# Microsoft Cloud PKI

{% hint style="info" %}
Es wird angenommen, dass die Microsoft Cloud PKI sowohl die Root- als auch die Issuing CA hostet. Für Szenarien mit BYOCAs verweisen Sie bitte auf die Online-Ressourcen von Microsoft oder das Web.
{% endhint %}

{% stepper %}
{% step %}

### Stellen Sie eine Microsoft Cloud PKI bereit

#### Erstellen Sie eine Root CA im Intune Admin Center

Bevor Sie Zertifikate an verwaltete Geräte ausstellen können, müssen Sie in Ihrem Tenant eine Root CA erstellen, die als Vertrauensanker dient. Um eine Root CA im Intune Admin Center zu erstellen, folgen Sie bitte [dieser ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#:~:text=an%20admin%20user.-,Step%201%3A%20Create%20root%20CA%20in%20admin%20center,-Before%20you%20can)Microsoft-Anleitung. 

{% hint style="info" %}
Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in [Schritt 2](#step-1-create-root-ca-in-admin-center-2). 
{% endhint %}

#### Erstellen Sie eine Issuing CA im Intune Admin Center <a href="#step-1-create-root-ca-in-admin-center" id="step-1-create-root-ca-in-admin-center"></a>

Eine Issuing CA ist erforderlich, um Zertifikate für Intune-verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Zertifikatsregistrierungsstelle fungiert. Er fordert im Auftrag von Intune-verwalteten Geräten über ein SCEP-Profil Zertifikate von der Issuing CA an. Um eine Issuing CA zu erstellen, folgen Sie bitte [dieser ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)Microsoft-Anleitung.&#x20;

{% hint style="info" %}
Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in [Schritt 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}

<figure><img src="/files/bb833208cddf891a07b738650c1203627a2c5a08" alt=""><figcaption><p>Root- und Issuing-CAs</p></figcaption></figure>
{% endstep %}

{% step %}

### Stellen Sie Vertrauen zwischen RADIUSaaS und der Microsoft Cloud PKI her

Konfigurieren Sie RADIUSaaS so, dass Clientauthentifizierungszertifikate vertraut wird, die von der Microsoft Cloud PKI ausgestellt wurden. Da die Cloud-PKI eine hierarchische CA-Struktur erfordert, müssen Sie sowohl die Root CA als auch die Issuing CA hochladen (d. h. die vollständige Vertrauenskette). Führen Sie dazu bitte die folgenden Schritte aus:

1. Navigieren Sie zu [Seite „Vertrauenswürdige Zertifikate“](/de/admin-portal/settings/trusted-roots.md).
2. [Hochladen](/de/admin-portal/settings/trusted-roots.md#add) der Contoso Cloud PKI **Root CA,** und wählen Sie **Client Authentication** im Upload-Vorgang aus.
3. Wählen Sie als Verifizierungsmethode **CRL** zusammen mit **DER** Kodierung.
4. Verwenden Sie die kopierte URL des CRL-Verteilungspunkts der Root CA im **CRL-Verteilungspunkte** URL-Eingabefeld.\
   ![](/files/1d2bbfa3e832ba1df79c2306473f85e61fdd8d50)
5. Laden Sie die Contoso Cloud PKI hoch **Issuing CA,** und wählen Sie **Client Authentication** im Upload-Vorgang aus.
6. Wählen Sie erneut **CRL** als Verifizierungsmethode zusammen mit **DER** Kodierung.
7. Verwenden Sie die kopierte URL des CRL-Verteilungspunkts der Issuing CA im **CRL-Verteilungspunkte** URL-Eingabefeld.\
   ![](/files/9231b719d1ad7526929938dcbe29334e87b26d84)
   {% endstep %}

{% step %}

### Das RADIUS-Serverzertifikat konfigurieren

Um das Serververtrauen zwischen Ihren Endgeräten und RADIUSaaS herzustellen, folgen Sie [diesen Anweisungen](/de/konfiguration/get-started/generic-guide.md#step-3-radius-server-certificate-configuration).
{% endstep %}

{% step %}

### Ihre Netzwerkausrüstung konfigurieren

Um Ihre Netzwerkausrüstung (WiFi-Zugangspunkte, Switches oder VPN-Gateways) zu konfigurieren, folgen Sie [diese Schritte](/de/konfiguration/get-started/generic-guide.md#step-4-network-equipment-configuration).

Nach erfolgreichem Abschluss der Schritte 2 - 4 sieht die **Seite „Vertrauenswürdige Zertifikate“** Ihrer RADIUSaaS-Instanz ähnlich der untenstehenden aus. Bitte beachten Sie, dass wir in unserem Beispiel einen RadSec-fähigen [MikroTik](/de/konfiguration/access-point-setup/radsec-available/mikrotik.md) Zugangspunkt.

