Zum Hauptinhalt springen
Deutsch

How to Use Microsoft Intune to Push WiFi Certificates to Devices

Ein umfassender technischer Leitfaden für IT-Verantwortliche zur Bereitstellung von 802.1X WiFi-Zertifikaten über Microsoft Intune. Behandelt SCEP- vs. PKCS-Architektur, Implementierungsschritte, Compliance-Mapping und praxisnahe Bereitstellungsszenarien für Enterprise-Umgebungen.

📖 7 Min. Lesezeit📝 1,541 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
WIE SIE MICROSOFT INTUNE NUTZEN, UM WIFI-ZERTIFIKATE AUF GERÄTE ZU PUSHEN Ein Purple Enterprise WiFi Intelligence Briefing [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen zurück. Ich spreche heute im Namen von Purple, der Enterprise WiFi Intelligence-Plattform. Diese Episode ist ein gezieltes Briefing über eine der praktischsten — und ehrlich gesagt am meisten unterschätzten — Funktionen im Microsoft Intune-Toolkit: die automatisierte Zertifikatsbereitstellung für die 802.1X-WiFi-Authentifizierung. Wenn Sie das WiFi in einer Hotelkette, einer Einzelhandelskette, einem Stadion oder einer öffentlichen Einrichtung verwalten, kennen Sie das Problem, das ich gleich beschreiben werde. Sie haben Hunderte oder Tausende von verwalteten Geräten. Sie möchten, dass diese sich automatisch und sicher mit Ihrem Unternehmens-WiFi verbinden, ohne dass Benutzer Passwörter eingeben müssen und ohne dass die IT jedes einzelne Gerät anfassen muss. Und Sie möchten, dass diese Verbindung kryptografisch stark ist — nicht nur ein gemeinsam genutztes Passwort, das bereits an die halbe Organisation gemailt wurde. Genau dieses Problem löst die Intune-Zertifikatsbereitstellung. In den nächsten neun Minuten werde ich Ihnen erklären, wie es funktioniert, wie man es bereitstellt und welche Fallstricke die meisten Teams beim ersten Versuch übersehen. [TECHNISCHER DEEP-DIVE — ca. 5 Minuten] Beginnen wir mit der Architektur. Die Grundlage hierfür ist IEEE 802.1X — der portbasierte Netzwerkzugriffskontrollstandard, der seit über zwei Jahrzehnten das Rückgrat der WiFi-Sicherheit in Unternehmen bildet. Wenn sich ein Gerät mit Ihrem WiFi verbindet, verlangt 802.1X eine Authentifizierung, bevor es Netzwerkzugriff erhält. Der Authentifizierungsprozess findet zwischen drei Parteien statt: dem Gerät — dem sogenannten Supplicant —, Ihrem WiFi-Access-Point, der als Authentifikator fungiert, und Ihrem RADIUS-Server, dem Authentifizierungsserver, der die endgültige Entscheidung trifft. 802.1X unterstützt verschiedene Authentifizierungsmethoden. Die sicherste ist EAP-TLS — Extensible Authentication Protocol mit Transport Layer Security. EAP-TLS nutzt eine gegenseitige Zertifikatsauthentifizierung: Das Gerät legt ein Zertifikat vor, um seine Identität nachzuweisen, und der RADIUS-Server legt ein Zertifikat vor, um seine Identität nachzuweisen. Keine Passwörter. Keine Anmeldedaten, die per Phishing gestohlen werden können. Das ist unser Ziel. Die Herausforderung bestand schon immer darin, diese Zertifikate in großem Maßstab auf die Geräte zu bringen. Genau hier kommt Microsoft Intune ins Spiel. Intune unterstützt zwei Mechanismen zur Zertifikatsbereitstellung: SCEP — Simple Certificate Enrollment Protocol — und PKCS, was für Public Key Cryptography Standards steht. Den Unterschied zu verstehen, ist wichtig. Bei SCEP wird der private Schlüssel auf dem Gerät selbst generiert. Das Gerät erstellt eine Zertifikatsignierungsanforderung (Certificate Signing Request), sendet sie über einen Zwischenserver namens NDES — Network Device Enrollment Service — an Ihre Zertifizierungsstelle (CA), und die CA stellt das Zertifikat aus. Der private Schlüssel verlässt das Gerät nie. Dies ist der sicherere Ansatz und wird für BYOD-Umgebungen und Hochsicherheitsbereitstellungen empfohlen. Bei PKCS generiert die Certificate Authority das Schlüsselpaar, und der Intune Certificate Connector stellt den privaten Schlüssel und das Zertifikat für das Gerät bereit. Die Einrichtung ist einfacher – es ist kein NDES-Server erforderlich –, aber der private Schlüssel wird über den Connector übertragen, was für Ihre Sicherheitslage eine Rolle spielt. Für die meisten Enterprise-Bereitstellungen empfehle ich SCEP für BYOD- und gemischte Geräteumgebungen und PKCS, wenn Sie über eine homogene Flotte unternehmenseigener Windows-Geräte verfügen und die Komplexität der Infrastruktur minimieren möchten. Sprechen wir nun über die Bereitstellungsreihenfolge – denn die Reihenfolge ist wichtig, und Fehler hierbei sind die häufigste Ursache für fehlgeschlagene Rollouts. Schritt eins: Konfigurieren Sie Ihre Certificate Authority. Sie benötigen eine Zertifikatvorlage auf Ihrer Active Directory Certificate Services-Instanz – oder wenn Sie vollständig