Intune-Gerätemanager hinzufügen

Online bearbeiten

Konfigurieren Sie Microsoft™ Intune als Ihren Gerätemanager.

Vorbereitende Schritte

Anmerkung: Die globalen mtlsidaas-Tenants für Gerätemanager sind jetzt veraltet und werden nach März 2024 entfernt. Gehen Sie zu „Vanity-Hostnamen erhalten“, um eine Vanity-Domain zu beantragen. Weitere Informationen finden Sie unter Hinzufügen eines Gerätemanagers.
  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich an der IBM Verify -Administrationskonsole als Administrator an.

Informationen zu dieser Task

Unterstützte Betriebssysteme
  • Windows 8.1 und höher
  • macOS 10.13 und höher
Hinweis: Wenn Sie MacOS Safari verwenden, kann ein Problem auftreten, bei dem Sie nicht zur Eingabe der Clientzertifikate aufgefordert werden, die vom Intune-Gerätemanager ausgestellt wurden. Zur Behebung des Problems müssen Sie die Identitätsvorgabe für die MacOS-Schlüsselkette konfigurieren.
  1. Rufen Sie auf Ihrem Mac-System Keychain Accessauf.
  2. Fügen Sie eine Identitätsvorgabe für das Clientzertifikat hinzu.
  3. Setzen Sie die Position der Identitätsvorgabe auf URL für Tenantauthentifizierung + (Leerzeichen) + (com.apple.Safari). Beispiel: https://{mtls_enabled_tenant_name}/usc.
Die Identitätspräferenz befindet sich nun unter „Schlüsselbundzugriff“ > „Anmeldung“ > „Alle Objekte“, und die Zertifikatsabfrage funktioniert ordnungsgemäß.

