Verwenden von Zertifikaten zur Authentifizierung in Microsoft Intune
Verwenden Sie Zertifikate mit Intune, um Ihre Benutzer mithilfe von VPN, WLAN oder E-Mail-Profilen bei Anwendungen und Unternehmensressourcen zu authentifizieren. Wenn Sie Zertifikate verwenden, um diese Verbindungen zu authentifizieren, müssen die Endbenutzer keine Benutzernamen und Kennwörter eingeben. Dadurch wird ein nahtloser Zugriff ermöglicht. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.
Einführung in Zertifikate mit Intune
Zertifikate bieten authentifizierten Zugriff ohne Verzögerung über die folgenden zwei Phasen:
- Authentifizierungsphase: Die Authentizität des Benutzers wird überprüft, um zu bestätigen, dass der Benutzer die Person ist, für die er sich ausgibt.
- Autorisierungsphase: Der Benutzer unterliegt Bedingungen, für die bestimmt wird, ob dem Benutzer Zugriff gewährt werden soll.
Typische Verwendungsszenarien für Zertifikate sind:
- Netzwerkauthentifizierung (z. B. 802.1x) mit Geräte- oder Benutzerzertifikaten
- Authentifizierung mit VPN-Servern unter Verwendung von Geräte- oder Benutzerzertifikaten
- Signieren von E-Mails basierend auf Benutzerzertifikaten
Intune unterstützt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) und importierte PKCS-Zertifikate als Methoden zum Bereitstellen von Zertifikaten auf Geräten. Die verschiedenen Bereitstellungsmethoden weisen unterschiedliche Anforderungen und Ergebnisse auf. Beispiel:
- SCEP stellt Zertifikate bereit, die für jede Anforderung des Zertifikats eindeutig sind.
- PKCS stellt für jedes Gerät ein eindeutiges Zertifikat bereit.
- Mit importierten PKCS-Zertifikaten können Sie das Zertifikat, das Sie aus einer Quelle exportiert haben, (z. B. aus einem E-Mail-Server) für mehrere Empfänger bereitstellen. Dieses freigegebene Zertifikat ist hilfreich, um sicherzustellen, dass alle Benutzer oder Geräte anschließend E-Mails entschlüsseln können, die mit diesem Zertifikat verschlüsselt wurden.
Zum Bereitstellen eines bestimmten Zertifikats für einen Benutzer oder ein Gerät verwendet Intune ein Zertifikatprofil.
Zusätzlich zu den drei Zertifikattypen und Bereitstellungsmethoden benötigen Sie ein vertrauenswürdiges Stammzertifikat von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA). Die Zertifizierungsstelle kann eine lokale Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters sein. Das vertrauenswürdige Stammzertifikat richtet eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden. Um dieses Zertifikat bereitzustellen, verwenden Sie das Profil für vertrauenswürdige Zertifikate und stellen es für dieselben Geräte und Benutzer bereit, die die Zertifikatprofile für SCEP, PKCS und importierte PKCS-Zertifikate erhalten.
Tipp
Intune unterstützt auch die Verwendung abgeleiteter Anmeldeinformationen für Umgebungen, für die Smartcards verwendet werden müssen.
Erforderliche Komponenten für die Verwendung von Zertifikaten
- Eine Zertifizierungsstelle. Die Zertifizierungsstelle ist die Vertrauensquelle, auf die sich die Zertifikate für die Authentifizierung beziehen. Sie können eine Microsoft-Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters verwenden.
- Lokale Infrastruktur. Die erforderliche Infrastruktur hängt von den verwendeten Zertifikattypen ab:
- Ein vertrauenswürdiges Stammzertifikat. Bevor Sie SCEP- oder PKCS-Zertifikatprofile bereitstellen, stellen Sie das vertrauenswürdige Stammzertifikat von Ihrer Zertifizierungsstelle mithilfe eines vertrauenswürdigen Zertifikatprofils bereit. Mit diesem Profil können Sie die Vertrauensstellung zwischen dem Gerät und der Zertifizierungsstelle einrichten. Es ist für die anderen Zertifikatprofile erforderlich.
Nachdem ein vertrauenswürdiges Stammzertifikat bereitgestellt wurde, können Sie Zertifikatprofile bereitstellen, um Benutzern und Geräten Zertifikate für die Authentifizierung bereitzustellen.