Cloud-native sind, ist Microsofts Intune Cloud PKI jetzt allgemein verfügbar und macht die On-Premises-CA-Anforderung überflüssig. Die Vorlage benötigt die korrekten Schlüsselverwendungserweiterungen: Client-Authentifizierung ist obligatorisch. Stellen Sie die minimale Schlüsselgröße auf 2048 Bit ein, oder auf 4096, wenn die Sicherheitsrichtlinie Ihres Unternehmens dies erfordert. Schritt zwei: Stellen Sie das vertrauenswürdige Root-Zertifikat bereit. Bevor ein Gerät das Zertifikat des RADIUS-Servers validieren kann, muss es der CA vertrauen, die es ausgestellt hat. Sie erstellen ein Konfigurationsprofil für vertrauenswürdige Zertifikate in Intune, laden das Root-CA-Zertifikat hoch und weisen es Ihren Gerätegruppen zu. Dies muss vor jedem WiFi-Profil oder Client-Zertifikatprofil auf den Geräten landen. Wenn Sie die Reihenfolge falsch wählen, lehnen die Geräte den RADIUS-Server ab, und Sie verbringen den Nachmittag damit, auf die Event-ID 20271 im Windows-Ereignisprotokoll zu starren. Schritt drei: Stellen Sie das Client-Zertifikatprofil bereit. Dies ist entweder Ihr SCEP-Profil – das auf Ihre NDES-Server-URL verweist – oder Ihr PKCS-Profil, das auf Ihre Certificate Authority verweist. Der Subject Alternative Name sollte den User Principal Name für Benutzerzertifikate oder die AAD-Geräte-ID für Gerätezertifikate enthalten. Diese Unterscheidung ist wichtig: Benutzerzertifikate authentifizieren den angemeldeten Benutzer, Gerätezertifikate authentifizieren das Gerät selbst, was bedeutet, dass sich das Gerät mit dem WiFi verbinden kann, bevor sich ein Benutzer anmeldet – nützlich für Domain-Join-Szenarien und Kiosk-Bereitstellungen. Schritt vier: Erstellen Sie das WiFi-Konfigurationsprofil. In Intune finden Sie dies unter Geräte, Konfigurationsprofile, Vorlagen, Wi-Fi. Stellen Sie den WiFi-Typ auf Enterprise ein, geben Sie Ihre SSID ein, stellen Sie den EAP-Typ auf EAP-TLS ein, konfigurieren Sie die Server-Vertrauenseinstellungen – hier verweisen Sie auf den Namen des RADIUS-Serverzertifikats – und verweisen Sie für die Client-Authentifizierung auf das in Schritt drei erstellte Zertifikatprofil. Schritt fünf: Weisen Sie alles den richtigen Gruppen zu und validieren Sie es. Weisen Sie Ihr Root-Zertifikat, Ihr Client-Zertifikat und Ihre WiFi-Profile denselben Geräte- oder Benutzergruppen zu. Verwenden Sie die integrierten Berichte von Intune, um den Status der Profilbereitstellung zu überwachen. Eine erfolgreiche Bereitstellung zeigt alle drei Profile in der Konfigurationsprofilliste des Geräts als „Erfolgreich“ an. Ein kritischer Punkt bei der NPS-Konfiguration für Windows Server-Umgebungen: Seit Anfang 2024 hat Microsoft die Anforderungen an das Zertifikatsmapping verschärft. Wenn Sie Gerätezertifikate für in Azure AD eingebundene Geräte verwenden, die sich gegenüber einem lokalen NPS authentifizieren, müssen Sie sicherstellen, dass das Attribut „altSecurityIdentities“ auf dem Computerobjekt in Active Directory mit dem Fingerabdruck des Zertifikats ausgefüllt ist. Dies geschieht nicht automatisch – Sie benötigen ein Skript oder einen Workflow, um dies zu handhaben, was normalerweise ausgelöst wird, wenn die CA ein neues Zertifikat ausstellt. [IMPLEMENTIERUNGSEMPFEHLUNGEN & STOLPERSTEINE — ca. 2 Minuten] Lassen Sie mich Ihnen die drei Stolpersteine nennen, die mir bei Unternehmensbereitstellungen am häufigsten begegnen. Stolperstein eins: Lücken in der Zertifikatskette. Das Gerät muss jedem Zertifikat in der Kette von der Root-CA bis zum Zertifikat des RADIUS-Servers vertrauen. Wenn das Zertifikat Ihres RADIUS-Servers von einer Zwischen-CA ausgestellt wurde, müssen Sie sowohl das Root- als auch das Zwischenzertifikat auf den Geräten bereitstellen. Ich habe erlebt, dass Bereitstellungen wochenlang fehlschlugen, weil jemand zwar das Root-, aber nicht das Zwischenzertifikat bereitgestellt hatte. Stolperstein zwei: Timing bei der Profilzuweisung. Intune-Profile landen nicht sofort auf den Geräten. In einer großen Umgebung kann es nach der Zuweisung 15 bis 30 Minuten dauern, bis Profile verteilt sind. Testen Sie nicht sofort nach dem Erstellen von Profilen. Verwenden Sie die Schaltfläche „Synchronisieren“ im Intune-Portal, um einen Check-in zu erzwingen, und warten Sie dann. Zudem müssen Client-Zertifikatsprofile bereitgestellt und bestätigt sein, bevor das WiFi-Profil angewendet wird – wenn das WiFi-Profil auf ein Zertifikat verweist, das noch nicht existiert, schlägt das Profil auf einigen Plattformen geräuschlos fehl. Stolperstein drei: Zertifikatswiderruf bei BYOD. Wenn ein Gerät aus Intune abgemeldet wird – weil ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht –, benötigen Sie einen Prozess zum Widerrufen