Teilen über


Verwenden von Zertifikaten zur Authentifizierung in Microsoft Intune

Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen Ihre Endbenutzer keine Benutzernamen und Kennwörter eingeben, was den Zugriff nahtlos gestalten kann. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.

Einführung in Zertifikate mit Intune

Zertifikate bieten authentifizierten Zugriff ohne Verzögerung über die folgenden zwei Phasen:

  • Authentifizierungsphase: Die Authentizität des Benutzers wird überprüft, um zu bestätigen, dass der Benutzer die Person ist, für die er sich ausgibt.
  • Autorisierungsphase: Der Benutzer unterliegt Bedingungen, für die bestimmt wird, ob dem Benutzer Zugriff gewährt werden soll.

Typische Verwendungsszenarien für Zertifikate sind:

  • Netzwerkauthentifizierung (z. B. 802.1x) mit Geräte- oder Benutzerzertifikaten
  • Authentifizierung mit VPN-Servern unter Verwendung von Geräte- oder Benutzerzertifikaten
  • Signieren von E-Mails basierend auf Benutzerzertifikaten

Intune unterstützt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) und importierte PKCS-Zertifikate als Methoden zum Bereitstellen von Zertifikaten auf Geräten. Die verschiedenen Bereitstellungsmethoden weisen unterschiedliche Anforderungen und Ergebnisse auf. Beispiel:

  • SCEP stellt Zertifikate bereit, die für jede Anforderung des Zertifikats eindeutig sind.
  • PKCS stellt für jedes Gerät ein eindeutiges Zertifikat bereit.
  • Mit importierten PKCS-Zertifikaten können Sie das Zertifikat, das Sie aus einer Quelle exportiert haben, (z. B. aus einem E-Mail-Server) für mehrere Empfänger bereitstellen. Dieses freigegebene Zertifikat ist hilfreich, um sicherzustellen, dass alle Benutzer oder Geräte anschließend E-Mails entschlüsseln können, die mit diesem Zertifikat verschlüsselt wurden.

Zum Bereitstellen eines bestimmten Zertifikats für einen Benutzer oder ein Gerät verwendet Intune ein Zertifikatprofil.

Zusätzlich zu den drei Zertifikattypen und Bereitstellungsmethoden benötigen Sie ein vertrauenswürdiges Stammzertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA). Die Zertifizierungsstelle kann eine lokale Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters sein. Das vertrauenswürdige Stammzertifikat richtet eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden. Zum Bereitstellen dieses Zertifikats verwenden Sie das vertrauenswürdige Zertifikatprofil und stellen es auf denselben Geräten und Benutzern bereit, die die Zertifikatprofile für SCEP, PKCS und importierte PKCS erhalten.

Tipp

Intune unterstützt auch die Verwendung abgeleiteter Anmeldeinformationen für Umgebungen, für die Smartcards verwendet werden müssen.

Erforderliche Komponenten für die Verwendung von Zertifikaten

  • Eine Zertifizierungsstelle. Die Zertifizierungsstelle ist die Vertrauensquelle, auf die sich die Zertifikate für die Authentifizierung beziehen. Sie können eine Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters verwenden.
  • Lokale Infrastruktur. Welche Infrastruktur Sie benötigen, hängt von den von Ihnen verwendeten Zertifikattypen ab:
  • Ein vertrauenswürdiges Stammzertifikat. Bevor Sie SCEP- oder PKCS-Zertifikatprofile bereitstellen, stellen Sie das vertrauenswürdige Stammzertifikat von Ihrer Zertifizierungsstelle mithilfe eines vertrauenswürdigen Zertifikatprofils bereit. Mit diesem Profil können Sie die Vertrauensstellung zwischen dem Gerät und der Zertifizierungsstelle einrichten. Es ist für die anderen Zertifikatprofile erforderlich.

Nachdem ein vertrauenswürdiges Stammzertifikat bereitgestellt wurde, können Sie Zertifikatprofile bereitstellen, um Benutzer und Geräte mit Zertifikaten für die Authentifizierung bereitzustellen.

Auswählen des richtigen Zertifikatprofils

Die folgenden Vergleiche sind nicht vollständig, sollen aber dabei helfen, die Verwendung der verschiedenen Zertifikatprofiltypen zu unterscheiden.

Profiltyp Details
Vertrauenswürdiges Zertifikat Verwenden Sie diesen Typ, um den öffentlichen Schlüssel (Zertifikat) von einer Stammzertifizierungsstelle oder einer Zwischenzertifizierungsstelle für Benutzer und Geräte bereitzustellen, um eine Vertrauensstellung zurück zur Quellzertifizierungsstelle herzustellen. Für andere Zertifikatprofile sind das vertrauenswürdige Zertifikatprofil und sein Stammzertifikat erforderlich.
SCEP-Zertifikat Stellt eine Vorlage für eine Zertifikatanforderung für Benutzer und Geräte bereit. Jedes Zertifikat, das mithilfe von SCEP bereitgestellt wird, ist eindeutig und an den Benutzer oder das Gerät gebunden, der bzw. das das Zertifikat anfordert.

Mit SCEP können Sie Zertifikate auf Geräten ohne Benutzeraffinität bereitstellen, einschließlich der Verwendung von SCEP zum Bereitstellen eines Zertifikats auf einem KIOSK oder einem Gerät ohne Benutzer.
PKCS-Zertifikat Stellt eine Vorlage für eine Zertifikatanforderung bereit, die den Zertifikattyp eines Benutzers oder eines Geräts angibt.

