Massenbereitstellung der mobilen App mit der dienstbasierten Authentifizierung

Hinweis

Azure Active Directory ist jetzt Microsoft Entra ID. Mehr erfahren

Wichtig

Dienstbasierte Authentifizierungsmethoden (wie Zertifikate und geheime Clientschlüssel) sind jetzt veraltet. Wir empfehlen dringend, dass Sie sich stattdessen mithilfe der benutzerbasierten Authentifizierung (z. B. Gerätecodeflow) authentifizieren. Einzelheiten zur Massenbereitstellung der mobilen Warehouse Management-App für die benutzerbasierte Authentifizierung finden Sie unter Massenbereitstellung der mobilen App mit der benutzerbasierten Authentifizierung.

Die automatisierte Bereitstellung und Konfiguration von Warehouse Management ist eventuell effizienter sein als die manuelle Bereitstellung, wenn Sie viele Geräte verwalten müssen. Eine Möglichkeit, diese Automatisierung zu erreichen, ist die Verwendung einer Lösung zur Verwaltung mobiler Geräte (MDM) wie Microsoft Intune. Weitere grundsätzliche Informationen dazu, wie Sie Intune zum Hinzufügen von Apps verwenden, finden Sie unter Microsoft Intune Apps hinzufügen.

In diesem Artikel wird erläutert, wie Sie eine Massenbereitstellung der mobilen Warehouse Management-App mit der dienstbasierten Authentifizierung mithilfe von Microsoft Intune durchführen.

Voraussetzungen

Um eine MDM-Lösung zum Bereitstellen der mobilen Warehouse Management-App und der zugehörigen Authentifizierungszertifikate zu verwenden, müssen Ihnen die folgenden Ressourcen zur Verfügung stehen:

• Version 2.0.41.0 der mobilen Warehouse Management-App oder höher (diese Versionsnummer gilt für alle mobilen Plattformen.)
• Ein gültiges Store-Konto für jede mobile Plattform, die Sie unterstützen (Microsoft-Konto, Google-Konto und/ oder Apple-ID)
• Microsoft Entra ID (Microsoft Entra ID Premium P2-Lizenz)
• Microsoft Endpoint Manager Admin Center (die Intune-Website)
• Zertifikatskonnektor für Microsoft Intune auf einem dedizierten Windows-PC installiert
• PowerShell
• Visual Studio 2022

Sie müssen außerdem über die folgenden Ressourcen verfügen, die Sie mithilfe der Anweisungen in diesem Artikel einrichten:

• PFX-Zertifikat für zertifikatbasierte Authentifizierung (CBA)
• Verbindungseinstellungen der JavaScript Object Notation-Datei (JSON) für die Warehouse Management-App
• PFXImport-Tool für das Microsoft Endpoint Manager Admin Center

Die Quelldateien für die Verteilung einrichten

Jede MDM-Lösung bietet mehrere Methoden zur Beschaffung der Apps, die sie an Endgeräte bereitstellen. Beispielsweise könnte eine Lösung lokal gespeicherte Binärdateien verwenden oder Binärdateien aus einem App Store abrufen. Die bevorzugte Methode ist die Nutzung von App-Stores, da diese einfach ist und die bequemste Möglichkeit bietet, Updates zu erhalten.

Die folgenden Unterabschnitte enthalten Beispiele, die zeigen, wie Sie Intune zum Abrufen von Apps aus den verschiedenen App-Stores einrichten.

