macOS

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät oder bei der Suche nach dem Zertifikat zu haben.

Optional: Wenn konfiguriert auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren, und als Seed für die Generierung der Zertifikats-Seriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs an:

• {{DeviceId}}: Diese ID wird von Intune generiert und verwendet. (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

• {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), identifiziert SCEPman das Gerät anhand der Intune-Geräte-ID ((URI)Wert: IntuneDeviceId://{{DeviceId}}) bereitgestellt im Subject Alternative Name (SAN).

Wichtig: Die Wahl des CN-Feldes beeinflusst das automatische Widerrufsverhalten von Zertifikaten, die für Ihre von Intune verwalteten Geräte ausgestellt wurden.

Sie können bei Bedarf weitere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.

Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte anhand ihrer Intune Device ID zu identifizieren.

Das URI-Feld ist obligatorisch falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Subject name format Feld verwendet wird.

Weitere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

Wichtig: macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert konfigurieren. Sie können die Einstellung für die Zertifikatsgültigkeitsdauer auf 1 Jahr belassen, da sie ohnehin ignoriert wird. Wichtig: Beachten Sie außerdem, dass Zertifikate unter macOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert und innerhalb des Erneuerungsschwellenwerts ist. Wenn Zertifikate abgelaufen sind (z. B.: Das Gerät war lange Zeit offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

Bitte aktivieren Sie beide kryptografischen Aktionen.

SCEPman unterstützt 2048 Bit.

Bitte wählen Sie das Intune-Profil aus #Root certificates

Bitte wählen Sie Client Authentication (1.3.6.1.5.5.7.3.2) unter Vordefinierte Werte. Die anderen Felder werden automatisch ausgefüllt.

Wichtig: macOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) außer Client Authentication . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

Dieser Wert definiert, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie den Hinweis unter Gültigkeitsdauer des Zertifikats und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde es einem Gerät mit einem 1 Jahr gültigen Zertifikat ermöglichen, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.

Beispiel

In diesem Abschnitt richten wir ein Benutzerzertifikat ein.

Sie können RDNs nach Ihren Bedürfnissen definieren. Unterstützte Variablen sind in den Microsoft-Dokumenten. Wir empfehlen, den Benutzernamen (z. B. janedoe) und die E-Mail-Adresse (z. B. [email protected]) als Grundeinstellung aufzunehmen.

SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren, und als Ausgangswert für die Generierung der Zertifikatsseriennummer (z. B.: [email protected]). Andere SAN-Werte wie die E-Mail-Adresse können bei Bedarf hinzugefügt werden.