In einer vernetzen Welt ist es mittlerweile zum Standard geworden, von überall zu arbeiten, und auch neben klassischen Desktopcomputern mit mobilen Endgeräten wie Smartphones oder Tablets zu arbeiten. Solche Endgeräte werden üblicherweise mittels Mobile Device Management (MDM) Systemen wie Microsoft Intune verwaltet.
Um Zugriff auf Unternehmensressourcen zu erhalten, benötigen die Benutzer mobiler Endgeräte in den meisten Fällen digitale Zertifikate, um ihre Identität unter Beweis stellen zu können. Somit ist es erforderlich, diesen Geräten eine automatisierbare und dennoch sichere Schnittstelle für die Beantragung dieser Zertifikate bereitzustellen.
Die Zertifikatbeantragung für mit Microsoft Intune verwaltete Endgeräte stehe vor der Herausforderung, dass die Geräte nicht wie klassische Bürocomputer mit dem Unternehmensnetzwerk verbunden sind, sondern in der Regel über Mobilfunk (engl. Over the Air, OTA) verwaltet werden.
Ebenso verfügen die Geräte (im Gegensatz zu deren Benutzern) nicht über ein Konto im Active Directory Verzeichnisdienst.
Microsoft hat sich daher entschieden, die Zertifikatbeantragung für mit Intune verwaltete Endgeräte über den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) abzubilden.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Funktionsweise
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Auf dem NDES-Server wird der Intune Certificate Connector installiert. Dieser bringt ein Policy Modul für NDES mit, sodass dieser NDES-Server nicht mehr abseits von Intune verwendet werden kann.
- Intune beantragt für das betreffende verwaltete Endgerät ein Einmalkennwort (engl. One time password, OTP) beim NDES-Server.
- Das Einmalkennwort wird an das verwaltete Endgerät übermittelt. In diesem Zug wird dem Endgerät auch die öffentliche Adresse des NDES-Servers mitgeteilt.
- Das verwaltete Endgerät erstellt nun einen Zertifikatantrag und beantragt nun über das Internet von dem NDES-Server unter Verwendung des erhaltenen OTP ein Zertifikat für den Benutzer.
- Der NDES-Server leitet die Zertifikatanfrage per DCOM-Protokoll an die Zertifizierungsstelle weiter.
Wie man dem Ablauf und der entsprechenden Dokumentation entnehmen kann, muss der NDES-Server aus dem Internet erreichbar sein:
To allow devices on the internet to get certificates, you must publish your NDES URL external to your corporate network. To do this, you can use a reverse proxy like Azure AD Application Proxy, Microsoft’s Web Application Proxy Server, or a third-party reverse proxy service or device.
Configure infrastructure to support SCEP with Intune (Microsoft Corporation)
Weiterführende Links:
- Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)
Externe Quellen
- Certificate Connector for Microsoft Intune (Microsoft Corporation)
- Configure infrastructure to support SCEP with Intune (Microsoft Corporation)