iOS/iPadOS
Stellen Sie Zertifikate über SCEP in Intune unter Verwendung von SCEPman auf iOS- und iPadOS-Geräten bereit.
Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman Root Certificate ist obligatorisch. Anschließend können Sie wählen, ob nur Geräte-, nur Benutzer- oder sogar beide Zertifikatstypen bereitgestellt werden sollen.
Bitte beachten Sie, dass iOS und iPadOS zusätzlich zum eigentlichen SCEP-Zertifikatprofil für jedes Gerätekonfigurationsprofil, in dem ein SCEP-Profil referenziert wird, ein separates Clientauthentifizierungszertifikat bzw. separate Clientauthentifizierungszertifikate ausrollen. Siehe hier
Root Certificate
Grundlage für die Bereitstellung von SCEP-Zertifikaten ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA Root-Zertifikat herunterladen und als ein Trusted certificate Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des Trusted certificate und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Subjects, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei unterschiedliche IDs an:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen) (erfordert AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet. (Hinweis: Bei Verwendung der automatisierten Geräteregistrierung über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. In diesem Fall kann SCEPman das Gerät danach möglicherweise nicht mehr identifizieren. Das Zertifikat würde in diesem Fall ungültig werden.)
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft docs.
Subject alternative name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen um NAC-Lösungen zu ermöglichen, die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.
Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahre
Wichtig: iOS/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass AppConfig:ValidityPeriodDays auf einen festen Wert gesetzt wird. Wir empfehlen 2 Jahre, daher müssen Sie diese Variable in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung für die Gültigkeitsdauer des Zertifikats jedoch auf 1 Jahr belassen, da Intune sie ohnehin ignoriert. Wichtig: Beachten Sie außerdem, dass Zertifikate auf iOS/iPadOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert und innerhalb des Erneuerungsschwellenwerts ist. Wenn Zertifikate abgelaufen sind (z. B. weil das Gerät lange offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
Root Certificate: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus Root Certificate.
Erweiterte Schlüsselverwendung: Client Authentication, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werte. Die anderen Felder werden automatisch ausgefüllt.
Wichtig: iOS/iPadOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client Authentication . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.
Erneuerungsschwellenwert (%): 50
Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert aus, der dem Gerät erlaubt, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es einem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, die Erneuerung 182 Tage vor Ablauf zu beginnen.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDM
Beispiel
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen.
Beispiel
Benutzerzertifikate
Bitte folgen Sie den Anweisungen von iOS/iPadOS und beachten Sie die folgenden Unterschiede:
Format des Subject-Namens: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft docs. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. [email protected]) als Grundeinstellung einzubeziehen.
Subject alternative name: UPN Wert: {{UserPrincipalName}}
SCEPman verwendet den UPN im SAN, um den Benutzer zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer (z. B. [email protected]). Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen
Beispiel
Zuletzt aktualisiert
War das hilfreich?