Verwenden von Zertifikaten zur Authentifizierung in Microsoft Intune
Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen Ihre Endbenutzer keine Benutzernamen und Kennwörter eingeben, was den Zugriff nahtlos gestalten kann. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.
Einführung in Zertifikate mit Intune
Zertifikate bieten authentifizierten Zugriff ohne Verzögerung über die folgenden zwei Phasen:
- Authentifizierungsphase: Die Authentizität des Benutzers wird überprüft, um zu bestätigen, dass der Benutzer die Person ist, für die er sich ausgibt.
- Autorisierungsphase: Der Benutzer unterliegt Bedingungen, für die bestimmt wird, ob dem Benutzer Zugriff gewährt werden soll.
Typische Verwendungsszenarien für Zertifikate sind:
- Netzwerkauthentifizierung (z. B. 802.1x) mit Geräte- oder Benutzerzertifikaten
- Authentifizierung mit VPN-Servern unter Verwendung von Geräte- oder Benutzerzertifikaten
- Signieren von E-Mails basierend auf Benutzerzertifikaten
Intune unterstützt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) und importierte PKCS-Zertifikate als Methoden zum Bereitstellen von Zertifikaten auf Geräten. Die verschiedenen Bereitstellungsmethoden weisen unterschiedliche Anforderungen und Ergebnisse auf. Beispiel:
- SCEP stellt Zertifikate bereit, die für jede Anforderung des Zertifikats eindeutig sind.
- PKCS stellt für jedes Gerät ein eindeutiges Zertifikat bereit.
- Mit importierten PKCS-Zertifikaten können Sie das Zertifikat, das Sie aus einer Quelle exportiert haben, (z. B. aus einem E-Mail-Server) für mehrere Empfänger bereitstellen. Dieses freigegebene Zertifikat ist hilfreich, um sicherzustellen, dass alle Benutzer oder Geräte anschließend E-Mails entschlüsseln können, die mit diesem Zertifikat verschlüsselt wurden.
Zum Bereitstellen eines bestimmten Zertifikats für einen Benutzer oder ein Gerät verwendet Intune ein Zertifikatprofil.
Zusätzlich zu den drei Zertifikattypen und Bereitstellungsmethoden benötigen Sie ein vertrauenswürdiges Stammzertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA). Die Zertifizierungsstelle kann eine lokale Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters sein. Das vertrauenswürdige Stammzertifikat richtet eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden. Zum Bereitstellen dieses Zertifikats verwenden Sie das vertrauenswürdige Zertifikatprofil und stellen es auf denselben Geräten und Benutzern bereit, die die Zertifikatprofile für SCEP, PKCS und importierte PKCS erhalten.
Tipp
Intune unterstützt auch die Verwendung abgeleiteter Anmeldeinformationen für Umgebungen, für die Smartcards verwendet werden müssen.
Erforderliche Komponenten für die Verwendung von Zertifikaten
- Eine Zertifizierungsstelle. Die Zertifizierungsstelle ist die Vertrauensquelle, auf die sich die Zertifikate für die Authentifizierung beziehen. Sie können eine Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters verwenden.
- Lokale Infrastruktur. Welche Infrastruktur Sie benötigen, hängt von den von Ihnen verwendeten Zertifikattypen ab:
- Ein vertrauenswürdiges Stammzertifikat. Bevor Sie SCEP- oder PKCS-Zertifikatprofile bereitstellen, stellen Sie das vertrauenswürdige Stammzertifikat von Ihrer Zertifizierungsstelle mithilfe eines vertrauenswürdigen Zertifikatprofils bereit. Mit diesem Profil können Sie die Vertrauensstellung zwischen dem Gerät und der Zertifizierungsstelle einrichten. Es ist für die anderen Zertifikatprofile erforderlich.
Nachdem ein vertrauenswürdiges Stammzertifikat bereitgestellt wurde, können Sie Zertifikatprofile bereitstellen, um Benutzer und Geräte mit Zertifikaten für die Authentifizierung bereitzustellen.
