> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/macos.md).
# macOS
Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für macOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman-Root-Zertifikats ist zwingend erforderlich. Anschließend können Sie wählen, ob nur Geräte-, nur Benutzer- oder beide Zertifikatstypen bereitgestellt werden sollen.
{% hint style="warning" %}
Bitte beachten Sie, dass macOS zusätzlich zum eigentlichen SCEP-Zertifikatsprofil für jedes Gerätekonfigurationsprofil, in dem ein SCEP-Profil referenziert wird, ein separates Clientauthentifizierungszertifikat bzw. separate Clientauthentifizierungszertifikate registriert. Siehe den Hinweis [hier](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Stammzertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten ist, dem Stammzertifikat von SCEPman zu vertrauen. Daher müssen Sie das CA-Root-Zertifikat herunterladen und es als **Vertrauenswürdiges Zertifikat** Profil über Microsoft Intune bereitstellen:
* [ ] Laden Sie das CA-Zertifikat aus Ihrem SCEPman-Portal herunter:
* [ ] Erstellen Sie ein Profil für macOS mit dem Typ **Vertrauenswürdiges Zertifikat** in Microsoft Intune:
* [ ] Laden Sie Ihre zuvor heruntergeladene **.cer-Datei hoch**.
* [ ] Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie für die Zuweisung Alle Benutzer und/oder Alle Geräte oder eine dedizierte Gruppe.
{% hint style="info" %}
Beachten Sie, dass Sie die **dieselbe Gruppe für die Zuweisung** das **Vertrauenswürdiges Zertifikat** und **SCEP-Profil**verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
{% endhint %}
## Gerätezertifikate
* [ ] Öffnen Sie das SCEPman-Portal und kopieren Sie die URL unter **Intune MDM**:
* [ ] Erstellen Sie ein Profil für macOS mit dem Typ **SCEP-Zertifikat** in Microsoft Intune:
* [ ] Konfigurieren Sie das Profil wie beschrieben:
Zertifikatstyp: Gerät
In diesem Abschnitt richten wir ein Gerätezertifikat ein.
Format des Subject-Namens: CN={{DeviceName}} oder CN={{DeviceId}} oder CN={{AAD_Device_ID}}
**Empfohlen:** Verwenden Sie `{{DeviceName}}`für das CN-RDN, damit das Zertifikat auf dem Gerät einen aussagekräftigen Namen hat oder beim Suchen des Zertifikats besser auffindbar ist.
**Optional:** Wenn konfiguriert auf `CN={{DeviceId}}` oder `CN={{AAD_Device_ID}}`, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren, und als Ausgangswert für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:
* `{{DeviceId}}`: Diese ID wird von Intune generiert und verwendet.\
\
(erfordert [Intune-Validierung](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) auf **Intune** oder **AADAndIntune**)
* `{{AAD_Device_ID}}`: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.
Falls weder `CN={{DeviceId}}` noch `CN={{AAD_Device_ID}}` für das CN-Feld verwendet wird (z. B. `CN={{DeviceName}})`, identifiziert SCEPman das Gerät anhand der Intune-Geräte-ID (`(URI)Wert:` `IntuneDeviceId://{{DeviceId}}`) bereitgestellt wird, der im Subject Alternative Name (SAN) angegeben ist.
**Wichtig:** Die Wahl des CN-Feldes beeinflusst das [automatische Widerrufsverhalten](/de/zertifikatsverwaltung/manage-certificates.md#automatic-revocation) von Zertifikaten, die für Ihre von Intune verwalteten Geräte ausgestellt wurden.
Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Alternativer Subject-Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld ist [von Microsoft empfohlen](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) für NAC-Lösungen, um die Geräte anhand ihrer Intune-Geräte-ID zu identifizieren.
```
IntuneDeviceId://{{DeviceId}}
```
Das **URI-Feld ist erforderlich** falls weder `CN={{DeviceId}}` noch `CN={{AAD_Device_ID}}` im **Subject-Namensformat** verwendet wird.
