Microsoft Cloud PKI

Dieses Dokument beschreibt die Konfigurationsschritte, die erforderlich sind, um eine zertifikatbasierte WiFi-Authentifizierung mit Microsoft Cloud PKI und Intune zu implementieren.

Es wird angenommen, dass die Microsoft Cloud PKI sowohl die Root- als auch die Issuing CA hostet. Für Szenarien mit BYOCAs verweisen Sie bitte auf die Online-Ressourcen von Microsoft oder das Web.

Stellen Sie eine Microsoft Cloud PKI bereit

Erstellen Sie eine Root CA im Intune Admin Center

Bevor Sie Zertifikate an verwaltete Geräte ausstellen können, müssen Sie in Ihrem Tenant eine Root CA erstellen, die als Vertrauensanker dient. Um eine Root CA im Intune Admin Center zu erstellen, folgen Sie bitte dieser Microsoft-Anleitung.

Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in Schritt 2.

Erstellen Sie eine Issuing CA im Intune Admin Center

Eine Issuing CA ist erforderlich, um Zertifikate für Intune-verwaltete Geräte auszustellen. Cloud PKI stellt automatisch einen SCEP-Dienst bereit, der als Zertifikatsregistrierungsstelle fungiert. Er fordert im Auftrag von Intune-verwalteten Geräten über ein SCEP-Profil Zertifikate von der Issuing CA an. Um eine Issuing CA zu erstellen, folgen Sie bitte dieser Microsoft-Anleitung.

Bitte beachten Sie den CRL-Verteilungspunkt, da Sie diesen später in Schritt 2.

Stellen Sie Vertrauen zwischen RADIUSaaS und der Microsoft Cloud PKI her

Konfigurieren Sie RADIUSaaS so, dass Clientauthentifizierungszertifikate vertraut wird, die von der Microsoft Cloud PKI ausgestellt wurden. Da die Cloud-PKI eine hierarchische CA-Struktur erfordert, müssen Sie sowohl die Root CA als auch die Issuing CA hochladen (d. h. die vollständige Vertrauenskette). Führen Sie dazu bitte die folgenden Schritte aus:

Navigieren Sie zu Seite „Vertrauenswürdige Zertifikate“.
Hochladen der Contoso Cloud PKI Root CA, und wählen Sie Client Authentication im Upload-Vorgang aus.
Wählen Sie als Verifizierungsmethode CRL zusammen mit DER Kodierung.
Verwenden Sie die kopierte URL des CRL-Verteilungspunkts der Root CA im CRL-Verteilungspunkte URL-Eingabefeld.
Laden Sie die Contoso Cloud PKI hoch Issuing CA, und wählen Sie Client Authentication im Upload-Vorgang aus.
Wählen Sie erneut CRL als Verifizierungsmethode zusammen mit DER Kodierung.
Verwenden Sie die kopierte URL des CRL-Verteilungspunkts der Issuing CA im CRL-Verteilungspunkte URL-Eingabefeld.

Das RADIUS-Serverzertifikat konfigurieren

Um das Serververtrauen zwischen Ihren Endgeräten und RADIUSaaS herzustellen, folgen Sie diesen Anweisungen.

Ihre Netzwerkausrüstung konfigurieren

Um Ihre Netzwerkausrüstung (WiFi-Zugangspunkte, Switches oder VPN-Gateways) zu konfigurieren, folgen Sie diese Schritte.

Nach erfolgreichem Abschluss der Schritte 2 - 4 sieht die Seite „Vertrauenswürdige Zertifikate“ Ihrer RADIUSaaS-Instanz ähnlich der untenstehenden aus. Bitte beachten Sie, dass wir in unserem Beispiel einen RadSec-fähigen MikroTik Zugangspunkt.

Intune-Profile konfigurieren

Um eine zertifikatsbasierte WLAN-Authentifizierung einzurichten, müssen wir eine Reihe von Profilen erstellen und sie über Intune bereitstellen. Diese Profile sind:

Profiltyp

Zweck

Vertrauenswürdiges Zertifikat

Stellen Sie das Root-CA-Zertifikat bereit.

Vertrauenswürdiges Zertifikat

Stellen Sie das Issuing-CA-Zertifikat bereit.

Vertrauenswürdiges Zertifikat

Stellen Sie das Root-CA-Zertifikat bereit, das das RADIUS-Serverzertifikat ausgestellt hat.

SCEP-Zertifikat

Registrieren Sie das Clientauthentifizierungszertifikat.

Wi-Fi

Stellen Sie die Einstellungen des drahtlosen Netzwerkadapters bereit.

Profile für vertrauenswürdige Zertifikate

Microsoft Cloud PKI

Stellen Sie die in Schritt 1 erstellten Root-CA- und Issuing-CA-Zertifikate über ein Vertrauenswürdiges Zertifikat Profil auf Ihren Geräten bereit, indem Sie zum Intune Admin Center und dann zu Startseite > Geräte > Windows > Konfigurationsprofile > Erstellen > Neue Richtlinie mit den folgenden Parametern navigieren:

Plattform = Windows 10 und höher
Profiltyp = Vorlage
Vorlagenname = Vertrauenswürdiges Zertifikat.

Laden Sie die relevante Zertifikatsdatei (*.cer) im jeweiligen Profil hoch:

Erstelltes Root-CA-Zertifikat hier
Erstelltes Issuing-CA-Zertifikat hier

Beachten Sie, dass Sie für die Zuweisung der Profile für vertrauenswürdige Zertifikate und SCEP dieselbe Gruppe verwenden müssen. Andernfalls kann die Intune-Bereitstellung fehlschlagen.

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst verwenden soll (z. B. Windows, macOS, ...).

Vertrauen für den RADIUS-Server

Stellen Sie als Nächstes das Root-CA-Zertifikat bereit, das Ihr RADIUS-Serverzertifikat ausgestellt hat, wie hier beschrieben:

Serververtrauen

SCEP-Zertifikatsprofil

Um ein SCEP-Zertifikat Profil im Intune Admin Center zu erstellen, kopieren Sie zunächst die SCEP-URI aus Startseite > Tenant admin > Cloud PKI > Contoso Issuing CA > Properties > SCEP URI.

Gehen Sie als Nächstes zu Startseite > Geräte > Windows > Konfigurationsprofile > Erstellen > Neue Richtlinie mit den folgenden Parametern navigieren:

Plattform = Windows 10 und höher
Profiltyp = Vorlage
Vorlagenname = SCEP-Zertifikat

Konfigurieren Sie die Vorlage als Nächstes gemäß dem Screenshot unten und stellen Sie sicher, dass Sie das Contoso Root Certificate das zuvor in Schritt 1 erstellt wurde, und die SCEP URI die Sie oben kopiert haben, angehängt haben.

Dies muss für jede Geräteplattform wiederholt werden, die den Dienst verwenden soll (z. B. Windows, macOS, ...).

WLAN-Profil

Stellen Sie die WLAN-Adaptereinstellungen auf Ihren Geräten bereit, indem Sie diesem Artikel folgen:

WiFi-Profil

Berechtigungen und technische Kontakte

Regeln

Dies ist ein optionaler Schritt.

Wenn Sie zusätzliche Regeln konfigurieren möchten, z. B. um VLAN-IDs zuzuweisen oder Authentifizierungsanfragen auf bestimmte vertrauenswürdige CAs oder WiFi-Zugangspunkte zu beschränken, sehen Sie sich bitte die RADIUSaaS Rule Engine an.

Regeln

Zuletzt aktualisiert vor 1 Monat

War das hilfreich?