Zwei Verwaltungsmodelle in Microsoft-Umgebungen

Microsoft-Infrastrukturen bestehen meist aus zwei parallelen Verwaltungsmodellen.
Auf der einen Seite steht die cloudbasierte Geräteverwaltung über Microsoft Intune.
Auf der anderen Seite bleibt die klassische Active-Directory-Domänenwelt mit lokal verwalteten Windows-Systemen ein zentraler Bestandteil vieler IT-Landschaften.
Beide Bereiche nutzen digitale Zertifikate, um Geräte, Benutzer und Dienste eindeutig zu identifizieren. Die technischen Mechanismen zur Zertifikatsverteilung unterscheiden sich jedoch deutlich.
In Intune-Umgebungen erfolgt die Zertifikatsverteilung in der Regel über SCEP (Simple Certificate Enrollment Protocol).
Domänengebundene Windows-Systeme erhalten Zertifikate dagegen automatisch über Auto Enrollment, gesteuert durch Gruppenrichtlinien.
Diese beiden Mechanismen haben sich unabhängig voneinander entwickelt und bilden zwei unterschiedliche Wege im Zertifikatsmanagement von Microsoft-Umgebungen.

Hybrid PKI in Microsoft-Infrastrukturen

Viele Organisationen betreiben heute hybride Infrastrukturen, in denen beide Modelle parallel existieren. Mobile Geräte, Cloud-verwaltete Endpunkte und klassische Windows-Systeme greifen gleichzeitig auf digitale Zertifikate zu.
In hybriden Infrastrukturen entstehen häufig getrennte Prozesse für die Zertifikatsverteilung. Auch die zugrunde liegende PKI ist in manchen Fällen eng an eine Microsoft-Zertifizierungsstelle gebunden.
Organisationen mit bestehenden PKI-Strukturen oder mit strategischen Anforderungen an ihre kryptografische Infrastruktur verfolgen jedoch oft einen anderen Ansatz. Sie möchten Zertifizierungsstellen flexibel auswählen und ihre Vertrauensinfrastruktur unabhängig von einzelnen Plattformen betreiben.
Dafür ist eine Architektur erforderlich, die beide Microsoft-Mechanismen unterstützt und gleichzeitig eine einheitliche Hybrid PKI integriert.

Integration von Certificate Enrollment in eine zentrale PKI

Eine Möglichkeit besteht darin, die beiden Enrollment-Mechanismen von Microsoft über Adapter in eine zentrale Infrastruktur für Zertifikatsmanagement einzubinden.
Die Plattform essendi xc verfolgt diesen Ansatz mit zwei Komponenten:

  • einem SCEP-Adapter für Intune-verwaltete Geräte
  • einem Auto-Enrollment-Adapter für Active-Directory-Umgebungen

Beide Adapter integrieren sich in die bestehenden Microsoft-Mechanismen und verbinden diese mit einer zentralen PKI.
Organisationen können ihre Zertifikate nach wie vor über die bekannten Microsoft-Prozesse beziehen, während die Ausstellung über unterschiedliche Zertifizierungsstellen erfolgen kann.

Device Identity und Geräte-Zertifikate in Intune

Der SCEP-Adapter stellt die Verbindung zwischen Microsoft Intune und der Zertifikatsinfrastruktur von essendi xc her.
Intune nutzt das SCEP-Protokoll zur Zertifikatsverteilung. Der Adapter übernimmt die Kommunikation mit der PKI und stellt Device Certificates für verwaltete Geräte bereit.
Diese Zertifikate bilden die Grundlage für eine eindeutige Device Identity und ermöglichen certificate-based authentication für Geräte in modernen Sicherheitsarchitekturen.
Typische Einsatzbereiche in Intune-Umgebungen sind:

  • Geräteidentitäten für mobile Endpunkte
  • Zertifikate für Zero-Trust-Architekturen
  • Authentifizierung von Geräten in Cloud-basierten Arbeitsumgebungen

Da essendi xc CA-unabhängig arbeitet, kann die Zertifikatsausstellung über unterschiedliche Zertifizierungsstellen erfolgen.

Integration von Auto Enrollment in Active Directory

Für klassische Windows-Umgebungen stellt der Auto-Enrollment-Adapter die Verbindung zu Active Directory her.
Windows-Clients und Server beziehen ihre Zertifikate weiterhin automatisch über Gruppenrichtlinien. Der Adapter sorgt dafür, dass diese Prozesse mit der PKI von essendi xc funktionieren.
Bestehende Windows-Infrastrukturen bleiben dabei unverändert. Gruppenrichtlinien, Enrollment-Mechanismen und etablierte Verwaltungsprozesse können weiter genutzt werden.
Häufige Einsatzszenarien in Active-Directory-Umgebungen sind:

  • Zertifikate für Domänencomputer
  • Zertifikate für Benutzeridentitäten
  • Zertifikate für interne Dienste und Anwendungen

Certificate Lifecycle Management in hybriden PKI-Umgebungen

Wenn beide Adapter kombiniert eingesetzt werden, lassen sich Cloud-verwaltete Geräte und klassische Windows-Systeme über eine gemeinsame PKI versorgen.
Mobile Endpunkte, Intune-Geräte und Domänencomputer können ihre Device Certificates damit aus derselben Vertrauensinfrastruktur beziehen. Dadurch entsteht eine konsistente Grundlage für certificate-based authentication und für automatisiertes Certificate Lifecycle Management.
Eine solche Architektur schafft mehrere strukturelle Vorteile:

  • Zentrale Verwaltung der Zertifikate innerhalb dieser Infrastruktur
  • Einheitliche Prozesse für Ausstellung, Verlängerung und Sperrung
  • Integration unterschiedlicher Zertifizierungsstellen
  • Konsistente Geräte- und Benutzeridentitäten

Diese Struktur erleichtert die Verwaltung wachsender Zertifikatsbestände und reduziert manuelle Abläufe im Zertifikatsmanagement.

PKI Automation und kryptografische Infrastruktur

In vielen Organisationen wächst die Zahl digitaler Zertifikate kontinuierlich. Gleichzeitig verändern neue Technologien die Anforderungen an kryptografische Infrastruktur.
Dazu gehören beispielsweise:

  • Zunehmende PKI automation im Zertifikatsmanagement
  • Hybride Cloud- und On-Premises-Architekturen
  • Vorbereitung auf Post-Quanten-Kryptographie

PKI-Plattformen müssen daher unterschiedliche Betriebsmodelle integrieren und den gesamten Lebenszyklus digitaler Zertifikate abbilden.
Adapter für SCEP und Auto Enrollment verbinden in diesem Kontext die beiden Microsoft-Mechanismen mit einer gemeinsamen Infrastruktur für Zertifikats- und Vertrauensmanagement.

Abonnieren Sie den kostenfreien
essendi it Newsletter

JETZT ANMELDEN UND INFORMIERT BLEIBEN.