# iOS/iPadOS

Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman Root Certificate ist obligatorisch. Anschließend können Sie wählen, ob nur Geräte-, nur Benutzer- oder sogar beide Zertifikatstypen bereitgestellt werden sollen.

{% hint style="warning" %}
Bitte beachten Sie, dass iOS und iPadOS zusätzlich zum eigentlichen SCEP-Zertifikatprofil für jedes Gerätekonfigurationsprofil, in dem ein SCEP-Profil referenziert wird, ein separates Clientauthentifizierungszertifikat bzw. separate Clientauthentifizierungszertifikate ausrollen. Siehe [hier](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}

## Root Certificate

Grundlage für die Bereitstellung von SCEP-Zertifikaten ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA Root-Zertifikat herunterladen und als ein **Trusted certificate** Profil über Microsoft Intune bereitstellen:

* [ ] Laden Sie das CA-Zertifikat aus dem SCEPman-Portal herunter:

![](/files/4e71e8b8a8bfea86c500fe3e3616685e0363a8bf)

* [ ] Erstellen Sie ein Profil für iOS/iPadOS mit Typ **Trusted certificate** in Microsoft Intune:

![](/files/2865532f99dd8a3d3ebcb74be57901505859e32d)

* [ ] Laden Sie Ihre zuvor heruntergeladene **.cer-Datei hoch**.
* [ ] Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe für die Zuweisung aus.

{% hint style="info" %}
Beachten Sie, dass Sie dieselbe **Gruppe für die Zuweisung** des **Trusted certificate** und **SCEP-Profils**verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
{% endhint %}

## Gerätezertifikate

* [ ] Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter **Intune MDM**:

![](/files/0746865de7ea02500be2064694e478e2548fee7b)

* [ ] Erstellen Sie ein Profil für iOS/iPadOS mit Typ **SCEP certificate** in Microsoft Intune:

![](/files/a292a67076a0ca9e345e544d20f68272d0139ed8)

* [ ] Konfigurieren Sie das Profil wie beschrieben:

<details>

<summary>Zertifikatstyp: <code>Gerät</code></summary>

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

</details>

<details>

<summary>Format des Subject-Namens: <code>CN={{DeviceId}}</code> oder <code>CN={{AAD_Device_ID}}</code></summary>

SCEPman verwendet das CN-Feld des Subjects, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei unterschiedliche IDs an:

* {{DeviceId}}: Diese ID wird von Intune generiert und verwendet **(Empfohlen)**\
  \
  (erfordert [Intune-Validierung](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) auf **Intune** oder **AADAndIntune**)
* {{AAD\_Device\_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.\
  \
  (Hinweis: Bei Verwendung der automatisierten Geräteregistrierung über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. In diesem Fall kann SCEPman das Gerät danach möglicherweise nicht mehr identifizieren. Das Zertifikat würde in diesem Fall ungültig werden.)

Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Unterstützte Variablen sind in den [Microsoft docs](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

</details>

<details>

<summary>Subject alternative name: <code>URI</code> Wert:<code>IntuneDeviceId://{{DeviceId}}</code></summary>

Das URI-Feld wird [von Microsoft empfohlen](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) um NAC-Lösungen zu ermöglichen, die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

</details>

<details>

<summary>Gültigkeitsdauer des Zertifikats: <code>1 Jahre</code></summary>

<mark style="color:orange;">**Wichtig:**</mark> <mark style="color:orange;">iOS/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass</mark> [Zertifikate](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-validityperioddays) <mark style="color:orange;">auf einen festen Wert gesetzt wird. Wir empfehlen 2 Jahre, daher müssen Sie diese Variable in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung für die Gültigkeitsdauer des Zertifikats jedoch auf 1 Jahr belassen, da Intune sie ohnehin ignoriert.</mark>\
\
**W**<mark style="color:orange;">**ichtig:**</mark> <mark style="color:orange;">Beachten Sie außerdem, dass</mark> <mark style="color:orange;">**Zertifikate auf iOS/iPadOS nur erneuert werden**</mark> <mark style="color:orange;">von Intune, wenn das Gerät</mark> <mark style="color:orange;">**entsperrt, online, synchronisiert und innerhalb des Erneuerungsschwellenwerts ist**</mark><mark style="color:orange;">. Wenn Zertifikate abgelaufen sind (z. B. weil das Gerät lange offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.</mark>

</details>

<details>

<summary>Schlüsselverwendung: <code>Digitale Signatur</code> und <code>Schlüsselverschlüsselung</code></summary>

Bitte aktivieren Sie beide kryptografischen Aktionen.

</details>

<details>

<summary>Schlüsselgröße (Bits): <code>2048</code></summary>

SCEPman unterstützt 2048 Bit.

</details>

<details>

<summary>Root Certificate: <code>Profil aus dem vorherigen Schritt</code></summary>

Bitte wählen Sie das Intune-Profil aus [#root-certificate](#root-certificate "mention").

</details>

<details>

<summary>Erweiterte Schlüsselverwendung: <code>Client Authentication, 1.3.6.1.5.5.7.3.2</code></summary>

Bitte wählen Sie **Client Authentication (1.3.6.1.5.5.7.3.2)** unter **Vordefinierte Werte**. Die anderen Felder werden automatisch ausgefüllt.

<mark style="color:orange;">**Wichtig:**</mark> <mark style="color:orange;">iOS/iPadOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als</mark> <mark style="color:orange;">`Client Authentication`</mark> <mark style="color:orange;">. Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.</mark>

</details>

<details>

<summary>Erneuerungsschwellenwert (%): <code>50</code></summary>

Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter **Gültigkeitsdauer des Zertifikats** und wählen Sie einen geeigneten Wert aus, der dem Gerät erlaubt, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es einem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, die Erneuerung 182 Tage vor Ablauf zu beginnen.

</details>

<details>

<summary>SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von <a href="#device-certificates"><strong>Intune MDM</strong></a></summary>

**Beispiel**

```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```

</details>

{% hint style="info" %}
Mit unseren angegebenen Einstellungen erfüllen wir [Apples Zertifikatsanforderungen](https://support.apple.com/en-us/HT210176).
{% endhint %}

### Beispiel

![](/files/9cbcf5c8b77841d79780f717379618fd0188c854)

* [ ] Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie für die Zuweisung dieselbe(n) Gruppe(n) wie für das Trusted certificate-Profil aus.

## Benutzerzertifikate

Bitte folgen Sie den Anweisungen von [#device-certificates](#device-certificates "mention") und beachten Sie die folgenden Unterschiede:

<details>

<summary>Zertifikatstyp: <code>Benutzer</code></summary>

In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

</details>

<details>

<summary>Format des Subject-Namens: <code>CN={{UserName}},E={{EmailAddress}}</code></summary>

Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den [Microsoft docs](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. <janedoe@contoso.com>) als Grundeinstellung einzubeziehen.

</details>

<details>

<summary>Subject alternative name: <code>UPN</code> Wert: <code>{{UserPrincipalName}}</code></summary>

SCEPman verwendet den UPN im SAN, um den Benutzer zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer (z. B. <janedoe@contoso.com>).\
\
Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.

</details>

{% hint style="info" %}
Mit unseren angegebenen Einstellungen erfüllen wir [Apples Zertifikatsanforderungen](https://support.apple.com/en-us/HT210176)
{% endhint %}

### Beispiel

![](/files/383262e07484aff1475fe622701d7dc90f8a52d5)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/ios.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.