Intune-Validierung

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

Wert: Immer oder Nie (Standard)

Beschreibung: Wenn SCEPman eine OCSP-Anfrage erhält, kann SCEPman optional den Geräte-Compliance-Status prüfen. Wenn auf Immer gesetzt, fragt SCEPman den Geräte-Compliance-Status ab und das OCSP-Ergebnis kann nur GOOD sein, wenn das Gerät auch in Azure AD als konform markiert ist.

Wenn Sie dies auf Nie setzen, wird die Compliance-Prüfung deaktiviert.

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

Wert: Ganzzahl (Standard: 0)

Beschreibung: Unmittelbar nach der Registrierung sind Geräte häufig noch nicht in Intune konform. Diese Einstellung definiert eine Nachfrist in Minuten, während der das Gerät als konform gilt, auch wenn es es noch nicht ist. Wenn das Gerät nach Ablauf der Nachfrist nicht konform ist, wird das Zertifikat widerrufen. Dies verhindert das Problem eines Windows-Geräts, das sich gerade registriert und das SCEP-Profil erfolgreich abschließen muss, um die Windows Autopilot-Registrierung zu beenden, aber erst später in Intune konform wird.

Die Einstellung prüft die Intune-Eigenschaft EnrolledDateTime und beginnt ab diesem Zeitpunkt zu zählen.

Sie ist eine Alternative zur Verwendung von Ephemeral Bootstrap Certificates. Wenn Sie einen Wert größer als 0 konfigurieren, wird SCEPman niemals Ephemeral Bootstrap Certificates ausstellen.

Diese Einstellung ist nur wirksam, wenn ComplianceCheck auf Immer.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

Wert: Zeichenfolge

Verfügbare Optionen:

• AAD (Standard für SCEPman 2.0)

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic (Standard für SCEPman 2.1 oder neuer)

• AADAndIntuneAndEndpointlist (verfügbar in SCEPman 2.2 und neuer)

Beschreibung: Legt fest, wo bei OCSP-Anfragen für Gerätezertifikate nach Geräten gesucht wird. Das entsprechende Verzeichnis wird auf ein Gerät mit der Geräte-ID abgefragt, die in das Subject-CN-Feld des Zertifikats geschrieben wurde. Das Zertifikat ist nur gültig, wenn das Gerät existiert. Für AADmuss es außerdem aktiviert sein (Intune unterstützt das Deaktivieren von Geräten nicht). Wenn die ComplianceCheck aktiviert ist, muss das Gerät außerdem konform sein. Wenn nichts konfiguriert ist und für SCEPman 1.9 und früher, wird AAD verwendet.

Daher müssen Sie das Intune-Konfigurationsprofil für Geräte entsprechend konfigurieren. {{AAD_Device_ID}} ist die Entra/AAD-Geräte-ID, während {{DeviceID}} die Intune-Geräte-ID ist.

Für AADAndIntunewerden beide Verzeichnisse parallel abgefragt. In diesem Fall reicht es aus, dass das Gerät in einem der beiden Verzeichnisse existiert. Diese Einstellung ermöglicht die Migration von einer Einstellung zur anderen, wenn noch gültige Zertifikate für beide Verzeichnisarten vorhanden sind. Sie unterstützt außerdem Fälle, in denen Sie Plattformen unterschiedlich konfigurieren. Sie kann auch als Workaround für iOS- oder Android-Geräte verwendet werden, die eine Intune-ID anstelle einer Entra-ID-Objekt-ID erhalten, weil sie zum Zeitpunkt der Zertifikatsregistrierung nicht vollständig Entra-joined sind.

Wenn Sie von SCEPman 1.x auf SCEPman 2.x aktualisiert haben und weiterhin eine App-Registrierung für SCEPman-Berechtigungenverwenden, fehlen SCEPman die Berechtigungen, Intune nach Geräten abzufragen. Daher sind Sie auf die AAD Option beschränkt. Die Option AADAndIntuneOpportunistic prüft, ob die Berechtigungen zum Abfragen von Intune SCEPman erteilt wurden. Wenn sie vorhanden sind, funktioniert dies wie AADAndIntune. Wenn sie nicht vorhanden sind, verhält sich dies wie AAD.

