Android
Stellen Sie Zertifikate über SCEP mithilfe von Intune und SCEPman auf Android-Geräten bereit.
Der folgende Artikel beschreibt, wie ein Geräte- oder Benutzerzertifikat für Android bereitgestellt wird. Die Bereitstellung von Android-Zertifikaten ähnelt den Zertifikatbereitstellungen für Windows 10, macOS und iOS.
Android bietet zwei unterschiedliche Lösungssätze: einer ist das Arbeitsprofil (bekannt als Personally-Owned Work Profile) und der andere ist das vollständig verwaltete Gerät (auch bekannt als Fully Managed, Dedicated, and Corporate-Owned Work Profile). In beiden Szenarien bleiben die Einstellungen für Zertifikatskonfigurationsprofile konsistent.
Das Android-Geräteadministrator-Management wurde in Android 2.2 als Möglichkeit zur Verwaltung von Android-Geräten eingeführt. Ab Android 5 wurde dann das modernere Verwaltungsframework von Android Enterprise veröffentlicht (für Geräte, die zuverlässig eine Verbindung zu Google Mobile Services herstellen können). Google fördert die Abkehr vom Geräteadministrator-Management, indem die Unterstützung dafür in neuen Android-Versionen reduziert wird. Weitere Informationen finden Sie unter MS. Intune Decreasing support for Android device admin
Root-Zertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten (Gerät oder Benutzer) ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA-Root-Zertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des denselben Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Betreffnamenformat: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Betreffs, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei unterschiedliche IDs an:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen). (Erfordert #AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject alternative name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte anhand ihrer Intune Device ID zu identifizieren:
Bei Bedarf können andere SAN-Werte wie DNS hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahr
Die verbleibende Zeit, bevor das Zertifikat abläuft. Standardmäßig ist ein Jahr festgelegt.
SCEPman begrenzt die Zertifikatsgültigkeit auf das konfigurierte Maximum in der Einstellung AppConfig:ValidityPeriodDays, verwendet ansonsten jedoch die in der Anforderung konfigurierte Gültigkeit.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
Root-Zertifikat: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus [Android](android.md#root-certificate).
Wenn Sie ein Intermediate CAverwenden, müssen Sie trotzdem das Profil „Trusted certificate“ für die Root CA auswählen, nicht die Intermediate CA!
Erweiterte Schlüsselverwendung: Client Authentication, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werteaus. Die anderen Felder werden automatisch ausgefüllt.
Erneuerungsschwellenwert (%): 20
Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit eines vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 20 % würde dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, die Erneuerung 73 Tage vor Ablauf zu starten.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von #Intune MDM
Beispiel
Beispiel
Benutzerzertifikate
Bitte befolgen Sie die Anweisungen von #Gerätezertifikate und beachten Sie die folgenden Unterschiede:
Betreffnamenformat: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft-DokumentenDokumenten aufgeführt. Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: [email protected]) als Grundeinstellung aufzunehmen.
Subject alternative name: (UPN)Wert: {{UserPrincipalName}}
Sie muss fügen den Benutzerdienstnamen als Subject Alternative Name hinzu. Fügen Sie '{{UserPrincipalName}}' als Subject Alternative Name vom Typ Benutzerprinzipalname (UPN) hinzu. Dadurch wird sichergestellt, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann.
Bei Bedarf können andere SAN-Werte wie eine E-Mail-Adresse hinzugefügt werden.
Es ist erforderlich, einen Subject alternative name im SCEP Certificate, User Typezu haben. Ohne SAN haben Sie keinen Zugriff auf das WLAN Ihres Unternehmens.
Beispiel
Zertifikatsprüfung
Um die korrekte Bereitstellung von Zertifikaten auf Ihrem Android-Gerät sicherzustellen, gibt es zwei Optionen:
In neueren Android-Versionen (z. B. 14) können Sie Zertifikate (Benutzer- und vertrauenswürdige Zertifikate) über die Einstellungen > Sicherheit und Datenschutz
Über Apps von Drittanbietern wie X509 Certificate Viewer Tool
Zuletzt aktualisiert
War das hilfreich?