des Zertifikats. Wenn Sie SCEP mit ADCS verwenden, konfigurieren Sie den Verteilungspunkt für die Zertifikatssperrliste (CRL) korrekt und stellen Sie sicher, dass Ihr RADIUS-Server bei jeder Authentifizierung die CRL oder OCSP überprüft. Dies ist eine Compliance-Anforderung unter Frameworks wie PCI DSS, die vorschreiben, dass Zugriffskontrollmechanismen unverzüglich widerrufen werden müssen, wenn sie nicht mehr benötigt werden. Zum Thema Compliance: Wenn Sie in einem PCI DSS-Bereich arbeiten – beispielsweise in Einzelhandels-Zahlungsumgebungen –, ist die zertifikatsbasierte 802.1X-Authentifizierung Ihre stärkste Kontrolle für den drahtlosen Netzwerkzugriff. Sie erfüllt die PCI DSS-Anforderung 1.3 bezüglich Netzwerkzugriffskontrollen und die Anforderung 8.6 bezüglich Authentifizierungsfaktoren. Dokumentieren Sie Ihren Prozess zur Verwaltung des Zertifikatslebenszyklus als Teil Ihrer Compliance-Nachweise. Für GDPR-regulierte Umgebungen, insbesondere im Gastgewerbe und im öffentlichen Sektor, ist die Trennung zwischen Ihrem internen 802.1X-Netzwerk und Ihrem Gäste-WiFi-Netzwerk von entscheidender Bedeutung. Ihr über Intune verwaltetes Unternehmensnetzwerk sollte sich auf einem völlig separaten VLAN und einer anderen SSID befinden als jedes Gäste- oder Besuchernetzwerk. Die Gäste-WiFi-Plattform von Purple übernimmt die dem Besucher zugewandte Seite – Captive Portal, Einwilligungserfassung, Analysen –, während Ihr über Intune verwaltetes Unternehmensnetzwerk die Mitarbeiter- und Betriebsgeräte abdeckt. Diese beiden Netzwerke sollten niemals dieselbe Authentifizierungsinfrastruktur nutzen. [SCHNELLES Q&A — ca. 1 Minute] Lassen Sie uns kurz einige Fragen durchgehen, die regelmäßig gestellt werden. Kann ich Intune Cloud PKI anstelle von On-Premises ADCS verwenden? Ja. Microsofts Intune Cloud PKI, das 2024 veröffentlicht wurde, bietet eine vollständig verwaltete CA in Azure. Es macht den NDES-Server für SCEP überflüssig und vereinfacht die Connector-Einrichtung erheblich. Für Neuinstallationen oder Organisationen ohne bestehende ADCS-Infrastruktur ist dies der empfohlene Weg. Funktioniert das auch für macOS- und iOS-Geräte? Ja. Intune unterstützt Zertifikatsprofile für Windows, iOS, iPadOS, Android und macOS. Die Profiltypen und Konfigurationsoptionen variieren je nach Plattform leicht, aber die Kernarchitektur – Trusted Root, Client-Zertifikat, WiFi-Profil – bleibt konsistent. Wie sieht es mit persönlichen Geräten in einem BYOD-Programm aus? SCEP ist hier Ihr bester Freund. Mit den Gerätekompatibilitätsrichtlinien von Intune können Sie festlegen, dass ein Gerät Mindestsicherheitsstandards erfüllen muss, bevor ein Zertifikat ausgestellt wird. Wenn das Gerät die Kompatibilität verliert – keine Bildschirmsperre, veraltetes Betriebssystem –, kann das Zertifikat widerrufen und der Netzwerkzugriff automatisch entzogen werden. Kann Purple in diese Architektur integriert werden? Absolut. Die Plattform von Purple befindet sich auf der Seite des Gästenetzwerks und übernimmt die Captive Portal-Authentifizierung, das Einwilligungsmanagement und die Analysen. Das 802.1X-Unternehmensnetzwerk und das Gäste-WiFi von Purple laufen parallel – gleiche physische Infrastruktur, unterschiedliche SSIDs und VLANs –, was Ihnen eine vollständige Trennung zwischen der Konnektivität der Mitarbeiter und der Interaktion mit Besuchern ermöglicht. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Zusammenfassend lässt sich sagen: Die Bereitstellung von WiFi-Zertifikaten über Intune ist ein fünfstufiger Prozess – CA-Konfiguration, Bereitstellung des Trusted Root, Client-Zertifikatsprofil, WiFi-Profil und Gruppenzuweisung. Wählen Sie SCEP für BYOD und hochsichere Umgebungen; PKCS für einfachere, unternehmenseigene Geräteflotten. Achten Sie auf die richtige Reihenfolge, berücksichtigen Sie die NPS-Zertifikatszuordnung und richten Sie vom ersten Tag an einen Workflow für den Zertifikatswiderruf ein. Der Business Case ist überzeugend: Sie eliminieren gemeinsam genutzte WiFi-Passwörter, erhalten Authentifizierungsprotokolle pro Gerät und Benutzer, erfüllen die Anforderungen an die drahtlose Sicherheit nach PCI DSS und ISO 27001 und reduzieren den IT-Aufwand für die Verwaltung von WiFi-Zugangsdaten in einer großen Infrastruktur. Wenn Sie ein Deployment planen und verstehen möchten, wie sich die Guest-WiFi- und Analytics-Plattform von Purple in Ihre Unternehmens-Netzwerkarchitektur einfügt, besuchen Sie purple.ai. Wir bieten detaillierte Leitfäden zur Azure Entra ID-Integration, zur 802.1X-Architektur und zum Design von Gastnetzwerken für das Gastgewerbe, den Einzelhandel und den öffentlichen Sektor. Vielen Dank fürs Zuhören. Bis zum nächsten Mal.