Der Wert AADAndIntuneAndEndpointlist funktioniert genauso wie AADAndIntune, fragt jedoch zusätzlich Intunes Liste der ausgestellten Zertifikateab. Wenn Intune den Widerruf eines Zertifikats ausgelöst hat, wird das Zertifikat in SCEPman ebenfalls widerrufen.

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

Wert: true (Standard) oder false

Beschreibung: Diese Einstellung erweitert die Validierung von Geräten bei Verwendung der Intune-Geräte-ID. Sie funktioniert nicht bei Verwendung der Entra/AAD-Geräte-ID. Wenn sie aktiviert ist, wertet SCEPman die Management State-Eigenschaft eines Intune-Geräts aus, wenn dessen Gerätezertifikat validiert wird. Wenn der Status einen der folgenden Werte anzeigt, wird das Zertifikat widerrufen:

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

Insbesondere bedeutet dies, dass wenn ein Administrator für ein Gerät einen Wipe oder Retire auslöst, das Zertifikat sofort widerrufen wird. Selbst wenn das Gerät ausgeschaltet oder offline ist und die Aktion daher nicht auf dem Gerät ausgeführt werden kann, ist das Zertifikat nicht mehr gültig.

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

Wert: Komma-getrennte Liste von User-Risk-Levels, z. B. Niedrig, Mittel, Hoch.

Beschreibung: Diese Einstellung hat nur eine Wirkung, wenn Sie UserRiskCheck auf Immersetzen. Zertifikate von Benutzern mit Risikostufen in dieser Liste werden als ungültig betrachtet.

Beispiel: Sie definieren Medium,High für diese Einstellung. Ein Benutzer hat das Risiko-Level Niedrig. Das Zertifikat des Benutzers ist gültig und das Zertifikat kann verwendet werden, um sich mit dem Unternehmens-VPN zu verbinden. Dann erhöht ein Risikofall das User-Risk-Level auf Mittel. Der Benutzer versucht, eine Verbindung zum VPN herzustellen, scheitert jedoch, weil das VPN-Gateway die Gültigkeit des Zertifikats in Echtzeit prüft und SCEPman antwortet, dass es widerrufen wurde.

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

Wert: Immer oder Nie (Standard)

Beschreibung: Wenn SCEPman eine OCSP-Anfrage für ein an einen Intune-Benutzer ausgestelltes Zertifikat erhält, kann SCEPman optional die User-Risikostufeprüfen. Wenn auf Immer gesetzt, fragt SCEPman den User-Risiko-Status ab und das OCSP-Ergebnis kann nur GOOD sein, wenn das Risiko des Benutzers nicht in der Liste der UntoleratedUserRisks.

Wenn Sie dies auf Nie steht.

wird die User-Risiko-Prüfung deaktivieren.

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Wert: true (Standard) oder false

Beschreibung: Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse Nachdem ein Zertifikat erfolgreich ausgestellt wurde, sendet SCEPman eine Benachrichtigung über das Zertifikat an Intune. Microsoft empfiehlt in seiner Spezifikation, auf die Antwort zu warten. Allerdings zeigen einige Instanzen lange Verzögerungen, die gelegentlich zu Timeouts führen. Daher ist True

Wenn Sie dies auf die Standardeinstellung. False

veranlasst SCEPman, das ausgestellte Zertifikat zurückzugeben, bevor Intune auf die Benachrichtigung antwortet. Das widerspricht zwar dem Wortlaut der Spezifikation, erhöht jedoch die Leistung und vermeidet Timeouts in Instanzen, in denen dieses Problem auftritt.

