iOS/iPadOS

Stellen Sie Zertifikate über SCEP in Intune unter Verwendung von SCEPman auf iOS- und iPadOS-Geräten bereit.

Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman Root Certificate ist obligatorisch. Anschließend können Sie wählen, ob nur Geräte-, nur Benutzer- oder sogar beide Zertifikatstypen bereitgestellt werden sollen.

circle-exclamation

Root Certificate

Grundlage für die Bereitstellung von SCEP-Zertifikaten ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA Root-Zertifikat herunterladen und als ein Trusted certificate Profil über Microsoft Intune bereitstellen:

circle-info

Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des Trusted certificate und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

Gerätezertifikate

chevron-rightZertifikatstyp: Geräthashtag

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

chevron-rightFormat des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}hashtag

SCEPman verwendet das CN-Feld des Subjects, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei unterschiedliche IDs an:

  • {{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen) (erfordert AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

  • {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet. (Hinweis: Bei Verwendung der automatisierten Geräteregistrierung über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. In diesem Fall kann SCEPman das Gerät danach möglicherweise nicht mehr identifizieren. Das Zertifikat würde in diesem Fall ungültig werden.)

Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft docsarrow-up-right.

chevron-rightSubject alternative name: URI Wert:IntuneDeviceId://{{DeviceId}}hashtag

Das URI-Feld wird von Microsoft empfohlenarrow-up-right um NAC-Lösungen zu ermöglichen, die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

chevron-rightGültigkeitsdauer des Zertifikats: 1 Jahrehashtag

Wichtig: iOS/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass AppConfig:ValidityPeriodDays auf einen festen Wert gesetzt wird. Wir empfehlen 2 Jahre, daher müssen Sie diese Variable in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung für die Gültigkeitsdauer des Zertifikats jedoch auf 1 Jahr belassen, da Intune sie ohnehin ignoriert. Wichtig: Beachten Sie außerdem, dass Zertifikate auf iOS/iPadOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert und innerhalb des Erneuerungsschwellenwerts ist. Wenn Zertifikate abgelaufen sind (z. B. weil das Gerät lange offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

chevron-rightSchlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselunghashtag

Bitte aktivieren Sie beide kryptografischen Aktionen.

chevron-rightSchlüsselgröße (Bits): 2048hashtag

SCEPman unterstützt 2048 Bit.

chevron-rightRoot Certificate: Profil aus dem vorherigen Schritthashtag

Bitte wählen Sie das Intune-Profil aus Root Certificate.

chevron-rightErweiterte Schlüsselverwendung: Client Authentication, 1.3.6.1.5.5.7.3.2hashtag

Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werte. Die anderen Felder werden automatisch ausgefüllt.

Wichtig: iOS/iPadOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client Authentication . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

chevron-rightErneuerungsschwellenwert (%): 50hashtag

Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert aus, der dem Gerät erlaubt, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es einem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, die Erneuerung 182 Tage vor Ablauf zu beginnen.

chevron-rightSCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDMhashtag

Beispiel

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right.

Beispiel

Benutzerzertifikate

Bitte folgen Sie den Anweisungen von iOS/iPadOS und beachten Sie die folgenden Unterschiede:

chevron-rightZertifikatstyp: Benutzerhashtag

In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

chevron-rightFormat des Subject-Namens: CN={{UserName}},E={{EmailAddress}}hashtag

Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft docsarrow-up-right. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. [email protected]) als Grundeinstellung einzubeziehen.

chevron-rightSubject alternative name: UPN Wert: {{UserPrincipalName}}hashtag

SCEPman verwendet den UPN im SAN, um den Benutzer zu identifizieren, und als Ausgangswert für die Generierung der Zertifikats-Seriennummer (z. B. [email protected]). Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right

Beispiel

Zuletzt aktualisiert

War das hilfreich?