Blog

Wichtiges Update für alle, die Zertifikate für Single Sign-on verwenden

Einleitung Verwenden Sie die zertifikatsbasierte Authentifizierung (CBA), beispielsweise zur Validierung von Intranet- oder Datei-/Druckservern? Dann sollten Sie unbedingt weiterlesen! Wie wir bereits im Januar berichtet haben, arbeitet Microsoft an einer Reihe von Initiativen, um die Verwendung von Zertifikaten über Active Directory Kerberos Key Distribution (KDC) noch sicherer zu machen. Eine dieser Initiativen sieht vor, dass […]

Einleitung

Verwenden Sie die zertifikatsbasierte Authentifizierung (CBA), beispielsweise zur Validierung von Intranet- oder Datei-/Druckservern? Dann sollten Sie unbedingt weiterlesen!

Wie wir bereits im Januar berichtet haben, arbeitet Microsoft an einer Reihe von Initiativen, um die Verwendung von Zertifikaten über Active Directory Kerberos Key Distribution (KDC) noch sicherer zu machen. Eine dieser Initiativen sieht vor, dass Client-Zertifikate eine Benutzer-Sicherheitskennung (SID) enthalten müssen. Diese Änderung, die auch als „starkes Mapping” bezeichnet wird, tritt mit dem Windows-Update von Microsoft nach dem 10. September 2025 in Kraft.

Zertifikate, die keine SID enthalten, werden nicht mehr validiert. Benutzer mit alten Zertifikaten verlieren den Zugriff auf WLAN, VPN und Intranet-Ressourcen über Kerberos SSO.

In diesem Blogbeitrag erfahren Sie, wie Sie überprüfen können, ob Ihre Lösung für den 10. September 2025 bereit ist. Außerdem erklären wir Ihnen, wie Sie das Update in Intune, Jamf, MobileIron und Workspace ONE implementieren können. Denken Sie daran, dass die Aktualisierung aller Client-Zertifikate viel Zeit in Anspruch nehmen kann. Wir empfehlen Ihnen daher dringend, jetzt mit der Aktualisierung Ihrer Systeme zu beginnen. An dieser Arbeit sind wahrscheinlich mehrere Abteilungen beteiligt:

1. Network & Security
2. Active Directory / Identity team
3. Endpoint / Client management

Wenn Sie Fragen haben oder Hilfe benötigen, schreiben Sie uns jederzeit unter [email protected].

So überprüfen Sie, ob Sie betroffen sind 

1. Melden Sie sich mit Administratorrechten bei Ihrem Domaincontroller an.
2. Wenn das Ereignisprotokoll „System“ die IDs 39, 41, 40, 48 oder 49 enthält, sind Sie von der strengen Zuordnungsanforderung betroffen.

Was passiert wenn Sie nicht bereit sind?

Ab dem 10. September 2025 werden alle Authentifizierungsversuche mit Zertifikaten ohne gültige SID von Domänencontrollern abgelehnt. WLAN, VPN, Anmeldung und Zugriff auf Intranetressourcen über Kerberos SSO schlagen für Benutzer und Geräte mit alten Zertifikaten ohne SID fehl.

Alle Plattformen, die Kerberos für SSO verwenden, sind davon betroffen: Windows, Mac, iOS und Android.

Was sollten Sie jetzt tun?

Wir empfehlen, die eindeutige Zuordnung in den folgenden Schritten umzusetzen:

1. Aktualisieren Sie die SID in Ihrer MDM-Lösung.
2. Testen Sie die Lösung, indem Sie das neue Zertifikat von einem neuen Gerät aus verwenden.
3. Verteilen Sie das neue Zertifikat auf Ihren Geräten.
4. Stellen Sie sicher, dass das Profil rechtzeitig vor dem 10. September auf allen Geräten bereitgestellt wurde.

Nachfolgend finden Sie Anweisungen zum Aktualisieren der SID in den am häufigsten verwendeten MDM-Plattformen (Intune, Jamf, Workspace ONE und Ivanti/MobileIron).

Microsoft Intune 

Fügen Sie dem Subject Alternative Name (SAN) in Ihrem/Ihren SCEP-Profil(en) einen neuen URI-Tag hinzu:

1. Öffnen Sie das Intune-Verwaltungsportal.
2. Gehen Sie zu „Geräte“ → „Konfiguration“.
3. Suchen Sie alle „SCEP-Zertifikat“-Richtlinien. Es kann mehrere für verschiedene Plattformen geben, aber bearbeiten Sie nur die Profile für Benutzer, nicht für Geräte.
4. Aktualisieren Sie die SCEP-Profile, indem Sie unter „Subject Alternative Name (SAN)“ ein neues Attribut hinzufügen:
   • Attributtyp: URI
   • Wert: {{OnPremisesSecurityIdentifier}}
5. Die Geräte müssen dann ihre Zertifikate erneuern (z. B. durch eine Änderung des SSO-Profils unter Verwendung des Zertifikats).

