Profile für vertrauenswürdige Stammzertifikate für Microsoft Intune

Wenn Sie Intune zum Bereitstellen von Geräten mit Zertifikaten für den Zugriff auf Unternehmensressourcen und -netzwerke verwenden, stellen Sie das vertrauenswürdige Stammzertifikat mit einem vertrauenswürdigen Zertifikat auf diesen Geräten bereit. Vertrauenswürdige Stammzertifikate richten eine Vertrauensstellung zwischen dem Gerät und Ihrer Stamm- oder Zwischenzertifizierungsstelle (ausstellende Zertifizierungsstelle) ein, von der die anderen Zertifikate ausgestellt werden.

Sie stellen das Profil für vertrauenswürdige Zertifikate für die gleichen Geräte und Benutzer bereit, die die Zertifikatprofile für Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS) und importierte PKCS-Zertifikate erhalten.

Tipp

Vertrauenswürdige Zertifikate-Profile werden für Windows Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.

Exportieren des Zertifikats der vertrauenswürdigen Stammzertifizierungsstelle

Um importierte PKCS-, SCEP- und PKCS-Zertifikate verwenden zu können, müssen Geräte Ihrer Stammzertifizierungsstelle vertrauen. Exportieren Sie das Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle sowie alle Zwischenzertifikate oder ausstellenden Zertifikate von Zertifizierungsstellen als öffentliches Zertifikat (.cer), um eine Vertrauensstellung einzurichten. Sie können diese Zertifikate von der ausstellenden Zertifizierungsstelle oder von einem beliebigen Gerät erhalten, das Ihrer ausstellenden Zertifizierungsstelle vertraut.

Informationen zum Exportieren des Zertifikats finden Sie in der Dokumentation zu Ihrer Zertifizierungsstelle. Sie müssen das öffentliche Zertifikat als DER-codierte CER-Datei exportieren. Exportieren Sie nicht den privaten Schlüssel, eine PFX-Datei.

Sie verwenden diese CER-Datei, wenn Sie vertrauenswürdige Zertifikatprofile erstellen, um das Zertifikat für Ihre Geräte bereitzustellen.

Erstellen von vertrauenswürdigen Zertifikatprofilen

Sie müssen ein vertrauenswürdiges Zertifikatprofil erstellen und bereitstellen, bevor Sie ein aus SCEP, PKCS oder PKCS importiertes Zertifikatprofil erstellen. Das Bereitstellen eines vertrauenswürdigen Zertifikatsprofils für dieselben Gruppen, die die anderen Zertifikatsprofiltypen erhalten, stellt sicher, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennen kann. Dies betrifft z. B. VPN-, WLAN- und E-Mail-Profile.

SCEP-Zertifikatprofile verweisen direkt auf ein vertrauenswürdiges Zertifikatprofil. PKCS-Zertifikatprofile verweisen nicht auf das Profil des vertrauenswürdigen Zertifikats, sondern direkt auf den Server, der Ihre Zertifizierungsstelle hostet. Über PKCS importierte Zertifikatprofile verweisen nicht direkt auf das Profil des vertrauenswürdigen Zertifikats, sie können es jedoch auf dem Gerät verwenden. Durch die Bereitstellung eines vertrauenswürdigen Zertifikatprofils auf Geräten wird sichergestellt, dass dieses Vertrauen aufgebaut wird. Wenn die Stammzertifizierungsstelle von einem Gerät nicht als vertrauenswürdig eingestuft wird, tritt bei der Richtlinie für das SCEP- oder PKCS-Zertifikatprofil ein Fehler auf.

Erstellen Sie ein separates vertrauenswürdiges Zertifikatprofil für jede Geräteplattform, die Sie unterstützen möchten, genauso wie bei den SCEP-, PKCS- und über PKCS importierten Zertifikatprofilen.

Wichtig

Vertrauenswürdige Stammprofile, die Sie für die Plattform Windows 10 und höher erstellen, werden im Microsoft Intune Admin Center als Profile für die Plattform Windows 8.1 und höher angezeigt.

