Profile für vertrauenswürdige Stammzertifikate für Microsoft Intune

Wenn Sie Intune zum Bereitstellen von Geräten mit Zertifikaten für den Zugriff auf Unternehmensressourcen und -netzwerke verwenden, stellen Sie das vertrauenswürdige Stammzertifikat mit einem vertrauenswürdigen Zertifikat auf diesen Geräten bereit. Vertrauenswürdige Stammzertifikate richten eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden.

Sie stellen das Profil für vertrauenswürdige Zertifikate für die gleichen Geräte und Benutzer bereit, die die Zertifikatprofile für Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS) und importierte PKCS-Zertifikate erhalten.

Tipp

Vertrauenswürdige Zertifikate-Profile werden für Windows Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.

Exportieren des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle

Um importierte PKCS-, SCEP- und PKCS-Zertifikate verwenden zu können, müssen Geräte Ihrer Stammzertifizierungsstelle vertrauen. Um eine Vertrauensstellung herzustellen, exportieren Sie das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle und alle zwischengeschalteten oder ausstellenden Zertifizierungsstellenzertifikate als öffentliches Zertifikat (.cer). Sie können diese Zertifikate von der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät erhalten, das Ihrer ausstellenden Zertifizierungsstelle vertraut.

Informationen zum Exportieren des Zertifikats finden Sie in der Dokumentation zu Ihrer Zertifizierungsstelle. Sie müssen das öffentliche Zertifikat als DER-codierte .cer Datei exportieren. Exportieren Sie nicht den privaten Schlüssel, also eine .pfx Datei.

Sie verwenden diese .cer Datei, wenn Sie vertrauenswürdige Zertifikatprofile erstellen , um dieses Zertifikat auf Ihren Geräten bereitzustellen.

Erstellen von vertrauenswürdigen Zertifikatprofilen

Bevor Sie ein importiertes SCEP-, PKCS- oder PKCS-Zertifikatprofil erstellen, müssen Sie ein vertrauenswürdiges Zertifikatprofil erstellen und bereitstellen. Stellen Sie das vertrauenswürdige Zertifikatprofil für dieselben Gruppen bereit, die die anderen Zertifikatprofiltypen erhalten. Dieser Schritt stellt sicher, dass jedes Gerät die Legitimität Ihrer Zertifizierungsstelle erkennen kann, einschließlich Profilen für VPN, WLAN und E-Mail-Profile.

SCEP-Zertifikatprofile verweisen direkt auf ein vertrauenswürdiges Zertifikatprofil. PKCS-Zertifikatprofile verweisen nicht auf das Profil des vertrauenswürdigen Zertifikats, sondern direkt auf den Server, der Ihre Zertifizierungsstelle hostet. Über PKCS importierte Zertifikatprofile verweisen nicht direkt auf das Profil des vertrauenswürdigen Zertifikats, sie können es jedoch auf dem Gerät verwenden. Durch die Bereitstellung eines vertrauenswürdigen Zertifikatprofils auf Geräten wird sichergestellt, dass dieses Vertrauen aufgebaut wird. Wenn ein Gerät der Stammzertifizierungsstelle nicht vertraut, schlägt die SCEP- oder PKCS-Zertifikatprofilrichtlinie fehl.

Erstellen Sie ein separates vertrauenswürdiges Zertifikatprofil für jede Geräteplattform, die Sie unterstützen möchten, genau wie für importierte SCEP-, PKCS- und PKCS-Zertifikatprofile.

Wichtig

Vertrauenswürdige Stammprofile, die Sie für die Plattform Windows 10 und höher erstellen, werden im Microsoft Intune Admin Center als Profile für die Plattform Windows 8.1 und höher angezeigt.

Dies ist ein bekanntes Problem bei der Anzeige der Plattform für vertrauenswürdige Zertifikatsprofile. Auch wenn das Profil eine Plattform mit Windows 8.1 und höher anzeigt, ist es für Windows 10/11 funktionsfähig.