Auswählen des richtigen Zertifikatprofils
Die folgenden Vergleiche sind nicht vollständig, sollen aber dabei helfen, die Verwendung der verschiedenen Zertifikatprofiltypen zu unterscheiden.
| Profiltyp | Details |
|---|---|
| Vertrauenswürdiges Zertifikat | Verwenden Sie diesen Typ, um den öffentlichen Schlüssel (Zertifikat) von einer Stammzertifizierungsstelle oder einer Zwischenzertifizierungsstelle für Benutzer und Geräte bereitzustellen, um eine Vertrauensstellung zurück zur Quellzertifizierungsstelle herzustellen. Für andere Zertifikatprofile sind das vertrauenswürdige Zertifikatprofil und sein Stammzertifikat erforderlich. |
| SCEP-Zertifikat | Stellt eine Vorlage für eine Zertifikatanforderung für Benutzer und Geräte bereit. Jedes Zertifikat, das mithilfe von SCEP bereitgestellt wird, ist eindeutig und an den Benutzer oder das Gerät gebunden, der bzw. das das Zertifikat anfordert. Mit SCEP können Sie Zertifikate auf Geräten ohne Benutzeraffinität bereitstellen, einschließlich der Verwendung von SCEP zum Bereitstellen eines Zertifikats auf einem KIOSK oder einem Gerät ohne Benutzer. |
| PKCS-Zertifikat | Stellt eine Vorlage für eine Zertifikatanforderung bereit, die den Zertifikattyp eines Benutzers oder eines Geräts angibt. - Anforderungen für einen Zertifikattyp von Benutzer erfordern immer Benutzeraffinität. Bei der Bereitstellung für einen Benutzer erhält jedes der Geräte des Benutzers ein eindeutiges Zertifikat. Bei der Bereitstellung auf einem Gerät mit einem Benutzer wird dieser Benutzer dem Zertifikat dieses Geräts zugeordnet. Bei der Bereitstellung auf einem benutzerlosen Gerät wird kein Zertifikat bereitgestellt. – Vorlagen mit einem Zertifikattyp eines Geräts erfordern keine Benutzeraffinität, um ein Zertifikat bereitzustellen. Durch Bereitstellung auf einem Gerät wird das Gerät bereitgestellt. Durch Bereitstellung für einen Benutzer wird das Gerät, auf dem der Benutzer gerade angemeldet ist, mit einem Zertifikat bereitgestellt. |
| Importiertes PKCS-Zertifikat | Stellt ein einzelnes Zertifikat für mehrere Geräte und Benutzer bereit, wodurch Szenarien wie S/MIME-Signierung und Verschlüsselung unterstützt werden. Wenn Sie z. B. das gleiche Zertifikat auf jedem Gerät bereitstellen, kann jedes dieser Geräte E-Mails entschlüsseln, die von diesem gleichen E-Mail-Server empfangen werden. Andere Zertifikatbereitstellungsmethoden reichen für dieses Szenario nicht aus, da SCEP für jede Anforderung ein eindeutiges Zertifikat erstellt und PKCS jedem Benutzer ein anderes Zertifikat zuordnet, wobei verschiedene Benutzer unterschiedliche Zertifikate erhalten. |
Von Intune unterstützte Zertifikate und Nutzung
| Typ | Authentifizierung | S/MIME-Signatur | S/MIME-Verschlüsselung |
|---|---|---|---|
| Über PKCS (Public Key Cryptography Standards) importiertes Zertifikat |  |
|
|
| PKCS#12 (oder PFX) | |
|
|
| Simple Certificate Enrollment-Protokoll (SCEP) | |
|
Um diese Zertifikate bereitzustellen, erstellen Sie Zertifikatprofile, und weisen Sie sie Geräten zu.
Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS/iPadOS. Wenn Sie auch SCEP-Zertifikate für diese beiden Plattformen verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS/iPadOS.
