Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Microsoft Intune für Connector für SCEP konfigurieren
<a name="connector-for-scep-intune"></a>

Sie können es AWS Private CA als externe Zertifizierungsstelle (CA) mit dem Microsoft Intune Mobile Device Management (MDM) -System verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration von Microsoft Intune, nachdem Sie einen Connector für SCEP für Microsoft Intune erstellt haben.

## Voraussetzungen
<a name="connector-for-scep-intune-prerequisites"></a>

Bevor Sie einen Connector für SCEP für Microsoft Intune erstellen, müssen Sie die folgenden Voraussetzungen erfüllen.
+ Erstellen Sie eine Entra-ID.
+ Erstellen Sie einen Microsoft Intune-Mandanten.
+ Erstellen Sie eine App-Registrierung in Ihrer Microsoft Entra ID. Informationen zur Verwaltung [von Berechtigungen auf Anwendungsebene für Ihre App-Registrierung finden Sie unter Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) in der Microsoft Entra-Dokumentation. Die App-Registrierung muss über die folgenden Berechtigungen verfügen:
  + Stellen Sie unter **Intune** **scep\$1challenge\$1provider** ein.
  + **Legen Sie für **Microsoft Graph** **Application.Read.All und User.Read fest.****
+ Sie müssen der Anwendung in Ihrer App-Registrierung die Zustimmung des Administrators erteilen. Weitere Informationen finden Sie in der Microsoft Entra-Dokumentation unter [Erteilen einer mandantenweiten Administratorzustimmung für eine Anwendung](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal).
**Tipp**  
Notieren Sie sich bei der Erstellung der App-Registrierung die **Anwendungs-ID (Client) und die Verzeichnis-ID** **(Mandanten-ID) oder** die primäre Domain. Wenn Sie Ihren Connector für SCEP für Microsoft Intune erstellen, geben Sie diese Werte ein. Informationen zum Abrufen dieser Werte finden Sie in der Microsoft Entra-Dokumentation unter [Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals, der auf Ressourcen zugreifen kann](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal).

## Schritt 1: Erteilen Sie die AWS Private CA Erlaubnis zur Nutzung Ihrer Microsoft Entra ID-Anwendung
<a name="connector-for-scep-intune-configure-pca"></a>

Nachdem Sie einen Connector für SCEP für Microsoft Intune erstellt haben, müssen Sie unter der Microsoft-App-Registrierung Verbundanmeldeinformationen erstellen, damit Connector für SCEP mit Microsoft Intune kommunizieren kann.

**So konfigurieren Sie AWS Private CA als externe Zertifizierungsstelle in Microsoft Intune**

1. Navigieren Sie in der Microsoft Entra ID-Konsole zu den **App-Registrierungen**.

1. Wählen Sie die Anwendung aus, die Sie für die Verwendung mit Connector for SCEP erstellt haben. Die Anwendungs- (Client-) ID der Anwendung, auf die Sie klicken, muss mit der ID übereinstimmen, die Sie bei der Erstellung des Connectors angegeben haben.

1. Wählen Sie im Dropdownmenü **Verwaltet** die Option **Zertifikate und Geheimnisse** aus.

1. Wählen Sie die Registerkarte **Verbundene Anmeldeinformationen** aus.

1. Wählen Sie **Anmeldeinformationen hinzufügen aus**.

1. **Wählen Sie im Dropdownmenü **Szenario mit Verbundanmeldedaten** die Option Anderer Aussteller aus.**

1. **Kopieren Sie den **OpenID-Ausstellerwert** aus Ihren Connector für SCEP for Microsoft Intune-Details und fügen Sie ihn in das Feld Issuer ein.** Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste Connectors [für SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) in der Konsole aus. AWS Alternativ können Sie die URL abrufen, indem Sie anrufen [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)und dann den `Issuer` Wert aus der Antwort kopieren.

1. Wählen Sie als **Typ** die Option **Explizite Subject Identifier** aus.

1. Kopieren Sie den **OpenID-Betreffwert** aus Ihrem Connector und fügen Sie ihn in das Feld **Wert** ein. Sie können den OpenID-Ausstellerwert auf der Seite mit den Connector-Details in der AWS Konsole anzeigen. Alternativ können Sie die URL abrufen, indem Sie den `Audience` Wert aus der Antwort aufrufen [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)und dann kopieren.

1. (Optional) Geben Sie den Namen der Instanz in das Feld **Name** ein. Sie können sie beispielsweise benennen **AWS Private CA**.

1. (Optional) Geben Sie eine Beschreibung in das Feld **Beschreibung** ein.

