Android
Zertifikate über SCEP mit Intune und SCEPman auf Android-Geräte bereitstellen.
Der folgende Artikel beschreibt, wie ein Geräte- oder Benutzerzertifikat für Android bereitgestellt wird. Die Bereitstellung von Android-Zertifikaten ähnelt den Zertifikatbereitstellungen für Windows 10, macOS und iOS.
Android bietet zwei unterschiedliche Lösungssets: eines ist das Arbeitsprofil (bekannt als Persönlich genutztes Arbeitsprofil) und das andere ist das vollständig verwaltete Gerät (auch bekannt als Vollständig verwaltet, dediziert und unternehmenseigenes Arbeitsprofil). In beiden Szenarien bleiben die Einstellungen für Zertifikatskonfigurationsprofile unverändert.
Das Management von Android-Geräteadministratoren wurde in Android 2.2 als Möglichkeit zur Verwaltung von Android-Geräten eingeführt. Ab Android 5 wurde dann das modernere Verwaltungsframework von Android Enterprise eingeführt (für Geräte, die zuverlässig eine Verbindung zu Google Mobile Services herstellen können). Google fördert die Abkehr vom Geräteadministrator-Management, indem die Verwaltungsunterstützung in neuen Android-Versionen reduziert wird. Weitere Informationen finden Sie bitte unter MS. Intune Verringerung der Unterstützung für Android-Geräteadministrator
Root-Zertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten (Gerät oder Benutzer) besteht darin, dem Stammzertifikat von SCEPman zu vertrauen. Daher müssen Sie das CA-Stammzertifikat herunterladen und als ein Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie die gleiche Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Betreffs, um das Gerät zu identifizieren und als Ausgangswert für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen). (Erfordert SCEPman 2.0 oder höher und #AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren:
Weitere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahre
Die verbleibende Zeit, bevor das Zertifikat abläuft. Standardmäßig ist ein Jahr festgelegt.
SCEPman begrenzt die Zertifikatsgültigkeit auf das konfigurierte Maximum in der Einstellung AppConfig:ValidityPeriodDays, verwendet andernfalls aber die in der Anforderung konfigurierte Gültigkeit.
Key usage: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
Root-Zertifikat: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus [Android](android.md#root-certificate).
Wenn Sie ein Zwischen-CAverwenden, müssen Sie weiterhin das Profil für das vertrauenswürdige Zertifikat für die Stamm-CA auswählen, nicht für die Zwischen-CA!
Extended key usage: Client Authentication, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werte. Die anderen Felder werden automatisch ausgefüllt.
Erneuerungsschwelle (%): 20
Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert, der dem Gerät erlaubt, das Zertifikat über einen längeren Zeitraum zu erneuern. Ein Wert von 20 % würde dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von #Intune MDM
Beispiel
Beispiel
Benutzerzertifikate
Bitte befolgen Sie die Anweisungen unter #Device certificates und beachten Sie die folgenden Unterschiede:
Format des Subject-Namens: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft-Dokumenten. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. [email protected]) als Grundeinstellung aufzunehmen.
Subject Alternative Name: (UPN)Wert: {{UserPrincipalName}}
Sie muss fügen den Benutzerprinzipalnamen als alternativen Betreffnamen hinzu. Fügen Sie '{{UserPrincipalName}}' als Subject Alternative Name vom Typ Benutzerprinzipalname (UPN) hinzu. Dadurch kann SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen.
Weitere SAN-Werte wie eine E-Mail-Adresse können bei Bedarf hinzugefügt werden.
Es ist erforderlich, ein Subject Alternative Name im SCEP-Zertifikat, Benutzertypzu haben. Ohne SAN haben Sie keinen Zugriff auf das WLAN Ihres Unternehmens.
Beispiel
Zertifikatsprüfung
Um die korrekte Bereitstellung von Zertifikaten auf Ihrem Android-Gerät sicherzustellen, gibt es zwei Möglichkeiten:
In neueren Android-Versionen (z. B. 14) können Sie Zertifikate (Benutzer- und vertrauenswürdige Zertifikate) über die Einstellungen > Sicherheit und Datenschutz
Über Drittanbieter-Apps wie X509 Certificate Viewer Tool
Zuletzt aktualisiert
War das hilfreich?