Allgemeine Überlegungen bei der Verwendung einer Microsoft-Zertifizierungsstelle
Bei der Verwendung einer Microsoft-Zertifizierungsstelle (Certification Authority) gilt Folgendes:
Führen Sie folgende Schritte aus, um SCEP-Zertifikatprofile zu verwenden:
So verwenden Sie PKCS-Zertifikatprofile:
Verwenden von importierten PKCS-Zertifikaten:
- Installieren Sie den Microsoft Intune Certificate Connector.
- Exportieren Sie Zertifikate von der Zertifizierungsstelle, und importieren Sie diese dann in Microsoft Intune. Weitere Informationen finden Sie unter dem PowerShell-Projekt für PFXImport.
Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:
- vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
- SCEP-Zertifikatprofile
- PKCS-Zertifikatprofile
- importierte PKCS-Zertifikatprofile
Allgemeine Überlegungen bei der Verwendung einer Drittanbieter-Zertifizierungsstelle
Bei der Verwendung einer Drittanbieter-Zertifizierungsstelle (Certification Authority, nicht von Microsoft) gilt Folgendes:
Führen Sie folgende Schritte aus, um SCEP-Zertifikatprofile zu verwenden:
- Konfigurieren Sie Integration mit einer Drittanbieter-Zertifizierungsstelle von einem unserer unterstützten Partner. Beim Einrichten müssen die Anweisungen der Drittanbieter-Zertifizierungsstelle befolgt werden, um die Integration der Zertifizierungsstelle in Intune abzuschließen.
- Erstellen Sie eine Anwendung in Microsoft Entra-ID, die Rechte an Intune delegiert, um die Überprüfung der SCEP-Zertifikatanforderung durchzuführen.
Im Fall von importierten PKCS-Zertifikaten ist es erforderlich, den Microsoft Intune Certificate Connector zu installieren.
Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:
- vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
- SCEP-Zertifikatprofile
- PKCS-Zertifikatprofile (werden nur mit der DigiCert PKI-Plattform unterstützt)
- importierte PKCS-Zertifikatprofile
Unterstützte Plattformen und Zertifikatprofile
| Plattform | Vertrauenswürdiges Zertifikatprofil | PKCS-Zertifikatprofil | SCEP-Zertifikatprofil | Importiertes PKCS-Zertifikatprofil |
|---|---|---|---|---|
| Android-Geräteadministrator | (siehe Hinweis 1) |
|
|
|
| Android Enterprise – Vollständig verwaltet (Gerätebesitzer) | |
|
|
|
| Android Enterprise – Dediziert (Gerätebesitzer) | |
|
|
|
| Android Enterprise – Corporate-Owned-Arbeitsprofil | |
|
|
|
| Android Enterprise – Personally-Owned-Arbeitsprofil | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 und höher | |
|
||
| Windows 10/11 | (siehe Hinweis 2) |
(siehe Hinweis 2) |
(siehe Hinweis 2) |
|
- Hinweis 1 : Ab Android 11 können vertrauenswürdige Zertifikatprofile das vertrauenswürdige Stammzertifikat nicht mehr auf Geräten installieren, die als Android-Geräteadministrator registriert sind. Diese Einschränkung gilt nicht für Samsung Knox. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren.
- Hinweis 2 : Dieses Profil wird für Windows Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.
Wichtig
Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.
Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.
Wichtig
Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Nächste Schritte
Weitere Ressourcen:
- Verwenden von S/MIME zum Signieren und Verschlüsseln von E-Mails
- Verwenden der Drittanbieter-Zertifizierungsstelle
Erstellen von Zertifikatprofilen:
- Konfigurieren eines vertrauenswürdigen Zertifikatprofils
- Konfigurieren Ihrer Infrastruktur für die Unterstützung von SCEP-Zertifikaten mit Intune
- Konfigurieren und Verwalten von PKCS-Zertifikaten mit Intune
- Erstellen eines importierten PKCS-Zertifikatprofils
Informieren Sie sich weiter über den Microsoft Intune Certificate Connector.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für