# Intune-Validierung {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings). {% endhint %} ## AppConfig:IntuneValidation:ComplianceCheck *Linux: AppConfig\_\_IntuneValidation\_\_ComplianceCheck* {% hint style="warning" %} **Experimentelle Einstellung** nur SCEPman Enterprise Edition Vor Version 1.9 führt diese Funktion aufgrund der verzögerten Auswertung des Compliance-Status während der Registrierung dazu, dass die Windows-Autopilot-Registrierung fehlschlägt. Nach der Zertifikatsbereitstellung gibt die unmittelbar folgende OCSP-Prüfung während der Registrierung „**nicht gültig**“ zurück, und der Autopilot-Prozess wird nicht erfolgreich abgeschlossen. Ab Version 1.9 erhalten Clients während der Registrierungsphase ein „Ephemeral Bootstrap Certificate“, das später durch ein reguläres Clientzertifikat ersetzt wird, sobald der Client compliant ist. Ab Version 2.5 können Sie alternativ eine Gnadenfrist konfigurieren, während der das Gerät mit der Einstellung ComplianceGracePeriodMinutes immer als compliant gilt. {% endhint %} **Wert:** *Immer* oder *Nie* (Standard) **Beschreibung:** Wenn SCEPman eine OCSP-Anfrage empfängt, kann SCEPman optional den Compliance-Status des Geräts prüfen. Wenn auf **Immer** gesetzt ist, fragt SCEPman den Compliance-Status des Geräts ab, und das OCSP-Ergebnis kann nur GOOD sein, wenn das Gerät auch in Azure AD als compliant markiert ist. Wenn dies auf **Nie** gesetzt wird, wird die Compliance-Prüfung deaktiviert. ## AppConfig:IntuneValidation:ComplianceGracePeriodMinutes *Linux: AppConfig\_\_IntuneValidation\_\_ComplianceGracePeriodMinutes* {% hint style="warning" %} nur SCEPman Enterprise Edition Gilt für Version 2.5 und höher {% endhint %} **Wert:** *Ganzzahl* (Standard: 0) **Beschreibung:** Unmittelbar nach der Registrierung sind Geräte in Intune oft noch nicht compliant. Diese Einstellung definiert eine Gnadenfrist in Minuten, während der das Gerät als compliant gilt, auch wenn es das noch nicht ist. Ist das Gerät nach Ablauf der Gnadenfrist nicht compliant, wird das Zertifikat widerrufen. Dadurch wird das Problem eines Windows-Geräts vermieden, das sich gerade registriert und das SCEP-Profil erfolgreich abschließen muss, um die Windows-Autopilot-Registrierung zu beenden, aber erst einige Zeit später in Intune compliant wird. Die Einstellung prüft die Intune-Eigenschaft EnrolledDateTime und beginnt ab diesem Zeitpunkt mit der Zählung. Sie ist eine Alternative zur Verwendung von Ephemeral Bootstrap Certificates. Wenn Sie einen Wert über 0 konfigurieren, stellt SCEPman niemals Ephemeral Bootstrap Certificates aus. Diese Einstellung ist nur wirksam, wenn [ComplianceCheck](#appconfig-intunevalidation-compliancecheck) nicht auf *Immer*. ## AppConfig:IntuneValidation:DeviceDirectory *Linux: AppConfig\_\_IntuneValidation\_\_DeviceDirectory* **Wert:** Zeichenfolge Verfügbare Optionen: * `AAD`\ (Standard für SCEPman 2.0) * `Intune` * `AADAndIntune` * `AADAndIntuneOpportunistic`\ (Standard für SCEPman 2.1 oder neuer) * `AADAndIntuneAndEndpointlist`\ (verfügbar in SCEPman 2.2 und neuer) {% hint style="warning" %} Wenn Sie diese Einstellung in einer bestehenden Bereitstellung ändern möchten, die mit einer früheren Version von SCEPman installiert wurde, führen Sie bitte das [PowerShell-Konfigurationsskript](https://docs.scepman.com/de/scepman-bereitstellung/permissions/post-installation-config#acquire-and-run-the-scepman-installation-powershell-module) erneut aus, um sicherzustellen, dass SCEPman die neuesten Berechtigungen für den Zugriff auf die entsprechenden Geräteverzeichnisse hat. {% endhint %} **Beschreibung:** Bestimmt, wo bei OCSP-Anfragen für Gerätezertifikate