- Anforderungen für einen Zertifikattyp von Benutzer erfordern immer Benutzeraffinität. Bei der Bereitstellung für einen Benutzer erhält jedes der Geräte des Benutzers ein eindeutiges Zertifikat. Bei der Bereitstellung auf einem Gerät mit einem Benutzer wird dieser Benutzer dem Zertifikat dieses Geräts zugeordnet. Bei der Bereitstellung auf einem benutzerlosen Gerät wird kein Zertifikat bereitgestellt.
– Vorlagen mit einem Zertifikattyp eines Geräts erfordern keine Benutzeraffinität, um ein Zertifikat bereitzustellen. Durch Bereitstellung auf einem Gerät wird das Gerät bereitgestellt. Durch Bereitstellung für einen Benutzer wird das Gerät, auf dem der Benutzer gerade angemeldet ist, mit einem Zertifikat bereitgestellt.
Importiertes PKCS-Zertifikat Stellt ein einzelnes Zertifikat für mehrere Geräte und Benutzer bereit, wodurch Szenarien wie S/MIME-Signierung und Verschlüsselung unterstützt werden. Wenn Sie z. B. das gleiche Zertifikat auf jedem Gerät bereitstellen, kann jedes dieser Geräte E-Mails entschlüsseln, die von diesem gleichen E-Mail-Server empfangen werden.

Andere Zertifikatbereitstellungsmethoden reichen für dieses Szenario nicht aus, da SCEP für jede Anforderung ein eindeutiges Zertifikat erstellt und PKCS jedem Benutzer ein anderes Zertifikat zuordnet, wobei verschiedene Benutzer unterschiedliche Zertifikate erhalten.

Von Intune unterstützte Zertifikate und Nutzung

Typ Authentifizierung S/MIME-Signatur S/MIME-Verschlüsselung
Über PKCS (Public Key Cryptography Standards) importiertes Zertifikat Unterstützt Unterstützt
PKCS#12 (oder PFX) Unterstützt Unterstützt
Simple Certificate Enrollment-Protokoll (SCEP) Unterstützt Unterstützt

Um diese Zertifikate bereitzustellen, erstellen Sie Zertifikatprofile, und weisen Sie sie Geräten zu.

Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS/iPadOS. Wenn Sie auch SCEP-Zertifikate für diese beiden Plattformen verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS/iPadOS.

Allgemeine Überlegungen bei der Verwendung einer Microsoft-Zertifizierungsstelle

Bei der Verwendung einer Microsoft-Zertifizierungsstelle (Certification Authority) gilt Folgendes:

Allgemeine Überlegungen bei der Verwendung einer Drittanbieter-Zertifizierungsstelle

Bei der Verwendung einer Drittanbieter-Zertifizierungsstelle (Certification Authority, nicht von Microsoft) gilt Folgendes:

  • SCEP-Zertifikatprofile erfordern keine Verwendung des Microsoft Intune Certificate Connector. Stattdessen übernimmt die Drittanbieterzertifizierungsstelle die Zertifikatausstellung und -verwaltung direkt. So verwenden Sie SCEP-Zertifikatprofile ohne den Intune Certificate Connector:

    Weitere Informationen finden Sie unter Einrichten der Integration einer Drittanbieterzertifizierungsstelle.

  • Importierte PKCS-Zertifikate erfordern die Verwendung des Microsoft Intune Certificate Connector. Weitere Informationen finden Sie unter Installieren des Zertifikatconnectors für Microsoft Intune.

  • Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:

    • vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
    • SCEP-Zertifikatprofile
    • PKCS-Zertifikatprofile (werden nur mit der DigiCert PKI-Plattform unterstützt)
    • importierte PKCS-Zertifikatprofile

Unterstützte Plattformen und Zertifikatprofile

Plattform Vertrauenswürdiges Zertifikatprofil PKCS-Zertifikatprofil SCEP-Zertifikatprofil Importiertes PKCS-Zertifikatprofil
Android-Geräteadministrator Abgestützt
(siehe Hinweis 1)
Unterstützt Unterstützt Unterstützt
Android Enterprise
– Vollständig verwaltet (Gerätebesitzer)
Unterstützt Unterstützt Unterstützt Unterstützt
Android Enterprise
– Dediziert (Gerätebesitzer)
Unterstützt Unterstützt Unterstützt Unterstützt
Android Enterprise
– Corporate-Owned-Arbeitsprofil
Unterstützt Unterstützt Unterstützt Unterstützt
Android Enterprise
– Personally-Owned-Arbeitsprofil
Unterstützt Unterstützt Unterstützt Unterstützt
Android (AOSP) Unterstützt Unterstützt Unterstützt
iOS/iPadOS Unterstützt Unterstützt Unterstützt Unterstützt
macOS Unterstützt Unterstützt Unterstützt Unterstützt
Windows 8.1 und höher Unterstützt Unterstützt
Windows 10/11 Abgestützt
(siehe Hinweis 2)
Abgestützt
(siehe Hinweis 2)
Abgestützt
(siehe Hinweis 2)
Unterstützt

Wichtig

Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, wechseln Sie zu Windows 10/11-Geräten. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Wichtig

Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Weitere Ressourcen:

Erstellen von Zertifikatprofilen:

Informieren Sie sich weiter über den Microsoft Intune Certificate Connector.