Android
Zertifikate auf Android-Geräten über SCEP mit Intune und SCEPman bereitstellen.
Der folgende Artikel beschreibt, wie ein Geräte- oder Benutzerzertifikat für Android bereitgestellt wird. Die Bereitstellung von Zertifikaten für Android ähnelt der Bereitstellung unter Windows 10, macOS und iOS.
Android bietet zwei verschiedene Lösungssätze: einer ist das Arbeitsprofil (bekannt als Privat genutztes Arbeitsprofil) und der andere ist das vollständig verwaltete Gerät (ebenfalls bekannt als Vollständig verwaltet, Dediziert und Firmenverwaltetes Arbeitsprofil). In beiden Szenarien bleiben die Einstellungen für Konfigurationsprofile zur Zertifikatkonfiguration konsistent.
Die Verwaltung von Android-Geräteadministratoren wurde in Android 2.2 eingeführt, um Android-Geräte zu verwalten. Ab Android 5 wurde dann das modernere Verwaltungsframework Android Enterprise veröffentlicht (für Geräte, die zuverlässig mit Google Mobile Services verbinden können). Google fordert die Umstellung von der Verwaltung über Geräteadministratoren, indem die Verwaltungsunterstützung in neuen Android-Versionen verringert wird. Für weitere Informationen prüfen Sie bitte MS. Intune Verringerung der Unterstützung für Android-Geräteadmin
Stammzertifikat
Die Grundlage für die Bereitstellung von SCEP-Zertifikaten (Gerät oder Benutzer) ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie die gleiche Gruppe für die Zuweisung verwenden müssen das Vertrauenswürdiges Zertifikat und SCEP-Profil. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Subjekts, um das Gerät zu identifizieren und als Ausgangswert für die Generierung der Zertifikat-Seriennummer zu dienen. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:
{{DeviceId}}: Diese ID wird von Intune erzeugt und verwendet (Empfohlen). (Erfordert SCEPman 2.0 oder höher und #AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) erzeugt und verwendet.
Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte basierend auf ihrer Intune-Geräte-ID zu identifizieren:
Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahr
Die verbleibende Zeit bis zum Ablauf des Zertifikats. Standardmäßig ist ein Jahr eingestellt.
SCEPman begrenzt die Zertifikatsgültigkeit auf den in der Einstellung konfigurierten Maximalwert AppConfig:ValidityPeriodDays, verwendet ansonsten jedoch die im Request konfigurierte Gültigkeit.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
SCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritt
Bitte wählen Sie das Intune-Profil aus [Android](android.md#root-certificate).
Wenn Sie ein . Wenn Sie eineverwenden, müssen Sie dennoch das Vertrauenswürdiges Zertifikat-Profil für Root-CA auswählen, nicht die Zwischen-CA!
Schlüsselverwendung: nur Erweiterte Schlüsselnutzung:
Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte
. Die anderen Felder werden automatisch ausgefüllt. 20
Erneuerungsschwelle (%): Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Gültigkeitsdauer des Zertifikats
und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. #Intune MDM
Intune MDM
Intune MDM
Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.
Benutzerzertifikate Bitte folgen Sie den Anweisungen unter #Gerätezertifikate
Format des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.
CN={{UserName}},E={{EmailAddress}} Microsoft-DokumentenSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den
Subject Alternative Name: . Wir empfehlen, den Benutzernamen (z. B.: janedoe) und die E-Mail-Adresse (z. B.: [email protected]) als Basiseinstellung aufzunehmen.Wert: (UPN)
Sie muss fügen den Benutzernamen (User Principal Name) als Subject Alternative Name hinzu. Sie müssen den User Principal Name als Subject Alternative Name hinzufügen. Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann.
Dies stellt sicher, dass SCEPman Zertifikate mit Benutzerobjekten in AAD verknüpfen kann. Die Einstellung für 'Format des Subject-Namens' ist frei wählbar.
Es ist erforderlich, ein und beachten Sie die folgenden Unterschiede und Hinweise: im SCEP-Zertifikat, Benutzertyp. Ohne ein SAN haben Sie keinen Zugang zum WLAN Ihres Unternehmens.
Intune MDM
Zertifikatsprüfung
Um die korrekte Bereitstellung von Zertifikaten auf Ihrem Android-Gerät sicherzustellen, gibt es zwei Optionen:
In neueren Android-Versionen (z. B. 14) können Sie Zertifikate (Benutzer- und vertrauenswürdige Zertifikate) über die Einstellungen > Sicherheit und Datenschutz
Über Drittanbieter-Apps wie X509 Certificate Viewer Tool
Zuletzt aktualisiert
War das hilfreich?