Intune einrichten, um die App von Google Play abzurufen

Gehen Sie wie folgt vor, um Intune für das Abrufen der mobilen Warehouse Management-App von Google Play einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie Apps > Android.
3. Wählen Sie auf der Seite Android Apps auf der Symbolleiste Hinzufügen aus.
4. Wählen Sie im Dialogfeld App-Typ auswählen im Feld App-Typ Verwaltete Google Play-App aus. Klicken Sie dann auf Auswählen.
5. Wenn Sie Google Play zum ersten Mal einrichten, werden Sie auf der Seite Verwaltet Google Play aufgefordert, sich bei Google Play anzumelden. Melden Sie sich mit Ihrem Google-Konto an.
6. Geben Sie im Feld Suche den Text Warehouse Management ein. Wählen Sie dann Suche.
7. Wenn Sie die Warehouse Management-App gefunden haben, wählen Sie Genehmigen.
8. Wählen Sie im Dialogfeld Einstellungen genehmigen eine Option aus, um anzugeben, wie Aktualisierungen gehandhabt werden sollen, wenn eine neue Version der App mehr Berechtigungen als die aktuelle Version anfordert. Wir empfehlen, dass Sie die Option Genehmigt behalten, wenn die App neue Berechtigungen anfordert auswählen. Gehen Sie abschließend auf Fertig, um fortzufahren.
9. Wählen Sie Synchronisieren aus.
10. Sie werden zur Seite Android-Apps zurückgeleitet. Wählen Sie in der Symbolleiste Aktualisieren aus, um die Liste der Anwendungen zu aktualisieren. Wählen Sie in der Liste Warehouse Management aus.
11. Wählen Sie auf der Seite Warehouse Management auf der Registerkarte Eigenschaften den Link Bearbeiten neben der Überschrift Aufgaben aus.
12. Fügen Sie auf der Seite Anwendung bearbeiten auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, die für die Warehouse Management-App verfügbar und/oder erforderlich sein sollte. Weitere Informationen dazu, wie Sie die Einstellungen verwenden, finden Sie unter Apps Gruppen mit Microsoft Intune zuweisen.
13. Wählen Sie abschließend auf Überprüfen und speichern.
14. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Speichern aus, um sie zu speichern.

Intune einrichten, um die App von Microsoft Store abzurufen

Gehen Sie wie folgt vor, um Intune für das Abrufen der mobilen Warehouse Management-App von Microsoft Store einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Apps > Windows.
3. Wählen Sie auf der Symbolleiste auf Hinzufügen.
4. Wählen Sie im Dialogfeld App-Typ auswählen im Feld App-Typ Verwaltete Microsoft Store-App (neu) aus. Klicken Sie dann auf Auswählen.
5. Wählen Sie auf der Seite App hinzufügen auf der Registerkarte App-Informationen den Link Microsoft Store-App suchen (neu) aus.
6. Geben Sie im Dialogfeld Microsoft Store-App suchen (neu) im Feld Suchen Warehouse Management aus.
7. Wenn Sie die Warehouse Management-App gefunden haben, wählen Sie erst die App und dann Auswählen aus.
8. Auf der Registerkarte App-Informationen werden jetzt Informationen zur Warehouse Management-App angezeigt. Wählen Sie Weiter aus, um fortzufahren.
9. Fügen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, die für die Warehouse Management-App verfügbar und/oder erforderlich sein sollte. Weitere Informationen dazu, wie Sie die Einstellungen verwenden, finden Sie unter Apps Gruppen mit Microsoft Intune zuweisen.
10. Gehen Sie abschließend auf Weiter, um fortzufahren.
11. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um sie zu speichern.

Intune einrichten, um die App aus dem Apple App-Store abzurufen

Gehen Sie wie folgt vor, um Intune für das Abrufen der mobilen Warehouse Management-App aus dem Apple App-Store einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Geräte > iOS/iPadOS.
3. Wählen Sie auf der Registerkarte iOS-/iPad-Registrierung die Kachel Apple MDM-Push-Zertifikat aus.
4. Befolgen Sie im Dialogfeld MDM-Push-Zertifikat konfigurieren die Anweisungen auf dem Bildschirm aus, um das erforderliche Apple MDM-Push-Zertifikat zu erstellen und hochzuladen. Weitere Informationen zu diesem Schritt finden Sie unter Ein Apple MDM-Push-Zertifikat abrufen.
5. Gehen Sie zu Apps > iOS/iPadOS.
6. Wählen Sie auf der Symbolleiste auf Hinzufügen.
7. Wählen Sie im Dialogfeld App-Typ auswählen im Feld App-Typ iOS Store-App aus. Klicken Sie dann auf Auswählen.
8. Wählen Sie auf der Seite App hinzufügen auf der Registerkarte App-Informationen den Link App Store suchen aus.
9. Geben Sie im Dialogfeld App Store suchen im Feld Suchen Warehouse Management aus. Wählen Sie dann in der Dropdownliste neben dem Feld Suchen Ihr Land oder Ihre Region aus.
10. Wenn Sie die Warehouse Management-App gefunden haben, wählen Sie erst die App und dann Auswählen aus.
11. Auf der Registerkarte App-Informationen werden jetzt Informationen zur Warehouse Management-App angezeigt. Wählen Sie Weiter aus, um fortzufahren.
12. Fügen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, die für die Warehouse Management-App verfügbar und/oder erforderlich sein sollte. Weitere Informationen dazu, wie Sie die Einstellungen verwenden, finden Sie unter Apps Gruppen mit Microsoft Intune zuweisen.
13. Gehen Sie abschließend auf Weiter, um fortzufahren.
14. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um sie zu speichern.