Auswählen des richtigen Zertifikatprofils
Die folgenden Vergleiche sind nicht vollständig, sollen aber dabei helfen, die Verwendung der verschiedenen Zertifikatprofiltypen zu unterscheiden.
| Profiltyp | Details |
|---|---|
| Vertrauenswürdiges Zertifikat | Verwenden Sie diesen Typ, um den öffentlichen Schlüssel (Zertifikat) von einer Stammzertifizierungsstelle oder einer Zwischenzertifizierungsstelle für Benutzer und Geräte bereitzustellen, um eine Vertrauensstellung zurück zur Quellzertifizierungsstelle herzustellen. Für andere Zertifikatprofile sind das vertrauenswürdige Zertifikatprofil und sein Stammzertifikat erforderlich. |
| SCEP-Zertifikat | Stellt eine Vorlage für eine Zertifikatanforderung für Benutzer und Geräte bereit. Jedes Zertifikat, das mithilfe von SCEP bereitgestellt wird, ist eindeutig und an den Benutzer oder das Gerät gebunden, der bzw. das das Zertifikat anfordert. Mit SCEP können Sie Zertifikate für Geräte bereitstellen, die keine Benutzeraffinität haben, einschließlich der Verwendung von SCEP zum Bereitstellen eines Zertifikats auf einem KIOSK- oder benutzerlosen Gerät. |
| PKCS-Zertifikat | Stellt eine Vorlage für eine Zertifikatanforderung bereit, die den Zertifikattyp eines Benutzers oder eines Geräts angibt. – Anforderungen für den Zertifikattyp „Benutzer“ erfordern immer Benutzeraffinität. Bei der Bereitstellung für einen Benutzer erhält jedes der Geräte des Benutzers ein eindeutiges Zertifikat. Bei der Bereitstellung auf einem Gerät mit einem Benutzer wird dieser Benutzer dem Zertifikat dieses Geräts zugeordnet. Bei der Bereitstellung auf einem benutzerlosen Gerät wird kein Zertifikat bereitgestellt. – Für Vorlagen mit dem Zertifikattyp „Gerät“ ist für die Zertifikatbereitstellung keine Benutzeraffinität erforderlich. Durch Bereitstellung auf einem Gerät wird das Gerät bereitgestellt. Durch Bereitstellung für einen Benutzer wird das Gerät, auf dem der Benutzer gerade angemeldet ist, mit einem Zertifikat bereitgestellt. |
| Importiertes PKCS-Zertifikat | Stellt ein einzelnes Zertifikat für mehrere Geräte und Benutzer bereit, wodurch Szenarien wie S/MIME-Signierung und Verschlüsselung unterstützt werden. Wenn Sie z. B. das gleiche Zertifikat auf jedem Gerät bereitstellen, kann jedes dieser Geräte E-Mails entschlüsseln, die von diesem gleichen E-Mail-Server empfangen werden. Andere Zertifikatbereitstellungsmethoden sind für dieses Szenario unzureichend, da SCEP für jede Anforderung ein eindeutiges Zertifikat erstellt und PKCS jedem Benutzer ein anderes Zertifikat zuordnet, wodurch verschiedene Benutzer verschiedene Zertifikate erhalten. |
Von Intune unterstützte Zertifikate und Nutzung
| Typ | Authentifizierung | S/MIME-Signatur | S/MIME-Verschlüsselung |
|---|---|---|---|
| Über PKCS (Public Key Cryptography Standards) importiertes Zertifikat |  |
|
|
| PKCS#12 (oder PFX) | |
|
|
| Simple Certificate Enrollment-Protokoll (SCEP) | |
|
Um diese Zertifikate bereitzustellen, erstellen Sie Zertifikatprofile und weisen sie Geräten zu.
Jedes einzelne Zertifikatprofil, das Sie erstellen, unterstützt eine einzelne Plattform. Wenn Sie z. B. PKCS-Zertifikate verwenden, erstellen Sie ein PKCS-Zertifikatprofil für Android und ein separates PKCS-Zertifikatprofil für iOS/iPadOS. Wenn Sie für diese beiden Plattformen auch SCEP-Zertifikate verwenden, erstellen Sie ein SCEP-Zertifikatprofil für Android und ein weiteres für iOS/iPadOS.
