SCEP-certificaatprofielen maken en toewijzen in Intune

Belangrijk

Ter ondersteuning van Windows-vereisten voor sterke toewijzing van SCEP-certificaten die zijn geïntroduceerd en aangekondigd in KB5014754 vanaf 10 mei 2022 hebben we wijzigingen aangebracht in Intune SCEP-certificaatuitgifte voor nieuwe en vernieuwde SCEP-certificaten. Met deze wijzigingen bevatten nieuwe of vernieuwde Intune SCEP-certificaten voor iOS/iPadOS, macOS en Windows nu de volgende tag in het veld Alternatieve onderwerpnaam (SAN) van het certificaat:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Deze tag wordt gebruikt door sterke toewijzing om een certificaat te koppelen aan een specifiek apparaat of gebruikers-SID van Entra ID. Met deze wijziging en vereiste om een SID van Entra ID toe te wijzen:

• Apparaatcertificaten worden ondersteund voor hybride Windows-apparaten wanneer dat apparaat een SID in Entra ID heeft die is gesynchroniseerd vanuit een on-premises Active Directory.
• Gebruikerscertificaten gebruiken de SID van de gebruiker van entra-id, gesynchroniseerd vanuit on-premises Active Directory.

Certificeringsinstanties (CA's) die de URL-tag in het SAN niet ondersteunen, kunnen mogelijk geen certificaten uitgeven. Microsoft Active Directory Certificate Services-servers waarop de update is geïnstalleerd vanuit KB5014754 ondersteunen het gebruik van deze tag. Als u een externe CA gebruikt, neemt u contact op met uw CA-provider om te controleren of deze deze indeling ondersteunt of hoe en wanneer deze ondersteuning wordt toegevoegd.

Zie Ondersteuningstip: Sterke toewijzing implementeren in Microsoft Intune certificaten - Microsoft Community Hub voor meer informatie.

Nadat u uw infrastructuur hebt geconfigureerd om SCEP-certificaten (Simple Certificate Enrollment Protocol) te ondersteunen, kunt u SCEP-certificaatprofielen maken en vervolgens toewijzen aan gebruikers en apparaten in Intune.

Voor apparaten die een SCEP-certificaatprofiel kunnen gebruiken, moeten ze uw vertrouwde basiscertificeringsinstantie (CA) vertrouwen. Vertrouwen van de basis-CA kan het beste tot stand worden gebracht door een vertrouwd certificaatprofiel te implementeren in dezelfde groep die het SCEP-certificaatprofiel ontvangt. Met vertrouwde certificaatprofielen wordt het vertrouwde basis-CA-certificaat ingericht.

Voor apparaten met Android Enterprise is mogelijk een pincode vereist voordat SCEP ze kan inrichten met een certificaat. Zie Pincodevereiste voor Android Enterprise voor meer informatie.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Opmerking

Vanaf Android 11 kunnen vertrouwde certificaatprofielen het vertrouwde basiscertificaat niet meer installeren op apparaten die zijn ingeschreven als Android-apparaatbeheerder. Deze beperking is niet van toepassing op Samsung Knox.

Zie Vertrouwde certificaatprofielen voor Android-apparaatbeheerder voor meer informatie over deze beperking.

Belangrijk

Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

Tip

SCEP-certificaatprofielen worden ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.

Een SCEP-certificaatprofiel maken

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer en ga naar Apparaten>configuratie>maken.

3. Geef de volgende eigenschappen op:

   • Platform: kies het platform van uw apparaten.

   • Profiel: selecteer SCEP-certificaat. Of selecteerSCEP-certificaatsjablonen>.

     Voor Android Enterprise is profieltype onderverdeeld in twee categorieën: Volledig beheerd, Toegewezen en Corporate-Owned Werkprofiel en Werkprofiel in persoonlijk eigendom. Zorg ervoor dat u het juiste SCEP-certificaatprofiel selecteert voor de apparaten die u beheert.

     SCEP-certificaatprofielen voor het volledig beheerde, toegewezen en Corporate-Owned werkprofiel hebben de volgende beperkingen:

     1. Onder Bewaking is certificaatrapportage niet beschikbaar voor SCEP-certificaatprofielen van apparaateigenaar .
     2. U kunt Intune niet gebruiken om certificaten in te trekken die zijn ingericht door SCEP-certificaatprofielen voor Apparaateigenaar. U kunt intrekking beheren via een extern proces of rechtstreeks met de certificeringsinstantie.
     3. Voor toegewezen Android Enterprise-apparaten worden SCEP-certificaatprofielen ondersteund voor Wi-Fi netwerkconfiguratie, VPN en verificatie. SCEP-certificaatprofielen op toegewezen Android Enterprise-apparaten worden niet ondersteund voor app-verificatie.