Hinweis

Das Profil Vertrauenswürdiges Zertifikat in Intune kann nur für die Bereitstellung von Stammzertifikaten oder Zwischenzertifikaten verwendet werden. Der Zweck der Bereitstellung dieser Zertifikate ist das Erstellen einer Vertrauenskette. Die Verwendung des Profils "Vertrauenswürdiges Zertifikat" für das Bereitstellen anderer Zertifikate als Stamm- oder Zwischenzertifikaten wird von Microsoft nicht unterstützt. Beim Auswählen des Profils für vertrauenswürdige Zertifikate im Microsoft Intune Admin Center werden Sie möglicherweise am Importieren von Zertifikaten gehindert, die nicht als Stamm- oder Zwischenzertifikate gelten. Auch wenn Sie mit diesem Profiltyp ein Zertifikat importieren und bereitstellen können, bei dem es sich weder um ein Stammzertifikat noch um ein Zwischenzertifikat handelt, treten wahrscheinlich unerwartete Ergebnisse zwischen verschiedenen Plattformen wie iOS und Android auf.

Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren

Wichtig

Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Diese Funktion gilt für:

• Android 10 und früher auf Nicht-KNOX-Geräten
• Android 12 und früher auf Samsung KNOX-Geräten

Da bei SCEP-Zertifikatprofile das vertrauenswürdige Stammzertifikat auf einem Gerät installiert sein und auf ein Profil für vertrauenswürdige Zertifikate verwiesen werden muss, das wiederum auf dieses Zertifikat verweist, führen Sie die folgenden Schritte aus, um diese Einschränkung zu umgehen:

1. Stellen Sie das Gerät manuell mit dem vertrauenswürdigen Stammzertifikat bereit. Eine Beispielanleitung finden Sie im folgenden Abschnitt.

2. Stellen Sie auf dem Gerät ein vertrauenswürdiges Stammzertifikatprofil bereit, das auf das vertrauenswürdige Stammzertifikat verweist, das Sie auf dem Gerät installiert haben.

3. Stellen Sie ein SCEP-Zertifikatprofil auf dem Gerät bereit, das auf das Profil für vertrauenswürdige Stammzertifikate verweist.

Dieses Problem ist nicht auf SCEP-Zertifikatprofile beschränkt. Planen Sie daher die manuelle Installation des vertrauenswürdigen Stammzertifikats auf betreffenden Geräten ein, wenn die Verwendung von PKCS-Zertifikatprofilen oder importierten PKCS-Zertifikatprofile dies erfordert.

Weitere Informationen über Änderungen an der Unterstützung für die Android-Geräteadministratorverwaltung finden Sie auf techcommunity.microsoft.com.

Manuelles Bereitstellen eines Geräts mit dem vertrauenswürdigen Stammzertifikat

Die folgende Anleitung kann Ihnen bei der manuellen Bereitstellung von Geräten mithilfe eines vertrauenswürdigen Stammzertifikat helfen.

1. Laden Sie das vertrauenswürdige Stammzertifikat auf das Android-Gerät herunter, oder übertragen Sie es darauf. Sie können das Zertifikat z. B. per E-Mail an Gerätebenutzer verteilen, oder Sie können es an einem sicheren Speicherort hinterlegen, damit Benutzern es herunterladen können. Wenn sich das Zertifikat auf dem Gerät befindet, muss es geöffnet, benannt und gespeichert werden. Durch das Speichern des Zertifikats wird es dem Benutzerzertifikatspeicher auf dem Gerät hinzugefügt.

   1. Zum Öffnen des Zertifikats auf dem Gerät muss ein Benutzer das Zertifikat suchen und darauf tippen (es öffnen). Nachdem Sie das Zertifikat z. B. per E-Mail gesendet haben, kann ein Gerätebenutzer auf den Zertifikatanhang tippen oder diesen öffnen.
   2. Wenn das Zertifikat geöffnet wird, muss der Benutzer seine PIN angeben oder sich anderweitig beim Gerät authentifizieren, bevor er das Zertifikat verwalten kann.

