# macOS
Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für macOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman-Root-Zertifikats ist obligatorisch. Danach können Sie zwischen der Bereitstellung nur von Geräte-, nur von Benutzer- oder sogar von beiden Zertifikatstypen wählen.
{% hint style="warning" %}
Bitte beachten Sie, dass macOS zusätzlich zum eigentlichen SCEP-Zertifikatsprofil für jedes Gerätekonfigurationsprofil, in dem auf ein SCEP-Profil verwiesen wird, ein separates Clientauthentifizierungszertifikat bzw. separate Clientauthentifizierungszertifikate ausstellt. Siehe den Hinweis [hier](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Root-Zertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten ist das Vertrauen in das Root-Zertifikat von SCEPman. Daher müssen Sie das CA-Root-Zertifikat herunterladen und als ein **Vertrauenswürdiges Zertifikat** Profil über Microsoft Intune bereitstellen:
* [ ] Laden Sie das CA-Zertifikat aus dem SCEPman-Portal herunter:
* [ ] Erstellen Sie ein Profil für macOS mit dem Typ **Vertrauenswürdiges Zertifikat** in Microsoft Intune:
* [ ] Laden Sie Ihre zuvor heruntergeladene **.cer-Datei**.
* [ ] Hinzufügen. Nun können Sie dieses Profil auf Ihre Geräte bereitstellen. Bitte wählen Sie Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe für die Zuweisung aus.
{% hint style="info" %}
Beachten Sie, dass Sie dieselbe Gruppe für die Zuweisung des **samen Gruppe für die Zuweisung** des **Vertrauenswürdiges Zertifikat** und **SCEP-Profils**verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
{% endhint %}
## Gerätezertifikate
* [ ] Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter **Intune MDM**:
* [ ] Erstellen Sie ein Profil für macOS mit dem Typ **SCEP-Zertifikat** in Microsoft Intune:
* [ ] Konfigurieren Sie das Profil wie beschrieben:
Zertifikatstyp: Gerät
In diesem Abschnitt richten wir ein Gerätezertifikat ein.
Format des Antragstellernamens: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}
**Empfohlen:** Verwenden Sie `{{DeviceName}}`für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät zu erhalten oder beim Suchen nach dem Zertifikat.
**Optional:** Wenn auf `CN={{DeviceId}}` oder `CN={{AAD_Device_ID}}`konfiguriert, verwendet SCEPman das CN-Feld des Antragstellernamens, um das Gerät zu identifizieren, und als Seed für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:
* `{{DeviceId}}`: Diese ID wird von Intune generiert und verwendet.\
\
(erfordert, dass [Intune-Validierung](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) auf **Intune** oder **AADAndIntune**)
* `{{AAD_Device_ID}}`: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.
Falls weder `CN={{DeviceId}}` noch `CN={{AAD_Device_ID}}` für das CN-Feld verwendet wird (z. B. `CN={{DeviceName}})`, identifiziert SCEPman das Gerät anhand der Intune-Geräte-ID (`(URI)Wert:` `IntuneDeviceId://{{DeviceId}}`) im Subject Alternative Name (SAN).
**Wichtig:** Die Wahl des CN-Felds beeinflusst das [automatische Sperrverhalten](/de/zertifikatsverwaltung/manage-certificates.md#automatic-revocation) von Zertifikaten, die an Ihre von Intune verwalteten Geräte ausgestellt wurden.
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird [von Microsoft empfohlen](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) für NAC-Lösungen, um die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.
Das **URI-Feld ist obligatorisch** für den Fall, dass weder `CN={{DeviceId}}` noch `CN={{AAD_Device_ID}}` im **Feld "Format des Antragstellernamens"** verwendet wird.
Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahre
**Wichtig:** macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass [Zertifikate](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-validityperioddays) auf einen festen Wert konfiguriert ist. Sie können die Einstellung für die Gültigkeitsdauer des Zertifikats auf 1 Jahr belassen, da sie ohnehin ignoriert wird.\
\ **Wichtig:** Beachten Sie außerdem, dass **Zertifikate auf macOS nur erneuert werden** von Intune, wenn das Gerät **entsperrt, online, synchronisiert und innerhalb des Bereichs des Erneuerungsschwellenwerts ist**. Wenn Zertifikate abgelaufen sind (z. B. wenn das Gerät lange offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselungt
Bitte aktivieren Sie beide kryptografischen Aktionen.
Schlüsselgröße (Bit): 2048
SCEPman unterstützt 2048 Bit.
Root-Zertifikat: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus [#Root certificates](#root-certificate)
Erweiterte Schlüsselverwendung: Client Authentication, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie **Client Authentication (1.3.6.1.5.5.7.3.2)** unter **Vordefinierte Werte**aus. Die übrigen Felder werden automatisch ausgefüllt.
**Wichtig:** macOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als `Client Authentication` . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.
Erneuerungsschwellenwert (%): 50
Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Lebensdauer des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter **Gültigkeitsdauer des Zertifikats** und wählen Sie einen geeigneten Wert, der dem Gerät erlaubt, das Zertifikat über einen längeren Zeitraum zu erneuern. Ein Wert von 50 % würde es dem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDM
**Beispiel**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Mit unseren angegebenen Einstellungen erfüllen wir [die Zertifikatanforderungen von Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Beispiel
* [ ] Nun können Sie dieses Profil auf Ihre Geräte bereitstellen. Bitte wählen Sie dieselbe(n) Gruppe(n) für die Zuweisung wie für das Profil für vertrauenswürdige Zertifikate aus.
## Benutzerzertifikate
Der folgende Abschnitt zeigt Ihnen, wie Sie Benutzerzertifikate über ein Intune-Zertifikatsprofil auf Geräten mit macOS X 10.12 (oder höher) bereitstellen können.
{% hint style="warning" %}
Bitte beachten Sie: Zertifikate, die über das SCEP-Protokoll bereitgestellt werden – unabhängig vom Typ (Benutzer oder Gerät) – werden immer im Systemschlüsselbund (Systemspeicher) des Geräts abgelegt.
Falls eine Drittanbieteranwendung Zugriff auf ein solches Zertifikat benötigt (z. B. ein VPN-Client eines Drittanbieters), muss der Schieberegler für **Allen Apps Zugriff auf privaten Schlüssel erlauben** im Schlüsselbund auf **aktiviert**.
{% endhint %}
Bitte folgen Sie den Anweisungen unter [#Gerätezertifikate](#device-certificates) und beachten Sie die folgenden Unterschiede:
Zertifikatstyp: Benutzer
In diesem Abschnitt richten wir ein Benutzerzertifikat ein.
Format des Antragstellernamens: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs je nach Bedarf definieren. Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)aufgeführt. Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: ) als Grundeinstellung einzuschließen.
Subject Alternative Name: UPN Wert:{{UserPrincipalName}}
SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren, und als Seed für die Generierung der Zertifikatsseriennummer (z. B.: ).\
\
Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.
{% hint style="info" %}
Mit unseren angegebenen Einstellungen erfüllen wir [die Zertifikatanforderungen von Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Beispiel
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.