nach Geräten gesucht wird. Das entsprechende Verzeichnis wird nach einem Gerät abgefragt, das mit der Geräte-ID übereinstimmt, die in das CN-Feld des Zertifikats-SUBJECT geschrieben wurde. Das Zertifikat ist nur gültig, wenn das Gerät existiert. Für **`AAD`**muss es außerdem aktiviert sein (Intune unterstützt das Deaktivieren von Geräten nicht). Wenn ComplianceCheck aktiviert ist, muss das Gerät außerdem compliant sein. Wenn nichts konfiguriert ist und bei SCEPman 1.9 und früher wird `AAD` verwendet. Daher müssen Sie das Intune-Konfigurationsprofil für Geräte entsprechend konfigurieren. `{{AAD_Device_ID}}` ist die Entra/AAD-Geräte-ID, während `{{DeviceID}}` die Intune-Geräte-ID ist. Für **`AADAndIntune`**werden beide Verzeichnisse parallel abgefragt. In diesem Fall reicht es aus, wenn das Gerät in einem der beiden Verzeichnisse existiert. Diese Einstellung ermöglicht die Migration von einer Einstellung zur anderen, wenn es noch gültige Zertifikate für beide Verzeichnistypen gibt. Sie unterstützt auch Fälle, in denen Sie Plattformen unterschiedlich konfigurieren. Sie kann außerdem als Workaround für iOS- oder Android-Geräte verwendet werden, die eine Intune-ID anstelle einer Entra-ID-Objekt-ID erhalten, weil sie zum Zeitpunkt der Zertifikatsregistrierung noch nicht vollständig Entra-verbunden sind. Wenn Sie von SCEPman 1.x auf SCEPman 2.x aktualisiert haben und immer noch [eine App-Registrierung für SCEPman-Berechtigungen](https://docs.scepman.com/de/scepman-bereitstellung/permissions/azure-app-registration)verwenden, fehlen SCEPman die Berechtigungen, um Intune-Geräte abzufragen. Daher sind Sie auf die `AAD` Option beschränkt. Die Option **`AADAndIntuneOpportunistic`** prüft, ob SCEPman die Berechtigungen zum Abfragen von Intune erteilt wurden. Wenn sie vorhanden sind, verhält sich dies wie `AADAndIntune`. Wenn sie nicht vorhanden sind, verhält sich dies wie `AAD`. Der Wert **`AADAndIntuneAndEndpointlist`** funktioniert genau wie `AADAndIntune`, fragt zusätzlich aber [die Liste der von Intune ausgestellten Zertifikate](https://endpoint.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMonitorMenu/~/certificateReport)ab. Wenn Intune [den Widerruf eines Zertifikats ausgelöst hat](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates#scep-certificates), wird das Zertifikat in SCEPman als widerrufen markiert. {% embed url="" %} SCEPman 2.0: Zertifikatsvalidierung {% endembed %} ## AppConfig:IntuneValidation:RevokeCertificatesOnWipe *Linux: AppConfig\_\_IntuneValidation\_\_RevokeCertificatesOnWipe* {% hint style="info" %} Gilt für Version 2.1 und höher. {% endhint %} **Wert:** *true* (Standard) oder *false* **Beschreibung:** Diese Einstellung erweitert die Validierung von Geräten bei Verwendung der Intune-Geräte-ID. Sie funktioniert nicht bei Verwendung der Entra/AAD-Geräte-ID. Wenn sie aktiviert ist, wertet SCEPman die Eigenschaft Management State eines Intune-Geräts aus, wenn dessen Gerätezertifikat validiert wird. Wenn der Status einen der folgenden Werte angibt, wird das Zertifikat widerrufen: * RetirePending * RetireFailed * WipePending * WipeFailed * Unhealthy * DeletePending * RetireIssued * WipeIssued Insbesondere bedeutet dies, dass das Zertifikat sofort widerrufen wird, wenn ein Administrator für ein Gerät ein Wipe oder Retire auslöst. Selbst wenn das Gerät ausgeschaltet oder offline ist und die Aktion daher nicht auf dem Gerät ausgeführt werden kann, ist das Zertifikat nicht mehr gültig. ## AppConfig:IntuneValidation:UntoleratedUserRisks *Linux: AppConfig\_\_IntuneValidation\_\_UntoleratedUserRisks* {% hint style="warning" %} **Experimentelle Einstellung** - Gilt für