Android

Stellen Sie Zertifikate für Android-Geräte über SCEP mit Intune und SCEPman bereit.

Der folgende Artikel beschreibt, wie ein Geräte- oder Benutzerzertifikat für Android bereitgestellt wird. Die Bereitstellung von Zertifikaten für Android ähnelt der Bereitstellung unter Windows 10, macOS und iOS.

Android bietet zwei verschiedene Lösungssätze: einer ist das Arbeitsprofil (bekannt als Privat genutztes Arbeitsprofil) und der andere ist das vollständig verwaltete Gerät (ebenfalls bekannt als Vollständig verwaltet, Dediziert und Firmenverwaltetes Arbeitsprofil). In beiden Szenarien bleiben die Einstellungen für Konfigurationsprofile zur Zertifikatkonfiguration konsistent.

Die Verwaltung von Android-Geräteadministratoren wurde in Android 2.2 eingeführt, um Android-Geräte zu verwalten. Ab Android 5 wurde dann das modernere Verwaltungsframework Android Enterprise veröffentlicht (für Geräte, die zuverlässig mit Google Mobile Services verbinden können). Google fordert die Umstellung von der Verwaltung über Geräteadministratoren, indem die Verwaltungsunterstützung in neuen Android-Versionen verringert wird. Für weitere Informationen prüfen Sie bitte MS. Intune Verringerung der Unterstützung für Android-Geräteadmin

Stammzertifikat

Die Grundlage für die Bereitstellung von SCEP-Zertifikaten (Gerät oder Benutzer) ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:

Laden Sie das CA-Zertifikat vom SCEPman-Portal herunter

Erstellen Sie ein Profil für Android Enterprise mit dem Typ Vertrauenswürdiges Zertifikat in Microsoft Intune (basierend auf Ihrer Einschreibungsoption für Android-Geräte)

Laden Sie Ihre zuvor heruntergeladene .cer-Datei.
Nun können Sie dieses Profil auf Ihre Geräte bereitstellen. Bitte wählen Sie Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe für die Zuweisung.

Beachten Sie, dass Sie die gleiche Gruppe für die Zuweisung verwenden müssen das Vertrauenswürdiges Zertifikat und SCEP-Profil. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

Gerätezertifikate

Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von

Erstellen Sie ein Profil für Android Enterprise mit dem Typ SCEP-Zertifikat in Microsoft Intune (wiederum basierend auf Ihrer Einschreibungsoption für die Android-Geräte)

Konfigurieren Sie das Profil wie beschrieben

Zertifikatstyp: Gerät

In diesem Abschnitt richten wir ein Gerätzertifikat ein.

Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}

SCEPman verwendet das CN-Feld des Subjekts, um das Gerät zu identifizieren und als Ausgangswert für die Generierung der Zertifikat-Seriennummer zu dienen. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:

{{DeviceId}}: Diese ID wird von Intune erzeugt und verwendet (Empfohlen). (Erfordert SCEPman 2.0 oder höher und #AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) erzeugt und verwendet.

Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.

Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}

IntuneDeviceId://{{DeviceId}}

Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte basierend auf ihrer Intune-Geräte-ID zu identifizieren:

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

Gültigkeitsdauer des Zertifikats: 1 Jahr

Die verbleibende Zeit bis zum Ablauf des Zertifikats. Standardmäßig ist ein Jahr eingestellt.

SCEPman begrenzt die Zertifikatsgültigkeit auf den in der Einstellung konfigurierten Maximalwert AppConfig:ValidityPeriodDays, verwendet ansonsten jedoch die im Request konfigurierte Gültigkeit.

Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung

Bitte aktivieren Sie beide kryptografischen Aktionen.

gesetzt ist 4096

SCEPman unterstützt 4096 Bit.

SCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritt

Bitte wählen Sie das Intune-Profil aus [Android](android.md#root-certificate).

Wenn Sie ein . Wenn Sie eineverwenden, müssen Sie dennoch das Vertrauenswürdiges Zertifikat-Profil für Root-CA auswählen, nicht die Zwischen-CA!

Schlüsselverwendung: nur Erweiterte Schlüsselnutzung:

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

. Die anderen Felder werden automatisch ausgefüllt. 20

Erneuerungsschwelle (%): Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Gültigkeitsdauer des Zertifikats

und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. #Intune MDM

Intune MDM

Beispiel

Intune MDM

Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

Benutzerzertifikate Bitte folgen Sie den Anweisungen unter #Gerätezertifikate

Zertifikatstyp: und beachten Sie die folgenden Unterschiede:

Benutzer

Format des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

CN={{UserName}},E={{EmailAddress}} Microsoft-DokumentenSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den

Subject Alternative Name:

. Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: [email protected]) als Basiseinstellung aufzunehmen.

Wert: (UPN)

Sie muss fügen den Benutzernamen (User Principal Name) als Subject Alternative Name hinzu. Sie müssen den User Principal Name als Subject Alternative Name hinzufügen. Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann.

Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann. Die Einstellung für 'Format des Subject-Namens' ist frei wählbar.

Es ist erforderlich, ein und beachten Sie die folgenden Unterschiede und Hinweise: im SCEP-Zertifikat, Benutzertyp. Ohne ein SAN haben Sie keinen Zugang zum WLAN Ihres Unternehmens.

Intune MDM

Zertifikatsprüfung

Um die korrekte Bereitstellung von Zertifikaten auf Ihrem Android-Gerät sicherzustellen, gibt es zwei Optionen:

In neueren Android-Versionen (z. B. 14) können Sie Zertifikate (Benutzer- und vertrauenswürdige Zertifikate) über die Einstellungen > Sicherheit und Datenschutz
Über Drittanbieter-Apps wie X509 Certificate Viewer Tool

Zuletzt aktualisiert vor 6 Monaten

War das hilfreich?

Guten Tag

hashtagStammzertifikat

hashtagGerätezertifikate

hashtagIntune MDM

hashtagNun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

hashtagIntune MDM

hashtagZertifikatsprüfung

Stammzertifikat

Gerätezertifikate

Intune MDM

Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

Intune MDM

Zertifikatsprüfung