<figure><img src="/files/d1d418b4a5b070c8bdd8adc43c853ed5d2fc094f" alt=""><figcaption><p>Übersicht über vertrauenswürdige Zertifikate, erforderlich für die Microsoft Cloud PKI.</p></figcaption></figure>
{% endstep %}

{% step %}

### Intune-Profile konfigurieren

Um eine zertifikatsbasierte WLAN-Authentifizierung einzurichten, müssen wir eine Reihe von Profilen erstellen und sie über Intune bereitstellen. Diese Profile sind:

| Profiltyp                     | Zweck                                                                                       |
| ----------------------------- | ------------------------------------------------------------------------------------------- |
| Vertrauenswürdiges Zertifikat | Stellen Sie das Root-CA-Zertifikat bereit.                                                  |
| Vertrauenswürdiges Zertifikat | Stellen Sie das Issuing-CA-Zertifikat bereit.                                               |
| Vertrauenswürdiges Zertifikat | Stellen Sie das Root-CA-Zertifikat bereit, das das RADIUS-Serverzertifikat ausgestellt hat. |
| SCEP-Zertifikat               | Registrieren Sie das Clientauthentifizierungszertifikat.                                    |
| Wi-Fi                         | Stellen Sie die Einstellungen des drahtlosen Netzwerkadapters bereit.                       |

<figure><img src="/files/17716238d777f7dc4be5f3e165675cee56651f42" alt=""><figcaption><p>Relevante Intune-Profile</p></figcaption></figure>

#### Profile für vertrauenswürdige Zertifikate

**Microsoft Cloud PKI**

Stellen Sie die in [Schritt 1](#step-1.-deploy-a-microsoft-cloud-pki) erstellten Root-CA- und Issuing-CA-Zertifikate über ein **Vertrauenswürdiges Zertifikat** Profil auf Ihren Geräten bereit, indem Sie zum **Intune Admin Center** und dann zu **Startseite** > **Geräte** > **Windows** > **Konfigurationsprofile > Erstellen** > **Neue Richtlinie** mit den folgenden Parametern navigieren:&#x20;

* Plattform = Windows 10 und höher
* Profiltyp = Vorlage
* Vorlagenname = Vertrauenswürdiges Zertifikat.

Laden Sie die relevante Zertifikatsdatei (\*.cer) im jeweiligen Profil hoch:

* Erstelltes Root-CA-Zertifikat [hier](#step-1-create-root-ca-in-admin-center)
* Erstelltes Issuing-CA-Zertifikat [hier](#step-1-create-root-ca-in-admin-center-1)

{% hint style="info" %}
Beachten Sie, dass Sie für die Zuweisung der Profile für vertrauenswürdige Zertifikate und SCEP dieselbe Gruppe verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.
{% endhint %}

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst verwenden soll (z. B. Windows, macOS, ...).

**Vertrauen für den RADIUS-Server**

Stellen Sie als Nächstes das Root-CA-Zertifikat bereit, das Ihr RADIUS-Serverzertifikat ausgestellt hat, wie hier beschrieben:

{% content-ref url="/pages/19006b4c3a9e593b676e43fb76d0cf649b0d0cc0" %}
[Serververtrauen](/de/profilbereitstellung/microsoft-intune/trusted-root.md)
{% endcontent-ref %}

#### SCEP-Zertifikatsprofil

Um ein **SCEP-Zertifikat** Profil im Intune Admin Center zu erstellen, kopieren Sie zunächst die SCEP-URI aus **Startseite** > **Tenant admin** > **Cloud PKI** > **Contoso Issuing CA** > **Properties** > **SCEP URI.**

Gehen Sie als Nächstes zu **Startseite** > **Geräte** > **Windows** > **Konfigurationsprofile > Erstellen** > **Neue Richtlinie** mit den folgenden Parametern navigieren:&#x20;

* Plattform = Windows 10 und höher
* Profiltyp = Vorlage
* Vorlagenname = SCEP-Zertifikat

Konfigurieren Sie die Vorlage als Nächstes gemäß dem Screenshot unten und stellen Sie sicher, dass Sie das **Contoso Root Certificate** das zuvor in Schritt 1 erstellt wurde, und die **SCEP URI** die Sie oben kopiert haben, angehängt haben.

<figure><img src="/files/f0078668552c5077dc524930f3ada2487a500fc7" alt=""><figcaption><p>SCEP-Gerätezertifikatskonfiguration</p></figcaption></figure>

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst verwenden soll (z. B. Windows, macOS, ...).

#### WLAN-Profil <a href="#step-1-create-root-ca-in-admin-center" id="step-1-create-root-ca-in-admin-center"></a>

Stellen Sie die WLAN-Adaptereinstellungen auf Ihren Geräten bereit, indem Sie diesem Artikel folgen:

{% content-ref url="/pages/9f41e18fbebd4ae8ddaf12a3ca0fc859cad3c6cd" %}
[WiFi-Profil](/de/profilbereitstellung/microsoft-intune/wifi-profile.md)
{% endcontent-ref %}
{% endstep %}

{% step %}

### Berechtigungen und technische Kontakte

{% endstep %}

{% step %}

### Regeln

{% hint style="info" %}
Dies ist ein **optionaler** Schritt.
{% endhint %}

Wenn Sie zusätzliche Regeln konfigurieren möchten, z. B. um VLAN-IDs zuzuweisen oder Authentifizierungsanfragen auf bestimmte vertrauenswürdige CAs oder WiFi-Zugangspunkte zu beschränken, sehen Sie sich bitte die RADIUSaaS Rule Engine an.

{% content-ref url="/pages/797b089cec7b137688e1bb3ab030c8ea32bf9cdf" %}
[Regeln](/de/admin-portal/settings/rules.md)
{% endcontent-ref %}
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/de/konfiguration/get-started/scenario-based-guides/microsoft-cloud-pki.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.