     Voor Android (AOSP) gelden de volgende beperkingen:

     1. Onder Bewaking is certificaatrapportage niet beschikbaar voor SCEP-certificaatprofielen van apparaateigenaar .
     2. U kunt Intune niet gebruiken om certificaten in te trekken die zijn ingericht door SCEP-certificaatprofielen voor apparaateigenaren. U kunt intrekking beheren via een extern proces of rechtstreeks met de certificeringsinstantie.
     3. SCEP-certificaatprofielen worden ondersteund voor Wi-Fi netwerkconfiguratie. Ondersteuning voor VPN-configuratieprofielen is niet beschikbaar. Een toekomstige update kan ondersteuning bevatten voor VPN-configuratieprofielen.
     4. De volgende 3 variabelen zijn niet beschikbaar voor gebruik op Android (AOSP) SCEP-certificaatprofielen. Ondersteuning voor deze variabelen komt in een toekomstige update.
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • Department

     Opmerking

     Apparaateigenaar is gelijk aan apparaten in bedrijfseigendom. De volgende worden beschouwd als apparaateigenaar:

     • Android Enterprise - Volledig beheerd, toegewezen en Corporate-Owned werkprofiel
     • Android AOSP
       • Gebruikersaffiniteit
       • Gebruikerloos

4. Selecteer Maken.

5. Voer in Basis de volgende eigenschappen in:

   • Naam: voer een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Een goede profielnaam is bijvoorbeeld SCEP-profiel voor het hele bedrijf.
   • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

6. Selecteer Volgende.

7. Voer in Configuratie-instellingen de volgende configuraties uit:

   • Certificaattype:

     (Van toepassing op: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 en Windows 10/11)

     Selecteer een type, afhankelijk van hoe u het certificaatprofiel gaat gebruiken:

     • Gebruiker: Gebruikerscertificaten kunnen zowel gebruikers- als apparaatkenmerken bevatten in het onderwerp en de SAN van het certificaat.

     • Apparaat: Apparaatcertificaten kunnen alleen apparaatkenmerken bevatten in het onderwerp en de SAN van het certificaat.

       Gebruik Apparaat voor scenario's zoals apparaten die geen gebruiker gebruiken, zoals kiosken of voor Windows-apparaten. Op Windows-apparaten wordt het certificaat in het certificaatarchief van de lokale computer geplaatst.

     Opmerking

     Opslag van certificaten die zijn ingericht door SCEP:

     • macOS : certificaten die u met SCEP inricht, worden altijd in de systeemsleutelhanger (systeemarchief) van het apparaat geplaatst.

     • Android : apparaten hebben zowel een VPN- en apps-certificaatarchief als een WIFI-certificaatarchief . Intune slaat SCEP-certificaten altijd op in het VPN- en apps-archief op een apparaat. Het gebruik van het VPN- en apps-archief maakt het certificaat beschikbaar voor gebruik door elke andere app.

       Wanneer een SCEP-certificaat echter ook is gekoppeld aan een Wi-Fi-profiel, installeert Intune het certificaat ook in het Wi-Fi-archief.

       Wanneer deze is geconfigureerd voor VPN-apps, wordt de gebruiker gevraagd het juiste certificaat te selecteren. Goedkeuring van stille certificaten voor volledig beheerde (of BYOD-scenario's) wordt niet ondersteund. Als alles correct is ingesteld, moet het juiste certificaat al vooraf zijn geselecteerd in het dialoogvenster.

   • Indeling van de onderwerpnaam:

     Voer tekst in om Intune te laten weten hoe u automatisch de onderwerpnaam in de certificaataanvraag maakt. Opties voor de indeling van de onderwerpnaam zijn afhankelijk van het certificaattype dat u selecteert, gebruiker of apparaat.