Bei Bedarf können weitere SAN-Werte wie DNS hinzugefügt werden.
Zertifikatsgültigkeitsdauer: 1 Jahr
**Wichtig:** macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Stellen Sie bitte sicher, dass [Zertifikate](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-validityperioddays) auf einen festen Wert gesetzt wird. Sie können die Einstellung für die Zertifikatsgültigkeitsdauer bei 1 Jahr belassen, da sie ohnehin ignoriert wird.\
\ **Wichtig:** Beachten Sie außerdem, dass **Zertifikate unter macOS nur erneuert werden** von Intune, wenn das Gerät **entsperrt, online, synchronisiert und innerhalb der Schwelle für die Erneuerung ist**. Wenn Zertifikate abgelaufen sind (z. B. weil das Gerät lange offline und/oder gesperrt war), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
Schlüssellänge (Bit): 2048
SCEPman unterstützt 2048 Bit.
Root-Zertifikat: Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus [#Stammzertifikate](#root-certificate)
Erweiterte Schlüsselverwendung: Clientauthentifizierung, 1.3.6.1.5.5.7.3.2
Bitte wählen Sie **Clientauthentifizierung (1.3.6.1.5.5.7.3.2)** unter **Vordefinierte Werte**. Die anderen Felder werden automatisch ausgefüllt.
**Wichtig:** macOS-Geräte unterstützen keine anderen erweiterten Schlüsselverwendungen (EKUs) als `Clientauthentifizierung` . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.
Erneuerungsschwelle (%): 50
Dieser Wert legt fest, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter **Zertifikatsgültigkeitsdauer** und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es einem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, die Erneuerung 182 Tage vor Ablauf zu starten.
SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von Intune MDM
**Beispiel**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Mit den von uns angegebenen Einstellungen erfüllen wir [die Zertifikatsanforderungen von Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Beispiel
* [ ] Jetzt können Sie dieses Profil auf Ihren Geräten bereitstellen. Bitte wählen Sie für die Zuweisung dieselbe(n) Gruppe(n) wie für das Profil für das vertrauenswürdige Zertifikat.
## Benutzerzertifikate
Der folgende Abschnitt zeigt Ihnen, wie Sie Benutzerzertifikate über das Intune-Zertifikatsprofil auf macOS X 10.12 (oder höher) bereitstellen können.
{% hint style="warning" %}
Bitte beachten Sie: Zertifikate, die über das SCEP-Protokoll bereitgestellt werden – unabhängig vom Typ (Benutzer oder Gerät) – werden immer im Systemschlüsselbund (Systemspeicher) des Geräts abgelegt.
Falls eine Anwendung eines Drittanbieters Zugriff auf ein solches Zertifikat benötigt (z. B. ein VPN-Client eines Drittanbieters), muss der Schieberegler **Apps Zugriff auf den privaten Schlüssel erlauben** im Schlüsselbund auf **aktiviert**.
{% endhint %}
Bitte befolgen Sie die Anweisungen unter [#Gerätezertifikate](#device-certificates) und beachten Sie die folgenden Unterschiede:
Zertifikatstyp: Benutzer
In diesem Abschnitt richten wir ein Benutzerzertifikat ein.
Format des Subject-Namens: CN={{UserName}},E={{EmailAddress}}
Sie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den [Microsoft-Dokumenten](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)beschrieben. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. ) als Basiskonfiguration aufzunehmen.
Alternativer Subject-Name: UPN Wert:{{UserPrincipalName}}
SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren, und als Ausgangswert für die Generierung der Zertifikatsseriennummer (z. B. ).\
\
Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.
{% hint style="info" %}
Mit den von uns angegebenen Einstellungen erfüllen wir [die Zertifikatsanforderungen von Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Beispiel
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/de/zertifikatsverwaltung/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.