macOS

Zertifikate mithilfe von SCEP in Intune auf MacOS-Geräten mit SCEPman bereitstellen.

Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für macOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman Root-Zertifikats ist obligatorisch. Danach können Sie wählen, ob nur Geräte-, nur Benutzer- oder beide Zertifikatstypen bereitgestellt werden.

Bitte beachten Sie, dass macOS für jedes Gerätekonfigurationsprofil, in dem auf ein SCEP-Profil verwiesen wird, zusätzlich zum eigentlichen SCEP-Zertifikatsprofil ein separates Clientauthentifizierungszertifikat(en) ausstellt. Siehe den Hinweis hier

Root-Zertifikat

Die Grundlage für die Bereitstellung von SCEP-Zertifikaten ist, dem Root-Zertifikat von SCEPman zu vertrauen. Daher müssen Sie das CA-Root-Zertifikat herunterladen und es als ein Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:

Laden Sie das CA-Zertifikat aus Ihrem SCEPman-Portal herunter:

Erstellen Sie in Microsoft Intune ein Profil für macOS mit dem Typ Vertrauenswürdiges Zertifikat in Microsoft Intune:

Laden Sie Ihre zuvor heruntergeladene .cer-Datei.
Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie für die Zuweisung Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe aus.

Beachten Sie, dass Sie die gleiche Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profils. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

Gerätezertifikate

Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter Intune MDM:

Erstellen Sie in Microsoft Intune ein Profil für macOS mit dem Typ SCEP-Zertifikat in Microsoft Intune:

Konfigurieren Sie das Profil wie beschrieben:

Zertifikatstyp: Gerät

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

Betreffnamenformat: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}

Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um auf dem Gerät oder bei der Suche nach dem Zertifikat einen aussagekräftigen Namen des Zertifikats zu erhalten.

Optional: Wenn auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}konfiguriert, verwendet SCEPman das CN-Feld des Betreffnamens, um das Gerät zu identifizieren und als Ausgangswert für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:

{{DeviceId}}: Diese ID wird von Intune generiert und verwendet.\n\n(erfordert AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), identifiziert SCEPman das Gerät anhand der Intune-Geräte-ID ((URI)Wert: IntuneDeviceId://{{DeviceId}}) angegeben im Subject Alternative Name (SAN).

Wichtig: Die Wahl des CN-Felds beeinflusst das automatische Sperrverhalten von Zertifikaten, die für Ihre von Intune verwalteten Geräte ausgestellt wurden.

Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.

Alternativer Betreffname: URI Wert:IntuneDeviceId://{{DeviceId}}

IntuneDeviceId://{{DeviceId}}

Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.

Das URI-Feld ist obligatorisch falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Betreffnamenformat Feld verwendet wird.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

Gültigkeitsdauer des Zertifikats: 1 Jahr

Wichtig: macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert konfigurieren. Sie können die Einstellung für die Gültigkeitsdauer des Zertifikats bei 1 Jahr belassen, da sie ohnehin ignoriert wird. Wichtig: Beachten Sie außerdem, dass Zertifikate unter macOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert und im Bereich des Erneuerungsschwellenwerts ist. Wenn Zertifikate abgelaufen sind (z. B. weil das Gerät lange Zeit offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

Schlüsselnutzung: Digitale Signatur und Schlüsselverschlüsselung

Bitte aktivieren Sie beide kryptografischen Aktionen.

Schlüsselgröße (Bits): 2048

SCEPman unterstützt 2048 Bit.

Root-Zertifikat: Profil aus dem vorherigen Schritt

Wählen Sie bitte das Intune-Profil aus #Root-Zertifikate

Erweiterte Schlüsselverwendung: Clientauthentifizierung, 1.3.6.1.5.5.7.3.2

Bitte wählen Sie Clientauthentifizierung (1.3.6.1.5.5.7.3.2) unter Vordefinierten Werten. Die anderen Felder werden automatisch ausgefüllt.

Wichtig: macOS-Geräte unterstützen keine Extended Key Usages (EKUs) außer Clientauthentifizierung . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

Erneuerungsschwellenwert (%): 50

Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Lebensdauer des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.

SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDM

Beispiel

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen.

Beispiel

Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie für die Zuweisung dieselbe(n) Gruppe(n) wie für das Profil für vertrauenswürdige Zertifikate aus.

Benutzerzertifikate

Der folgende Abschnitt zeigt Ihnen, wie Sie Benutzerzertifikate über ein Intune-Zertifikatsprofil auf macOS X 10.12-Geräten (oder höher) bereitstellen können.

Bitte beachten Sie: Zertifikate, die über das SCEP-Protokoll bereitgestellt werden – unabhängig vom Typ (Benutzer oder Gerät) – werden immer im Systemschlüsselbund (System-Speicher) des Geräts abgelegt.

Falls eine Anwendung eines Drittanbieters Zugriff auf ein solches Zertifikat benötigt (z. B. ein VPN-Client eines Drittanbieters), muss der Schieberegler für Allow all apps access to private key im Schlüsselbund auf aktiviert.

Bitte folgen Sie den Anweisungen unter #Gerätezertifikate und beachten Sie die folgenden Unterschiede:

Zertifikatstyp: Benutzer

In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

Betreffnamenformat: CN={{UserName}},E={{EmailAddress}}

Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft-Dokumenten. Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: janedoe@contoso.com) als Grundeinstellung einzubeziehen.

Alternativer Betreffname: UPN Wert:{{UserPrincipalName}}

SCEPman verwendet den UPN im SAN, um den Benutzer zu identifizieren und als Ausgangswert für die Generierung der Zertifikatsseriennummer (z. B.: janedoe@contoso.com).\n\nAndere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen

Beispiel

Zuletzt aktualisiert vor 5 Tagen

War das hilfreich?