iOS/iPadOS
Zertifikate über SCEP in Intune mit SCEPman auf iOS- und iPadOS-Geräte bereitstellen.
Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman Root Certificate ist verpflichtend. Danach können Sie wählen, ob nur das Geräte-, nur das Benutzer- oder sogar beide Zertifikatstypen bereitgestellt werden sollen.
Bitte beachten Sie, dass iOS und iPadOS zusätzlich zum eigentlichen SCEP-Zertifikatsprofil für jedes Geräte-Konfigurationsprofil, in dem auf ein SCEP-Profil verwiesen wird, ein separates Clientauthentifizierungszertifikat bzw. separate Clientauthentifizierungszertifikate registrieren. Siehe hier
Root-Zertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten ist, dem Root-Zertifikat von SCEPman zu vertrauen. Daher müssen Sie das CA-Root-Zertifikat herunterladen und als ein Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung dieselbe Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Betreffs, um das Gerät zu identifizieren und als Seed für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen) (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet. (Hinweis: Bei Verwendung von Automated Device Enrollment über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. In diesem Fall kann SCEPman das Gerät danach möglicherweise nicht mehr identifizieren. Das Zertifikat wäre in diesem Fall ungültig.)
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte anhand ihrer Intune Device ID zu identifizieren.
Weitere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahre
Wichtig: iOS/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert konfigurieren. Wir empfehlen 2 Jahre, daher müssen Sie diesen Wert in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung für die Zertifikatsgültigkeit jedoch bei 1 Jahr belassen, da Intune sie ohnehin ignoriert. Wichtig: Beachten Sie außerdem, dass Zertifikate auf iOS/iPadOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert und innerhalb des Gültigkeitsbereichs des Erneuerungsschwellenwerts ist. Wenn Zertifikate abgelaufen sind (z. B.: das Gerät war lange Zeit offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.
Key usage: Digitale Signatur und Schlüsselaustausch
Bitte aktivieren Sie beide kryptografischen Aktionen.
Root-Zertifikat: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus iOS/iPadOS.
Extended key usage: Client Authentication, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werte. Die anderen Felder werden automatisch ausgefüllt.
Wichtig: iOS/iPadOS-Geräte unterstützen keine Extended Key Usages (EKUs) außer Client Authentication . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.
Erneuerungsschwelle (%): 50
Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen längeren Zeitraum zu erneuern. Ein Wert von 50 % würde es dem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, die Erneuerung 182 Tage vor Ablauf zu starten.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDM
Beispiel
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen.
Beispiel
Benutzerzertifikate
Bitte befolgen Sie die Anweisungen unter iOS/iPadOS und beachten Sie die folgenden Unterschiede:
Format des Subject-Namens: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft-Dokumenten. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. [email protected]) als Grundeinstellung aufzunehmen.
Subject Alternative Name: UPN Wert: {{UserPrincipalName}}
SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren, und als Seed für die Generierung der Zertifikatsseriennummer (z. B.: [email protected]). Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen
Beispiel
Zuletzt aktualisiert
War das hilfreich?