header_image.png

Executive Summary

Für IT-Verantwortliche in Unternehmen, die große Umgebungen in den Bereichen Hospitality , Retail oder im öffentlichen Sektor verwalten, ist ein sicherer drahtloser Zugang eine grundlegende betriebliche Anforderung. Die Verwendung von gemeinsam genutzten PSKs (Pre-Shared Keys) oder der Authentifizierung über Benutzername/Passwort (PEAP-MSCHAPv2) setzt das Netzwerk dem Risiko von Diebstahl von Anmeldedaten, Phishing und Compliance-Verstößen aus. Der Branchenstandard für robuste Enterprise-WiFi-Sicherheit ist 802.1X mit EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security), was eine gegenseitige zertifikatsbasierte Authentifizierung zwischen dem Gerät und dem Netzwerk vorschreibt.

Die größte Hürde bei der Einführung von EAP-TLS war jedoch in der Vergangenheit der betriebliche Aufwand für das Lebenszyklusmanagement von Zertifikaten. Microsoft Intune löst dieses Problem, indem es die Bereitstellung, Erneuerung und den Widerruf digitaler Zertifikate auf verwalteten Geräten in großem Umfang automatisiert.

Diese technische Referenz beschreibt die Architektur, die Bereitstellungsmethoden (SCEP vs. PKCS) und die Implementierungsschritte, die für die Verteilung von WiFi-Zertifikaten über Microsoft Intune erforderlich sind. Sie bietet praktische Anleitungen für Netzwerkarchitekten und Systemingenieure, die mit der Absicherung der Unternehmenskommunikation betraut sind, während gleichzeitig eine strikte Trennung von Gastnetzwerken, wie sie beispielsweise über eine Guest WiFi -Plattform verwaltet werden, gewahrt bleibt.

Technischer Deep-Dive: Architektur und Protokolle

Um eine zertifikatsbasierte Authentifizierung effektiv zu implementieren, müssen IT-Teams das Zusammenspiel zwischen der Mobile-Device-Management-Plattform (MDM), der Public-Key-Infrastruktur (PKI) und der Netzwerkzugriffskontrollschicht verstehen.

Das 802.1X-Authentifizierungs-Framework

Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle. In einem drahtlosen Kontext verhindert er, dass ein Gerät Datenverkehr (außer EAP-Authentifizierungs-Frames) überträgt, bis seine Identität überprüft wurde. Die Architektur besteht aus drei Komponenten:

  1. Supplicant: Das Client-Gerät (Laptop, Smartphone, Tablet), das den Netzwerkzugriff anfordert.
  2. Authenticator: Der Wireless Access Point oder Wireless LAN Controller, der den Datenverkehr blockiert, bis die Authentifizierung erfolgreich war.
  3. Authentication Server: Der RADIUS-Server (Remote Authentication Dial-In User Service), wie z. B. Microsoft Network Policy Server (NPS) oder Cisco ISE, der die Anmeldedaten validiert und den Zugriff autorisiert.

EAP-TLS und gegenseitige Authentifizierung

EAP-TLS ist die sicherste EAP-Methode, da sie eine gegenseitige Authentifizierung erfordert. Der RADIUS-Server legt dem Supplicant sein Zertifikat vor, um zu beweisen, dass er das legitime Unternehmensnetzwerk ist (was Evil-Twin-Angriffe verhindert), und der Supplicant legt dem RADIUS-Server sein Client-Zertifikat vor, um zu beweisen, dass er ein autorisiertes Gerät oder ein autorisierter Benutzer ist.

architecture_overview.png

Intune-Zertifikatsbereitstellungsmechanismen: SCEP vs. PKCS

Microsoft Intune unterstützt zwei primäre Protokolle für die Bereitstellung von Client-Zertifikaten auf Geräten. Die Auswahl des geeigneten Mechanismus ist eine kritische architektonische Entscheidung.

Simple Certificate Enrollment Protocol (SCEP)

Bei SCEP wird der private Schlüssel direkt auf dem Client-Gerät generiert. Das Gerät erstellt eine Zertifikatsignierungsanforderung (CSR) und übermittelt diese über Intune an den NDES-Server (Network Device Enrollment Service), der als Proxy für die ADCS-Infrastruktur (Active Directory Certificate Services) fungiert. Die Zertifizierungsstelle (CA) stellt das Zertifikat aus, das an das Gerät zurückgegeben wird.

Da der private Schlüssel das Gerät nie verlässt, gilt SCEP als äußerst sicher und ist der empfohlene Ansatz für BYOD-Bereitstellungen (Bring Your Own Device) und Zero-Trust-Architekturen.

