# Android

Der folgende Artikel beschreibt, wie ein Geräte- oder Benutzerzertifikat für Android bereitgestellt wird. Die Bereitstellung von Android-Zertifikaten ähnelt den Zertifikatbereitstellungen für Windows 10, macOS und iOS.

{% hint style="info" %}
Android bietet zwei unterschiedliche Lösungssätze: einer ist das [Arbeitsprofil](https://developers.google.com/android/work/requirements/work-profile) (bekannt als *Personally-Owned Work Profile)* und der andere ist das [vollständig verwaltete Gerät](https://developers.google.com/android/work/requirements/fully-managed-device) (auch bekannt als *Fully Managed, Dedicated, and Corporate-Owned Work Profile*). In beiden Szenarien bleiben die Einstellungen für Zertifikatskonfigurationsprofile konsistent.
{% endhint %}

{% hint style="info" %}
Das Android-Geräteadministrator-Management wurde in Android 2.2 als Möglichkeit zur Verwaltung von Android-Geräten eingeführt. Ab Android 5 wurde dann das modernere Verwaltungsframework von Android Enterprise veröffentlicht (für Geräte, die zuverlässig eine Verbindung zu Google Mobile Services herstellen können). **Google fördert die Abkehr vom Geräteadministrator-Management, indem die Unterstützung dafür in neuen Android-Versionen reduziert wird**. Weitere Informationen finden Sie unter [MS. Intune Decreasing support for Android device admin](https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935)
{% endhint %}

## Root-Zertifikat

Die Grundlage für die Bereitstellung von SCEP-Zertifikaten (Gerät oder Benutzer) ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA-Root-Zertifikat herunterladen und als **Vertrauenswürdiges Zertifikat** Profil über Microsoft Intune bereitstellen:

* [ ] Laden Sie das CA-Zertifikat aus dem SCEPman-Portal herunter

![](/files/4e71e8b8a8bfea86c500fe3e3616685e0363a8bf)

* [ ] Erstellen Sie ein Profil für Android Enterprise mit dem Typ **Vertrauenswürdiges Zertifikat** in Microsoft Intune (basierend auf Ihrer Enrollment-Option für Android-Geräte)

<figure><img src="/files/bd2761fca27c37e37cca73d1280e9f5e04fb18cf" alt=""><figcaption></figcaption></figure>

* [ ] Laden Sie Ihre zuvor heruntergeladene **.cer-Datei**.
* [ ] Jetzt können Sie dieses Profil für Ihre Geräte bereitstellen. Bitte wählen Sie Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe für die Zuweisung aus.

{% hint style="info" %}
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des **denselben Gruppe für die Zuweisung** des **Vertrauenswürdiges Zertifikat** und **SCEP-Profils**verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
{% endhint %}

## Gerätezertifikate

* [ ] Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter **Intune MDM**

<figure><img src="/files/bf16fdaa41c2df9b7e767f7ac24cbbc51de986e0" alt=""><figcaption></figcaption></figure>

* [ ] Erstellen Sie ein Profil für Android Enterprise mit dem Typ **SCEP-Zertifikat** in Microsoft Intune (wiederum basierend auf Ihrer Enrollment-Option für die Android-Geräte)

<figure><img src="/files/64c9467e1fa8d5b752026f715f65785411260f8f" alt=""><figcaption></figcaption></figure>

* [ ] Konfigurieren Sie das Profil wie beschrieben

<details>

<summary>Zertifikattyp: <code>Gerät</code></summary>

In diesem Abschnitt richten wir ein Geräte-Zertifikat ein.

</details>

<details>

<summary>Betreffnamenformat: <code>CN={{DeviceId}}</code> oder <code>CN={{AAD_Device_ID}}</code></summary>

SCEPman verwendet das CN-Feld des Betreffs, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei unterschiedliche IDs an:

* {{DeviceId}}: Diese ID wird von Intune generiert und verwendet **(Empfohlen).** (Erfordert [#AppConfig:IntuneValidation:DeviceDirectory](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) auf **Intune** oder **AADAndIntune**
* {{AAD\_Device\_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

</details>

<details>

<summary>Subject alternative name: <code>URI</code> Wert:<code>IntuneDeviceId://{{DeviceId}}</code></summary>

```
IntuneDeviceId://{{DeviceId}}
```

Das URI-Feld wird [von Microsoft empfohlen](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) für NAC-Lösungen, um die Geräte anhand ihrer Intune Device ID zu identifizieren:

Bei Bedarf können andere SAN-Werte wie DNS hinzugefügt werden.