Vorgehensweise

  1. Wählen Sie „Authentifizierung “ > „Geräte-Manager “.
  2. Wählen Sie Einheitenmanager hinzufügenaus.
  3. Wählen Sie den Typ des Gerätemanagers aus, den Sie einrichten wollen.
  4. Wählen Sie Weiteraus.
  5. Geben Sie auf der Seite Allgemeine Einstellungen die folgenden Informationen an.
    • Geben Sie den Gerätemanagernamen in das bereitgestellte Feld ein.
    • Wählen Sie im Menü den Identitätsprovider aus.
    • Wählen Sie den Trust-Typ aus dem Menü. Bei der Auswahl Gerätevertrauen müssen sich die Benutzer mit ihrem konfigurierten Erstfaktor-Authentifizierungsmechanismus anmelden. Gerätevertrauen bestätigt nur, ob die Authentifizierung vom verwalteten Gerät aus erfolgt oder nicht.
      Hinweis: Die Funktion Gerätevertrauen CI-114829 kann auf Wunsch aktiviert werden. Um diese Funktion anzufordern, wenden Sie sich an Ihren IBM Vertriebsmitarbeiter oder an IBM und geben Sie an, dass Sie an der Aktivierung dieser Funktion interessiert sind. Erstellen Sie ein Support-Ticket, wenn Sie dazu berechtigt sind. IBM Verify probeabonnements können keine Support-Tickets erstellen.
    • Wählen Sie aus, ob die Just-in-time-Bereitstellung für Benutzeraccounts aktiviert werden soll.
      Hinweis: Die Just-in-Time (JIT)-Bereitstellung für Benutzerkonten ist nur bei Benutzer- und GerätevertrauenAuswahl möglich.
    • Wählen Sie die Gültigkeitsdauer des Client-Zertifikats. Die Standardeinstellung ist 3 Jahre.
    • Geben Sie die maximale Anzahl Zertifikate für jedes Gerät an.
    • Geben Sie an, wie viele Minuten die Benutzer- und Geräteinformationen aufbewahrt werden.
  6. Wählen Sie Weiteraus.
  7. Geben Sie auf der Seite API-Berechtigungsnachweise die API-Details Ihrer Anwendung in Azure Active Directoryein.
    • Wenn Sie bereits über die Anwendung verfügen, wählen Sie Nur Formular aus.
      1. Geben Sie die Anwendungs-ID, den geheimen Schlüssel und den Tenantnamen an.
      2. Wählen Sie Unique user identifier aus einer vordefinierten Attributliste aus oder wählen Sie Angepasste Regel aus, um Attributzuordnungen anzugeben. Wenn Sie eine angepasste Regel verwenden möchten, können Sie angepasste Attribute und eine Regel hinzufügen. Geben Sie die Regel zum Berechnen des Attributwerts ein. Beispiel:
        requestContext.email[0].split('@')[0]
        Hinweis: Die benutzerdefinierte Regelauswahl ist nicht anwendbar auf Gerätevertrauen. Sie können jedoch das entsprechende Attribut in das vorgesehene Feld eintragen.
      3. Wählen Sie Berechtigungsnachweise testen aus, um Ihre Berechtigungsnachweise zu überprüfen.
      4. Wählen Sie Weiteraus.
    • Wenn Sie eine Anwendung erstellen, wählen Sie Mit Schritten anzeigen aus und führen Sie die Anweisungen aus.
      1. Gehen Sie im Azure Portal zu AzureActive Directory > App-Registrierungen und wählen Sie Neue Registrierung.
      2. Geben Sie auf der Seite \'Anwendung registrieren\' die folgenden Details an.
        Ihren Namen
        Geben Sie einen aussagekräftigen Anwendungsnamen ein, zum Beispiel IBM Verify.
        Unterstützte Kontotypen
        Wählen Sie in einem beliebigen Organisationsverzeichnis Accounts aus.
        Umleitungs-URI
        Lassen Sie den Standardabschnitt Web unverändert und geben Sie dann die Anmelde-URL für den SCEP-Server eines anderen Anbieters an.
      3. Wählen Sie Registrieren aus.
      4. Kopieren Sie auf der Seite App-Übersicht den Wert Anwendungs-ID (Client) und fügen Sie ihn in das Feld App-ID eingeben ein.
      5. Wählen Sie auf der Navigationsseite für die App unter Verwalten Zertifikate & geheime Schlüssel und dann Neuer geheimer Clientschlüsselaus.
      6. Geben Sie eine Beschreibung ein, wählen Sie eine beliebige Option für Expiresaus und klicken Sie anschließend auf Add.
      7. Fügen Sie den geheimen Clientschlüssel in das Feld Geheimen App-Schlüssel eingeben ein.
      8. Kopieren Sie die Tenant-ID, die der Domänentext hinter dem Zeichen @ in Ihrem Account ist, und fügen Sie sie in das Feld Tenantname ein.
      9. Wählen Sie ein eindeutiges Benutzer-ID-Attribut aus oder geben Sie es ein.
      10. Wählen Sie auf der Navigationsseite für die App unter Verwalten -API-Berechtigungenund dann Berechtigung hinzufügen aus.
      11. Wählen Sie Intune und anschließend Anwendungsberechtigungenaus. Wählen Sie das Kontrollkästchen für scep_challenge-provider aus.
      12. Wählen Sie Berechtigungen hinzufügen aus.
      13. Wählen Sie im Navigationsfenster für die App unter Verwalten die Option API-Berechtigungen und dann Berechtigung hinzufügen aus.
      14. Wählen Sie Microsoft Graphund anschließend -Anwendungsberechtigungen aus. In: .
      15. Aktivieren Sie das Kontrollkästchen für DeviceManagementManageDevices.Read.All, User.Read.All, und Application.Read.All.
      16. Wählen Sie Berechtigungen hinzufügen aus.
      17. Wählen Sie Administratoreinwilligung für Microsoft gewähren und dann Ja aus.
      18. Wählen Sie Berechtigungsnachweise testen aus, um Ihre Berechtigungsnachweise zu überprüfen.
      19. Wählen Sie Weiteraus.
  8. Auf der Seite Benutzereigenschaften (öffnet sich bei Auswahl von Benutzer- und Gerätevertrauen) oder Geräteeigenschaften (öffnet sich bei Auswahl von Gerätevertrauen), ordnen Sie die Gerätemanager-Attribute den IBM VerifyAttributen zu.