Public Key Cryptography Standards (PKCS)

Bei PKCS fordert der Intune Certificate Connector das Zertifikat im Namen des Geräts von der Zertifizierungsstelle (CA) an. Die CA generiert sowohl das öffentliche Zertifikat als auch den privaten Schlüssel, die der Connector dann über Intune sicher an das Gerät übermittelt.

Obwohl PKCS die Infrastrukturanforderungen vereinfacht (es wird kein NDES-Server benötigt), wird der private Schlüssel über das Netzwerk übertragen. Dieses Modell ist im Allgemeinen für unternehmenseigene, vollständig verwaltete Geräteflotten akzeptabel, bei denen die MDM-Plattform bereits eine hochgradig vertrauenswürdige Komponente ist.

certificate_deployment_comparison.png

Implementierungsleitfaden: Schritt-für-Schritt-Bereitstellung

Die Bereitstellung von WiFi-Zertifikaten über Intune erfordert eine präzise Reihenfolge. Die Bereitstellung von Profilen in der falschen Reihenfolge ist die häufigste Ursache für das Scheitern von Implementierungen.

Schritt 1: Vorbereitung der Public Key Infrastructure (PKI)

Unabhängig davon, ob Sie eine lokale ADCS-Infrastruktur oder eine Cloud-native Lösung wie Microsoft Cloud PKI nutzen, muss die Zertifizierungsstelle mit den entsprechenden Vorlagen konfiguriert werden.

  • Key Usage: Die Vorlage muss die OID für Client-Authentifizierung (1.3.6.1.5.5.7.3.2) enthalten.
  • Key Size: Konfigurieren Sie eine Mindestschlüssellänge von 2048 Bit (RSA), um modernen kryptografischen Standards zu entsprechen.
  • Subject Name: Für Benutzerzertifikate sollte der alternative Antragstellername (SAN) so konfiguriert werden, dass er den User Principal Name (UPN) verwendet. Verwenden Sie für Gerätezerifikate die Azure AD-Geräte-ID.

Schritt 2: Bereitstellung des Trusted Root-Zertifikats

Bevor sich ein Gerät authentifizieren kann, muss es der Zertifizierungsstelle (CA) vertrauen, die das Zertifikat des RADIUS-Servers ausgestellt hat.

  1. Exportieren Sie das Root-CA-Zertifikat (und alle Zwischen-CA-Zertifikate) im Format .cer.
  2. Navigieren Sie im Intune Admin Center zu Geräte > Konfigurationsprofile > Profil erstellen.
  3. Wählen Sie die Plattform und den Profiltyp Vertrauenswürdiges Zertifikat.
  4. Laden Sie die .cer-Datei hoch und weisen Sie das Profil den Zielgeräten oder Benutzergruppen zu.

Hinweis: Dieses Profil muss erfolgreich auf den Geräten angewendet werden, bevor Sie mit den nächsten Schritten fortfahren.

Schritt 3: Bereitstellung des Client-Zertifikatprofils

Erstellen Sie entweder ein SCEP- oder ein PKCS-Zertifikatprofil, um das Identitätszertifikat an den Supplicant zu übertragen.

  1. Navigieren Sie zu Geräte > Konfigurationsprofile > Profil erstellen.
  2. Wählen Sie die Plattform und wählen Sie entweder SCEP-Zertifikat oder PKCS-Zertifikat.
  3. Konfigurieren Sie das Format des Antragstellernamens (Subject Name) und den SAN gemäß Ihren Identitätsanforderungen (Benutzer vs. Gerät).
  4. Spezifizieren Sie den Key Storage Provider (KSP) — in der Regel das Trusted Platform Module (TPM) für hardwarebasierte Sicherheit.
  5. Weisen Sie das Profil denselben Gruppen zu, die in Schritt 2 ausgewählt wurden.

Schritt 4: Konfiguration des WiFi-Profils

Die letzte Komponente verknüpft die Zertifikate mit den Einstellungen des drahtlosen Netzwerks.

  1. Navigieren Sie zu Geräte > Konfigurationsprofile > Profil erstellen.
  2. Wählen Sie die Plattform und den Profiltyp Wi-Fi.
  3. Stellen Sie den Wi-Fi-Typ auf Enterprise ein und geben Sie die genaue SSID ein.
  4. Stellen Sie den EAP-Typ auf EAP-TLS ein.
  5. Geben Sie unter Serververtrauensstellung den genauen Namen des RADIUS-Serverzertifikats an und wählen Sie das in Schritt 2 bereitgestellte Trusted Root-Zertifikatprofil aus.
  6. Wählen Sie unter Clientauthentifizierung das in Schritt 3 bereitgestellte SCEP- oder PKCS-Zertifikatprofil aus.
  7. Weisen Sie das Profil den Zielgruppen zu.

Best Practices & strategische Empfehlungen

Geräte- vs. Benutzerzertifikate

Netzwerkarchitekten müssen entscheiden, ob Zertifikate für das Gerät (Geräteauthentifizierung) oder den Benutzer (Benutzerauthentifizierung) ausgestellt werden sollen.