Mehr Details finden Sie in diesem Artikel: Implementing Strong Mapping in Microsoft Intune.

Jamf Pro 

Für Computer und Geräte:

1. Öffnen Sie das Jamf Pro-Portal.
2. Gehen Sie zu Einstellungen → Geräteverwaltung → Bestandserfassung und stellen Sie sicher, dass „Benutzer- und Standortinformationen aus dem Verzeichnisdienst erfassen“ aktiviert ist.
3. Gehen Sie zu Einstellungen → Computerverwaltung → Erweiterungsattribute.
4. Erstellen Sie ein Erweiterungsattribut (z. B. OnPremisesSecurityIdentifier) mit den folgenden Werten:
   • Datentyp = Zeichenfolge
   • Bestandsanzeige = Benutzer und Standort
   • Eingabetyp = Zuordnung von Verzeichnisdienstattributen
   • Bei Verwendung von Entra ID: Verzeichnisdienstattribut = OnPremisesSecurityIdentifier
   • Bei Verwendung von klassischem AD: Verzeichnisdienstattribut = ObjectSID
5. Suchen Sie die Verzeichnisdienst-Attributvariable für das soeben erstellte Erweiterungsattribut (z. B. $EXTENSIONATTRIBUTE_4822).
6. Das Feld wird für Geräte aktualisiert, wenn Jamf Pro die nächste Inventaraktualisierung für das Gerät durchführt.
7. Gehen Sie zu „Konfigurationsprofile“ und wählen Sie die für Kerberos SSO verwendeten Profile aus.
   In jedem Profil:
   • – Gehen Sie entweder zu SCEP oder Zertifikat-Nutzlast.
   • – Gehen Sie zu Subject Alternative Name Value (Alternativer Name des Subjekts).
   • – Fügen Sie einen SAN URI TYPE mit SAN NAME hinzu:
     tag:microsoft.com,2022-09-14:sid:$EXTENSIONATTRIBUTE_
     (ersetzen Sie # durch den Wert aus Schritt 5)

Mehr Details: Supporting Microsoft Active Directory Strong Certificate Mapping Requirements.

MobileIron 

Dieser Leitfaden behandelt das Produkt MobileIron On-Prem. Wenn Sie MobileIron Cloud (Ivanti Neurons for UEM) verwenden, wenden Sie sich bitte an uns, um Unterstützung zu erhalten.

1. Öffnen Sie das Admin-Portal.
2. Gehen Sie zu „Richtlinien und Konfigurationen“ → „Konfigurationen“.
3. Wählen Sie das Zertifikatsregistrierungsprofil aus, das Zertifikate aus Ihrer PKI ausstellt und für Kerberos SSO verwendet wird.
4. Aktivieren Sie „Microsoft-Benutzersicherheitskennung“ im Profil.
5. Die Geräte müssen dann ihre Zertifikate erneuern (z. B. durch eine Änderung des SSO-Profils unter Verwendung des Zertifikats).

Mehr Details: Impact of KB5014754 on MobileIron Core.

Workspace ONE 

Workspace ONE bietet verschiedene Lösungen an. Der allgemeine Ansatz lautet:

1. Öffnen Sie das Admin-Portal.
2. Gehen Sie zu Alle Einstellungen → System → Unternehmensintegration → Zertifizierungsstellen → Vorlagen anfordern.
3. Aktivieren Sie für jede Vorlage, die für Zertifikate zur AD-Validierung verwendet wird, die Option Sicherheitsbezeichner (SID) einbeziehen. Speichern Sie die aktualisierte Vorlage.
4. Die Geräte müssen dann ihre Zertifikate erneuern (z. B. durch erneutes Pushen der Profile, die die Kerberos-SSO-Konfiguration enthalten).

Mehr Details: Changes in Certificate Management in UEM for Microsoft

Hinweis: Je nachdem, ob Sie ADCS oder SCEP/NDES verwenden, gibt es unterschiedliche Lösungen. Außerdem unterstützen nur die neuesten Versionen von Workspace ONE die SID-Erweiterung mit SCEP.

XenMobile 

Laut Citrix wird die Unterstützung für SIDs in XenMobile 10.16 RP 6 verfügbar sein, das voraussichtlich Ende August 2025 erscheinen wird.