# Intune Strong Mapping [Derzeit informiert Microsoft Kunden darüber, ihre PKIs doppelt zu überprüfen](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376): Mit dem Windows-Update vom 10. Mai 2022 ([KB5014754](https://support.microsoft.com/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)) wurden Änderungen am Verhalten der Active Directory Kerberos Key Distribution (KDC) in Windows Server 2008 und späteren Versionen vorgenommen, um Schwachstellen zur Rechteausweitung im Zusammenhang mit Zertifikats-Spoofing zu mindern. [Wir haben die Auswirkungen dieser Änderung beschrieben, als die Schwachstelle ursprünglich bekannt gegeben wurde](https://docs.scepman.com/de/sonstiges/troubleshooting/certifried). ### Umfang Zunächst gilt diese Schwachstelle nur für CAs, deren Zertifikate im NTAuth-Store der AD-Forest veröffentlicht sind. Wenn Sie Ihre Zertifikate nicht zur Authentifizierung gegen Ihr lokales AD verwenden, müssen Sie Ihr CA-Zertifikat nicht im NTAuth-Store veröffentlichen und sind dann gegen diesen Angriff immun. Beachten Sie, dass Microsoft ADCS seine CA-Zertifikate standardmäßig im NTAuth-Store veröffentlicht. Für die Netzwerkauthentifizierung ist die einzige NAC, von der wir wissen, dass sie das CA-Zertifikat im NTAuth-Store benötigt, Microsoft NPS. Zu den NACs, die keine lokale Authentifizierung und den NTAuth-Store erfordern, gehören RADIUSaaS, Cisco ISE und Aruba Clearpass. Wenn Sie Zertifikate nur für diesen Anwendungsfall verwenden, stellen Sie einfach sicher, dass sich Ihr CA-Zertifikat nicht im NTAuth-Store Ihres Forest befindet, und Sie müssen sich keine Sorgen um ein starkes Zertifikats-Mapping machen. Wenn Sie jedoch einen Anwendungsfall haben, der Ihr CA-Zertifikat im NTAuth-Store erfordert, wie unser [Domain-Controller-Zertifikate](https://docs.scepman.com/de/zertifikatsverwaltung/domain-controller-certificates), möchten Sie möglicherweise trotzdem nicht, dass Ihre Endbenutzerzertifikate für die lokale Authentifizierung verwendet werden. In diesem Fall benötigen Sie ebenfalls kein starkes Zertifikats-Mapping *für diese Zertifikate*. Daher sollten Sie den Full Enforcement Mode aktivieren, aber die lokalen SIDs nicht zu den Zertifikaten hinzufügen. Nur wenn Sie Ihre Endzertifikate für die lokale Authentifizierung verwenden, sollten Sie sicherstellen, dass SIDs hinzugefügt werden. Die häufigsten Beispiele für diesen Anwendungsfall sind die Verwendung von Microsoft NPS oder die Verwendung von zertifikatbasierter Authentifizierung zur Anmeldung an lokalen VMs per RDP, um Passwörter zu vermeiden. ### Starkes Zertifikats-Mapping aktivieren Um die ADCS/KDC-Änderungen zu berücksichtigen, kann Microsoft Intune die SID in ausgestellte Zertifikate aufnehmen. Sie können die SID einschließen, indem Sie ein SAN vom Typ URI mit dem Wert "{{OnPremisesSecurityIdentifier}}" hinzufügen, und sie wird im Zertifikat wie folgt angezeigt: ``` URL=tag:microsoft.com,2022-09-14:sid: ``` Diese Änderung führt diese neue Funktion im Oktober/November 2024 für alle Microsoft Intune-Kunden ein. {% hint style="success" %} SCEPman ist für diese Änderung bereit. An SCEPman sind keine Änderungen erforderlich, nur an der Intune-Konfiguration. {% endhint %} Wenn Sie diese Funktion verwenden möchten, müssen Sie Ihre SCEP-Konfigurationsprofile in Intune gemäß den Microsoft-Anweisungen aktualisieren. Wir haben getestet, dass SCEPman dieses SAN-Format unterstützt, und es funktioniert mit allen SCEPman-Versionen. Alternativ können Sie mit SCEPman eine [SID-Erweiterung](https://docs.scepman.com/de/application-settings/certificates#appconfig-addsidextension) hinzufügen. So haben wir das KDC-Problem in [Juli 2023](https://docs.scepman.com/de/changelog#scepman-2.5.892) auf dieselbe Weise behoben, wie es das lokale ADCS tut. Daher benötigen SCEPman-Kunden das neue SAN-Feld nicht, insbesondere wenn sie bereits die SID-Erweiterung verwenden. SCEPman-Kunden können wählen, ob sie die SID-Erweiterung oder den SID-SAN-Wert verwenden möchten. Ersteres erfordert eine SCEPman-Konfigurationseinstellung, Letzteres erfordert eine Änderung an den SCEP-Konfigurationsprofilen, wie oben beschrieben.