  • Gerätezertifikate: Ermöglichen dem Gerät, sich mit dem WiFi-Netzwerk zu verbinden, bevor sich ein Benutzer anmeldet. Dies ist entscheidend für die erste Gerätebereitstellung, die Verarbeitung von Gruppenrichtlinien und Passwortrücksetzungen am Anmeldebildschirm. Empfohlen für firmeneigene Geräte.
  • Benutzerzertifikate: Verknüpfen den Netzwerkzugriff mit der Identität der Person. Dies ermöglicht eine detaillierte Überwachung und rollenbasierte Zugriffskontrolle. Empfohlen für BYOD-Szenarien.

Netzwerksegmentierung und Gastzugang

Ein grundlegendes Sicherheitsprinzip ist die strikte logische Trennung des 802.1X-Unternehmensnetzwerks von Besucher- oder öffentlichen Zugangsnetzwerken. Die über Intune verwaltete Infrastruktur sollte ausschließlich für Unternehmensgeräte und authentifizierte Mitarbeiter reserviert sein.Für den Besucherzugang sollten Organisationen eine dedizierte Guest WiFi SSID einrichten, die durch ein Captive Portal geschützt ist. Dies stellt sicher, dass nicht verwaltete Geräte isoliert werden, während das Unternehmen dennoch Besucheranalysen über eine WiFi Analytics -Plattform erfassen kann. Um mehr über die Absicherung der DNS-Infrastruktur in beiden Segmenten zu erfahren, lesen Sie unseren Leitfaden Protect Your Network with Strong DNS and Security .

Erfüllung der NPS-Zertifikatszuordnungsanforderung

Für Organisationen, die den Microsoft Network Policy Server (NPS) mit Azure AD-beigetretenen Geräten nutzen, wurde von Microsoft eine kritische Konfigurationsänderung eingeführt. NPS erfordert nun eine starke Zertifikatszuordnung.

Bei der Verwendung von Gerätezertifikaten muss das Computerobjekt im lokalen Active Directory das Attribut altSecurityIdentities mit den Details des Zertifikats (in der Regel die X509IssuerSerialNumber) ausgefüllt haben. IT-Teams müssen ein geplantes Skript oder einen ereignisgesteuerten Workflow implementieren, um dieses Attribut zu aktualisieren, wenn Intune ein neues Zertifikat ausstellt, da andernfalls die Authentifizierung fehlschlägt.

Fehlerbehebung & Risikominderung

Wenn eine 802.1X-Bereitstellung fehlschlägt, liegt das Problem fast immer in der Zertifikatskette oder der Reihenfolge der Intune-Profilbereitstellung.

Häufige Fehlerursachen

  1. Lautloses Fehlschlagen des WiFi-Profils: Wenn das Intune-WiFi-Profil auf ein Gerät angewendet wird, bevor das Client-Zertifikat erfolgreich bereitgestellt wurde, schlägt die Installation des WiFi-Profils oft fehl oder verläuft lautlos. Überprüfen Sie immer das Vorhandensein des Zertifikats im persönlichen Speicher des Geräts (certmgr.msc unter Windows), bevor Sie Fehler in der WiFi-Konfiguration beheben.
  2. Fehler bei der Server-Vertrauensstellung: Wenn das Gerät den RADIUS-Server ablehnt, überprüfen Sie, ob der im Intune-WiFi-Profil angegebene Servername exakt mit dem Subject Name oder SAN auf dem Zertifikat des RADIUS-Servers übereinstimmt. Stellen Sie außerdem sicher, dass die gesamte Zertifikatskette (Root und Intermediate) im Speicher für vertrauenswürdige Stammzertifizierungsstellen des Geräts vorhanden ist.
  3. Nichtverfügbarkeit der Zertifikatssperrliste (CRL): Wenn der RADIUS-Server den CRL-Verteilungspunkt der CA nicht erreichen kann, um den Status des Client-Zertifikats zu überprüfen, wird die Authentifizierung verweigert. Stellen Sie sicher, dass die CRL-URL hochverfügbar und vom RADIUS-Server aus erreichbar ist.

ROI & Geschäftsnutzen

Der Übergang zur zertifikatsbasierten WiFi-Authentifizierung über Intune bietet erhebliche betriebliche und sicherheitsrelevante Vorteile.

  • Risikominderung: Eliminiert das Risiko von Credential Harvesting, Pass-the-Hash-Angriffen und unbefugtem Netzwerkzugriff über gemeinsam genutzte PSKs.
  • Betriebliche Effizienz: Reduziert IT-Helpdesk-Tickets im Zusammenhang mit abgelaufenen Passwörtern und WiFi-Verbindungsproblemen. Das automatisierte Lifecycle-Management sorgt dafür, dass Zertifikate transparent und ohne Benutzereingriff erneuert werden.* Einhaltung von Compliance-Vorgaben: Erfüllt strenge regulatorische Anforderungen. Für Einzelhandelsumgebungen adressiert es direkt die PCI DSS-Anforderungen für robuste drahtlose Verschlüsselung und Authentifizierung. Für den öffentlichen Sektor und das Gesundheitswesen steht es im Einklang mit den Prinzipien des Zero-Trust-Netzwerkzugriffs (ZTNA).

Durch die Nutzung von Microsoft Intune für die Zertifikatsbereitstellung können IT-Teams eine reibungslose, hochsichere WiFi-Erfahrung erzielen, die geräuschlos im Hintergrund läuft, sodass sich das Unternehmen auf sein Kerngeschäft konzentrieren kann.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der verhindert, dass nicht autorisierte Geräte auf ein LAN oder WLAN zugreifen, bis sie sich erfolgreich authentifiziert haben.

