Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Microsoft Intune für Connector konfigurieren für SCEP
Sie können es AWS Private CA als externe Zertifizierungsstelle (CA) mit dem Microsoft Intune-Mobilgeräteverwaltungssystem (MDM) verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration von Microsoft Intune, nachdem Sie einen Connector SCEP für Microsoft Intune erstellt haben.
Voraussetzungen
Bevor Sie einen Connector SCEP für Microsoft Intune erstellen, müssen Sie die folgenden Voraussetzungen erfüllen.
Erstellen Sie eine Entra-ID.
Erstellen Sie einen Microsoft Intune-Mandanten.
Erstellen Sie eine App-Registrierung in Ihrer Microsoft Entra ID. Informationen zur Verwaltung von Berechtigungen auf Anwendungsebene für Ihre App-Registrierung finden Sie unter Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID
in der Microsoft Entra-Dokumentation. Die App-Registrierung muss über die folgenden Berechtigungen verfügen: Stellen Sie unter Intune scep_challenge_provider ein.
Legen Sie für Microsoft Graph Application.Read.All und User.Read fest.
Sie müssen der Anwendung in Ihrer App-Registrierung die Zustimmung des Administrators erteilen. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation unter Erteilen einer mandantenweiten Administratorzustimmung für eine Anwendung
. Tipp
Notieren Sie sich bei der Erstellung der App-Registrierung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID) oder die primäre Domain. Wenn Sie Ihren Connector SCEP für Microsoft Intune erstellen, geben Sie diese Werte ein. Informationen zum Abrufen dieser Werte finden Sie in der Microsoft Entra-Dokumentation unter Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals, der auf Ressourcen zugreifen kann
.
Schritt 1: Erteilen Sie die AWS Private CA Erlaubnis zur Nutzung Ihrer Microsoft Entra ID-Anwendung
Nachdem Sie einen Connector für SCEP für Microsoft Intune erstellt haben, müssen Sie unter der Microsoft-App-Registrierung Verbundanmeldeinformationen erstellen, damit Connector für mit Microsoft Intune kommunizieren SCEP kann.
So konfigurieren Sie AWS Private CA als externe Zertifizierungsstelle in Microsoft Intune
Navigieren Sie in der Microsoft Entra ID-Konsole zu den App-Registrierungen.
Wählen Sie die Anwendung aus, die Sie für die Verwendung mit Connector für SCEP erstellt haben. Die Anwendungs- (Client-) ID der Anwendung, auf die Sie klicken, muss mit der ID übereinstimmen, die Sie bei der Erstellung des Connectors angegeben haben.
Wählen Sie im Dropdownmenü Verwaltet die Option Zertifikate und Geheimnisse aus.
Wählen Sie die Registerkarte Verbundene Anmeldeinformationen aus.
Wählen Sie Anmeldeinformationen hinzufügen aus.
Wählen Sie im Dropdownmenü Szenario mit Verbundanmeldedaten die Option Anderer Aussteller aus.
Kopieren Sie den OpenID-Ausstellerwert aus Ihrem Connector SCEP für die Microsoft Intune-Details und fügen Sie ihn in das Feld Issuer ein. Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der SCEP Liste Connectors für
in der Konsole aus. AWS Alternativ können Sie den abrufen, URL indem Sie ihn aufrufen GetConnectorund dann den IssuerWert aus der Antwort kopieren.Kopieren Sie den OpenID Audience-Wert aus Ihrem Connector SCEP für Microsoft Intune-Details und fügen Sie ihn in das Feld Audience ein. Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der SCEP Liste Connectors für
in der AWS Konsole aus. Alternativ können Sie den abrufen, URL indem Sie ihn aufrufen GetConnectorund dann den SubjectWert aus der Antwort kopieren.(Optional) Geben Sie den Namen der Instanz in das Feld Name ein. Sie können sie beispielsweise benennen AWS Private CA.
(Optional) Geben Sie eine Beschreibung in das Feld Beschreibung ein.