    Hinweis: Bei Attributnamen muss die Groß-/Kleinschreibung beachtet werden und doppelte Attribute sind nicht zulässig.
    1. Wählen Sie das Gerätemanagerattribut aus.
    2. Optional: Wählen Sie eine Transformation aus dem Menü aus.
    3. Erforderlich: Wählen Sie das Verify Attribut aus, dem Sie das Attribut zuordnen möchten.
    4. Wählen Sie aus, wie das Attribut im Benutzerprofil gespeichert werden soll.
  9. Optional: Klicken Sie auf „Attribute hinzufügen “.
    Wenn Sie sich für die Verwendung einer angepassten Regel entscheiden, können Sie angepasste Attribute nacheinander und eine Regel hinzufügen. Geben Sie die Regel zum Berechnen des Attributwerts ein. Beispiel:
    idsuser.email[0].split('@')[0]
    Klicken Sie auf Test ausführen , um sicherzustellen, dass die Regel funktioniert.
  10. Wählen Sie Speichern und fortfahrenaus.
    Der Gerätemanager wird gespeichert.
  11. Erstellen Sie das Stammzertifikatprofil.
    Führen Sie die bereitgestellten Anweisungen aus.
    1. Laden Sie die folgenden bereitgestellten .zip Root-und Profilzertifikatdateien herunter.
    2. Melden Sie sich bei Microsoft Endpoint Manager an und öffnen Sie „Geräte > Konfigurationsprofile “.
    3. Wählen Sie zum Erstellen eines Stammzertifikatsprofils Profil erstellen und anschließend die folgenden Einstellungen aus:
      Plattform
      Wählen Sie die entsprechende Plattform aus.
      Profil
      Vertrauenswürdiges Zertifikat.
    4. Wählen Sie Erstellenaus.
    5. Benennen Sie das Stammzertifikatsprofil, z. B. WIN10_RootCA_Cert, und wählen Sie Weiteraus.
    6. Laden Sie das Stammzertifikatsprofil, das Sie in Schritt 1 heruntergeladen haben, hoch, legen Sie als Zielspeicher Computer certificate store-Rootfest und wählen Sie Weiteraus.
    7. Legen Sie Zuweisen zu den Benutzern oder Gruppen fest, mit denen Sie testen möchten, und wählen Sie Weiteraus.
    8. Wählen Sie Erstellenaus.
    9. Wiederholen Sie die Schritte 2-8 für das Zwischenzertifikat.
  12. Wählen Sie Weiteraus.
  13. Geben Sie auf der Seite SCEP-Zertifikatsprofil die API-Details Ihrer Anwendung in Azure Active Directoryein.
    • Wenn Sie bereits ein SCEP-Zertifikatprofil haben, wählen Sie Nur Werte aus.
      1. Geben Sie den Betreff und die SCEP-URL an.
      2. Wählen Sie Weiteraus.
    • Wenn Sie ein SCEP-Zertifikatprofil erstellen, wählen Sie Mit Schritten anzeigen aus und führen Sie die Anweisungen aus.
      1. Um ein SCEP-Zertifikatsprofil zu erstellen, wählen Sie Profil erstellen und dann die folgenden Einstellungen aus:
        Plattform
        Wählen Sie die entsprechende Plattform aus.
        Profil
        TrustedSCEP -Zertifikat.
      2. Wählen Sie Erstellenaus.
      3. Geben Sie dem Stammzertifikatsprofil einen Namen, beispielsweise WIN10_RootCA_Cert, und klicken Sie auf Weiter.
      4. Verwenden Sie die folgenden Konfigurationseinstellungen:
        Zertifikatstyp
        Benutzer.
        Format des Antragstellernamens
        Angepasst.
        Angepasst
        Automatisch generierter CN.
        Alternativer Antragstellername
        Benutzerprinzipalname (UPN).
        Gültigkeitsdauer des Zertifikats
        1 Jahr.
        Schlüsselspeicheranbieter (KSP)
        Falls verfügbar, bei TPM-KSP (TPM = Trusted Platform Module), andernfalls bei Software-KSP registrieren.
        Schlüsselverwendung
        Schlüsselverschlüsselung, Digitale Signatur.
        Schlüsselgröße (Bits)
        2048.
        Hashalgorithmus
        SHA-2.
        Stammzertifikat
        Wählen Sie das Stammzertifikatprofil aus, das Sie in Schritt 11erstellt und benannt haben.
        Erweiterte Schlüsselverwendung
        Wählen Sie Clientauthentifizierung im Menü Vordefinierte Werte aus.
        Verlängerungsschwellenwert
        20.
        SCEP-Server-URLs
        Automatisch generierte URL.
      5. Wählen Sie Weiter aus und ordnen Sie alle Benutzer oder Gruppen zu, mit denen die Verbindung getestet werden soll.
      6. Wählen Sie Erstellenaus.
      7. Wählen Sie Weiteraus.
  14. Legen Sie die MDM-Bereiche fest.
    Folgen Sie den Anweisungen.
    1. Wählen Sie im Microsoft Endpoint Manager Admin Center „Alle Dienste “> M365AzureActive Directory > AzureActive Directory > „Mobilität (MDM und MAM) “.
    2. Wählen Sie Microsoft Intune aus, um Intune zu konfigurieren.
    3. Wählen Sie „Einige“ aus dem MDM-Benutzerbereich aus, um die automatische MDM-Registrierung zur Verwaltung von Unternehmensdaten auf den Windows™-Geräten Ihrer Mitarbeiter zu verwenden.
      Automatische MDM-Registrierungen sind für mit AAD verknüpfte Geräte konfiguriert und bringen Ihre eigenen Geräteszenarien mit.
    4. Wählen Sie „Gruppen auswählen“ > „Ausgewählte Gruppen/Benutzer “ > „Als zugewiesene Gruppe auswählen “.
    5. Wählen Sie Einige im Bereich der MAM-Benutzer aus, um Daten auf den Geräten Ihrer Belegschaft zu verwalten.
    6. Wählen Sie „Gruppen auswählen “ > „Gruppen/Benutzer auswählen “ > „Als zugewiesene Gruppe auswählen “.
    7. Verwenden Sie für die übrigen Konfigurationswerte die Standardwerte.
    8. Wählen Sie Speichern.
  15. Wählen Sie Weiteraus.
  16. Testen Sie die Konfiguration.
    Folgen Sie den Anweisungen.
  17. Wählen Sie Konfiguration abschließenaus.
    1. Überprüfen Sie Ihre Einstellungen.
    2. Wählen Sie Änderungen speichernaus.