Das grundlegende Sicherheitsprotokoll, das gemeinsam genutzte WiFi-Passwörter in Unternehmensumgebungen durch eine Authentifizierung der Enterprise-Klasse ersetzt.

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Ein Authentifizierungs-Framework, bei dem sich sowohl der Client als auch der Server mithilfe digitaler Zertifikate ausweisen müssen.

Das spezifische Protokoll, das im Intune-WiFi-Profil konfiguriert ist, um eine gegenseitige Zertifikatsauthentifizierung zu erzwingen und das Risiko von Anmeldedatendiebstahl auszuschließen.

SCEP

Simple Certificate Enrollment Protocol. Ein Mechanismus, bei dem das Client-Gerät seinen eigenen privaten Schlüssel generiert und über einen zwischengeschalteten Server ein Zertifikat von der CA anfordert.

Die bevorzugte Bereitstellungsmethode für BYOD-Umgebungen, da der private Schlüssel niemals über das Netzwerk übertragen wird.

PKCS

Public Key Cryptography Standards. Im Kontext von Intune eine Bereitstellungsmethode, bei der die CA den privaten Schlüssel generiert und der Intune Connector diesen sicher an das Gerät übermittelt.

Eine einfachere Bereitstellungsarchitektur, die häufig für firmeneigene Geräteflotten verwendet wird, da kein NDES-Server erforderlich ist.

NDES

Network Device Enrollment Service. Eine Microsoft-Serverrolle, die als Proxy fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate von einer Active Directory-Zertifizierungsstelle zu beziehen.

Eine obligatorische Infrastrukturkomponente bei der Bereitstellung von Zertifikaten über SCEP in einer On-Premises-ADCS-Umgebung.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bereitstellt.

Der Server (wie Microsoft NPS oder Cisco ISE), der die Authentifizierungsanfrage vom WiFi-Access-Point empfängt und das Zertifikat des Geräts validiert.

Supplicant

Der Software-Client auf dem Endgerät des Benutzers (Laptop, Smartphone), der den 802.1X-Authentifizierungsprozess initiiert.

Das Intune-WiFi-Profil konfiguriert den nativen OS-Supplicant (z. B. Windows WLAN AutoConfig) so, dass die korrekten Zertifikate und EAP-Methoden verwendet werden.

Certificate Revocation List (CRL)

Eine von der Zertifizierungsstelle digital signierte und veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die widerrufen wurden und denen nicht mehr vertraut werden sollte.

Entscheidend für die Einhaltung von Sicherheitsrichtlinien; der RADIUS-Server muss die CRL überprüfen, um sicherzustellen, dass ein sich verbindendes Gerät nicht als verloren oder gestohlen gemeldet wurde.

Ausgearbeitete Beispiele

Eine Einzelhandelskette mit 400 Standorten führt firmeneigene Tablets für die Bestandsverwaltung ein. Die Geräte werden vollständig über Intune verwaltet und sind in Azure AD eingebunden. Sie benötigen sofort nach dem Booten Netzwerkzugriff, um Bestandsdatenbanken zu synchronisieren, noch bevor sich ein bestimmter Benutzer anmeldet. Die Netzwerkinfrastruktur nutzt Cisco ISE als RADIUS-Server. Was ist die optimale Strategie zur Zertifikatsbereitstellung?

Das IT-Team sollte PKCS-Gerätezertifikate implementieren.

  1. Konfigurieren Sie eine Gerätezertifikatsvorlage auf der CA.
  2. Stellen Sie das Root-CA-Zertifikat über Intune auf den Tablets bereit.
  3. Erstellen Sie ein PKCS-Zertifikatsprofil in Intune und legen Sie das Format des Subject Name auf die Azure AD-Geräte-ID ({{AAD_Device_ID}}) fest.
  4. Erstellen Sie ein Enterprise-WiFi-Profil unter Angabe von EAP-TLS, das auf den Zertifikatsnamen des ISE-Servers und das bereitgestellte PKCS-Profil verweist.
  5. Weisen Sie alle Profile der Gerätegruppe zu, die die Tablets enthält.
Kommentar des Prüfers: PKCS ist hier die richtige Wahl, da die Geräte im Eigentum des Unternehmens stehen und vollständig verwaltet werden, was das Risiko beim Transport des privaten Schlüssels minimiert. Gerätezertifikate sind zwingend erforderlich, da die Tablets vor der Benutzeranmeldung Netzwerkzugriff benötigen. Durch die Verknüpfung mit der Azure AD-Geräte-ID kann Cisco ISE die spezifische Hardware-Ressource authentifizieren und dem korrekten, eingeschränkten Inventar-VLAN zuweisen.

Ein großes Lehrkrankenhaus erlaubt dem medizinischen Personal die Nutzung privater Smartphones (BYOD) für den Zugriff auf klinische Planungsanwendungen. Die Geräte sind über ein Arbeitsprofil in Intune registriert. Die Sicherheitsrichtlinie schreibt vor, dass keine Unternehmensdaten auf privaten Geräten gespeichert werden dürfen und der Netzwerkzugriff sofort entzogen werden muss, wenn ein Gerät kompromittiert wird. Wie sollte die WiFi-Authentifizierung gestaltet werden?

Das Krankenhaus muss SCEP-Benutzerzertifikate in Kombination mit Intune-Compliance-Richtlinien implementieren.