Version 2.2 und höher. Erfordert die Berechtigung *IdentityRiskyUser.Read.All* die vom SCEPman-PS-Modul Version 1.7 und höher zugewiesen wird. nur SCEPman Enterprise Edition {% endhint %} **Wert:** Durch Kommas getrennte Liste von User Risk Levels, z. B. *Low*, *Medium*, *High*. **Beschreibung:** Diese Einstellung wirkt sich nur aus, wenn Sie [UserRiskCheck](#appconfig-intunevalidation-userriskcheck) nach *Immer*setzen. Zertifikate von Benutzern mit Risikostufen aus dieser Liste werden als ungültig betrachtet. Beispiel: Sie definieren `Medium,High` für diese Einstellung. Ein Benutzer hat die Risikostufe *Low*. Das Zertifikat des Benutzers ist gültig, und das Zertifikat kann verwendet werden, um eine Verbindung zum Unternehmens-VPN herzustellen. Dann erhöht ein Risikoereignis die User Risk Level auf *Medium*. Der Benutzer versucht, sich mit dem VPN zu verbinden, hat aber keinen Erfolg, da das VPN-Gateway die Gültigkeit des Zertifikats in Echtzeit prüft und SCEPman antwortet, dass es widerrufen wurde. ## AppConfig:IntuneValidation:UserRiskCheck *Linux: AppConfig\_\_IntuneValidation\_\_UserRiskCheck* {% hint style="warning" %} **Experimentelle Einstellung** - Gilt für Version 2.2 und höher. Erfordert die Berechtigung *IdentityRiskyUser.Read.All* die vom SCEPman-PS-Modul Version 1.7 und höher zugewiesen wird. nur SCEPman Enterprise Edition {% endhint %} **Wert:** *Immer* oder *Nie* (Standard) **Beschreibung:** Wenn SCEPman eine OCSP-Anfrage für ein an einen Intune-Benutzer ausgestelltes Zertifikat empfängt, kann SCEPman optional [Benutzerrisikoniveau](https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks#user-linked-detections)prüfen. Wenn auf **Immer** gesetzt ist, fragt SCEPman den Benutzer-Risikostatus ab, und das OCSP-Ergebnis kann nur GOOD sein, wenn das Risiko des Benutzers nicht in der Liste der [UntoleratedUserRisks](#appconfig-intunevalidation-untolerateduserrisks). Wenn dies auf **Nie** steht, wird die Benutzer-Risikoprüfung deaktiviert. ## AppConfig:IntuneValidation:WaitForSuccessNotificationResponse *Linux: AppConfig\_\_IntuneValidation\_\_WaitForSuccessNotificationResponse* **Wert:** *true* (Standard) oder *false* **Beschreibung:** Nachdem ein Zertifikat erfolgreich ausgestellt wurde, sendet SCEPman eine Benachrichtigung über das Zertifikat an Intune. Microsoft empfiehlt laut Spezifikation, auf die Antwort zu warten. Allerdings zeigen einige Instanzen lange Verzögerungen, die gelegentlich zu Timeouts führen. Daher ist **True** die Standardeinstellung. Wenn dies auf **False** bewirkt, dass SCEPman das ausgestellte Zertifikat zurückgibt, bevor Intune auf die Benachrichtigung antwortet. Dies widerspricht dem Wortlaut der Spezifikation, erhöht aber die Leistung und vermeidet Timeouts in Instanzen, in denen dieses Problem auftritt. ## AppConfig:IntuneValidation:ValidityPeriodDays *Linux: AppConfig\_\_IntuneValidation\_\_ValidityPeriodDays* **Wert:** Positiv *Ganzzahl* **Beschreibung:** Diese Einstellung reduziert die globale ValidityPeriodDays für den Intune-Endpunkt weiter. ## AppConfig:IntuneValidation:EnableCertificateStorage *Linux: AppConfig\_\_IntuneValidation\_\_EnableCertificateStorage* {% hint style="info" %} Gilt für Version 2.7 und höher nur SCEPman Enterprise Edition {% endhint %} **Wert:** *true* oder *false* (Standard) **Beschreibung:** Wenn Zertifikate über den Intune-Endpunkt angefordert werden, speichert SCEPman diese angeforderten Zertifikate im Storage Account in Azure, wenn dies auf *true*gesetzt ist. Dadurch werden die ausgestellten Zertifikate in SCEPman Certificate Master angezeigt, wo Sie sie manuell anzeigen und widerrufen können. Außerdem werden