circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Geräteverzeichnisse

SCEPman bietet zwei Optionen zur Validierung von Gerätezertifikaten (z. B. für OCSP-Anfragen). Beide Verzeichnisse speichern Geräteobjekte mit unterschiedlichen IDs, deren Vorhandensein von SCEPman geprüft wird:

  • Microsoft Entra ID (Azure AD) Geräte-ID

  • Intune (Intune Geräte-ID)

Diese IDs sind in Intune pro Gerät unter dem Reiter „Hardware“ sichtbar:

Um das Gerät hinter einem ausgestellten Zertifikat zu erkennen, benötigt SCEPman die entsprechende ID im Subject-Namen:

  • Microsoft Entra ID (Azure AD): CN={{AAD_Device_ID}}

  • Intune: CN={{DeviceId}}

Beim Einrichten von SCEPman und Zertifikatsprofilen in Intune ist es wichtig, zu entscheiden, welches Inventar verwendet werden soll.

hashtag
Entra ID (AAD) vs. Intune

Beide Verzeichnisse haben ihre Vor- und Nachteile. Im Allgemeinen empfehlen wir Intune als Inventar seit SCEPman 2.0:

  • Die Entra Geräte-ID kann sich während der Registrierung ändern (beobachtet bei iOS/iPadOS/macOS): Die Entra Geräte-ID wird bis zur endgültigen AAD-Registrierung des Geräts auf die Intune-Geräte-ID gesetzt. Intune stellt das Zertifikat bereits aus, bevor das Gerät seine endgültige ID erhält. Dadurch kann SCEPman das Gerät nach dieser ID-Änderung nicht mehr im AAD finden.

  • Intune wird oft besser gepflegt als Entra ID (AAD): Theoretisch sind die AAD- und Intune-Geräteobjekte unabhängig voneinander. Das Löschen eines Geräts in Intune löscht nicht das entsprechende AAD-Objekt. Außerdem können Autopilot-Geräte nur in Intune und nicht in Microsoft Entra ID (Azure AD) gelöscht werden. Die Zertifikate wären also weiterhin gültig.

hashtag
SCEPman-Konfiguration

SCEPman muss wissen, welches Verzeichnis / welche Verzeichnisse für die Validierung verwendet werden sollen. Daher bieten wir die KonfigurationsoptionAppConfig:IntuneValidation:DeviceDirectory. Bitte passen Sie diesen Wert an Ihre Bedürfnisse an.

circle-exclamation

Beachten Sie, dass dies Version 2.0 oder neuer erfordert. SCEPman 1.x unterstützt als Verzeichnis nur Microsoft Entra ID (Azure AD).

hashtag
Zertifikatsprofile

Bitte passen Sie auch den Subject-Namen an Ihre Bedürfnisse an, wie unter Microsoft Intune.

Bitte beachten Sie, dass CN={{DeviceId}} derzeit nicht für Android Enterprise Fully Managed, Dedicated und Corporate-Owned Work Profile unterstützt wird, wie unter Microsoft-Dokumentenarrow-up-rightangegeben. Wenn diese Gerätetypen verwendet werden, sollten Sie in Erwägung ziehen, beide Verzeichnisse zu prüfen oder nur Microsoft Entra ID (Azure AD).

Für Migration von Microsoft Entra ID (Azure AD) zur Intune ID oder umgekehrt, Zertifikate müssen auf allen Clients neu ausgestellt werden. Während dieser Änderung konfigurieren Sie bitte SCEPman über AppConfig:IntuneValidation:DeviceDirectory um beide Verzeichnisse zu prüfen (so dass beide IDs gültig sind). Nach der Migration können Sie auf Intune oder AAD als einziges Verzeichnis umstellen.

Zuletzt aktualisiert

War das hilfreich?