</details>

<details>

<summary>Gültigkeitsdauer des Zertifikats: <code>1 Jahr</code></summary>

Die verbleibende Zeit, bevor das Zertifikat abläuft. Standardmäßig ist ein Jahr festgelegt.

SCEPman begrenzt die Zertifikatsgültigkeit auf das konfigurierte Maximum in der Einstellung [***AppConfig:ValidityPeriodDays***](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-validityperioddays), verwendet ansonsten jedoch die in der Anforderung konfigurierte Gültigkeit.

</details>

<details>

<summary>Schlüsselverwendung: <code>Digitale Signatur</code> und <code>Schlüsselverschlüsselung</code></summary>

Bitte aktivieren Sie beide kryptografischen Aktionen.

</details>

<details>

<summary>Schlüssellänge (Bits): <code>4096</code></summary>

SCEPman unterstützt 4096 Bit.

</details>

<details>

<summary>Root-Zertifikat: <code>Profil aus dem vorherigen Schritt</code></summary>

Bitte wählen Sie das Intune-Profil aus \[[#root-certificate](#root-certificate "mention")]\(android.md#root-certificate).

Wenn Sie ein [Intermediate CA](/de/scepman-bereitstellung/intermediate-certificate.md)verwenden, müssen Sie trotzdem das Profil „Trusted certificate“ für die Root CA auswählen, nicht die Intermediate CA!

</details>

<details>

<summary>Erweiterte Schlüsselverwendung: <code>Client Authentication, 1.3.6.1.5.5.7.3.2</code></summary>

Bitte wählen Sie **Client Authentication (1.3.6.1.5.5.7.3.2)** unter **Vordefinierte Werte**aus. Die anderen Felder werden automatisch ausgefüllt.

</details>

<details>

<summary>Erneuerungsschwellenwert (%): <code>20</code></summary>

Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit eines vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter **Gültigkeitsdauer des Zertifikats** und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 20 % würde dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, die Erneuerung 73 Tage vor Ablauf zu starten.

</details>

<details>

<summary>SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von <a href="#device-certificates">#Intune MDM</a></summary>

**Beispiel**

```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```

</details>

### **Beispiel**

<figure><img src="/files/274169ee0a241068f1c97a0248f8e16200f1b5de" alt=""><figcaption></figcaption></figure>

## Benutzerzertifikate

Bitte befolgen Sie die Anweisungen von [#Gerätezertifikate](#device-certificates) und beachten Sie die folgenden Unterschiede:

<details>

<summary>Zertifikattyp: <code>Benutzer</code></summary>

In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

</details>

<details>

<summary>Betreffnamenformat: <code>CN={{UserName}},E={{EmailAddress}}</code></summary>

Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)Dokumenten aufgeführt. Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: <janedoe@contoso.com>) als Grundeinstellung aufzunehmen.

</details>

<details>

<summary>Subject alternative name: <code>(UPN)</code>Wert: <code>{{UserPrincipalName}}</code></summary>

Sie **muss** fügen den Benutzerdienstnamen als Subject Alternative Name hinzu. **Fügen Sie '{{UserPrincipalName}}' als Subject Alternative Name vom Typ Benutzerprinzipalname (UPN) hinzu.** Dadurch wird sichergestellt, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann.

Bei Bedarf können andere SAN-Werte wie eine E-Mail-Adresse hinzugefügt werden.

</details>

{% hint style="info" %}
Es ist erforderlich, einen **Subject alternative name** im **SCEP Certificate, User Type**zu haben. Ohne SAN haben Sie keinen Zugriff auf das WLAN Ihres Unternehmens.
{% endhint %}

### **Beispiel**

<figure><img src="/files/93d5811677be7273fcab0f7329d7409015cafe0c" alt=""><figcaption></figcaption></figure>

## Zertifikatsprüfung

Um die korrekte Bereitstellung von Zertifikaten auf Ihrem Android-Gerät sicherzustellen, gibt es zwei Optionen:

* In neueren Android-Versionen (z. B. 14) können Sie Zertifikate (Benutzer- und vertrauenswürdige Zertifikate) über die **Einstellungen** > **Sicherheit und Datenschutz**
* Über Apps von Drittanbietern wie [X509 Certificate Viewer Tool](https://play.google.com/store/apps/details?id=com.rdupletlabs.certificateviewer)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/android.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.