Wählen Sie im Feld Zielgruppe die Option Bearbeiten (optional) aus. Kopieren Sie den OpenID-Betreffwert aus Ihrem Connector und fügen Sie ihn in das Feld Betreff ein. Sie können den OpenID-Ausstellerwert auf der Seite mit den Connector-Details in der AWS Konsole anzeigen. Alternativ können Sie den abrufen, URL indem Sie ihn aufrufen GetConnectorund dann den
AudienceWert aus der Antwort kopieren.Wählen Sie Hinzufügen aus.
Schritt 2: Richten Sie ein Microsoft Intune-Konfigurationsprofil ein
Nachdem Sie AWS Private CA die Erlaubnis zum Aufrufen von Microsoft Intune erteilt haben, müssen Sie Microsoft Intune verwenden, um ein Microsoft Intune-Konfigurationsprofil zu erstellen, das Geräte anweist, sich an Connector zu wenden, um Zertifikate auszustellen. SCEP
Erstellen Sie ein vertrauenswürdiges Zertifikatskonfigurationsprofil. Sie müssen das Root-CA-Zertifikat der Kette, die Sie mit Connector for verwenden, SCEP in Microsoft Intune hochladen, um Vertrauen herzustellen. Informationen zum Erstellen eines Konfigurationsprofils für vertrauenswürdige Zertifikate finden Sie unter Vertrauenswürdige Stammzertifikatsprofile für Microsoft Intune
in der Microsoft Intune-Dokumentation. Erstellen Sie ein SCEP Zertifikatkonfigurationsprofil, das Ihre Geräte auf den Connector verweist, wenn sie ein neues Zertifikat benötigen. Der Profiltyp des Konfigurationsprofils sollte SCEPZertifikat lauten. Stellen Sie für das Stammzertifikat des Konfigurationsprofils sicher, dass Sie das vertrauenswürdige Zertifikat verwenden, das Sie im vorherigen Schritt erstellt haben.
Kopieren Sie für SCEPServer URLs die Option Public SCEP URL aus den Details Ihres Connectors und fügen Sie sie in das URLs Feld SCEPServer ein. Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der SCEP Liste Connectors für
aus. Sie können den auch URL durch einen Anruf ListConnectorsabrufen und dann den EndpointWert aus der Antwort kopieren. Anleitungen zum Erstellen von Konfigurationsprofilen in Microsoft Intune finden Sie unter Erstellen und Zuweisen von SCEP Zertifikatsprofilen in Microsoft Intunein der Microsoft Intune-Dokumentation. Anmerkung
Wenn Sie für Geräte ohne Mac OS und iOS keine Gültigkeitsdauer im Konfigurationsprofil festlegen, SCEP stellt Connector for ein Zertifikat mit einer Gültigkeit von einem Jahr aus. Wenn Sie im Konfigurationsprofil keinen Wert für Extended Key Usage (EKU) festlegen, stellt Connector für SCEP ein Zertifikat mit dem EKU Set mit
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)aus. Bei macOS- oder iOS-Geräten berücksichtigt Microsoft Intune unsereValidityParameter in Ihren Konfigurationsprofilen nicht.ExtendedKeyUsageFür diese Geräte stellt Connector for SCEP über die Client-Authentifizierung ein Zertifikat mit einer Gültigkeitsdauer von einem Jahr für diese Geräte aus.
Schritt 3: Überprüfen Sie die Verbindung zum Connector für SCEP
Nachdem Sie ein Microsoft Intune-Konfigurationsprofil erstellt haben, das auf den Connector for SCEP Endpoint verweist, stellen Sie sicher, dass ein registriertes Gerät ein Zertifikat anfordern kann. Stellen Sie zur Bestätigung sicher, dass keine Fehler bei der Richtlinienzuweisung vorliegen. Gehen Sie zur Bestätigung im Intune-Portal zu Geräte > Geräte verwalten > Konfiguration und stellen Sie sicher, dass unter Fehler bei der Zuweisung von Konfigurationsrichtlinien nichts aufgeführt ist. Falls ja, bestätigen Sie Ihre Einrichtung anhand der Informationen aus den vorherigen Verfahren. Wenn Ihre Einrichtung korrekt ist und weiterhin Fehler auftreten, finden Sie weitere Informationen unter Verfügbare Daten vom Mobilgerät sammeln
Informationen zur Geräteregistrierung finden Sie unter Was ist Geräteregistrierung
