Ein Anmeldedatenprofil überträgt Zertifikate per Push auf Geräte für die Verwendung bei der Authentifizierung. Mit Workspace ONE UEM können Sie Anmeldedaten für Speicher von persönlichen Zertifikaten, Zwischenzertifikaten, vertrauenswürdigen Stammzertifikaten, Zertifikaten vertrauenswürdiger Herausgeber sowie Zertifikaten vertrauenswürdiger Personen konfigurieren. Erfahren Sie, wie Sie ein Anmeldedatenprofil konfigurieren, um die Authentifizierung für Ihre Windows 10-Geräte zu ermöglichen.

Selbst mit sicheren Passcodes und anderen Beschränkungen bleibt Ihre Infrastruktur für Brute-Force-Angriffe, Wörterbuchangriffe und Fehler durch Mitarbeiter anfällig. Zur erhöhten Sicherheit können Sie digitale Zertifikate implementieren, um Ihr Unternehmensinventar zu schützen. Um Zertifikate auf diese Weise zu verwenden, müssen Sie zuerst eine Anmeldedaten-Nutzlast bei einer Zertifizierungsstelle konfigurieren und anschließend Ihre WLAN- und VPN-Nutzlasten konfigurieren. Jede dieser Nutzlasten weist Einstellungen auf, mit denen die in der Anmeldedaten-Nutzlast definierte Zertifizierungsstelle zugeordnet wird.

Mithilfe des Anmeldedatenprofils können Sie zudem S/MIME-Zertifikate per Push auf Geräte übertragen. Diese Zertifikate werden in jedes Benutzerkonto hochgeladen und vom Anmeldedatenprofil gesteuert.

Prozedur

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profile hinzufügen.
  2. Wählen Sie Windows und dann Windows Desktop.
  3. Wählen Sie Benutzerprofil oder Geräteprofil.
  4. Konfigurieren Sie die Profileinstellungen Allgemein.
  5. Wählen Sie die Anmeldedaten-Nutzlast aus und konfigurieren Sie folgende Einstellungen:
    Einstellungen Beschreibungen
    Anmeldedatenquelle

    Wählen Sie für die Anmeldedatenquelle Upload, Festgelegte Zertifizierungsstelle oder Benutzerzertifikat aus.

    Die verbleibenden Nutzlastoptionen sind quellenabhängig.

    • Bei Upload müssen Sie ein neues Zertifikat hochladen.
    • Bei Festgelegte Zertifizierungsstelle müssen Sie eine vordefinierte Zertifizierungsstelle und eine Vorlage auswählen.
    • Bei Benutzerzertifikat müssen Sie auswählen, wie das S/MIME-Zertifikat verwendet wird.
    Hochladen

    Wählen Sie diese Option aus, um zur gewünschten Anmeldedaten-Zertifikatdatei zu navigieren und diese in Workspace ONE UEM Console hochzuladen.

    Diese Einstellung wird angezeigt, wenn Hochladen als Anmeldedatenquelle ausgewählt ist.

    Zertifizierungsstelle

    Wählen Sie über das Dropdown-Menü eine vordefinierte Zertifizierungsstelle aus.

    Diese Einstellung wird angezeigt, wenn Festgelegte Zertifizierungsstelle als Anmeldedatenquelle ausgewählt ist.

    Zertifikatsvorlage

    Wählen Sie über das Dropdown-Menü eine vordefinierte Zertifizierungsvorlage speziell für die ausgewählte Zertifizierungsstelle aus.

    Diese Einstellung wird angezeigt, wenn Festgelegte Zertifizierungsstelle als Anmeldedatenquelle ausgewählt ist.

    Privaten Schlüssel exportieren

    Wählen Sie Zulassen, um Endbenutzern das Exportieren von Zertifikaten mit Windows-Zertifikat-Manager zu ermöglichen.

    Wählen Sie Nicht zulassen, um Endbenutzern das Exportieren von Zertifikaten zu untersagen.

    Aufbewahrungsort des Schlüssels

    Wählen Sie den Aufbewahrungsort des privaten Zertifikatschlüssels aus:

    • TPM, sofern vorhanden – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module (TPM) zu speichern, sofern ein solches auf dem Gerät vorhanden ist; anderenfalls wird er im Betriebssystem gespeichert.
    • TPM erforderlich – Wählen Sie diese Option aus, um den privaten Schlüssel auf einem Trusted Platform Module zu speichern. Wenn kein TPM vorhanden sein sollte, wird das Zertifikat nicht installiert und ein Fehler wird auf dem Gerät angezeigt.
    • Software – Wählen Sie diese Option aus, um den privaten Schlüssel im Betriebssystem des Geräts zu speichern.
    • Passport – Wählen Sie diese Option aus, um den privaten Schlüssel in Microsoft Passport zu speichern. Für diese Option ist die Azure AD-Integration erforderlich.
    Zertifikatsspeicher

    Wählen Sie den entsprechenden Zertifikatspeicher aus, in dem die Anmeldedaten auf dem Gerät gespeichert werden sollen:

    • Persönliche Zertifikate – Wählen Sie diese Option aus, um persönliche Zertifikate zu speichern. Für persönliche Zertifikate muss Workspace ONE Intelligent Hub auf dem Gerät vorhanden sein oder die SCEP-Nutzlast verwendet werden.

    • Zwischenzertifikate – Wählen Sie diese Option aus, um Zertifikate von Zwischenzertifizierungsstellen zu speichern.
    • Vertrauenswürdige Stammzertifikate – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Zertifizierungsstellen und Stammzertifikate von Ihrem Unternehmen und von Microsoft zu speichern.
    • Vertrauenswürdige Herausgeber – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Zertifizierungsstellen, denen von Softwarerestriktionsrichtlinien vertraut wird, zu speichern.
    • Vertrauenswürdige Personen – Wählen Sie diese Option aus, um Zertifikate von vertrauenswürdigen Personen oder Abschlusseinheiten zu speichern, die ausdrücklich vertrauenswürdig sind. Oftmals handelt es sich bei diesen Zertifikaten um selbstsignierte Zertifikate oder ausdrücklich vertrauenswürdige Zertifikate in einer Anwendung wie etwa Microsoft Outlook.
    Speicherort Wählen Sie Benutzer oder Maschine, um festzulegen, wo sich das Zertifikat befindet.
    S/MIME Wählen Sie aus, ob das S/MIME-Zertifikat für die Verschlüsselung oder die Signatur bestimmt ist.

    Diese Option wird nur angezeigt, wenn Anmeldedatenquelle auf Benutzerzertifikat gesetzt ist.

  6. Wählen Sie Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.