macOS

In diesem Abschnitt richten wir ein Gerätezertifikat ein.

Empfohlen: Verwenden Sie {{DeviceName}}für das CN-RDN, um einen aussagekräftigen Namen des Zertifikats auf dem Gerät oder bei der Suche nach dem Zertifikat zu haben.

Optional: Falls konfiguriert auf CN={{DeviceId}} oder CN={{AAD_Device_ID}}, verwendet SCEPman das CN-Feld des Subject-Namens, um das Gerät zu identifizieren und als Seed für die Generierung der Zertifikatsseriennummer. Microsoft Entra ID (Azure AD) und Intune bieten zwei verschiedene IDs:

• {{DeviceId}}: Diese ID wird von Intune generiert und verwendet. (erfordert SCEPman 2.0 oder höher und AppConfig:IntuneValidation:DeviceDirectory auf Intune oder AADAndIntune)

• {{AAD_Device_ID}}: Diese ID wird von Microsoft Entra ID (Azure AD) generiert und verwendet.

Falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} für das CN-Feld verwendet wird (z. B. CN={{DeviceName}}), wird SCEPman das Gerät anhand der Intune-Geräte-ID identifizieren ((URI)Wert: IntuneDeviceId://{{DeviceId}}) die im Subject Alternative Name (SAN) bereitgestellt wird.

Wichtig: Die Wahl des CN-Feldes beeinflusst das automatische Widerrufsverhalten von an Ihre Intune-verwalteten Geräte ausgestellten Zertifikaten.

Sie können bei Bedarf andere RDNs hinzufügen (z. B.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Unterstützte Variablen sind in den Microsoft-Dokumenten.

Das URI-Feld wird von Microsoft empfohlen für NAC-Lösungen, damit Geräte anhand ihrer Intune-Geräte-ID identifiziert werden können.

Das URI-Feld ist zwingend erforderlich falls weder CN={{DeviceId}} noch CN={{AAD_Device_ID}} im Format des Subject-Namens Feld verwendet wird.

Andere SAN-Werte wie DNS können bei Bedarf hinzugefügt werden.

Wichtig: macOS-Geräte ignorieren die Konfiguration der Gültigkeitsdauer über Intune. Bitte stellen Sie sicher, dass Sie AppConfig:ValidityPeriodDays auf einen festen Wert einstellen. Sie können die Einstellung der Zertifikatsgültigkeitsdauer auf 1 Jahr belassen, da sie ohnehin ignoriert wird. Wichtig: Beachten Sie außerdem, dass Zertifikate auf macOS nur erneuert werden durch Intune, wenn das Gerät entsperrt, online, synchronisiert und im Bereich der Erneuerungsschwelle ist. Wenn Zertifikate abgelaufen sind (z. B.: Gerät war lange offline und/oder gesperrt), werden sie nicht mehr erneuert. Daher empfehlen wir, hier einen höheren Wert zu wählen.

Bitte aktivieren Sie beide kryptografischen Aktionen.

Schlüssellänge (Bits):

Profil aus dem vorherigen Schritt (Root certificate Profile) #Root-Zertifikate

Client-Authentifizierung, 1.3.6.1.5.5.7.3.2 Bitte wählen Sie Client-Authentifizierung (1.3.6.1.5.5.7.3.2) unterVordefinierte Werte

Wichtig: macOS-Geräte unterstützen keine anderen Extended Key Usages (EKUs) als Client-Authentifizierung . Das bedeutet, dass alle anderen in diesem Profil konfigurierten EKUs ignoriert werden.

Dieser Wert legt fest, wann das Gerät sein Zertifikat erneuern darf (basierend auf der verbleibenden Lebensdauer des vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter Dieser Wert definiert, wann das Gerät berechtigt ist, sein Zertifikat zu erneuern (basierend auf der verbleibenden Lebensdauer eines vorhandenen Zertifikats). Bitte lesen Sie die Anmerkung unter und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum zu erneuern. Ein Wert von 50 % würde dem Gerät mit einem 1 Jahr gültigen Zertifikat erlauben, 182 Tage vor Ablauf mit der Erneuerung zu beginnen.

Intune MDM

Benutzer

CN={{UserName}},E={{EmailAddress}} Microsoft-DokumentenSie können RDNs nach Bedarf definieren. Unterstützte Variablen sind in den

SCEPman verwendet die UPN im SAN, um den Benutzer zu identifizieren und als Grundlage für die Generierung der Zertifikat-Seriennummer (z. B.: [email protected]). Andere SAN-Werte wie E-Mail-Adresse können bei Bedarf hinzugefügt werden.