     Tip

     Als de lengte van uw onderwerpnaam langer is dan 64 tekens, moet u mogelijk het afdwingen van de naamlengte uitschakelen bij uw interne certificeringsinstantie. Zie Het afdwingen van DN-lengte uitschakelen voor meer informatie

     Opmerking

     Er is een bekend probleem met het gebruik van SCEP om certificaten op te halen wanneer de onderwerpnaam in de resulterende aanvraag voor certificaatondertekening (CSR) een van de volgende tekens bevat als een escaped teken (gevolgd door een backslash \):

     • +
     • ;
     • ,
     • =

     Opmerking

     Vanaf Android 12 biedt Android geen ondersteuning meer voor het gebruik van de volgende hardware-id's voor apparaten met een werkprofiel in persoonlijk eigendom :

     • Serienummer
     • IMEI
     • MEID

     Intune certificaatprofielen voor apparaten met een werkprofiel in persoonlijk eigendom die afhankelijk zijn van deze variabelen in de onderwerpnaam of san, kunnen geen certificaat inrichten op apparaten waarop Android 12 of hoger wordt uitgevoerd op het moment dat het apparaat is ingeschreven met Intune. Apparaten die zijn ingeschreven voordat ze een upgrade naar Android 12 hebben uitgevoerd, kunnen nog steeds certificaten ontvangen zolang Intune eerder de hardware-id's van het apparaat hebben verkregen.

     Zie het blogbericht Android Day Zero Support for Microsoft Endpoint Manager voor meer informatie over deze en andere wijzigingen die zijn geïntroduceerd met Android 12.

     • Gebruikerscertificaattype

       Gebruik het tekstvak om een aangepaste indeling voor de onderwerpnaam in te voeren, inclusief statische tekst en variabelen. Er worden twee variabeleopties ondersteund: Common Name (CN) en Email (E).

       Email (E) wordt meestal ingesteld met de variabele {{EmailAddress}} . Bijvoorbeeld: E={{EmailAddress}}

       Common Name (CN) kan worden ingesteld op een van de volgende variabelen:

       • CN={{UserName}}: de gebruikersnaam van de gebruiker, zoals janedoe.
       • CN={{UserPrincipalName}}: de user principal name van de gebruiker, zoals janedoe@contoso.com.
       • CN={{AAD_Device_ID}}: een id die is toegewezen wanneer u een apparaat registreert in Microsoft Entra ID. Deze id wordt doorgaans gebruikt voor verificatie met Microsoft Entra ID.
       • CN={{DeviceId}}: een id die is toegewezen wanneer u een apparaat inschrijft bij Intune.

       Opmerking

       Vermijd het gebruik van {{DeviceId}} voor onderwerpnaam op Windows-apparaten. In bepaalde gevallen mislukt het certificaat dat is gegenereerd met deze onderwerpnaam, de synchronisatie met Intune.

       • CN={SERIALNUMBER}}: het unieke serienummer (SN) dat doorgaans door de fabrikant wordt gebruikt om een apparaat te identificeren.

       • CN={{IMEINumber}}: het unieke IMEI-nummer (International Mobile Equipment Identity) dat wordt gebruikt om een mobiele telefoon te identificeren.

       • CN={{OnPrem_Distinguished_Name}}: een reeks relatieve DN-namen gescheiden door komma's, zoals CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

         De variabele {{OnPrem_Distinguished_Name}} gebruiken:

         • Zorg ervoor dat u het gebruikerskenmerk onpremisesdistinguishedname synchroniseert met behulp van Microsoft Entra Verbinding maken met uw Microsoft Entra ID.
         • Als de CN-waarde een komma bevat, moet de indeling van de onderwerpnaam tussen aanhalingstekens staan. Bijvoorbeeld: CN="{{OnPrem_Distinguished_Name}}"

       • CN={{OnPremisesSamAccountName}}: Beheerders kunnen het kenmerk samAccountName van Active Directory synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect in een kenmerk met de naam onPremisesSamAccountName. Intune kunt deze variabele vervangen als onderdeel van een certificaatuitgifteaanvraag in het onderwerp van een certificaat. Het kenmerk samAccountName is de aanmeldingsnaam van de gebruiker die wordt gebruikt ter ondersteuning van clients en servers van een eerdere versie van Windows (pre-Windows 2000). De notatie van de aanmeldingsnaam van de gebruiker is: DomainName\testUser of alleen testUser.

         Als u de variabele {{OnPremisesSamAccountName}} wilt gebruiken, moet u het gebruikerskenmerk OnPremisesSamAccountName synchroniseren met Microsoft Entra Verbinding maken met uw Microsoft Entra ID.

       Alle apparaatvariabelen die worden vermeld in de volgende sectie Apparaatcertificaattype , kunnen ook worden gebruikt in onderwerpnamen van gebruikerscertificaat.