1. **Kopieren Sie den **OpenID Audience-Wert** aus Ihren Connector für SCEP for Microsoft Intune-Details und fügen Sie ihn in das Feld Audience ein.** Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste [Connectors für SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) in der Konsole aus. AWS Alternativ können Sie die URL abrufen, indem Sie anrufen [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)und dann den `Subject` Wert aus der Antwort kopieren.

1. Wählen Sie **Hinzufügen** aus.

## Schritt 2: Richten Sie ein Microsoft Intune-Konfigurationsprofil ein
<a name="connector-for-scep-intune-config-profile"></a>

Nachdem Sie AWS Private CA die Erlaubnis zum Aufrufen von Microsoft Intune erteilt haben, müssen Sie Microsoft Intune verwenden, um ein Microsoft Intune-Konfigurationsprofil zu erstellen, das Geräte anweist, sich für die Zertifikatsausstellung an Connector für SCEP zu wenden.

1. Erstellen Sie ein vertrauenswürdiges Zertifikatskonfigurationsprofil. Sie müssen das Root-CA-Zertifikat der Kette, die Sie mit Connector for SCEP verwenden, in Microsoft Intune hochladen, um Vertrauen herzustellen. Informationen zum Erstellen eines Konfigurationsprofils für vertrauenswürdige Zertifikate finden Sie unter [Vertrauenswürdige Stammzertifikatsprofile für Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) in der Microsoft Intune-Dokumentation.

1. Erstellen Sie ein SCEP-Zertifikatskonfigurationsprofil, das Ihre Geräte auf den Connector verweist, wenn sie ein neues Zertifikat benötigen. Der **Profiltyp des Konfigurationsprofils** sollte **SCEP-Zertifikat** sein. Stellen Sie für das Stammzertifikat des Konfigurationsprofils sicher, dass Sie das vertrauenswürdige Zertifikat verwenden, das Sie im vorherigen Schritt erstellt haben.

   Kopieren Sie für **SCEP-Server URLs** die **SCEP-URL** aus den Details Ihres Connectors und fügen Sie sie in das Feld **SCEP-Server** ein. URLs Um die Details eines Connectors anzuzeigen, wählen Sie den Connector aus der Liste Connectors [für SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) aus. Alternativ können Sie die URL abrufen [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), indem Sie anrufen und dann den `Endpoint` Wert aus der Antwort kopieren. Anleitungen zum Erstellen von Konfigurationsprofilen in Microsoft Intune finden [Sie unter Erstellen und Zuweisen von SCEP-Zertifikatsprofilen in Microsoft Intune in der Microsoft Intune-Dokumentation](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**Anmerkung**  
Wenn Sie für Geräte ohne Mac OS und iOS keine Gültigkeitsdauer im Konfigurationsprofil festlegen, stellt Connector for SCEP ein Zertifikat mit einer Gültigkeit von einem Jahr aus. Wenn Sie im Konfigurationsprofil keinen Wert für Extended Key Usage (EKU) festlegen, stellt Connector for SCEP ein Zertifikat aus, bei dem der EKU-Wert auf gesetzt ist. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Bei macOS- oder iOS-Geräten berücksichtigt Microsoft Intune unsere `Validity` Parameter in Ihren Konfigurationsprofilen nicht. `ExtendedKeyUsage` Für diese Geräte stellt Connector for SCEP über die Client-Authentifizierung ein Zertifikat mit einer Gültigkeitsdauer von einem Jahr für diese Geräte aus.

## Schritt 3: Überprüfen Sie die Verbindung zum Connector für SCEP
<a name="connector-for-scep-verify"></a>

Nachdem Sie ein Microsoft Intune-Konfigurationsprofil erstellt haben, das auf den Connector for SCEP-Endpunkt verweist, stellen Sie sicher, dass ein registriertes Gerät ein Zertifikat anfordern kann. Stellen Sie zur Bestätigung sicher, dass keine Fehler bei der Richtlinienzuweisung vorliegen. Gehen Sie zur Bestätigung im Intune-Portal zu **Geräte > Geräte** **verwalten** > **Konfiguration** und stellen Sie sicher, dass unter **Fehler bei der Zuweisung von Konfigurationsrichtlinien** nichts aufgeführt ist. Falls ja, bestätigen Sie Ihre Einrichtung mit den Informationen aus den vorherigen Verfahren. Wenn Ihre Einrichtung korrekt ist und immer noch Fehler auftreten, finden Sie weitere Informationen [unter Verfügbare Daten vom Mobilgerät sammeln](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).

Informationen zur Geräteregistrierung finden Sie unter [Was ist Geräteregistrierung](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)? in der Microsoft Intune-Dokumentation.