circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

iOS/iPadOS

Stellen Sie Zertifikate für iOS- und iPadOS-Geräte über SCEP in Intune mit SCEPman bereit.

Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman-Root-Zertifikats ist obligatorisch. Danach können Sie wählen, ob nur das Geräte-, das Benutzer- oder beide Zertifikatstypen bereitgestellt werden.

circle-exclamation

Bitte beachten Sie, dass iOS und iPadOS zusätzlich zum eigentlichen SCEP‑Zertifikatprofil für jedes Geräte-Konfigurationsprofil, in dem ein SCEP‑Profil referenziert wird, ein separates Client-Authentifizierungszertifikat/ges eintragen. Siehe Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Infoarrow-up-right

hashtag
Stammzertifikat

Die Grundlage für das Ausrollen von SCEP-Zertifikaten ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:

circle-info

Beachten Sie, dass Sie das gleiche Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

hashtag
Gerätezertifikate

chevron-rightZertifikatstyp: Geräthashtag

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

chevron-rightFormat des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}hashtag

SCEPman verwendet das CN-Feld des Subject, um das Gerät zu identifizieren und als Seed für die Erzeugung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:

  • {{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen) (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

  • {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet. (Hinweis: Bei Verwendung der automatisierten Geräteanmeldung über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. Falls dies passiert, kann SCEPman das Gerät anschließend möglicherweise nicht mehr identifizieren. In diesem Fall würde das Zertifikat ungültig werden.)

Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumentenarrow-up-right.

chevron-rightSubject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}hashtag

Das URI-Feld wird von Microsoft empfohlenarrow-up-right für NAC-Lösungen, um die Geräte basierend auf ihrer Intune-Geräte-ID zu identifizieren.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

chevron-rightGültigkeitsdauer des Zertifikats: 1 Jahrhashtag

Wichtig: iOS-/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert konfigurieren. Wir empfehlen 2 Jahre, daher müssen Sie diese Variable in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung der Zertifikatsgültigkeitsdauer jedoch auf 1 Jahr belassen, da Intune sie ohnehin ignoriert. Wichtig: Beachten Sie außerdem, dass Zertifikate auf iOS/iPadOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert ist und im Bereich der Erneuerungsschwelle liegt. Wenn Zertifikate abgelaufen sind (z. B.: Gerät war längere Zeit offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

chevron-rightSchlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselunghashtag

Bitte aktivieren Sie beide kryptografischen Aktionen.

chevron-rightgesetzt ist 2048hashtag

Schlüssellänge (Bits):

chevron-rightSCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritthashtag

Profil aus dem vorherigen Schritt (Root certificate Profile) iOS/iPadOS.

chevron-rightSchlüsselverwendung: nur Erweiterte Schlüsselnutzung:hashtag

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

Wichtig: iOS-/iPadOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client-Authentifizierung . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

chevron-right. Die anderen Felder werden automatisch ausgefüllt. 50hashtag

Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter und wählen Sie einen geeigneten Wert, der dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde dem Gerät bei einem ein Jahr gültigen Zertifikat erlauben, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.

chevron-rightund wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL vonhashtag

Intune MDM

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right.

hashtag
Intune MDM

hashtag
Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

Benutzerzertifikate iOS/iPadOS #Gerätezertifikate

chevron-rightZertifikatstyp: und beachten Sie die folgenden Unterschiede:hashtag

Benutzer

chevron-rightFormat des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.hashtag

CN={{UserName}},E={{EmailAddress}} Microsoft-Dokumentenarrow-up-rightSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den

chevron-rightSubject Alternative Name: UPN Wert: (UPN)hashtag

SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren und als Seed für die Erzeugung der Zertifikatsseriennummer (z. B.: [email protected]). Andere SAN-Werte wie E-Mail-Adresse können bei Bedarf hinzugefügt werden.

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right

hashtag
Intune MDM

Zuletzt aktualisiert

War das hilfreich?