# Geräteverzeichnisse SCEPman bietet zwei Optionen zur Validierung von Gerätezertifikaten (z. B. für OCSP-Anfragen). Beide Verzeichnisse speichern Geräteobjekte mit unterschiedlichen IDs, deren Vorhandensein von SCEPman überprüft wird: * Microsoft Entra ID (Azure AD) Geräte-ID * Intune (Intune Device ID) Diese IDs sind in Intune pro Gerät unter dem Tab „Hardware“ sichtbar: ![](https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-d44ef355496196be88c70825db9d9249a4258254%2Fimage.png?alt=media) Zur Erkennung des Geräts hinter einem ausgestellten Zertifikat benötigt SCEPman die entsprechende **ID im Subject Name**: * Microsoft Entra ID (Azure AD): `CN={{AAD_Device_ID}}` * Intune: `CN={{DeviceId}}` Bei der Einrichtung von SCEPman und Zertifikatsprofilen in Intune ist es wichtig, **zu entscheiden, welcher Bestand verwendet werden soll**. ### Entra ID (AAD) vs. Intune Beide Verzeichnisse haben ihre Vor- und Nachteile. Im Allgemeinen **empfehlen wir Intune** als Bestand seit SCEPman 2.0: * **Die Entra-Geräte-ID kann sich während der Registrierung ändern (beobachtet auf iOS/iPadOS/macOS)**:\ Die Entra-Geräte-ID ist bis zur endgültigen AAD-Registrierung auf die Intune-Geräte-ID gesetzt. Intune stellt das Zertifikat bereits aus, bevor das Gerät seine endgültige ID erhält. Dadurch kann SCEPman das Gerät nach dieser ID-Änderung im AAD nicht mehr finden. * **Intune wird oft besser gepflegt als Entra ID (AAD)**:\ Theoretisch sind die AAD- und Intune-Geräteobjekte voneinander unabhängig. Das Löschen eines Geräts in Intune löscht nicht das entsprechende AAD-Objekt. Darüber hinaus können Autopilot-Geräte nur in Intune und nicht in Microsoft Entra ID (Azure AD) gelöscht werden. Daher wären die Zertifikate weiterhin gültig. ### SCEPman-Konfiguration SCEPman muss wissen, welches Verzeichnis bzw. welche Verzeichnisse für die Validierung verwendet werden sollen. Daher bieten wir die Konfigurationsoption[#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/de/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention"). Bitte passen Sie diesen Wert an Ihre Anforderungen an. {% hint style="warning" %} Beachten Sie, dass dafür Version 2.0 oder neuer erforderlich ist. SCEPman 1.x unterstützt als Verzeichnis nur Microsoft Entra ID (Azure AD). {% endhint %} ### Zertifikatsprofile Bitte passen Sie auch den Subject Name an Ihre Anforderungen an, wie unter [microsoft-intune](https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune "mention"). Bitte beachten Sie, dass `CN={{DeviceId}}` derzeit nicht unterstützt wird für Android Enterprise Fully Managed, Dedicated und Corporate-Owned Work Profile, wie in [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)angegeben. Wenn diese Gerätetypen im Einsatz sind, sollten Sie erwägen, beide Verzeichnisse oder nur Microsoft Entra ID (Azure AD) zu überprüfen. Für **migrieren** von Microsoft Entra ID (Azure AD) zu Intune ID oder umgekehrt, **Zertifikate** müssen **auf allen Clients neu ausgestellt werden**. Während dieser Änderung konfigurieren Sie SCEPman bitte über [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/de/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") so, dass beide Verzeichnisse geprüft werden (damit beide IDs gültig sind). Nach der Migration können Sie auf Intune oder AAD als einziges Verzeichnis umschalten.