Verbindungskonfigurationen verwalten

Mit der mobilen Warehouse Management-App (Version 2.0.41.0 und höher) können Sie Verbindungseinstellungen als verwaltete Konfiguration über eine MDM-Lösung importieren. Derselbe Konfigurationsschlüssel ConnectionsJson wird auf allen Plattformen gemeinsam genutzt.

Die folgenden Unterabschnitte enthalten Beispiele, die zeigen, wie Intune eingerichtet wird, um eine verwaltete Konfiguration für jede der unterstützten mobilen Plattformen bereitzustellen. Weitere Informationen finden Sie unter App-Konfigurationsrichtlinien für Microsoft Intune.

JSON-Verbindungsdatei erstellen

Als Voraussetzung für die Einrichtung einer verwalteten Konfiguration aller mobilen Plattformen müssen Sie eine JSON-Verbindungsdatei erstellen, wie unter Verbindungseinstellungsdatei oder QR-Code erstellen beschrieben. Mit dieser Datei kann die mobile App eine Verbindung zu Ihrer Dynamics 365 Supply Chain Management-Umgebung herstellen und sich bei ihr authentifizieren.

Tipp

Wenn Ihre JSON-Datei mehr als eine Verbindung enthält, sollte eine davon als Standardverbindung festgelegt werden (setzen Sie dafür den Parameter IsDefaultConnection auf true). Wenn keine Standardverbindung festgelegt ist, fordert die App die Benutzenden auf, manuell eine erste Verbindung aus den verfügbaren Optionen auszuwählen.

Intune für die Unterstützung der verwalteten Konfiguration für Android Geräte einrichten

Gehen Sie wie folgt vor, um Intune für die Unterstützung der verwalteten Konfiguration für Android Geräte einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Apps > App-Konfigurationsrichtlinien.
3. Wählen Sie auf der Seite App-Konfigurationsrichtlinien in der Symbolleiste Hinzufügen > Verwaltete Geräte aus.
4. Legen Sie auf der Seite App-Konfigurationsrichtlinie erstellen auf der Registerkarte Grundlagen die folgenden Felder fest:
   • Name – Geben Sie einen Namen für die Richtlinie ein.
   • Plattform: Wählen Sie Android Enterprise aus.
   • Profiltyp: Wählen Sie die Geräteprofiltypen aus, für die das App-Konfigurationsprofil gilt.
   • Ziel-App: Wählen Sie den Link App auswählen aus. Wählen Sie im Dialogfeld Zugehörige App die Warehouse Management-App in der Liste und dann OK aus, um die Einstellung zu übernehmen und das Dialogfeld zu schließen.
5. Wählen Sie Weiter aus, um fortzufahren.
6. Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Berechtigungen Hinzufügen aus.
7. Aktivieren Sie im Dialogfeld Berechtigungen hinzufügen die Kontrollkästchen für Kamera, Externer Speicher (Lesen) und Externer Speicher (Schreiben) aus. Wählen Sie dann OK aus, um das Dialogfeld zu schließen und diese Berechtigungen der Registerkarte Einstellungen hinzuzufügen.
8. Wählen Sie im Feld Berechtigungsstatus für jede Berechtigung, die Sie gerade hinzugefügt haben, die Option Automatische Zuweisung aus.
9. Wählen Sie im Abschnitt Konfigurationseinstellungen im Feld Konfigurationseinstellungsformat Konfigurationsdesigner auswählen.
10. Wählen Sie im Abschnitt Konfigurationseinstellungen die Option Hinzufügen aus.
11. Aktivieren Sie im Dialogfeld das Kontrollkästchen für ConnectionsJson. Klicken Sie auf OK, um das Dialogfeld zu schließen.
12. Im Abschnitt Konfigurationseinstellungen der Registerkarte Einstellungen wird dem Raster eine neue Zeile hinzugefügt. Das Feld Konfigurationsschlüssel ist auf ConnectionsJason eingestellt. Wählen Sie im Feld Wertetyp Zeichenfolge aus. Fügen Sie dann im Feld Konfigurationswert den gesamten Inhalt der JSON-Datei ein, die Sie im Abschnitt JSON-Verbindungsdatei erstellen erstellt haben.
13. Wählen Sie Weiter aus, um fortzufahren.
14. Fügen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, für die die Konfigurationsrichtlinie gelten soll. Informationen zur Verwendung der Einstellungen finden Sie unter App-Konfigurationsrichtlinien für verwaltete Android Enterprise-Geräte hinzufügen.
15. Gehen Sie abschließend auf Weiter, um fortzufahren.
16. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um sie zu speichern.