       Door een combinatie van een of meer van deze variabelen en statische teksttekenreeksen te gebruiken, kunt u een aangepaste indeling voor de onderwerpnaam maken, zoals: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

       Dit voorbeeld bevat een indeling voor de onderwerpnaam die gebruikmaakt van de cn- en E-variabelen, en tekenreeksen voor de waarden organisatie-eenheid, organisatie, locatie, staat en land. De functie CertStrToName beschrijft deze functie en de ondersteunde tekenreeksen.

       Gebruikerskenmerken worden niet ondersteund voor apparaten die geen gebruikerskoppelingen hebben, zoals apparaten die zijn ingeschreven als Toegewezen Android Enterprise. Een profiel dat bijvoorbeeld CN={{UserPrincipalName}} gebruikt in het onderwerp of SAN, kan de user principal name niet ophalen wanneer er geen gebruiker op het apparaat is.

     • Apparaatcertificaattype

       Indelingsopties voor de indeling van de onderwerpnaam omvatten de volgende variabelen:

       • {{AAD_Device_ID}} of {{AzureADDeviceId}} - Beide variabelen kunnen worden gebruikt om een apparaat te identificeren op basis van de Microsoft Entra ID.
       • {{DeviceId}} - De Intune apparaat-id
       • {{Device_Serial}}
       • {{Device_IMEI}}
       • {{SerialNumber}}
       • {{IMEINumber}}
       • {{WiFiMacAddress}}
       • {{IMEI}}
       • {{DeviceName}}
       • {{FullyQualifiedDomainName}}(Alleen van toepassing op Windows en apparaten die lid zijn van een domein)
       • {{MEID}}

       U kunt deze variabelen en statische tekst opgeven in het tekstvak. De algemene naam voor een apparaat met de naam Device1 kan bijvoorbeeld worden toegevoegd als CN={{DeviceName}}Device1.

       Belangrijk

       • Wanneer u een variabele opgeeft, plaatst u de naam van de variabele tussen dubbele accolades {{ }} zoals in het voorbeeld, om een fout te voorkomen.
       • Apparaateigenschappen die worden gebruikt in het onderwerp of san van een apparaatcertificaat, zoals IMEI, SerialNumber en FullyQualifiedDomainName, zijn eigenschappen die kunnen worden vervalst door een persoon met toegang tot het apparaat.
       • Een apparaat moet alle variabelen ondersteunen die zijn opgegeven in een certificaatprofiel om dat profiel op dat apparaat te kunnen installeren. Als {{IMEI}} bijvoorbeeld wordt gebruikt in de onderwerpnaam van een SCEP-profiel en is toegewezen aan een apparaat dat geen IMEI-nummer heeft, kan het profiel niet worden geïnstalleerd.

   • Alternatieve onderwerpnaam:
     Selecteer hoe Intune automatisch de alternatieve onderwerpnaam (SAN) maakt in de certificaataanvraag. U kunt meerdere alternatieve namen voor onderwerpen opgeven. Voor elk kenmerk kunt u kiezen uit vier SAN-kenmerken en een tekstwaarde voor dat kenmerk invoeren. De tekstwaarde kan variabelen en statische tekst voor het kenmerk bevatten.

     Opmerking

      De volgende Android Enterprise-profielen bieden geen ondersteuning voor het gebruik van de variabele {{UserName}} voor het SAN:

     • Volledig beheerd, toegewezen en Corporate-Owned werkprofiel

     Selecteer een van de beschikbare SAN-kenmerken:

     • E-mailadres
     • UPN (User Principal Name)
     • DNS
     • Uniform Resource Identifier (URI)

     Variabelen die beschikbaar zijn voor de SAN-waarde, zijn afhankelijk van het certificaattype dat u hebt geselecteerd; gebruiker of apparaat.

     Opmerking

     Vanaf Android 12 biedt Android geen ondersteuning meer voor het gebruik van de volgende hardware-id's voor apparaten met een werkprofiel in persoonlijk eigendom :

     • Serienummer
     • IMEI
     • MEID

     Intune certificaatprofielen voor apparaten met een werkprofiel in persoonlijk eigendom die afhankelijk zijn van deze variabelen in de onderwerpnaam of san, kunnen geen certificaat inrichten op apparaten waarop Android 12 of hoger wordt uitgevoerd op het moment dat het apparaat is ingeschreven met Intune. Apparaten die zijn ingeschreven voordat ze een upgrade naar Android 12 hebben uitgevoerd, kunnen nog steeds certificaten ontvangen zolang Intune eerder de hardware-id's van het apparaat hebben verkregen.