2. Nach der Authentifizierung wird das Zertifikat geöffnet und muss benannt werden, bevor es im Benutzerzertifikatspeicher gespeichert werden kann. Der Zertifikatname muss mit dem Zertifikatnamen übereinstimmen, der sich im Profil Vertrauenswürdiges Stammzertifikat befindet, das an das Gerät gesendet wird. Nachdem Sie das Zertifikat benannt haben, kann es gespeichert werden.

3. Nach dem Speichern ist das Zertifikat einsatzbereit. So können Benutzer überprüfen, ob sich das Zertifikat auf dem Gerät am richtigen Speicherort befindet:

   1. Erst muss Settings>Security>Trusted credentials (Einstellungen > Sicherheit > Vertrauenswürdige Anmeldeinformationen) geöffnet werden. Der tatsächliche Pfad zu Vertrauenswürdige Anmeldeinformationen kann je nach Gerät variieren.
   2. Öffnen Sie die Registerkarte User (Benutzer), und suchen Sie das Zertifikat.
   3. Wenn das Zertifikat in der Liste der Benutzerzertifikate angezeigt wird, wurde es ordnungsgemäß installiert.

4. Selbst wenn ein Stammzertifikat auf einem Gerät installiert ist, müssen Sie Folgendes bereitstellen, um das SCEP- oder PKCS-Zertifikat bereitzustellen:

   • Ein Zertifikatprofil, das auf das vertrauenswürdige Zertifikat verweist
   • Das SCEP- oder PKCS-Profil, das auf das Zertifikatprofil verweist, um das SCEP- oder PKCS-Zertifikat bereitzustellen

So erstellen Sie ein vertrauenswürdiges Zertifikatprofil

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie geräte>verwalten Geräte>aus,und wechseln Sie zu Konfiguration >Erstellen.

   

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie die Plattform der Geräte aus, die dieses Profil erhalten sollen.
   • Profil: Wählen Sie je nach ausgewählter Plattform Vertrauenswürdiges Zertifikat oder Vorlagen>Vertrauenswürdiges Zertifikat aus.

   Wichtig

   Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

   Wenn Sie derzeit Windows 8.1 verwenden, wechseln Sie zu Windows 10/11-Geräten. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen können. Ein geeigneter Profilname ist beispielsweise Vertrauenswürdige Zertifikatsvorlage für das gesamte Unternehmen.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Geben Sie unter Konfigurationseinstellungen die .cer Datei für das vertrauenswürdige Zertifikat der Stammzertifizierungsstelle an, das Sie zuvor exportiert haben.

   Wählen Sie für Windows 8.1- und Windows 10/11-Geräte den Zielspeicher für das vertrauenswürdige Zertifikat aus:

   • Computerzertifikatspeicher – Stamm
   • Computerzertifikatspeicher – Zwischenspeicher
   • Benutzerzertifikatspeicher – Zwischenspeicher

   

8. Wählen Sie Weiter aus.

9. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, die Ihr Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

   Wählen Sie Weiter aus.

10. (Gilt nur für Windows 10/11) Geben Sie unter Anwendbarkeitsregeln Anwendbarkeitsregeln an, um die Zuweisung dieses Profils einzuschränken. Sie können auswählen, dass das Profil basierend auf der Betriebssystemedition oder der Version eines Geräts zugewiesen oder nicht zugewiesen wird.

    Weitere Informationen finden Sie im Artikel Erstellen eines Geräteprofils in Microsoft Intune im Abschnitt Anwendbarkeitsregeln.

11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf „Erstellen“ klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Nächste Schritte

Erstellen von Zertifikatprofilen:

• Konfigurieren Ihrer Infrastruktur für die Unterstützung von SCEP-Zertifikaten mit Intune
• Konfigurieren und Verwalten von PKCS-Zertifikaten mit Intune
• Erstellen eines importierten PKCS-Zertifikatprofils