circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

macOS

Stellen Sie Zertifikate über SCEP in Intune mit SCEPman auf MacOS-Geräten bereit.

Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für macOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman-Root-Zertifikats ist verpflichtend. Danach können Sie wählen, ob Sie nur Geräte-, nur Benutzer- oder beide Zertifikatstypen bereitstellen möchten.

circle-exclamation

Bitte beachten Sie, dass macOS zusätzlich zum eigentlichen SCEP-Zertifikatprofil für jedes Geräte-Konfigurationsprofil, in dem ein SCEP-Profil referenziert wird, ein separates Clientauthentifizierungszertifikat( e) anlegt. Siehe die Anmerkung Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Infoarrow-up-right

hashtag
Stammzertifikat

Die Grundlage für das Ausrollen von SCEP-Zertifikaten ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:

circle-info

Beachten Sie, dass Sie das gleiche Gruppe für die Zuweisung verwenden müssen das Vertrauenswürdiges Zertifikat und SCEP-Profil. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

hashtag
Gerätezertifikate

chevron-rightZertifikatstyp: Geräthashtag

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

chevron-rightFormat des Subject-Namens: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}hashtag

Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät oder bei der Suche nach dem Zertifikat zu haben.

Optional: Falls konfiguriert auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren und als Seed für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:

  • {{DeviceId}}: Diese ID wird von Intune generiert und verwendet. (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

  • {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), wird SCEPman das Gerät anhand der Intune-Geräte-ID identifizieren ((URI)Wert: IntuneDeviceId://{{DeviceId}}) die im Subject Alternative Name (SAN) bereitgestellt wird.

Wichtig: Die Wahl des CN-Feldes beeinflusst das automatische Widerrufsverhalten von an Ihre Intune-verwalteten Geräte ausgestellten Zertifikaten.

Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumentenarrow-up-right.

chevron-rightSubject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}hashtag

Das URI-Feld wird von Microsoft empfohlenarrow-up-right für NAC-Lösungen, damit Geräte anhand ihrer Intune-Geräte-ID identifiziert werden können.

Das URI-Feld ist zwingend erforderlich falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Format des Subject-Namens Feld verwendet wird.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

chevron-rightGültigkeitsdauer des Zertifikats: 1 Jahrhashtag

Wichtig: macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert einstellen. Sie können die Einstellung der Zertifikatsgültigkeitsdauer auf 1 Jahr belassen, da sie ohnehin ignoriert wird. Wichtig: Beachten Sie außerdem, dass Zertifikate auf macOS nur erneuert werden durch Intune, wenn das Gerät entsperrt, online, synchronisiert und im Bereich der Erneuerungsschwelle ist. Wenn Zertifikate abgelaufen sind (z. B.: Gerät war lange offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

chevron-rightSchlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselungthashtag

Bitte aktivieren Sie beide kryptografischen Aktionen.

chevron-rightgesetzt ist 2048hashtag

Schlüssellänge (Bits):

chevron-rightSCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritthashtag

Profil aus dem vorherigen Schritt (Root certificate Profile) #Root-Zertifikate

chevron-rightSchlüsselverwendung: nur Erweiterte Schlüsselnutzung:hashtag

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

Wichtig: macOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client-Authentifizierung . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

chevron-right. Die anderen Felder werden automatisch ausgefüllt. 50hashtag

Dieser Wert legt fest, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Lebensdauer des vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.

chevron-rightund wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL vonhashtag

Intune MDM

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right.

hashtag
Intune MDM

hashtag
Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.

Der folgende Abschnitt zeigt Ihnen, wie Sie Benutzerzertifikate über ein Intune-Zertifikatprofil auf macOS X 10.12 (oder neuer) Geräten bereitstellen können.

circle-exclamation

Bitte beachten Sie: Zertifikate, die über das SCEP-Protokoll bereitgestellt werden – unabhängig vom Typ (Benutzer oder Gerät) – werden immer in den System-Schlüsselbund (System-Speicher) des Geräts platziert.

Falls eine Drittanbieteranwendung Zugriff auf ein solches Zertifikat benötigt (z. B. ein VPN-Client eines Drittanbieters), muss der Schieberegler für Allen Apps Zugang zum privaten Schlüssel erlauben im Schlüsselbund auf aktiviert.

Benutzerzertifikate Bitte folgen Sie den Anweisungen unter #Gerätezertifikate

chevron-rightZertifikatstyp: und beachten Sie die folgenden Unterschiede:hashtag

Benutzer

chevron-rightFormat des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.hashtag

CN={{UserName}},E={{EmailAddress}} Microsoft-Dokumentenarrow-up-rightSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den

chevron-rightSubject Alternative Name: UPN Wert:(UPN)hashtag

SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren und als Grundlage für die Generierung der Zertifikat-Seriennummer (z. B.: [email protected]). Andere SAN-Werte wie E-Mail-Adresse können bei Bedarf hinzugefügt werden.

circle-info

Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungenarrow-up-right

hashtag
Intune MDM

Zuletzt aktualisiert

War das hilfreich?