Einführung & Hintergrund
Die zertifikatsbasierte Authentifizierung (CBA) ist eine der stärksten Methoden, um den Zugriff auf Microsoft 365, das Azure-Portal und andere durch Entra geschützte Anwendungen zu schützen. Viele Unternehmen möchten von den Vorteilen von CBA profitieren, etwa phishing-resistenter Authentifizierung, der Abschaffung von Passwörtern und einer starken Geräteidentität, möchten aber keine Zertifizierungsstelle betreiben oder zusätzlich für Microsoft Cloud PKI bezahlen.
Foxpass Cloud PKI bietet eine vollständig verwaltete private PKI, die auf allen Geräteplattformen funktioniert und sich nahtlos in Entra ID integriert, um CBA mit minimalem Aufwand zu ermöglichen. Dieser Leitfaden führt Sie durch:
Die Architektur für Entra CBA mit Foxpass Cloud PKI
Wie Foxpass Cloud PKI ClientAuth-Zertifikate ausstellt
So stellen Sie Zertifikate mit Ihrem MDM bereit
So richten Sie Entra CBA ein
So verwenden Sie dasselbe Zertifikat für Wi-Fi/VPN mit Foxpass Cloud RADIUS
Folgen Sie dieser Anleitung, und schon bald haben Sie eine funktionierende CBA-Bereitstellung mit Foxpass als Ihrer privaten PKI.
Referenzarchitektur für Entra CBA mit Foxpass Cloud PKI
Ein Diagramm, das zeigt, wie Foxpass Cloud PKI, MDM und Microsoft Entra ID für die zertifikatsbasierte Authentifizierung zusammenarbeiten.
Foxpass Cloud PKI stellt Geräten über das MDM der Organisation (z. B. Intune, Jamf, Iru/Kandji oder Addigy) Client-Authentifizierungszertifikate aus. Geräte legen diese Zertifikate bei der Anmeldung bei Microsoft Entra ID mit CBA vor. Entra validiert die Zertifikatskette, die Benutzerzuordnung und die EKU, bevor Zugriff auf Cloud-Apps gewährt wird.
Voraussetzungen & Anforderungen
Foxpass-Anforderungsliste
Foxpass Cloud PKI aktiviert
Client-CA erstellt und exportiert
SCEP-Endpunkt erstellt
MDM-Integration und/oder BYOD-Installer
Checkliste für Microsoft Entra-Anforderungen
Entra ID-Mandant
Zertifikatbasierte Authentifizierung aktiviert
Client-CA von Foxpass hochgeladen
SAN- (UPN/E-Mail-)Zuordnung definiert
Checkliste für MDM-Anforderungen
SCEP-Profilfunktion
Schritt-für-Schritt-Konfigurationsanleitung
1. Überprüfen oder erstellen Sie Ihre Client-CA in Foxpass
Foxpass Cloud PKI erfordert eine Client-CA (ausstellende Zertifizierungsstelle), um Gerätezertifikate zu signieren, die für Microsoft Entra CBA und EAP-TLS Wi-Fi/VPN verwendet werden.
Melden Sie sich in der Foxpass Console an und gehen Sie zu RADIUS → EAP-TLS
Falls noch keine Client-CA vorhanden ist, erstellen Sie jetzt eine:
Klicken Sie unter "Client Certificate Authorities" auf "Create new Client CA"
Bearbeiten Sie bei Bedarf den CA-Namen, die CA-Gültigkeit und den Gültigkeitszeitraum des Zertifikats und klicken Sie dann auf "Create CA"
3. Klicken Sie unter "Client Certificate Authorities" auf "CA herunterladen", um sie für später zu speichern
Sobald die Client-CA erstellt wurde, stellt Foxpass automatisch Client-Authentifizierungszertifikate (ClientAuth) EKU-Zertifikate, Zertifikate mit den richtigen Key-Usage-Erweiterungen sowie SAN-/Subject-Werte aus, die aus Ihrer MDM-Registrierung übernommen werden.
2. Stellen Sie sicher, dass ein Foxpass SCEP-Endpunkt vorhanden ist
Alle unterstützten MDMs verwenden SCEP, um Zertifikate von Foxpass anzufordern und zu erneuern.