Intune für die Unterstützung der verwalteten Konfiguration für Windows-Geräte einrichten

Gehen Sie wie folgt vor, um Intune für die Unterstützung der verwalteten Konfiguration für Windows-Geräte einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Geräte > Windows.
3. Wählen Sie auf der Seite Windows-Geräte auf der Registerkarte Konfigurationsprofile in der Symbolleiste Profil erstellen aus.
4. Legen Sie im Dialogfeld Profil erstellen die folgenden Felder fest:
   • Plattform: Wählen Sie Windows 10 und höher.
   • Profiltyp: Wählen Sie Vorlagen.
   • Vorlagenname: Wählen Sie Benutzerdefiniert.
5. Wählen Sie Erstellen, um Ihre Einstellungen zu übernehmen und das Abfragedialogfeld zu schließen.
6. Geben Sie auf der Seite Benutzerdefiniert auf der Registerkarte Grundlagen einen Namen für das Konfigurationsprofil ein und wählen Sie dann zum Fortfahren Weiter.
7. Wählen Sie auf der Registerkarte Konfigurationenseinstellungen Hinzufügen aus.
8. Im angezeigten Dialogfeld Zeile hinzufügen legen Sie die folgenden Felder fest:

   • Name: Geben Sie einen Namen für die neue Zeile ein.

   • Beschreibung: Geben Sie eine kurze Beschreibung für neue Zeile ein.

   • OMA-URI: Geben Sie den folgenden Wert ein:

     ./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/AppStore/Microsoft.WarehouseManagement\_8wekyb3d8bbwe/AppSettingPolicy/ConnectionsJson
     

   • Datentyp: Wählen Sie Zeichenfolge aus.

   • Konfigurationswert: Fügen Sie den gesamten Inhalt der JSON-Datei ein, die Sie im Abschnitt JSON-Verbindungsdatei erstellen erstellt haben.

9. Wählen Sie Speichern, um Ihre Einstellungen zu übernehmen und das Dialogfeld zu schließen.
10. Wählen Sie Weiter aus, um fortzufahren.
11. Fügen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, für die das Konfigurationsprofil gelten soll.
12. Gehen Sie abschließend auf Weiter, um fortzufahren.
13. Auf der Registerkarte Anwendbarkeitsregeln können Sie die Anzahl der Geräte einschränken, für die das Konfigurationsprofil gilt. Um das Profil auf alle geeigneten Windows-Geräte anzuwenden, lassen Sie die Felder leer. Weitere Informationen zur Verwendung der Einstellungen finden Sie unter Ein Geräteprofil in Microsoft Intune erstellen.
14. Gehen Sie abschließend auf Weiter, um fortzufahren.
15. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um sie zu speichern.

Intune für die Unterstützung der verwalteten Konfiguration für iOS Geräte einrichten

Gehen Sie wie folgt vor, um Intune für die Unterstützung der verwalteten Konfiguration für iOS Geräte einzurichten.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Apps > App-Konfigurationsrichtlinien.
3. Wählen Sie auf der Seite App-Konfigurationsrichtlinien in der Symbolleiste Hinzufügen > Verwaltete Geräte aus.
4. Legen Sie auf der Seite App-Konfigurationsrichtlinie erstellen auf der Registerkarte Grundlagen die folgenden Felder fest:
   • Name - Geben Sie einen Namen für das App-Konfigurationsprofil ein.
   • Plattform: Wählen Sie iOS/iPadOS aus.
   • Profiltyp: Wählen Sie die Geräteprofiltypen aus, für die das Profil gilt.
   • Ziel-App: Wählen Sie den Link App auswählen aus. Wählen Sie im Dialogfeld Zugehörige App die Warehouse Management-App in der Liste und dann OK aus, um die Einstellung zu übernehmen und das Dialogfeld zu schließen.
5. Wählen Sie Weiter aus, um fortzufahren.
6. Wählen Sie auf der Registerkarte Einstellungen im Feld Konfigurationseinstellungsformat Konfigurationsdesigner auswählen.
7. Legen Sie im Raster unten auf der Seite die folgenden Felder für die erste Zeile fest:
   • Konfigurationsschlüssel: Geben Sie ConnectionsJson ein.
   • Wertetyp: Wählen Sie Zeichenfolge aus.
   • Konfigurationswert: Fügen Sie den gesamten Inhalt der JSON-Datei ein, die Sie im Abschnitt JSON-Verbindungsdatei erstellen erstellt haben.
8. Wählen Sie Weiter aus, um fortzufahren.
9. Fügen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, für die die Konfigurationsrichtlinie gelten soll. Informationen zur Verwendung der Einstellungen finden Sie unter App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte hinzufügen.
10. Gehen Sie abschließend auf Weiter, um fortzufahren.
11. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um sie zu speichern.