Dies ist ein bekanntes Problem bei der Anzeige der Plattform für vertrauenswürdige Zertifikatsprofile. Auch wenn das Profil eine Plattform mit Windows 8.1 und höher anzeigt, ist es für Windows 10/11 funktionsfähig.

Hinweis

Das Profil Vertrauenswürdiges Zertifikat in Intune kann nur für die Bereitstellung von Stammzertifikaten oder Zwischenzertifikaten verwendet werden. Der Zweck der Bereitstellung dieser Zertifikate ist das Erstellen einer Vertrauenskette. Die Verwendung des Profils "Vertrauenswürdiges Zertifikat" für das Bereitstellen anderer Zertifikate als Stamm- oder Zwischenzertifikaten wird von Microsoft nicht unterstützt. Beim Auswählen des Profils für vertrauenswürdige Zertifikate im Microsoft Intune Admin Center werden Sie möglicherweise am Importieren von Zertifikaten gehindert, die nicht als Stamm- oder Zwischenzertifikate gelten. Auch wenn Sie mit diesem Profiltyp ein Zertifikat importieren und bereitstellen können, bei dem es sich weder um ein Stammzertifikat noch um ein Zwischenzertifikat handelt, treten wahrscheinlich unerwartete Ergebnisse zwischen verschiedenen Plattformen wie iOS und Android auf.

Vertrauenswürdige Zertifikatprofile für Android-Geräteadministratoren

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Ab Android 11 können vertrauenswürdige Zertifikatprofile das vertrauenswürdige Stammzertifikat nicht mehr auf Geräten installieren, die als Android-Geräteadministrator registriert sind. Diese Einschränkung gilt nicht für Samsung Knox.

Da bei SCEP-Zertifikatprofile das vertrauenswürdige Stammzertifikat auf einem Gerät installiert sein und auf ein Profil für vertrauenswürdige Zertifikate verwiesen werden muss, das wiederum auf dieses Zertifikat verweist, führen Sie die folgenden Schritte aus, um diese Einschränkung zu umgehen:

1. Stellen Sie das Gerät manuell mit dem vertrauenswürdigen Stammzertifikat bereit. Eine Beispielanleitung finden Sie im folgenden Abschnitt.

2. Stellen Sie auf dem Gerät ein Profil für vertrauenswürdige Stammzertifikate bereit, das auf das vertrauenswürdige Stammzertifikat verweist, das Sie auf dem Gerät installiert haben.

3. Stellen Sie ein SCEP-Zertifikatprofil auf dem Gerät bereit, das auf das Profil für vertrauenswürdige Stammzertifikate verweist.

Dieses Problem ist nicht auf SCEP-Zertifikatprofile beschränkt. Planen Sie daher die manuelle Installation des vertrauenswürdigen Stammzertifikats auf betreffenden Geräten ein, wenn die Verwendung von PKCS-Zertifikatprofilen oder importierten PKCS-Zertifikatprofile dies erfordert.

Weitere Informationen über Änderungen an der Unterstützung für die Android-Geräteadministratorverwaltung finden Sie auf techcommunity.microsoft.com.

Manuelles Bereitstellen eines Geräts mit dem vertrauenswürdigen Stammzertifikat

Die folgende Anleitung kann Ihnen bei der manuellen Bereitstellung von Geräten mithilfe eines vertrauenswürdigen Stammzertifikat helfen.

1. Laden Sie das vertrauenswürdige Stammzertifikat auf das Android-Gerät herunter, oder übertragen Sie es darauf. Sie können das Zertifikat z. B. per E-Mail an Gerätebenutzer verteilen, oder Sie können es an einem sicheren Speicherort hinterlegen, damit Benutzern es herunterladen können. Wenn sich das Zertifikat auf dem Gerät befindet, muss es geöffnet, benannt und gespeichert werden. Durch das Speichern des Zertifikats wird es dem Benutzerzertifikatspeicher auf dem Gerät hinzugefügt.