     Zie het blogbericht Android Day Zero Support for Microsoft Endpoint Manager voor meer informatie over deze en andere wijzigingen die zijn geïntroduceerd met Android 12.

     • Gebruikerscertificaattype

       Met het certificaattype Gebruiker kunt u een van de gebruikers- of apparaatcertificaatvariabelen gebruiken die hierboven in de sectie Onderwerpnaam worden beschreven.

       Gebruikerscertificaattypen kunnen bijvoorbeeld de UPN (User Principal Name) bevatten in de alternatieve onderwerpnaam. Als een clientcertificaat wordt gebruikt om te verifiëren bij een netwerkbeleidsserver, stelt u de alternatieve onderwerpnaam in op de UPN.

     • Apparaatcertificaattype

       Met het certificaattype Apparaat kunt u een van de variabelen gebruiken die worden beschreven in de sectie Apparaatcertificaattype voor Onderwerpnaam.

       Als u een waarde voor een kenmerk wilt opgeven, neemt u de naam van de variabele op met accolades, gevolgd door de tekst voor die variabele. U kunt bijvoorbeeld een waarde voor het DNS-kenmerk toevoegen {{AzureADDeviceId}}.domain.com waarbij .domain.com de tekst is. Voor een gebruiker met de naam Gebruiker1 kan een Email-adres worden weergegeven als {{FullyQualifiedDomainName}}User1@Contoso.com.

     Door een combinatie van een of meer van deze variabelen en statische teksttekenreeksen te gebruiken, kunt u een aangepaste indeling voor alternatieve onderwerpnamen maken, zoals:

     • {{UserName}}-Home

       Belangrijk

       • Wanneer u een apparaatcertificaatvariabele gebruikt, plaatst u de naam van de variabele tussen dubbele accolades {{ }}.
       • Gebruik geen accolades { }, sluissymbolen |en puntkomma's ;, in de tekst die volgt op de variabele.
       • Apparaateigenschappen die worden gebruikt in het onderwerp of san van een apparaatcertificaat, zoals IMEI, SerialNumber en FullyQualifiedDomainName, zijn eigenschappen die kunnen worden vervalst door een persoon met toegang tot het apparaat.
       • Een apparaat moet alle variabelen ondersteunen die zijn opgegeven in een certificaatprofiel om dat profiel op dat apparaat te kunnen installeren. Als {{IMEI}} bijvoorbeeld wordt gebruikt in de SAN van een SCEP-profiel en is toegewezen aan een apparaat dat geen IMEI-nummer heeft, kan het profiel niet worden geïnstalleerd.

   • Geldigheidsperiode van certificaat:

     U kunt een waarde invoeren die lager is dan de geldigheidsperiode in de certificaatsjabloon, maar niet hoger. Als u de certificaatsjabloon hebt geconfigureerd voor ondersteuning van een aangepaste waarde die kan worden ingesteld vanuit het Intune beheercentrum, gebruikt u deze instelling om de resterende tijd op te geven voordat het certificaat verloopt.

     Intune ondersteunt een geldigheidsperiode van maximaal 24 maanden.

     Als de geldigheidsperiode van het certificaat in de certificaatsjabloon bijvoorbeeld twee jaar is, kunt u een waarde van één jaar opgeven, maar geen waarde van vijf jaar. De waarde moet ook lager zijn dan de resterende geldigheidsperiode van het certificaat van de verlenende CA.

     Plan een geldigheidsperiode van vijf dagen of langer te gebruiken. Wanneer de geldigheidsperiode minder dan vijf dagen is, is de kans groot dat het certificaat een bijna verlopende of verlopen status krijgt, waardoor de MDM-agent op apparaten het certificaat kan weigeren voordat het wordt geïnstalleerd.

   • Sleutelopslagprovider (KSP):

     (Van toepassing op: Windows 8.1 en Windows 10/11)

     Geef op waar de sleutel van het certificaat wordt opgeslagen. Kies uit de volgende waarden:

     • Inschrijven bij Trusted Platform Module (TPM) KSP indien aanwezig, anders Software-KSP
     • Inschrijven bij TRUSTED Platform Module (TPM) KSP, anders mislukt
     • Inschrijven voor Windows Hello voor Bedrijven, anders mislukt (Windows 10 en hoger)
     • Inschrijven voor software-KSP

   • Sleutelgebruik:

     Opties voor sleutelgebruik voor het certificaat selecteren:

     • Digitale handtekening: sleuteluitwisseling alleen toestaan wanneer een digitale handtekening helpt de sleutel te beveiligen.
     • Sleutelcodering: sleuteluitwisseling alleen toestaan wanneer de sleutel is versleuteld.