Eine zertifikatbasierte Authentifizierung einrichten

CBA wird häufig zur sicheren und effizienten Authentifizierung verwendet. In Massenbereitstellungsszenarien ist sie aufgrund des sicheren Zugriffs, den sie bietet, und der einfachen Bereitstellung von Zertifikaten auf Endgeräten ein Vorteil. Daher hilft sie, das Risiko von Sicherheitsverstößen zu reduzieren, die bei groß angelegten Bereitstellungen ein erhebliches Problem darstellen können.

Um die mobile Warehouse Management-App verwenden zu können, muss auf jedem Gerät ein Zertifikat gespeichert sein. Wenn Sie Intune-gesteuerte Geräte verwalten, finden Sie weitere Anweisungen und Informationen unter Zertifikate zur Authentifizierung in Microsoft Intune verwenden.

Das Ziel besteht darin, auf jedes Ihrer Zielgeräte ein PFX-Zertifikat (Personal Information Exchange) zu übertragen, das den in der ConnectionsJson-Datei angegebenen Fingerabdruck enthält. Dazu verwendet die Lösung ein importiertes PKCS-Zertifikatkonfigurationsprofil (Public Key Cryptography Standards), mit dem dasselbe Zertifikat auf allen Geräten bereitgestellt werden kann.

Ein Zertifikat erstellen und importieren

Die folgenden Unterabschnitte führen Sie durch die Erstellung des erforderlichen Zertifikats, die Einrichtung der erforderlichen Tools und das Importieren des Zertifikats in den Zertifikatskonnektor für Microsoft Intune.

Ein selbstsigniertes PFX-Zertifikat erstellen

Rufen Sie ein selbstsigniertes PFX-Zertifikat (.pfx-Datei) entweder über die Windows Server Zertifizierungsstelle (siehe Zertifizierungsstelle installieren) oder mithilfe von PowerShell ( siehe New-SelfSignedCertificate) ab. Unabhängig von der Quelle müssen Sie beim Exportieren des Zertifikats unbedingt den privaten Schlüssel angeben und ihn durch ein Kennwort schützen.

In Microsoft Entra ID eine App-Registrierung für PFXImport PowerShell erstellen

Gehen Sie wie folgt vor, um in Microsoft Entra ID eine App-Registrierung für PFXImport PowerShell zu erstellen.

1. Melden Sie sich bei Azure an.
2. Gehen Sie auf der Startseite zu Microsoft Entra ID verwalten.
3. Wählen Sie im Navigationsbereich App-Registrierungen aus.
4. Wählen Sie auf der Symbolleiste Neue Registrierung.
5. Legen Sie auf der Seite Anwendung registrieren die folgenden Felder fest:
   • Name: Geben Sie einen Namen ein.
   • Unterstützte Kontotypen: Geben Sie an, wer die neue Anwendung verwenden kann.
   • Redirect URI: Lassen Sie dieses Feld vorerst leer.
6. Wählen Sie Registrieren aus.
7. Die neue App-Registrierung wird geöffnet. Wählen Sie auf der Registerkarte Zertifikate & Geheimnisse auf der Registerkarte Geheime Clientschlüssel Neuer geheimer Clientschüssel aus.
8. Wählen Sie im Dialogfeld Geheimen Clientschlüssel hinzufügen ein Ablaufdatum aus, das Ihren Anforderungen entspricht, und wählen Sie dann Hinzufügen aus.
9. Auf der Registerkarte Zertifikate & Geheimnisse werden jetzt Details zum neuen geheimen Clientschlüssel angezeigt. Diese Details werden nur einmal angezeigt und beim erneuten Laden der Seite ausgeblendet. Daher müssen Sie sie jetzt kopieren. Kopieren Sie den Wert Wert und fügen Sie ihn in eine Textdatei ein. Sie benötigen diesen Wert später, wenn Sie Ihren Zertfikatsverbindungs-Computer einrichten.
10. Wählen Sie auf der Registerkarte Authentifizierung Plattform hinzufügen aus.
11. Wählen Sie im Dialogfeld Plattformen konfigurieren die Kachel Mobile und Desktop-Anwendungen aus.
12. Aktivieren Sie im Dialogfeld Desktop und Geräte konfigurieren das Kontrollkästchen für jede Umleitungs-URL, die Sie verwenden möchten. (Sie können wahrscheinlich alle auswählen.) Wählen Sie dann Konfigurieren.
13. Kopieren Sie auf der Registerkarte Übersicht die Werte Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) und fügen Sie sie in die Textdatei ein, in die Sie zuvor den Wert des geheimen Clientschlüssels eingefügt haben. Sie benötigen diese drei Wert später, wenn Sie Ihren Zertfikatsverbindungs-Computer einrichten.

