iOS/iPadOS
Zertifikate auf iOS- und iPadOS-Geräten über SCEP in Intune mit SCEPman bereitstellen.
Der folgende Artikel beschreibt, wie Geräte- und/oder Benutzerzertifikate für iOS- und iPadOS-Geräte bereitgestellt werden. Die Bereitstellung des SCEPman-Root-Zertifikats ist obligatorisch. Danach können Sie wählen, ob nur das Geräte-, das Benutzer- oder beide Zertifikatstypen bereitgestellt werden.
Bitte beachten Sie, dass iOS und iPadOS zusätzlich zum eigentlichen SCEP‑Zertifikatprofil für jedes Geräte-Konfigurationsprofil, in dem ein SCEP‑Profil referenziert wird, ein separates Client-Authentifizierungszertifikat/ges eintragen. Siehe Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info
Stammzertifikat
Die Grundlage für das Ausrollen von SCEP-Zertifikaten ist das Vertrauen in das Stammzertifikat von SCEPman. Daher müssen Sie das CA-Stammzertifikat herunterladen und als Vertrauenswürdiges Zertifikat Profil über Microsoft Intune bereitstellen:
Beachten Sie, dass Sie das gleiche Gruppe für die Zuweisung des Vertrauenswürdiges Zertifikat und SCEP-Profilsverwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
Gerätezertifikate
Format des Subject-Namens: CN={{DeviceId}} oder CN={{AAD_Device_ID}}
SCEPman verwendet das CN-Feld des Subject, um das Gerät zu identifizieren und als Seed für die Erzeugung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:
{{DeviceId}}: Diese ID wird von Intune generiert und verwendet (Empfohlen) (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)
{{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet. (Hinweis: Bei Verwendung der automatisierten Geräteanmeldung über Apple Business Manager kann sich diese ID während der Geräteeinrichtung ändern. Falls dies passiert, kann SCEPman das Gerät anschließend möglicherweise nicht mehr identifizieren. In diesem Fall würde das Zertifikat ungültig werden.)
Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.
Subject Alternative Name: URI Wert:IntuneDeviceId://{{DeviceId}}
Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, um die Geräte basierend auf ihrer Intune-Geräte-ID zu identifizieren.
Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.
Gültigkeitsdauer des Zertifikats: 1 Jahr
Wichtig: iOS-/iPadOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert konfigurieren. Wir empfehlen 2 Jahre, daher müssen Sie diese Variable in der SCEPman-Konfiguration auf 730 Tage setzen. Sie können die Einstellung der Zertifikatsgültigkeitsdauer jedoch auf 1 Jahr belassen, da Intune sie ohnehin ignoriert. Wichtig: Beachten Sie außerdem, dass Zertifikate auf iOS/iPadOS nur erneuert werden von Intune, wenn das Gerät entsperrt, online, synchronisiert ist und im Bereich der Erneuerungsschwelle liegt. Wenn Zertifikate abgelaufen sind (z. B.: Gerät war längere Zeit offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.
Schlüsselverwendung: Digitale Signatur und Schlüsselverschlüsselung
Bitte aktivieren Sie beide kryptografischen Aktionen.
SCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritt
Profil aus dem vorherigen Schritt (Root certificate Profile) iOS/iPadOS.
Schlüsselverwendung: nur Erweiterte Schlüsselnutzung:
Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte
Wichtig: iOS-/iPadOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client-Authentifizierung . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.
. Die anderen Felder werden automatisch ausgefüllt. 50
Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Laufzeit des vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter und wählen Sie einen geeigneten Wert, der dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde dem Gerät bei einem ein Jahr gültigen Zertifikat erlauben, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.
und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von
Intune MDM
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen.
Intune MDM
Nun können Sie dieses Profil auf Ihre Geräte ausrollen. Bitte wählen Sie für die Zuordnung dieselben Gruppen wie für das Vertrauenszertifikatprofil.
Benutzerzertifikate iOS/iPadOS #Gerätezertifikate
Format des Subject-Namens: In diesem Abschnitt richten wir ein Benutzerzertifikat ein.
CN={{UserName}},E={{EmailAddress}} Microsoft-DokumentenSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den
Subject Alternative Name: UPN Wert: (UPN)
SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren und als Seed für die Erzeugung der Zertifikatsseriennummer (z. B.: [email protected]). Andere SAN-Werte wie E-Mail-Adresse können bei Bedarf hinzugefügt werden.
Mit unseren angegebenen Einstellungen erfüllen wir Apples Zertifikatsanforderungen
Intune MDM
Zuletzt aktualisiert
War das hilfreich?