Allgemeine Überlegungen bei der Verwendung einer Microsoft-Zertifizierungsstelle
Bei der Verwendung einer Microsoft-Zertifizierungsstelle (Certification Authority) gilt Folgendes:
Führen Sie folgende Schritte aus, um SCEP-Zertifikatprofile zu verwenden:
So verwenden Sie PKCS-Zertifikatprofile:
Verwenden von importierten PKCS-Zertifikaten:
- Installieren Sie den Microsoft Intune Certificate Connector.
- Exportieren Sie Zertifikate von der Zertifizierungsstelle, und importieren Sie diese dann in Microsoft Intune. Weitere Informationen finden Sie unter dem PowerShell-Projekt für PFXImport.
Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:
- vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
- SCEP-Zertifikatprofile
- PKCS-Zertifikatprofile
- importierte PKCS-Zertifikatprofile
Allgemeine Überlegungen bei der Verwendung einer Drittanbieter-Zertifizierungsstelle
Bei der Verwendung einer Drittanbieter-Zertifizierungsstelle (Certification Authority, nicht von Microsoft) gilt Folgendes:
Führen Sie folgende Schritte aus, um SCEP-Zertifikatprofile zu verwenden:
- Konfigurieren Sie Integration mit einer Drittanbieter-Zertifizierungsstelle von einem unserer unterstützten Partner. Beim Einrichten müssen die Anweisungen der Drittanbieter-Zertifizierungsstelle befolgt werden, um die Integration der Zertifizierungsstelle in Intune abzuschließen.
- Erstellen Sie eine Anwendung in Azure AD, die Rechte an Intune delegiert, um die Aufforderungsüberprüfung von SCEP-Zertifikaten durchzuführen.
Im Fall von importierten PKCS-Zertifikaten ist es erforderlich, den Microsoft Intune Certificate Connector zu installieren.
Verwenden Sie zum Bereitstellen von Zertifikaten die folgenden Mechanismen:
- vertrauenswürdige Zertifikatprofile zum Bereitstellen des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle von der Stamm- oder Zwischenzertifizierungsstelle für Geräte
- SCEP-Zertifikatprofile
- PKCS-Zertifikatprofile (werden nur mit der DigiCert PKI-Plattform unterstützt)
- importierte PKCS-Zertifikatprofile
Unterstützte Plattformen und Zertifikatprofile
| Plattform | Vertrauenswürdiges Zertifikatprofil | PKCS-Zertifikatprofil | SCEP-Zertifikatprofil | Importiertes PKCS-Zertifikatprofil |
|---|---|---|---|---|
| Android-Geräteadministrator | (siehe Hinweis 1) |
|
|
|
| Android für Unternehmen – Vollständig verwaltet (Gerätebesitzer) |
|
|
|
|
| Android für Unternehmen – Dediziert (Gerätebesitzer) |
|
|
|
|
| Android für Unternehmen – Unternehmenseigenes Arbeitsprofil |
|
|
|
|
| Android für Unternehmen – persönliche Arbeitsprofile |
|
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| MacOS | |
|
|
|
| Windows 8.1 und höher | |
|
||
| Windows 10/11 | (siehe Hinweis 2) |
(siehe Hinweis 2) |
(siehe Hinweis 2) |
|
- Hinweis 1 : Ab Android 11 können vertrauenswürdige Zertifikatprofile das vertrauenswürdige Stammzertifikat nicht mehr auf Geräten installieren, die als Android-Geräteadministrator registriert sind. Diese Einschränkung gilt nicht für Samsung Knox. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren.
- Hinweis 2 : Dieses Profil wird für Windows Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.
Wichtig
Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt werden. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.
Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.
Nächste Schritte
Weitere Ressourcen
- Verwenden von S/MIME zum Signieren und Verschlüsseln von E-Mails
- Verwenden der Drittanbieter-Zertifizierungsstelle
Erstellen von Zertifikatprofilen:
- Konfigurieren eines vertrauenswürdigen Zertifikatprofils
- Konfigurieren Ihrer Infrastruktur für die Unterstützung von SCEP-Zertifikaten mit Intune
- Konfigurieren und Verwalten von PKCS-Zertifikaten mit Intune
- Erstellen eines importierten PKCS-Zertifikatprofils
Informieren Sie sich weiter über den Microsoft Intune Certificate Connector.