Das PFXImport-Projekt herunterladen und erstellen

Das PFXImport-Projekt besteht aus PowerShell-Cmdlets, die Ihnen beim Importieren von PFX-Zertifikaten in Intune helfen. Sie können diese Cmdlets ändern und an Ihren Workflow anpassen. Weitere Informationen finden Sie unter S/MIME-Übersicht zum Signieren und Verschlüsseln von E-Mails in Intune.

Gehen Sie wie folgt vor, um das PFXImport-Projekt herunterzuladen und zu erstellen.

1. Gehen Sie zum PFXImport PowerShell-Projekt auf GitHub und laden Sie das Projekt herunter.

2. Öffnen Sie Visual Studio 2022 und öffnen Sie die Datei PFXImportPS.sln, die Sie von GitHub heruntergeladen haben. Wechseln Sie in den Modus Release und erstellen Sie das Projekt (bzw. erstellen Sie es erneut). Weitere Informationen finden Sie unter Importierte PKCS-Zertifikate mit Intune konfigurieren und importieren.

   

Richten Sie einen dedizierten Computer für den Zertifikatskonnektor ein

Gehen Sie zum Einrichten Ihres Zertifikatskonnektor-Computers wie folgt vor.

1. Melden Sie sich bei dem Computer an, den Sie für die Ausführung des Zertfikatskonnektors für Microsoft Intune vorgesehen haben.

2. Kopieren Sie das selbstsignierte PFX-Zertifikat, das Sie im Abschnitt Ein selbstsigniertes PFX-Zertifikat erstellen erstellt haben, auf den Zertifikatskonnektor-Computer.

3. Kopieren Sie die Binärdateien des PFXImport-Projekts, das Sie im Abschnitt Das PFXImport-Projekt herunterladen und erstellen erstellt haben, auf den Zertfikatskonnektor-Computer herunter und speichern Sie sie im folgenden Ordner:

   ~\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release

4. Öffnen Sie im Ordner Release die Datei IntunePfxImport.psd1 und bearbeiten Sie die Werte der folgenden Variablen:

   • Kunden ID: Legen Sie den Wert auf die Client-ID aus der Azure-App-Registrierung fest.
   • ClientSecret: Legen Sie den Wert auf den geheimen Clientschlüssel aus der Azure-App-Registrierung fest.
   • TenantID: Legen Sie den Wert auf die Mandanten-ID aus der Azure-App-Registrierung fest. Diese Variable ist erforderlich, wenn Sie einen geheimen Clientschlüssel verwenden.

   

5. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

6. Gehen Sie zu Mandantenverwaltung > Konnektoren und Token.

7. Wählen Sie auf der Registerkarte Zertifikatskonnektoren auf der Symbolleiste Hinzufügen aus.

8. Wählen Sie im Dialogfeld Den Zertifikatskonnektor installieren den Link des Zertifikatkonnektors aus, um die Datei IntuneCertificateConnector.exe herunterzuladen. Diese Datei ist ein Installationsprogramm für den Zertifikatskonnektor.

9. Übertragen Sie die Datei IntuneCertificateConnector.exe auf den designierten Zertifikatskonnektor-Computer. Führen Sie dann die Datei aus, und folgen Sie den Anweisungen auf dem Bildschirm. Achten Sie während des Installationsvorgangs darauf, das Kontrollkästchen Importierte PKCS-Zertifikate zu aktivieren.

10. Melden Sie sich als Administrationsbenutzender bei Ihrem Microsoft Entra ID-Konto an. Wenn der Zertifikatskonnektor erfolgreich installiert wurde, wird auf der Seite Endpoint Manager ein grünes Häkchen angezeigt. Weitere Informationen finden Sie unter Den Zertifikatskonnektor für Microsoft Intune installieren.

Ihre PFX-Zertifikat in den Zertifikatskonnektor importieren

Gehen Sie wie folgt vor, um Ihr PFX-Zertifikat auf dem Zertifikatskonnektor-Computer zu importieren, damit die Zertifikate an Benutzende verteilt werden können.

1. Melden Sie sich bei dem Computer an, den Sie für die Ausführung des Zertfikatskonnektors für Microsoft Intune vorgesehen haben.