   1. Zum Öffnen des Zertifikats auf dem Gerät muss ein Benutzer das Zertifikat suchen und darauf tippen (es öffnen). Nachdem Sie das Zertifikat z. B. per E-Mail gesendet haben, kann ein Gerätebenutzer auf den Zertifikatanhang tippen oder diesen öffnen.
   2. Wenn das Zertifikat geöffnet wird, muss der Benutzer seine PIN angeben oder sich anderweitig beim Gerät authentifizieren, bevor er das Zertifikat verwalten kann.

2. Nach der Authentifizierung wird das Zertifikat geöffnet und muss benannt werden, bevor es im Benutzerzertifikatspeicher gespeichert werden kann. Der Name des Zertifikats muss mit dem Zertifikatnamen identisch sein, der im Profil des vertrauenswürdigen Stammzertifikats angegeben ist, das an das Gerät gesendet wird. Nach dem Benennen des Zertifikats kann es gespeichert werden.

3. Nach dem Speichern ist das Zertifikat bereit für die Verwendung. So können Benutzer überprüfen, ob sich das Zertifikat auf dem Gerät am richtigen Speicherort befindet:

   1. Erst muss Settings>Security>Trusted credentials (Einstellungen > Sicherheit > Vertrauenswürdige Anmeldeinformationen) geöffnet werden. Der tatsächliche Pfad zu Vertrauenswürdige Anmeldeinformationen kann je nach Gerät variieren.
   2. Öffnen Sie die Registerkarte User (Benutzer), und suchen Sie das Zertifikat.
   3. Wenn das Zertifikat in der Liste der Benutzerzertifikate angezeigt wird, wurde es ordnungsgemäß installiert.

4. Selbst wenn ein Stammzertifikat auf einem Gerät installiert ist, müssen Sie Folgendes bereitstellen, um das SCEP- oder PKCS-Zertifikat bereitzustellen:

   • Ein Zertifikatprofil, das auf das vertrauenswürdige Zertifikat verweist
   • Das SCEP- oder PKCS-Profil, das auf das Zertifikatprofil verweist, um das SCEP- oder PKCS-Zertifikat bereitzustellen

So erstellen Sie ein vertrauenswürdiges Zertifikatprofil

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Geräte>Konfiguration> Erstellen aus, und wechselnSie zu .

   

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie die Plattform der Geräte aus, die dieses Profil erhalten sollen.
   • Profil: Wählen Sie je nach ausgewählter Plattform Vertrauenswürdiges Zertifikat oder Vorlagen>Vertrauenswürdiges Zertifikat aus.

   Wichtig

   Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

   Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen können. Ein geeigneter Profilname ist beispielsweise Vertrauenswürdige Zertifikatsvorlage für das gesamte Unternehmen.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Geben Sie in den Konfigurationseinstellungen die zuvor exportierte CER-Datei mit dem vertrauenswürdigen Zertifikat der Stammzertifizierungsstelle an.

   Wählen Sie für Windows 8.1- und Windows 10/11-Geräte den Zielspeicher für das vertrauenswürdige Zertifikat aus:

   • Computerzertifikatspeicher – Stamm
   • Computerzertifikatspeicher – Zwischenspeicher
   • Benutzerzertifikatspeicher – Zwischenspeicher

   

8. Wählen Sie Weiter aus.

9. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen das Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

   Wählen Sie Weiter aus.

10. (Gilt nur für Windows 10/11) Geben Sie unter Anwendbarkeitsregeln Anwendbarkeitsregeln an, um die Zuweisung dieses Profils einzuschränken. Sie können auswählen, dass das Profil basierend auf der Betriebssystemedition oder der Version eines Geräts zugewiesen oder nicht zugewiesen wird.

    Weitere Informationen finden Sie im Artikel Erstellen eines Geräteprofils in Microsoft Intune im Abschnitt Anwendbarkeitsregeln.

11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf „Erstellen“ klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Nächste Schritte

Erstellen von Zertifikatprofilen:

• Konfigurieren Ihrer Infrastruktur für die Unterstützung von SCEP-Zertifikaten mit Intune
• Konfigurieren und Verwalten von PKCS-Zertifikaten mit Intune
• Erstellen eines importierten PKCS-Zertifikatprofils