Gehen Sie zu Foxpass Console → RADIUS → SCEP
Wenn bereits eine SCEP-Server-URL (eindeutiger Endpunkt) angezeigt wird, fahren Sie mit Schritt 4 fort
Klicken Sie auf "Create SCEP Endpoint" und vergeben Sie dann einen Namen, einen Verifizierungstyp, einen Authentifizierungstyp und wählen Sie die Client-CA aus Schritt 1 oben aus
Notieren Sie sich "Unique Endpoint" und "Challenge Password" für später
3. Zertifikate über Ihr MDM oder den Foxpass BYOD Certificate Installer bereitstellen
Sobald die Client-CA und der SCEP-Endpunkt eingerichtet sind, kann Ihr MDM Gerätezertifikate für Entra CBA ausstellen.
Foxpass unterstützt SCEP-fähige MDMs (Microsoft Intune, Jamf, Iru (Kandji), Addigy und weitere) sowie den Foxpass BYOD Certificate Installer (OAuth-basierte Registrierung).
Ihr MDM bestimmt den Subject/SAN (UPN oder E-Mail), das Verlängerungsverhalten und die Schlüsselerstellung. Foxpass signiert das Zertifikat und übernimmt den Widerruf.
Option A: Microsoft Intune
Schritt A1: Erstellen Sie ein SCEP-Zertifikatsprofil
Zum Intune Admin Center gehen
Gehen Sie zu Geräte → Konfigurationsprofile → Profil erstellen
Plattform auswählen (Windows, iOS/iPadOS, macOS, Android)
Profiltyp: SCEP-Zertifikat
Legen Sie die folgenden Schlüsseleinstellungen fest:
Einstellung | Wert |
SCEP-Server-URL | Foxpass SCEP „Eindeutiger Endpunkt“ |
Format des Betreffnamens | {{UserPrincipalName}} oder {{EmailAddress}} |
Schlüsselgröße | 2048 oder 4096 |
Hauptnutzung | Digitale Signatur, Schlüsselverschlüsselung |
EKU | Client-Authentifizierung |
Hash-Algorithmus | SHA-256 |
Verlängerungsschwelle | Empfohlen: 20–30 % |
Schritt A2: SCEP-Authentifizierung konfigurieren
Authentifizierungstyp → Gemeinsames Geheimnis
Geheimnis → Foxpass SCEP "Challenge Password" (aus der Foxpass Console)
Schritt A3: Zuweisen & validieren
Profil Benutzer-/Gerätegruppen zuweisen und überprüfen:
Zertifikat, ausgestellt von Foxpass Client CA
SAN/Betreff stimmt mit UPN oder E-Mail überein
EKU = Clientauthentifizierung
Option B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
Entra CBA erfordert Intune nicht für die Zertifikatsbereitstellung. Das bedeutet, dass Sie Entra CBA auch in Umgebungen nutzen können, die nicht von Intune verwaltet werden, einschließlich gemischter Apple Flotten, plattformübergreifender Bereitstellungen, EDU-Umgebungen, Geräten von Auftragnehmern/BYOD und Organisationen, die nicht von Microsoft stammende MDMs verwenden.
Diese MDMs folgen derselben zugrunde liegenden Logik wie Intune und verwenden SCEP, um Schlüssel auf dem Gerät zu generieren und Zertifikate von Foxpass anzufordern. Eine vollständige Anleitung für jede Option finden Sie hier:
Option C: BYOD-Geräte
Verwenden Sie das Foxpass BYOD Certificate Installer und führen Sie die folgenden Schritte aus:
Der Benutzer meldet sich per OAuth mit Microsoft Entra ID an (Hinweis: Die Google-Anmeldung des BYOD-Installationsprogramms kann nicht für Microsoft Entra CBA verwendet werden. CBA erfordert Zertifikate, die Entra-Identitäten zugeordnet sind.)
Foxpass stellt ein ClientAuth-Zertifikat aus
Das Zertifikat wird lokal installiert (kein MDM erforderlich)
Das ist ideal für Auftragnehmer, Studentengeräte (EDU) oder nicht verwaltete Endpunkte.