   • Sleutelgrootte (bits)::

     Selecteer het aantal bits in de sleutel:

     • Niet geconfigureerd

     • 1024

     • 2048

     • 4096 - Een sleutelgrootte van 4096 wordt ondersteund voor de volgende platforms:

       • Android (alle)
       • iOS/iPadOS 14 en hoger
       • macOS 11 en hoger
       • Windows (alle)

       Opmerking

       Voor Windows-apparaten wordt 4096-bits sleutelopslag alleen ondersteund in de Software Key Storage Provider (KSP). De volgende bieden geen ondersteuning voor het opslaan van sleutels van deze grootte:

       • De hardware-TPM (Trusted Platform Module). Als tijdelijke oplossing kunt u de Software-KSP gebruiken voor sleutelopslag.
       • Windows Hello voor Bedrijven. Er is momenteel geen tijdelijke oplossing voor Windows Hello voor Bedrijven.

   • Hash-algoritme:

     (Van toepassing op Android, Android (AOSP), Android Enterprise, Windows 8.1 en Windows 10/11)

     Selecteer een van de beschikbare hash-algoritmetypen voor gebruik met dit certificaat. Selecteer het sterkste beveiligingsniveau dat de verbindingsapparaten ondersteunen.

     OPMERKING: Android AOSP- en Android Enterprise-apparaten selecteren het sterkste ondersteunde algoritme: SHA-1 wordt genegeerd en SHA-2 wordt in plaats daarvan gebruikt.

   • Basiscertificaat:

     Selecteer het vertrouwde certificaatprofiel dat u eerder hebt geconfigureerd en toegewezen aan toepasselijke gebruikers en apparaten voor dit SCEP-certificaatprofiel. Het vertrouwde certificaatprofiel wordt gebruikt om gebruikers en apparaten in te richten met het vertrouwde basis-CA-certificaat. Zie Uw vertrouwde basis-CA-certificaat exporteren en Vertrouwde certificaatprofielen maken in Certificaten gebruiken voor verificatie in Intune voor meer informatie over het vertrouwde certificaatprofiel.

     Opmerking

     Als u een PKI-infastructure met meerdere niveaus hebt, zoals een basiscertificeringsinstantie en een verlenende certificeringsinstantie, selecteert u het profiel van het vertrouwde basiscertificaat op het hoogste niveau waarmee de verlenende certificeringsinstantie wordt gevalideerd.

   • Uitgebreid sleutelgebruik:

     Voeg waarden toe voor het beoogde doel van het certificaat. In de meeste gevallen vereist het certificaat clientverificatie , zodat de gebruiker of het apparaat zich kan verifiëren bij een server. U kunt indien nodig extra sleutelgebruiken toevoegen.

   • Drempelwaarde voor verlenging (%):

     Voer het percentage van de levensduur van het certificaat in dat overblijft voordat het apparaat verlenging van het certificaat aanvraagt. Als u bijvoorbeeld 20 invoert, wordt geprobeerd het certificaat te verlengen wanneer het certificaat voor 80% is verlopen. Verlengingspogingen worden voortgezet totdat de verlenging is voltooid. Vernieuwen genereert een nieuw certificaat, wat resulteert in een nieuw openbaar/persoonlijk sleutelpaar.

     Opmerking

     Vernieuwingsgedrag op iOS/iPadOS en macOS: certificaten kunnen alleen worden vernieuwd tijdens de verlengingsdrempelfase. Bovendien moet het apparaat worden ontgrendeld tijdens het synchroniseren met Intune. Als de verlenging niet is gelukt, blijft het verlopen certificaat op het apparaat staan en activeert Intune geen verlenging meer. Bovendien biedt Intune geen optie om verlopen certificaten opnieuw te implementeren. Betrokken apparaten moeten tijdelijk worden uitgesloten van het SCEP-profiel om het verlopen certificaat te verwijderen en een nieuw certificaat aan te vragen.