AppConfig:IntuneValidation:ValidityPeriodDays

Wert: Linux: AppConfig__IntuneValidation__ValidityPeriodDays Ganzzahl

Beschreibung: Positiv

Diese Einstellung reduziert weiter die globale ValidityPeriodDays für den Intune-Endpunkt.

AppConfig:IntuneValidation:EnableCertificateStorage

Wert: true oder false (Standard)

Beschreibung: Gilt für Version 2.7 und neuer trueWenn bei Anfragen von Zertifikaten über den Intune-Endpunkt diese Einstellung auf falsegesetzt ist, speichert SCEPman die angeforderten Zertifikate im Storage Account in Azure. Dadurch erscheinen die ausgestellten Zertifikate im SCEPman Certificate Master, wo Sie sie anzeigen und manuell widerrufen können. Zusätzlich werden Zertifikate automatisch widerrufen, wenn das zugehörige Entra- oder Intune-Objekt in einen ungültigen Zustand übergeht, wie durch andere Einstellungen spezifiziert (z. B. deaktiviert oder gelöscht). Wenn auf gesetzt, wird SCEPman ausgestellte Zertifikate nicht speichern und die Zertifikate sind nur in den Logs oder in der klassischen Intune-Ansicht im Certificate Master oder im Intune-Portal sichtbar. Wenn dies nicht gesetzt ist, hängt das Verhalten von der globalen Einstellung.

AppConfig:EnableCertificateStorage

Wert: true oder false (Standard)

Beschreibung: AppConfig:IntuneValidation:AllowRenewals Dies erlaubt die Verwendung der RenewalReq Operation an diesem SCEP-Endpunkt. Sie funktioniert nur für Zertifikatstypen, die zuAppConfig:IntuneValidation.

:ReenrollmentAllowedCertificateTypes hinzugefügt wurden. Diese Operation kann mit dem SCEPmanClient

Operation nicht verwendet

Wert: true oder false (Standard)

Beschreibung: AppConfig:IntuneValidation:AllowRequestedSidExtension Gilt für Version 2.11.1460 und neuer. Frühere Versionen verhalten sich anders als beschrieben, wenn diese Einstellung geändert wird, und wir empfehlen, diese Einstellung für ältere Versionen nicht zu konfigurieren. Wenn es eine SID-Erweiterung (OID 1.3.6.1.4.1.311.25.2) in der Zertifikatsanforderung gibt, wird sie in das ausgestellte Zertifikat kopiert, wenn diese Einstellung true ist. Wenn sie false ist, wird sie herausgefiltert. Die SID ist wichtig für eine starke Zuordnung von Zertifikaten in On-Premises-AD-Authentifizierungsszenarien. Allerdings scheint Intune

die Echtheit der angeforderten SID nicht zu prüfen in der Erweiterung, sodass das Zulassen angeforderter SID-Erweiterungen eine Sicherheitslücke darstellen kann. Über AppConfig:AddSidExtension hinzugefügte SID-Erweiterungen truesind von dieser Einstellung nicht betroffen. Zusätzlich sind SIDs, die als SAN-URI mit einer SID hinzugefügt wurden, ebenfalls nicht betroffen, wenn die SCEPman-Version 2.11.1460 oder neuer ist — ältere SCEPman-Versionen kopieren die SAN-URI-SID nur, wenn dies true der Fall ist, haben sie aber

als Standardwert.

Wert: AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

• Komma-getrennte Liste von Zertifikatstypen aus dieser Liste:

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

Beschreibung: JamfComputer

Sie können den SCEP-Endpunkt für Erneuerungen von Zertifikaten der in dieser Einstellung angegebenen Typen verwenden. Wenn Sie keinen Wert angeben, ist die Standardeinstellung keine Typen. DomainControllerWenn Sie beispielsweise Zertifikate erneuern wollten, die manuell über den Certificate Master ausgestellt wurden, würden Sie angeben. Wenn Sie außerdem Domain Controller-Zertifikate erneuern möchten, würden Sie angeben: DomainController,Static.