Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können es AWS Private CA als externe Zertifizierungsstelle (CA) mit dem Microsoft Intune Mobile Device Management (MDM) -System verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration von Microsoft Intune, nachdem Sie einen Connector für SCEP für Microsoft Intune erstellt haben.
Voraussetzungen
Bevor Sie einen Connector für SCEP für Microsoft Intune erstellen, müssen Sie die folgenden Voraussetzungen erfüllen.
Erstellen Sie eine Entra-ID.
Erstellen Sie einen Microsoft Intune-Mandanten.
Erstellen Sie eine App-Registrierung in Ihrer Microsoft Entra ID. Informationen zur Verwaltung von Berechtigungen auf Anwendungsebene für Ihre App-Registrierung finden Sie unter Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID
in der Microsoft Entra-Dokumentation. Die App-Registrierung muss über die folgenden Berechtigungen verfügen: Stellen Sie unter Intune scep_challenge_provider ein.
Legen Sie für Microsoft Graph Application.Read.All und User.Read fest.
Sie müssen der Anwendung in Ihrer App-Registrierung die Zustimmung des Administrators erteilen. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation unter Erteilen einer mandantenweiten Administratorzustimmung für eine Anwendung
. Tipp
Notieren Sie sich bei der Erstellung der App-Registrierung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID) oder die primäre Domain. Wenn Sie Ihren Connector für SCEP für Microsoft Intune erstellen, geben Sie diese Werte ein. Informationen zum Abrufen dieser Werte finden Sie in der Microsoft Entra-Dokumentation unter Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals, der auf Ressourcen zugreifen kann
.
Schritt 1: Erteilen Sie die AWS Private CA Erlaubnis zur Nutzung Ihrer Microsoft Entra ID-Anwendung
Nachdem Sie einen Connector für SCEP für Microsoft Intune erstellt haben, müssen Sie unter der Microsoft-App-Registrierung Verbundanmeldeinformationen erstellen, damit Connector für SCEP mit Microsoft Intune kommunizieren kann.
So konfigurieren Sie AWS Private CA als externe Zertifizierungsstelle in Microsoft Intune
Navigieren Sie in der Microsoft Entra ID-Konsole zu den App-Registrierungen.
Wählen Sie die Anwendung aus, die Sie für die Verwendung mit Connector for SCEP erstellt haben. Die Anwendungs- (Client-) ID der Anwendung, auf die Sie klicken, muss mit der ID übereinstimmen, die Sie bei der Erstellung des Connectors angegeben haben.
Wählen Sie im Dropdownmenü Verwaltet die Option Zertifikate und Geheimnisse aus.
Wählen Sie die Registerkarte Federated Credentials aus.
Wählen Sie Anmeldeinformationen hinzufügen aus.
Wählen Sie im Dropdownmenü Szenario mit Verbundanmeldedaten die Option Anderer Aussteller aus.
Kopieren Sie den OpenID-Ausstellerwert aus Ihren Connector für SCEP for Microsoft Intune-Details und fügen Sie ihn in das Feld Issuer ein. Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste Connectors für SCEP
in der Konsole aus. AWS Alternativ können Sie die URL abrufen, indem Sie anrufen GetConnectorund dann den Issuer
Wert aus der Antwort kopieren.Kopieren Sie den OpenID Audience-Wert aus Ihren Connector für SCEP for Microsoft Intune-Details und fügen Sie ihn in das Feld Audience ein. Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste Connectors für SCEP
in der Konsole aus. AWS Alternativ können Sie die URL abrufen, indem Sie anrufen GetConnectorund dann den Subject
Wert aus der Antwort kopieren.(Optional) Geben Sie den Namen der Instanz in das Feld Name ein. Sie können sie beispielsweise benennen AWS Private CA.
(Optional) Geben Sie eine Beschreibung in das Feld Beschreibung ein.
Wählen Sie im Feld Zielgruppe die Option Bearbeiten (optional) aus. Kopieren Sie den OpenID-Betreffwert aus Ihrem Connector und fügen Sie ihn in das Feld Betreff ein. Sie können den OpenID-Ausstellerwert auf der Seite mit den Connector-Details in der AWS Konsole anzeigen. Alternativ können Sie die URL abrufen, indem Sie den
Audience
Wert aus der Antwort aufrufen GetConnectorund dann kopieren.Wählen Sie Hinzufügen aus.