   • URL's van SCEP-server:

     Voer een of meer URL's in voor de NDES-servers die certificaten uitgeven via SCEP. Voer bijvoorbeeld iets in als https://ndes.contoso.com/certsrv/mscep/mscep.dll.

     Als u wilt toestaan dat apparaten op internet certificaten ophalen, moet u de NDES-URL opgeven die extern is voor uw bedrijfsnetwerk. De URL kan HTTP of HTTPS zijn. Voor de ondersteuning van de volgende apparaten moet de URL van de SCEP-server https gebruiken:

     • Android apparaatbeheerder
     • Android Enterprise-apparaateigenaar
     • Android Enterprise-werkprofiel in bedrijfseigendom
     • Android Enterprise-werkprofiel in persoonlijk eigendom

     U kunt indien nodig extra SCEP-URL's voor taakverdeling toevoegen. Apparaten voeren drie afzonderlijke aanroepen naar de NDES-server. De eerste is om de servermogelijkheden op te halen, de volgende om een openbare sleutel op te halen en vervolgens een ondertekeningsaanvraag in te dienen. Wanneer u meerdere URL's gebruikt, is het mogelijk dat taakverdeling ertoe leidt dat een andere URL wordt gebruikt voor volgende aanroepen naar een NDES-server. Als tijdens dezelfde aanvraag contact wordt opgenomen met een andere server voor een volgende aanroep, mislukt de aanvraag.

     Het gedrag voor het beheren van de NDES-server-URL is specifiek voor elk apparaatplatform:

     • Android: het apparaat randomiseert de lijst met URL's die zijn ontvangen in het SCEP-beleid en doorloopt vervolgens de lijst totdat een toegankelijke NDES-server is gevonden. Het apparaat blijft vervolgens dezelfde URL en server gebruiken gedurende het hele proces. Als het apparaat geen toegang heeft tot een van de NDES-servers, mislukt het proces.
     • iOS/iPadOS: Intune willekeurig de URL's en biedt één URL naar een apparaat. Als het apparaat geen toegang heeft tot de NDES-server, mislukt de SCEP-aanvraag.
     • Windows: De lijst met NDES-URL's wordt gerandomiseerd en vervolgens doorgegeven aan het Windows-apparaat, dat ze vervolgens in de ontvangen volgorde probeert, totdat er een beschikbaar is gevonden. Als het apparaat geen toegang heeft tot een van de NDES-servers, mislukt het proces.

     Als een apparaat dezelfde NDES-server niet kan bereiken tijdens een van de drie aanroepen naar de NDES-server, mislukt de SCEP-aanvraag. Dit kan bijvoorbeeld gebeuren wanneer een oplossing voor taakverdeling een andere URL biedt voor de tweede of derde aanroep naar de NDES-server of een andere werkelijke NDES-server biedt op basis van een gevirtualiseerde URL voor NDES. Na een mislukte aanvraag probeert een apparaat het proces opnieuw uit te voeren in de volgende beleidscyclus, te beginnen met de gerandomiseerde lijst met NDES-URL's (of één URL voor iOS/iPadOS).

8. Deze stap is alleen van toepassing op Android Enterprise-apparaatprofielen voor volledig beheerd, toegewezen en Corporate-Owned werkprofiel.

   Configureer in Appscertificaattoegang om te beheren hoe certificaattoegang wordt verleend aan toepassingen. Kies uit:

   • Goedkeuring van de gebruiker vereisen voor apps(standaard): gebruikers moeten het gebruik van een certificaat door alle toepassingen goedkeuren.
   • Op de achtergrond verlenen voor specifieke apps (goedkeuring van de gebruiker vereisen voor andere apps): selecteer met deze optie Apps toevoegen en selecteer vervolgens een of meer apps die het certificaat op de achtergrond gebruiken zonder tussenkomst van de gebruiker.

9. Selecteer Volgende.

10. Selecteer in Toewijzingen de gebruiker of groepen die uw profiel ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

11. (Alleen van toepassing op Windows 10/11) Geef in Toepasbaarheidsregels toepasselijkheidsregels op om de toewijzing van dit profiel te verfijnen. U kunt ervoor kiezen om het profiel al dan niet toe te wijzen op basis van de editie of versie van het besturingssysteem van een apparaat.

    Zie Toepasselijkheidsregels in Een apparaatprofiel maken in Microsoft Intune voor meer informatie.

12. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

Aanvragen voor certificaatondertekening met speciale tekens met escape-tekens voorkomen

Er is een bekend probleem voor SCEP- en PKCS-certificaataanvragen die een onderwerpnaam (CN) bevatten met een of meer van de volgende speciale tekens als een escaped-teken. Onderwerpnamen die een van de speciale tekens als een escaped-teken bevatten, resulteren in een CSR met een onjuiste onderwerpnaam. Een onjuiste onderwerpnaam resulteert in de validatie van de Intune SCEP-uitdaging mislukt en er geen certificaat is uitgegeven.

De speciale tekens zijn:

• +
• ,
• ;
• =

Wanneer uw onderwerpnaam een van de speciale tekens bevat, gebruikt u een van de volgende opties om deze beperking te omzeilen:

• De CN-waarde met het speciale teken met aanhalingstekens inkapselen.
• Verwijder het speciale teken uit de CN-waarde.

U hebt bijvoorbeeld een onderwerpnaam die wordt weergegeven als Testgebruiker (TestCompany, LLC). Een CSR met een CN met de komma tussen TestCompany en LLC vormt een probleem. Het probleem kan worden voorkomen door aanhalingstekens rond de hele CN te plaatsen of door de komma tussen TestCompany en LLC te verwijderen:

• Aanhalingstekens toevoegen: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
• De komma verwijderen: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Pogingen om de komma te laten ontsnappen met behulp van een backslash-teken mislukken echter met een fout in de CRP-logboeken:

• Escape-komma: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

De fout is vergelijkbaar met de volgende fout:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Het certificaatprofiel toewijzen

Wijs SCEP-certificaatprofielen toe op dezelfde manier als u apparaatprofielen voor andere doeleinden implementeert.

Belangrijk

Als u een SCEP-certificaatprofiel wilt gebruiken, moet een apparaat ook het vertrouwde certificaatprofiel hebben ontvangen dat het indeelt met uw vertrouwde basis-CA-certificaat. U wordt aangeraden zowel het vertrouwde basiscertificaatprofiel als het SCEP-certificaatprofiel in dezelfde groepen te implementeren.

Houd rekening met het volgende voordat u doorgaat:

• Wanneer u SCEP-certificaatprofielen toewijst aan groepen, wordt het vertrouwde basis-CA-certificaatbestand (zoals opgegeven in het vertrouwde certificaatprofiel) op het apparaat geïnstalleerd. Het apparaat gebruikt het SCEP-certificaatprofiel om een certificaataanvraag te maken voor dat vertrouwde basis-CA-certificaat.

• Het SCEP-certificaatprofiel wordt alleen geïnstalleerd op apparaten waarop het platform wordt uitgevoerd dat u hebt opgegeven bij het maken van het certificaatprofiel.

• U kunt certificaatprofielen toewijzen aan gebruikersverzamelingen of apparaatverzamelingen.

• Als u snel een certificaat wilt publiceren naar een apparaat nadat het apparaat is ingeschreven, wijst u het certificaatprofiel toe aan een gebruikersgroep in plaats van aan een apparaatgroep. Als u toewijst aan een apparaatgroep, is een volledige apparaatregistratie vereist voordat het apparaat beleidsregels ontvangt.

• Als u co-beheer gebruikt voor Intune en Configuration Manager, stelt u in Configuration Manager de werkbelastingschuifregelaar voor Beleid voor resourcetoegang in op Intune of Test Intune. Met deze instelling kunnen Windows 10/11-clients het proces voor het aanvragen van het certificaat starten.

Opmerking

• Wanneer op iOS-/iPadOS- en macOS-apparaten een SCEP-certificaatprofiel of een PKCS-certificaatprofiel is gekoppeld aan een extra profiel, zoals een Wi-Fi of VPN-profiel, ontvangt het apparaat een certificaat voor elk van deze extra profielen. Dit heeft tot gevolg dat het apparaat meerdere certificaten heeft die zijn geleverd door de SCEP- of PKCS-certificaataanvraag.
• Certificaten die door SCEP worden geleverd, zijn elk uniek. Certificaten die door PKCS worden geleverd, zijn hetzelfde certificaat, maar worden anders weergegeven omdat elk profielexemplaren worden vertegenwoordigd door een afzonderlijke regel in het beheerprofiel.
• Op iOS 13 en macOS 10.15 zijn er aanvullende beveiligingsvereisten die door Apple worden gedocumenteerd om rekening mee te houden.

Volgende stappen

Profielen toewijzen

Problemen met de implementatie van SCEP-certificaatprofielen oplossen