  1. Stellen Sie einen NDES-Server bereit, um Anfragen an die CA weiterzuleiten.
  2. Erstellen Sie ein SCEP-Benutzerzertifikatsprofil in Intune, wobei der SAN auf den User Principal Name ({{UserPrincipalName}}) konfiguriert ist.
  3. Erstellen Sie eine Intune-Compliance-Richtlinie, die eine Mindest-Betriebssystemversion, eine aktive Bildschirmsperre und keinen Jailbreak-/Root-Zugriff erfordert.
  4. Konfigurieren Sie die CA so, dass sie eine hochverfügbare Zertifikatssperrliste (CRL) veröffentlicht.
  5. Konfigurieren Sie den RADIUS-Server so, dass er bei jedem Authentifizierungsversuch eine strikte CRL-Prüfung erzwingt.
Kommentar des Prüfers: SCEP ist die einzig akzeptable Wahl für BYOD, da der private Schlüssel auf dem persönlichen Gerät generiert wird und nicht abgefangen werden kann. Benutzerzertifikate sind erforderlich, um die Netzwerkaktivität dem jeweiligen Kliniker für HIPAA-/GDPR-Audits zuzuordnen. Die entscheidende Komponente ist die Integration mit den Intune-Compliance-Richtlinien: Wird ein Gerät als nicht konform eingestuft, kann Intune den Widerruf des Zertifikats auslösen, und die CRL-Prüfung des RADIUS-Servers blockiert sofort den Netzwerkzugriff.

Übungsfragen

Q1. Ihre Organisation migriert von PEAP-MSCHAPv2 (Benutzername/Passwort) zu EAP-TLS für das Unternehmens-WiFi. Während der Pilotphase erhalten mehrere Windows 11-Laptops die Intune-Konfigurationsprofile erfolgreich, können sich jedoch nicht mit dem Netzwerk verbinden. Die Überprüfung der Windows-Ereignisprotokolle zeigt die Ereignis-ID 20271, was darauf hinweist, dass das Zertifikat des RADIUS-Servers abgelehnt wurde. Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie die Vertrauenskette, die für eine gegenseitige Authentifizierung erforderlich ist.

Musterlösung anzeigen

Den Geräten fehlt das Trusted Root CA-Zertifikat, das das Zertifikat des RADIUS-Servers ausgestellt hat. Bei EAP-TLS muss das Gerät die Identität des RADIUS-Servers validieren. Das IT-Team muss sicherstellen, dass das Profil "Vertrauenswürdiges Zertifikat", das die Root-CA (und alle Intermediate-CAs) enthält, über Intune auf den Geräten bereitgestellt und erfolgreich installiert wird, bevor das WiFi-Profil versucht, eine Verbindung herzustellen.

Q2. Ein Standort des öffentlichen Sektors implementiert 802.1X für Mitarbeitergeräte unter Verwendung von Intune und PKCS-Zertifikaten. Sie betreiben außerdem ein separates Besuchernetzwerk, das von einer Guest WiFi-Plattform verwaltet wird. Ein Auditor stellt fest, dass bei Diebstahl eines Mitarbeiter-Laptops das Zertifikat für 12 Monate gültig bleibt. Wie sollte der Netzwerkarchitekt dieses Risiko angehen?

Hinweis: Wie erfährt der Authentifizierungsserver, dass ein Zertifikat vor seinem Ablaufdatum nicht mehr gültig ist?

Musterlösung anzeigen

Der Architekt muss einen robusten Workflow zur Zertifikatssperrung (Certificate Revocation) implementieren. Stellen Sie erstens sicher, dass die CA eine Zertifikatssperrliste (CRL) an einem hochverfügbaren Verteilungspunkt veröffentlicht. Konfigurieren Sie zweitens den RADIUS-Server (z. B. NPS) so, dass bei jedem Authentifizierungsversuch eine CRL-Prüfung vorgeschrieben ist. Richten Sie schließlich ein Intune-Betriebsverfahren ein, um das Zertifikat jedes als verloren oder gestohlen gemeldeten Geräts explizit zu sperren, wodurch die CRL aktualisiert und der Netzwerkzugriff blockiert wird.

Q3. Sie entwerfen die Intune-Bereitstellung für eine Flotte gemeinsam genutzter Kiosk-Geräte in einer Einzelhandelsumgebung. Diese Geräte starten täglich neu und müssen sich sofort mit dem Unternehmensnetzwerk verbinden, um Updates herunterzuladen, bevor ein Benutzer mit ihnen interagiert. Sollten Sie Benutzerzertifikate oder Gerätezertifikate bereitstellen, und welches Format für den Subject Alternative Name (SAN) sollte verwendet werden?

Hinweis: Berücksichtigen Sie den Zustand des Geräts unmittelbar nach einem Neustart.

Musterlösung anzeigen

Sie müssen Gerätezertifikate bereitstellen. Da die Kioske vor der Anmeldung eines Benutzers Netzwerkzugriff benötigen, wäre ein Benutzerzertifikat beim Booten nicht verfügbar. Der Subject Alternative Name (SAN) im Intune-Zertifikatsprofil sollte so konfiguriert werden, dass er die Azure AD-Geräte-ID ({{AAD_Device_ID}}) oder den vollqualifizierten Domänennamen des Geräts verwendet, damit der RADIUS-Server das spezifische Hardware-Asset authentifizieren kann.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Leitfaden lesen →

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.

Leitfaden lesen →