Schritt 2: Richten Sie ein Microsoft Intune-Konfigurationsprofil ein
Nachdem Sie AWS Private CA die Erlaubnis zum Aufrufen von Microsoft Intune erteilt haben, müssen Sie Microsoft Intune verwenden, um ein Microsoft Intune-Konfigurationsprofil zu erstellen, das Geräte anweist, sich für die Zertifikatsausstellung an Connector for SCEP zu wenden.
Erstellen Sie ein vertrauenswürdiges Zertifikatskonfigurationsprofil. Sie müssen das Root-CA-Zertifikat der Kette, die Sie mit Connector for SCEP verwenden, in Microsoft Intune hochladen, um Vertrauen herzustellen. Informationen zum Erstellen eines Konfigurationsprofils für vertrauenswürdige Zertifikate finden Sie unter Vertrauenswürdige Stammzertifikatsprofile für Microsoft Intune
in der Microsoft Intune-Dokumentation. Erstellen Sie ein SCEP-Zertifikatkonfigurationsprofil, das Ihre Geräte auf den Connector verweist, wenn sie ein neues Zertifikat benötigen. Der Profiltyp des Konfigurationsprofils sollte SCEP-Zertifikat sein. Stellen Sie für das Stammzertifikat des Konfigurationsprofils sicher, dass Sie das vertrauenswürdige Zertifikat verwenden, das Sie im vorherigen Schritt erstellt haben.
Kopieren Sie für SCEP-Server URLs die öffentliche SCEP-URL aus den Details Ihres Connectors und fügen Sie sie in das Feld SCEP-Server ein. URLs Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste Connectors für SCEP
aus. Alternativ können Sie die URL abrufen ListConnectors, indem Sie anrufen und dann den Endpoint
Wert aus der Antwort kopieren. Anleitungen zum Erstellen von Konfigurationsprofilen in Microsoft Intune finden Sie unter Erstellen und Zuweisen von SCEP-Zertifikatsprofilen in Microsoft Intune in der Microsoft Intune-Dokumentation. Anmerkung
Wenn Sie für Geräte ohne Mac OS und iOS keinen Gültigkeitszeitraum im Konfigurationsprofil festlegen, stellt Connector for SCEP ein Zertifikat mit einer Gültigkeit von einem Jahr aus. Wenn Sie im Konfigurationsprofil keinen Wert für Extended Key Usage (EKU) festlegen, stellt Connector for SCEP ein Zertifikat aus, bei dem der EKU-Wert auf gesetzt ist.
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)
Bei macOS- oder iOS-Geräten berücksichtigt Microsoft Intune unsereValidity
Parameter in Ihren Konfigurationsprofilen nicht.ExtendedKeyUsage
Für diese Geräte stellt Connector for SCEP über die Client-Authentifizierung ein Zertifikat mit einer Gültigkeitsdauer von einem Jahr für diese Geräte aus.
Schritt 3: Überprüfen Sie die Verbindung zum Connector für SCEP
Nachdem Sie ein Microsoft Intune-Konfigurationsprofil erstellt haben, das auf den Connector for SCEP-Endpunkt verweist, stellen Sie sicher, dass ein registriertes Gerät ein Zertifikat anfordern kann. Stellen Sie zur Bestätigung sicher, dass keine Fehler bei der Richtlinienzuweisung vorliegen. Gehen Sie zur Bestätigung im Intune-Portal zu Geräte > Geräte verwalten > Konfiguration und stellen Sie sicher, dass unter Fehler bei der Zuweisung von Konfigurationsrichtlinien nichts aufgeführt ist. Falls ja, bestätigen Sie Ihre Einrichtung anhand der Informationen aus den vorherigen Verfahren. Wenn Ihre Einrichtung korrekt ist und weiterhin Fehler auftreten, finden Sie weitere Informationen unter Verfügbare Daten vom Mobilgerät sammeln
Informationen zur Geräteregistrierung finden Sie unter Was ist Geräteregistrierung