Wann SCEP und wann PKCS?

SCEP eignet sich für Gerätezertifikate (automatisch, skalierbar) und PKCS für Benutzerzertifikate oder spezielle Anwendungsfälle wie S/MIME und VPN. Beide können parallel in Intune betrieben werden.

Brauche ich NDES noch mit dem modernen Certificate Connector?

Für SCEP-Profile ja: Der moderne Intune Certificate Connector stellt die Verbindung zur NDES-Rolle her und sichert Anfragen ab. Für PKCS-Profile ist nur der Connector erforderlich.

Welche Kryptostandards werden eingesetzt?

Empfohlen sind RSA-2048/3072 oder ECC (je nach Gerätelandschaft); Hash-Algorithmen wie SHA-256. Lebensdauer & Key-Lifecycles richten sich nach BSI-/Unternehmensvorgaben.

Ist EAP-TLS besser als PEAP-MSCHAPv2?

Ja, EAP-TLS mit Zertifikaten bietet starke, phishingsichere Authentifizierung und ist die bevorzugte Methode für Unternehmens-WLAN. PEAP-MSCHAPv2 wird häufig aus Kompatibilitätsgründen abgelöst.

Funktioniert das mit macOS, iOS und Android?

Ja. Intune unterstützt SCEP/PKCS auf Windows, macOS, iOS/iPadOS und Android Enterprise. WLAN/VPN-Profile werden plattformspezifisch verteilt.

Intune Suite – AD/PKI, NDES & NPS/RADIUS mit Zertifikaten

Wir verbinden Active Directory & PKI (AD CS, Templates, NDES), Microsoft Intune (SCEP/PKCS-Profile) und NPS/RADIUS zu einer wartbaren Lösung für WLAN (EAP-TLS), VPN, S/MIME und Gerätekonformität – passwordless-ready, sicher und sauber dokumentiert. Dabei orientieren wir uns an BSI-Empfehlungen und den Microsoft-Best Practices.

Projekt anfragen Schnell ein Ticket erstellen

Intune Suite – Zertifikatsbasierte Authentifizierung

Kurzüberblick

AD CS (Root/Issuing), gehärtet; CRL/AIA & Key-Lifecycles
NDES & Certificate Connector (modern)
Intune-Profile: SCEP (Geräte) & PKCS (Benutzer)
NPS/RADIUS Policies, WLAN/VPN-Profile (EAP-TLS)
Conditional Access Baselines & Compliance Policies

Bausteine – alles aus einem Guss

AD-Struktur & Naming

OU-Design, Rollen-Gruppen, Service-Accounts, UPN-Plan, Sites & Services.

Windows Zertifikatserver

AD CS (Root/Issuing), Härtung, CRL/AIA, Templates (Gerät/Benutzer, EAP-TLS, S/MIME, VPN).

NDES & Connector

Modern Certificate Connector + NDES-Endpoint, Berechtigungen & Scopes.

Intune: SCEP & PKCS

Automatische Ausstellung/Erneuerung, Key-Protection (TPM/Secure Enclave).

NPS/RADIUS Policies

EAP-TLS, RADIUS-Clients, Accounting & Auditing (NPS).

WLAN/VPN-Profile

802.1X, WPA2-Enterprise, IKEv2; SSIDs nach Standort/Gruppe, Split-Tunneling.

CA-Trust & Crypto

RSA-2048/3072 (oder ECC), Hash-Algorithmen, CRL-Erreichbarkeit, OCSP.

Monitoring & Renewal

Ablaufüberwachung, Warnungen, Schlüssel-Lifecycle, Doku & Runbooks.

So arbeiten wir – Schritt für Schritt

1IST-Aufnahme

AD/Entra/Intune/NPS, DNS/Netz, Risiken & Ziele. Review nach Security Baselines.

2Konzept

Architektur, Template-Plan, CA/NDES-Design, Policy-Entwürfe, Rollout-Strategie.

3Umsetzung

AD CS/NDES, Connector, Intune-Profile, NPS-Policies, WLAN/VPN inkl. Change-Plan.

4Tests

Pilotgeräte/-user, Log-Analyse, Anpassungen, Dokumentation & Betriebshinweise.

5Go-Live

Übergabe, Schulung, optional Managed-Service/Monitoring.

Beispiel-Szenarien

Campus-WLAN ohne Passwörter

Geräte erhalten SCEP-Zertifikate via Intune; NPS akzeptiert nur EAP-TLS; Gäste-SSID getrennt (VLAN).

VPN mit Zertifikaten

PKCS-Benutzerzertifikate + Gerätekonformität. Conditional Access erlaubt nur compliant devices.

S/MIME & Signaturen

Benutzerzertifikate für Signatur/Verschlüsselung, Key-Protection & Revocation-Prozess.

IoT & Drucker

Gerätezertifikate (SCEP), VLAN-Zuweisung per RADIUS-Attribute, getrennte Netze.

Hybrid-Identitäten

AD DS ↔ Entra ID: UPN-Plan, Gruppen, Seamless SSO; Baselines für Conditional Access.

Plattformen & Unterstützung

Windows

Geräte-SCEP, Benutzer-PKCS, WLAN/VPN-Profile über Intune; LAPS & BitLocker möglich.

macOS

PKCS/SCEP mit Company Portal; WLAN (802.1X) & VPN-Profile, Keychain-Schutz.

iOS/iPadOS

SCEP-Gerätezertifikate, per-App-VPN & Mail-Profile; Managed Open-In.

Android

Android Enterprise (Work Profile/Fully Managed), SCEP/PKCS, Zertifikatsgebundenes WLAN.

Dein Ansprechpartner

Ali Sasanipour – CEO
Pragmatisch, sicher, dokumentiert. Wir übergeben lauffähige Profile, Policies & Runbooks.

Erstgespräch buchen Zur Übersicht

HUGETEC