4. Laden Sie die Foxpass-Client-CA in Microsoft Entra hoch
Um diese Methode zu verwenden, muss Microsoft Entra Ihrer ausstellenden CA vertrauen.
Schritt 1: Laden Sie das Client-CA-Zertifikat herunter
Gehen Sie zu Foxpass Console → RADIUS → EAP-TLS
Laden Sie das Client-CA-Zertifikat herunter
Schritt 2: Laden Sie die Client-CA in Entra hoch
Gehen Sie zu Entra Admin Center → Schutz → zertifikatbasierte Authentifizierung → Zertifizierungsstellen
Laden Sie das Foxpass Client CA-Zertifikat hoch
5. Konfigurieren Sie die Microsoft Entra zertifikatbasierte Authentifizierung
Im Entra Admin Center:
Zertifikatbasierte Authentifizierung aktivieren
Wählen Sie Zuordnungsregeln aus:
SAN → UPN (empfohlen)
SAN → E-Mail
Erforderliche EKU → Client-Authentifizierung
Optional: Nach Aussteller oder Zertifikatsrichtlinie einschränken
Weitere Informationen zu erweiterten Zuordnungsregeln, EKU-Anforderungen, Ausstellerbeschränkungen und eine vollständige Anleitung zur Konfiguration von Entra CBA finden Sie in Microsoft Learn:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. Wenden Sie Richtlinien für bedingten Zugriff an
Erstellen Sie eine Richtlinie für bedingten Zugriff:
Benutzer: Beginnen Sie mit einer Testgruppe
Apps: Microsoft 365 oder alle Cloud-Apps
Gewähren: zertifikatbasierte Authentifizierung erforderlich
Optionale Erweiterungen:
Passwortbasierte Anmeldung blockieren
Nur konforme oder in die Domäne eingebundene Geräte zulassen
MFA-Fallback hinzufügen
7. Zertifikatbasierte Authentifizierung testen
Auf einem Gerät mit einem von Foxpass ausgestellten Zertifikat:
Besuchen Sie https://portal.office.com
Geben Sie Ihren Benutzernamen ein
Der Browser fordert zur Auswahl eines Zertifikats auf
Wählen Sie das von Foxpass ausgestellte Zertifikat aus
Die Authentifizierung erfolgt erfolgreich ohne Passwort
Wenn bei der Authentifizierung mit einem Zertifikat Probleme auftreten, vergewissern Sie sich, dass der Aussteller Foxpass Client CA ist und SAN/Subject mit der UPN/E-Mail übereinstimmt.
(Optional) Verwenden Sie dasselbe Foxpass-Zertifikat für Wi‑Fi/VPN (EAP-TLS)
Ein Vorteil der Nutzung von Foxpass Cloud PKI ist, dass dasselbe für Microsoft Entra CBA ausgestellte Gerätezertifikat auch für sicheren Wi-Fi- oder VPN-Zugriff über EAP-TLS mit Foxpass Cloud RADIUS verwendet werden kann.
Mit EAP-TLS können Unternehmen:
Setzen Sie Zero-Trust-Netzwerkzugriff durch
Schaffen Sie Passwörter für Wi-Fi und VPN ab
Stellen Sie sicher, dass nur Geräte mit einem gültigen, von Foxpass ausgestellten Zertifikat beitreten dürfen
Wenden Sie VLAN-Zuweisung, Gerätevertrauensregeln oder identitätsbasierte Richtlinien an
Nutzen Sie denselben Zertifikatslebenszyklus für Entra CBA-Cloudauthentifizierung und Netzwerkzugriff
Fazit
Die Verwendung von Foxpass Cloud PKI mit Microsoft Entra CBA und Ihrem MDM bietet Ihnen:
Eine vollständig verwaltete private PKI
Plattformübergreifende Zertifikatsausstellung
Automatisierte Verwaltung des Zertifikatslebenszyklus
Einheitliche Zertifikatsidentität für den SaaS-Zugriff und Wi-Fi/VPN (optional)
Nahtlose Integration mit Intune, Jamf, Iru (Kandji), Addigy und BYOD
Dieses Setup bietet einen modernen, passwortlosen, zertifikatbasierten Ansatz, um sowohl Identitäten als auch den Netzwerkzugriff zu schützen, ohne eine eigene CA zu betreiben.
