Intune Suite – AD/PKI, NDES & NPS/RADIUS mit Zertifikaten

Ich verbinde Active Directory & PKI (AD CS, Templates, NDES), Intune (SCEP & PKCS) und NPS/RADIUS zu einer stabilen Lösung für WLAN (EAP-TLS), VPN, S/MIME und Gerätekonformität – passwortfrei, sicher und wartbar.

Intune Suite – Zertifikatsbasierte Authentifizierung
Kurzüberblick
  • AD CS (Root/Issuing), Templates & Key-Lifecycles
  • NDES & Microsoft Certificate Connector (modern)
  • Intune-Profile: SCEP (Geräte) & PKCS (Benutzer)
  • NPS/RADIUS Policies, WLAN/VPN-Profile (EAP-TLS)
  • CA-Trust, CRL/AIA, Conditional Access Baselines

Bausteine – alles aus einem Guss

AD-Struktur & Naming

OU-Design, Gruppenmodell, Service-Accounts, Namenskonventionen.

Windows Zertifikatserver

AD CS (Root/Issuing), Härtung, CRL/AIA, Templates (User/Device, EAP-TLS, S/MIME, VPN).

NDES & Connector

Microsoft Certificate Connector (modern), NDES-Endpoint & Rechtemodell.

Intune: SCEP & PKCS

Geräte-/Benutzerzertifikate, automatische Erneuerung, Key-Protection.

NPS/RADIUS Policies

EAP-TLS, RADIUS Clients, Accounting/Auditing, Health-Checks.

WLAN/VPN-Profile

802.1X, WPA2-Enterprise, IKEv2/OpenVPN/WireGuard; SSIDs nach Standort/Gruppe.

CA-Trust & Berechtigungen

Root/Issuing-CA im Trust-Store, CRL/AIA-Reachability, Break-Glass-Zugänge.

Monitoring & Renewal

Ablaufüberwachung, Warnungen, geplante Renewal-Jobs & Doku.

So arbeiten wir – Schritt für Schritt

1IST-Aufnahme

Remote oder persönlich. Bestand (AD/Entra/Intune/NPS), Ziele, Risiken, DNS/Netz.

2Konzept (bei Bedarf)

Architektur, Template-Plan, CA-/NDES-Design, Policy-Entwürfe, Rollout-Strategie.

3Umsetzung & Planung

AD CS/NDES, Connector, Intune-Profile, NPS-Policies, WLAN/VPN – inkl. Change-Plan.

4Testphase

Pilotgeräte/-user, Logs, Anpassungen, Dokumentation & Betriebshinweise.

5Abschluss

Go-Live, Schulung, Übergabe & optional Managed-Service.

Beispiel-Szenarien

Campus-WLAN ohne Passwörter

Geräte erhalten SCEP-Zertifikate via Intune, NPS akzeptiert nur EAP-TLS, Gäste-WLAN bleibt separiert.

VPN mit Zertifikaten

PKCS für Benutzer + Gerätekonformität. Conditional Access: Zugriff nur für compliant devices.

S/MIME & Signaturen

Benutzerzertifikate für Signatur/Verschlüsselung, Key-Protection & Revocation-Prozess.

IoT & Drucker

Gerätezertifikate (SCEP) + VLAN-Zuweisung über RADIUS-Attribute, Trennung der Netze.

Hybrid-Identitäten

AD DS ↔ Entra ID: UPN-Plan, Gruppen, Seamless SSO, Baselines für Conditional Access.

Dein Ansprechpartner

Ali Sasanipour – CEO
Ich setze das für dich auf – pragmatisch, sicher und sauber dokumentiert.