstellungen das Ordnersymbol aus, und suchen Sie nach der Unternehmensstammzertifikatdatei. Nachdem die Datei ausgewählt wurde, wählen Sie Öffnen aus, um sie in Intune
  6. Wählen Sie in der Dropdownliste Zielspeicherdie Option Computerzertifikatspeicher – Stamm aus.
  7. Wählen Sie Weiter aus.
  8. Wählen Sie unter Zuweisung eine Sicherheitsgruppe aus, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren > möchten Next
  9. Überprüfen Sie die Richtlinienkonfiguration, und wählen Sie Create

Falls Sie Zertifikate für lokales Single Sign-On (SSO) verwenden möchten, führen Sie die weiteren Schritte in Verwendung von Zertifikaten für lokales Single Sign-Onaus. Andernfalls können Sie sich mit Windows Hello for Business bei einem Microsoft Entra verbundenen Gerät anmelden und einmaliges Anmelden bei einer lokalen Ressource testen.