2. Führen Sie PowerShell Terminal als Administrierender aus.

3. Navigieren Sie im Terminal zum Release-Ordner PFXImportPowershell, den Sie hier finden sollten:

   ~\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release

4. Führen Sie die folgenden Befehle in dieser Reihenfolge aus.

   1. Import-Module .\\IntunePfxImport.psd1
   2. Set-IntuneAuthenticationToken -AdminUserName "<AdminUserName>"
   3. Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"
   4. $SecureFilePassword = ConvertTo-SecureString -String "<PFXCertificatePassword>" -AsPlainText -Force
   5. $UserPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<PFXCertificatePathAndFile>" $SecureFilePassword "<EndUserName>" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"
   6. Import-IntuneUserPfxCertificate -CertificateList $UserPFXObject

   Hier ist eine Erklärung der Platzhalter in den Befehlen:

   • <AdminUserName>: Benutzername des Administrationsbenutzenden (normalerweise eine E-Mail-Adresse).
   • <PFXCertificatePassword>: Das Kennwort der PFX-Datei.
   • <PFXCertificatePathAndFile>: Der vollständige Ordnerpfad (einschließlich Laufwerksbuchstabe) und Dateiname der PFX-Datei.
   • <EndUserName>: Der Benutzername des Benutzenden, an den das System das Zertifikat übermittelt (normalerweise eine E-Mail-Adresse).

   Um das Zertifikat an weitere Benutzende bereitzustellen, wiederholen Sie den fünften und sechsten Befehl für jeden weiteren Benutzenden und geben Sie die Anmeldeinformationen des Benutzenden an.

5. Führen Sie den folgenden Befehl aus, um das Ergebnis zu validieren.

   Get-IntuneUserPfxCertificate -UserList "<EndUserName>"

Weitere Informationen finden Sie im PFXImport PowerShell-Projekt auf GitHub.

Um Probleme mit dieser Einstellung zu beheben, gehen Sie wie folgt vor, um mit der Windows-Ereignisanzeige die CertificateConnectors-Protokolle zu überprüfen.

1. Öffnen Sie das Windows Startmenü, geben Sie Ereignisanzeige in das Suchformular ein und wählen Sie aus der Ergebnisliste die Ereignisanzeige-App aus.
2. Wählen Sie im Navigationsbereich der Ereignisanzeige das folgende Element aus: Anwendungs- und Dienstprotokolle > Microsoft > Intune > CertificateConnectors > Betriebsbereit.
3. Überprüfen Sie die angezeigten Ereignisse. Wählen Sie ein Ereignis aus, um sich weitere Informationen dazu anzeigen zu lassen.

Konfigurationsprofile erstellen, um Zertifikate an Endgeräte zu übertragen

Konfigurationsprofile ermöglichen es Microsoft Endpoint Managern, Zertifikate und andere Einstellungen an Geräte in Ihrer Organisation zu übertragen. (Weitere Informationen finden Sie unter Ein Geräteprofil in Microsoft Intune erstellen.)

Wichtig

Leider kann die mobile Warehouse Management-App für iOS derzeit keine Zertifikate akzeptieren, die über Intune bereitgestellt werden. Daher müssen Sie Zertifikate manuell auf iOS Geräte übertragen (z. B. über iCloud) und sie dann mithilfe der Warehouse Management-App importieren. Wenn Sie nur iOS-Geräte unterstützen, können Sie den folgenden Vorgang überspringen.

Gehen Sie wie folgt vor, um ein Konfigurationsprofil für jede mobile Plattform zu erstellen, die Sie unterstützen. (Der Prozess ist auf allen Plattformen nahezu gleich.)

