Freigeben über


Vorbereiten von Zertifikaten und Netzwerkprofilen für HoloLens 2

Die zertifikatbasierte Authentifizierung wird häufig von Kunden benötigt, die HoloLens 2 verwenden. Möglicherweise benötigen Sie Zertifikate für den WLAN-Zugriff, zum Herstellen einer Verbindung mit VPN-Lösungen oder für den Zugriff auf interne Ressourcen in Ihrem Unternehmen.

HoloLens 2-Geräte werden in der Regel mit Azure AD (Azure Active Directory) verbunden und über Intune oder einen anderen MDM-Anbieter verwaltet. Daher müssen Sie diese Zertifikate mit einem SCEP- (Simple Certificate Enrollment Protocol) oder einer PKCS-Zertifikatinfrastruktur (Public Key Cryptography Standard) bereitstellen, die in Ihre MDM-Lösung integriert ist.

Hinweis

Wenn Sie keinen MDM-Anbieter haben, können Sie die Zertifikate trotzdem über ein Bereitstellungspaket in Windows-Konfigurations-Designer oder über den Zertifikat-Manager bereitstellen, indem Sie Einstellungen > Update & Sicherheit > Zertifikat-Manager auswählen.

Zertifikatanforderungen

Für die Bereitstellung von Zertifikaten über eine SCEP- oder PKCS-Infrastruktur sind Stammzertifikate erforderlich. Andere Anwendungen und Dienste in Ihrem Unternehmen erfordern möglicherweise, dass Stammzertifikate auch für Ihre HoloLens 2-Geräte bereitgestellt werden. 

Anforderungen an die WLAN-Verbindung

Wenn Sie zulassen möchten, dass ein Gerät automatisch mit der für Ihr Unternehmensnetzwerk erforderlichen WLAN-Konfiguration ausgestattet wird, benötigen Sie ein WLAN-Konfigurationsprofil. Sie können Intune oder einen anderen MDM-Anbieter so konfigurieren, dass diese Profile auf Ihren Geräten bereitgestellt werden. Wenn es zum Schutz Ihres Netzwerks erforderlich ist, dass die Geräte der lokalen Domäne angehören, müssen Sie möglicherweise auch Ihre WLAN-Netzwerkinfrastruktur überprüfen, um sicherzustellen, dass sie mit HoloLens 2-Geräten kompatibel ist (HoloLens 2-Geräte sind nur in Azure AD eingebunden).

Bereitstellen der Zertifikatinfrastruktur

Wenn noch keine SCEP- oder PKCS-Infrastruktur vorhanden ist, müssen Sie eine solche vorbereiten. Für die Unterstützung der Verwendung von SCEP- oder PKCS-Zertifikaten für die Authentifizierung erfordert Intune die Verwendung eines Zertifikatconnectors.

Hinweis

Wenn Sie SCEP mit einer Microsoft-Zertifizierungsstelle verwenden, müssen Sie auch NDES (Network Device Enrollment Service) konfigurieren.

Weitere Informationen finden Sie unter Konfigurieren eines Zertifikatprofils für Ihre Geräte in Microsoft Intune.

Bereitstellen von Zertifikaten und WLAN-/VPN-Profilen

Wichtig

Auf HoloLens Geräten werden VPN-Profile auf dem Gerätebereich angewendet und gelten für alle Benutzer.

Führen Sie die folgenden Schritte aus, um Zertifikate und Profile bereitzustellen:

  1. Erstellen Sie für jedes der Stamm- und Zwischen-Zertifikate ein Profil (siehe Erstellen vertrauenswürdiger Zertifikatsprofile.) Jedes dieser Profile muss eine Beschreibung mit einem Ablaufdatum im Format TT/MM/JJJJ aufweisen. Zertifikatprofile ohne Ablaufdatum werden nicht bereitgestellt.

  2. Erstellen Sie ein Profil für jedes SCEP- oder PKCS-Zertifikat (siehe Erstellen eines SCEP-Zertifikatprofils oder Erstellen eines PKCS-Zertifikatprofils). Jedes dieser Profile muss eine Beschreibung aufweisen, die ein Ablaufdatum im Format TT/MM/YYYY enthält. Zertifikatprofile ohne Ablaufdatum werden nicht bereitgestellt.

    Hinweis

    Da HoloLens 2 von vielen als freigegebenes Gerät (mehrere Benutzer pro Gerät) angesehen wird, empfiehlt es sich, wenn möglich Gerätezertifikate anstelle von Benutzerzertifikaten für die WLAN-Authentifizierung bereitzustellen

  3. Erstellen Sie ein Profil für jedes unternehmensspezifische WLAN-Netzwerk (siehe WLAN-Einstellungen für Windows 10-Geräte und höher).

    Hinweis

    Es empfiehlt sich, WLAN-Profile möglichst Gerätegruppen statt Benutzergruppen zuzuweisen.

    Tipp

    Sie können auch ein funktionierendes WLAN-Profil von einem Windows 10-PC in Ihrem Unternehmensnetzwerk exportieren. Mit diesem Export wird eine XML-Datei mit allen aktuellen Einstellungen erstellt. Importieren Sie dann diese Datei in Intune, und verwenden Sie sie als WLAN-Profil für Ihre HoloLens 2-Geräte. Weitere Informationen finden Sie unter Exportieren und Importieren von WLAN-Einstellungen für Windows-Geräte.

  4. Erstellen Sie ein Profil für jedes Unternehmens-VPN (siehe Windows 10 und Windows Holographic-Geräteeinstellungen, um VPN-Verbindungen mit Intune hinzuzufügen).

Problembehandlung

Problem: Bei Verwendung der zertifikatbasierten Authentifizierung kann keine Verbindung mit dem Netzwerk hergestellt werden.

Symptome

Vom Gerät kann bei Verwendung der zertifikatbasierten Authentifizierung keine Netzwerkverbindung hergestellt werden.

Schritte zur Problembehandlung

  1. Wenn Sie überprüfen müssen, ob ein Zertifikat korrekt eingesetzt wird, verwenden Sie bitte den Zertifikat-Manager auf dem Gerät, um zu überprüfen, ob Ihr Zertifikat vorhanden ist.

    Warnung

    Sie können mit MDM bereitgestellte Zertifikate zwar im Zertifikat-Manager anzeigen, aber nicht im Zertifikat-Manager deinstallieren. Sie müssen sie über MDM deinstallieren.

  2. Für Intune gilt: Wenn Zertifikate unter Verwendung des Simple Certificate Enrollment-Protokolls (SCEP) bereitgestellt werden, muss die NDES-Server-URL (Network Device Enrollment Service, Registrierungsdienst für Netzwerkgeräte) vom Gerät aus erreichbar sein. Setupbezogene Informationen finden Sie unter SCEP-Zertifikate in Intune. Wenn für den NDES-Server CNAME anstelle einer vollqualifizierten Domäne verwendet wird, stellen Sie sicher, dass er ordnungsgemäß aufgelöst wird, indem Sie die URL auf dem Gerät in einen Webbrowser eingeben.