Zertifikate automatisch widerrufen, wenn das zugehörige Entra- oder Intune-Objekt in einen ungültigen Zustand gerät, wie es durch die anderen Einstellungen festgelegt ist (z. B. wenn es deaktiviert oder gelöscht wird). Wenn auf *false*gesetzt ist, speichert SCEPman keine ausgestellten Zertifikate, und die Zertifikate sind nur in den Protokollen oder in der klassischen Intune-Ansicht in Certificate Master oder im Intune-Portal sichtbar. Wenn dies nicht gesetzt ist, hängt das Verhalten von der globalen Einstellung [AppConfig:EnableCertificateStorage](https://docs.scepman.com/de/scepman-konfiguration/basics#appconfig-enablecertificatestorage). ## AppConfig:IntuneValidation:AllowRenewals **Wert:** *true* oder *false* (Standard) **Beschreibung:** Dies ermöglicht die Verwendung der *RenewalReq* Operation auf diesem SCEP-Endpunkt. Sie funktioniert nur für Zertifikatstypen, die zu *AppConfig:*IntuneValidation*:ReenrollmentAllowedCertificateTypes*. Diese Operation kann mit dem [SCEPmanClient ](https://github.com/scepman/scepmanclient)PowerShell-Modul verwendet werden. {% hint style="warning" %} Bitte beachten Sie, dass Intune die *RenewalReq* Operation nicht verwendet und diese Einstellung für den normalen Betrieb nicht erforderlich ist. {% endhint %} ## AppConfig:IntuneValidation:AllowRequestedSidExtension {% hint style="info" %} Gilt für Version 2.11.1460 und höher. Frühere Versionen verhalten sich bei einer Änderung dieser Einstellung anders als beschrieben, und wir empfehlen, diese Einstellung für diese älteren Versionen nicht zu konfigurieren. {% endhint %} **Wert:** *true* oder *false* (Standard) **Beschreibung:** Wenn im Zertifikatsantrag eine SID-Erweiterung (OID 1.3.6.1.4.1.311.25.2) vorhanden ist, wird sie in das ausgestellte Zertifikat kopiert, wenn diese Einstellung true ist. Wenn sie false ist, wird sie herausgefiltert. Die SID ist wichtig für ein starkes Mapping von Zertifikaten in Authentifizierungsszenarien mit lokalem AD. Intune scheint jedoch [die Echtheit der angeforderten SID nicht zu prüfen](https://docs.scepman.com/de/sonstiges/troubleshooting/sid-spoofing-vulnerability) in der Erweiterung, sodass das Zulassen angeforderter SID-Erweiterungen ein Sicherheitsrisiko darstellen kann. Über [AppConfig:AddSidExtension](https://docs.scepman.com/de/scepman-konfiguration/certificates#appconfig-addsidextension) hinzugefügte SID-Erweiterungen sind von dieser Einstellung nicht betroffen. Darüber hinaus sind SIDs, die als SAN-URI mit einer SID hinzugefügt werden, ebenfalls nicht betroffen, wenn die SCEPman-Version 2.11.1460 oder neuer ist — ältere Versionen von SCEPman kopieren die SAN-URI-SID nur, wenn dies *true*ist, aber sie haben *true* als Standardwert. ## AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes **Wert:** Durch Kommas getrennte Liste von Zertifikatstypen aus dieser Liste: * DomainController * Static * IntuneUser * IntuneDevice * JamfUser * JamfUserWithDevice * JamfUserWithComputer * JamfDevice * JamfComputer **Beschreibung:** Sie können den SCEP-Endpunkt für Erneuerungen von Zertifikaten der in dieser Einstellung angegebenen Typen verwenden. Wenn Sie keinen Wert angeben, ist standardmäßig kein Typ ausgewählt. Wenn Sie beispielsweise Zertifikate erneuern möchten, die manuell über Certificate Master ausgestellt wurden, würden Sie `Static`angeben. Wenn Sie außerdem Domain Controller-Zertifikate erneuern möchten, würden Sie `DomainController,Static`. {% hint style="warning" %} Bitte beachten Sie, dass Intune die *RenewalReq* Operation nicht verwendet und diese Einstellung für den normalen Betrieb nicht erforderlich ist. {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.