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Wählen Sie in der Navigation Geräte und dann die einzurichtende Plattform aus (Windows, iOS/iPadOS oder Android).
3. Wählen Sie auf der Registerkarte Konfigurationsprofile in der Symbolleiste die Option Profil erstellen aus.
4. Im Dialogfeld Profil erstellen hängen die erforderlichen Einstellungen von der von Ihnen ausgewählten Plattform ab.
   • Windows: Legen Sie das Feld Plattform auf Windows 10 und höher und das Feld Profiltyp auf Vorlagen fest. Wählen Sie dann die Vorlage namens Importierte PKCS-Zertifikate aus.
   • iOS/iPadOS: Legen Sie das Feld Profiltyp auf Vorlagen fest und wählen Sie dann die Vorlage namens Importiertes PKCS-Zertifikat aus.
   • Android: Legen Sie das Feld Plattform auf Android Enterprise und das Feld Profiltyp auf Importiertes PKCS-Zertifikat fest.
5. Wählen Sie Erstellen aus, um das Profil zu erstellen und das Dialogfeld zu schließen.
6. Geben Sie auf der Seite PKCS-Importzertifikat auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für das Zertifikat ein.
7. Wählen Sie Weiter aus, um fortzufahren.
8. Legen Sie auf der Registerkarte Konfigurationseinstellungen die folgenden Felder fest:
   • Verwendungszweck: Wählen Sie S/MIME-Verschlüsselung aus.
   • Schlüsselspeicheranbieter (KSP): Wenn Sie ein Profil für die Windows-Plattform erstellen, wählen Sie Bei Software-KSP registrieren aus. Diese Einstellung ist für andere Plattformen nicht verfügbar.
9. Wählen Sie Weiter aus, um fortzufahren.
10. Wählen Sie auf der Registerkarte Zuweisungen die Benutzergruppen und/oder Geräte hinzu, für die das aktuelle Profil gelten soll.
11. Gehen Sie abschließend auf Weiter, um fortzufahren.
12. Überprüfen Sie auf der Registerkarte Überprüfen und speichern Ihre Einstellungen. Wenn alles richtig aussieht, wählen Sie Erstellen aus, um das Zertifikat zu erstellen.

Überprüfen, ob Zertifikate verteilt wurden

Nachdem Ihr Zertifikatsystem vollständig konfiguriert ist und Sie die erforderlichen Konfigurationsprofile erstellt haben, können Sie die Leistung Ihrer Profile überprüfen und sicherstellen, dass sie wie erwartet verteilt werden. Gehen Sie wie folgt vor, um die Leistung Ihrer Konfigurationsprofile im Microsoft Endpoint Manager Admin Center zu überwachen.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Gehen Sie zu Geräte > Konfigurationsprofile.
3. Wählen Sie auf der Seite Konfigurationsprofile das zu überprüfende Profil aus.
4. Es werden Details zu Ihrem ausgewählten Profil geöffnet. Hier erhalten Sie einen Überblick darüber, wie viele Geräte bereits Zertifikate erhalten haben, ob Fehler aufgetreten sind und weitere Details.

Eine weitere Möglichkeit, die korrekte Verteilung Ihrer Zertifikate zu überprüfen, ist die Überprüfung der Endgeräte. Sie können die Zertifikate überprüfen, indem Sie je nach Gerätetyp einen der folgenden Schritte ausführen:

• Für Android-Geräte: Sie können eine App installieren, z. B. Meine Zertifikate, um sich die installierten Zertifikate anzeigen zu lassen. Um auf Zertifikate zuzugreifen, die von Intune verteilt werden, muss die App Meine Zertifikate selbst ebenfalls von Intune installiert werden und dasselbe Arbeitsprofil verwenden.
• Für Windows-Geräte: Öffnen Sie das Windows-Startmenü, geben Sie Benutzerzertifikate verwalten in das Suchformular ein und wählen Sie Benutzerzertifikate verwalten in der Ergebnisliste aus, um den Zertifikatsmanager zu öffnen. Erweitern Sie im Zertifikatsmanager im Navigationsbereich Zertifikate – aktueller Benutzender > Persönlich > Zertifikate, um sich Ihre Zertifikate anzeigen zu lassen und zu bestätigen, ob das erwartete Zertifikat eingetroffen ist.

Geräte bei Intune registrieren

Jedes Gerät, das Sie mit Intune verwalten möchten, muss im System registriert werden. Dazu die Registrierung bei Intune und die Übernahme von Sicherheitsrichtlinien der Organisation. Die Unternehmensportal-App ist auf mehreren Geräten zugänglich und kann je nach Gerätetyp und Plattform zur Registrierung von Geräten verwendet werden. Die Registrierungsprogramme bieten Zugriff auf Geschäfts- oder Schulressourcen.

Android- und iOS-Geräte

Um ein Android- oder iOS-Gerät zu registrieren, installieren Sie darauf die Intune Unternehmensportal-App . Der lokale Benutzende muss sich dann mit seinem Unternehmenskonto bei der Unternehmensportal-App anmelden.

Windows-Geräte

Es gibt mehrere Möglichkeiten, um ein Windows-Gerät zu registrieren. Beispielsweise können Sie darauf die Intune Unternehmensportal-App installieren. Informationen zum Einrichten der Unternehmensportal-App und zur Verwendung der anderen verfügbaren Optionen finden Sie unter Windows 10-/11-Geräte in Intune registrieren.