

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren Sie Omnissa Workspace ONE für Connector für SCEP
<a name="connector-for-scep-omnissa"></a>

Sie können es AWS Private CA als externe Zertifizierungsstelle (CA) mit dem Omnissa Workspace ONE UEM-System (Unified Endpoint Management) verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration von Omnissa Workspace ONE, nachdem Sie einen SCEP-Connector in erstellt haben. AWS

## Voraussetzungen
<a name="prerequisites"></a>

Bevor Sie einen SCEP-Connector für Omnissa Workspace ONE erstellen, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Erstellen Sie eine private Zertifizierungsstelle in der Konsole. AWS Weitere Informationen finden Sie unter [Erstellen Sie eine private CA in AWS Private CA](create-CA.md).
+ Erstellen Sie einen SCEP-Connector für allgemeine Zwecke. Weitere Informationen finden Sie unter [Einen Konnektor erstellen](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Verfügen Sie über ein aktives Administratorkonto für die Omnissa Workspace ONE-Umgebung mit einer Organisationsgruppen-ID.
+ Wenn Sie ein Apple-Gerät registrieren, konfigurieren Sie den Apple Push Notification Service (APNs) für MDM. Weitere Informationen finden Sie in der Omnissa-Dokumentation unter [APNs Zertifikate](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html).

## Schritt 1: Definieren Sie eine Zertifizierungsstelle und eine Vorlage in Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Nachdem Sie eine private CA und einen SCEP-Connector in der AWS Konsole erstellt haben, definieren Sie die Zertifizierungsstelle und die Vorlage in Omnissa Workspace ONE.

**AWS Private CA Als Zertifizierungsstelle hinzufügen**

1. Wählen Sie im Menü **System** die Option **Enterprise Integration** und dann **Certificate Authorities** aus.

1. Wählen Sie **\$1 HINZUFÜGEN** und geben Sie die folgenden Informationen ein:
   + **Name**: AWS-Private-CA.
   + **Beschreibung**: AWS Private CA für die Ausstellung von Gerätezertifikaten.
   + **Autoritätstyp**: Wählen Sie **Generic SCEP** aus.
   + **SCEP-URL**: Geben Sie die SCEP-URL von ein. AWS Private CA
   + **Challenge-Typ****: Wählen Sie STATIC aus.**
   + **Statische Herausforderung**: Geben Sie das statische SCEP-Challenge-Passwort aus der Connector-Konfiguration für die SCEP-Konfiguration in der AWS Konsole ein.
   + **Geben Sie die Werte „**Timeout für Wiederholungen**“ und „Max. Wiederholungen“ ein.**

1. Speichern Sie die Konfiguration.

**Erstellen Sie eine Zertifikatsvorlage**

1. Wählen Sie im Menü **System** die Option **Enterprise Integration**, wählen Sie **Certificate Authorities** und dann **Templates** aus.

1. Wählen Sie **Vorlagen hinzufügen** und geben Sie die folgenden Informationen ein:
   + **Name der Vorlage**: Device-Cert-Template.
   + **Zertifizierungsstelle**: Wählen Sie **AWS-Private-CA**.
   + **Betreffname**: Dies ist ein anpassbares Feld. Sie können Variablenwerte aus einer Liste von Attributen auswählen. Zum Beispiel CN= \$1DeviceReportedName\$1, O= \$1DevicePlatform\$1, OU= \$11\$1 CustomAttribute
   + **Länge des privaten Schlüssels: 2048** Bit.
   + **Typ des privaten Schlüssels**: Wählen Sie nach **Bedarf Signieren** und **Verschlüsselung** aus
   + **Automatische Verlängerung**: Enabled/Disabled (Je nach Ihren Bedürfnissen).

1. Speichern Sie die Vorlage.

## Schritt 2: Richten Sie eine Omnissa Workspace ONE UEM-Profilkonfiguration ein
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Erstellen Sie ein Profil in Omnissa Workspace ONE UEM, das Geräte an Connector for SCEP weiterleitet, um ein Zertifikat auszustellen.

**Erstellen Sie ein SCEP-Geräteprofil für die Zertifikatsverteilung**

1. **Wählen Sie im Menü **Ressourcen** die Option **Profile & Baselines** und dann Profile aus.**

1. **Wählen Sie „**Hinzufügen“ und dann „Profil hinzufügen**“**

1. Wählen Sie die Geräteplattform aus (**Android**, **iOS**, **macOS**, **Windows**).

1. Stellen Sie den **Verwaltungstyp** und den **Kontext** entsprechend ein.

1. Stellen Sie den **Namen ein**: Device-Cert-Profile.

1. Scrollen Sie zu **SCEP Payload**.

1. **Wählen Sie **SCEP** und dann \$1Hinzufügen.**

1. Verwenden Sie die folgende Konfiguration:
   + **SCEP**:
     + Wählen Sie für **Credential Source** die Option **Defined Certificate Authority** (Standard) aus.
     + **Wählen Sie für **Certificate Authority -Private-CA** aus AWS**
     + Wählen Sie für **Certificate Template** das in Schritt 1 definierte **Device-Cert-Template** aus.

1. Wählen Sie **Weiter** und wählen Sie im Abschnitt **Zuweisung** die richtige Smartgroup aus der Liste aus (Zuweisungsgruppe für das Gerät).

1. Wählen Sie für den **Zuweisungstyp** die Option **auto** aus, um die automatische Verlängerung zu aktivieren.

1. Speichern und veröffentlichen Sie das Profil.

**Anmerkung**  
Weitere Informationen finden Sie unter [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) in der Omnissa-Dokumentation.

## Schritt 3: Geräte bei Omnissa Workspace ONE registrieren
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Erstellen oder verifizieren Sie eine Smart-Gruppe**

1. Wählen Sie **unter Gruppen und Einstellungen** die Option **Gruppen** und dann **Zuweisungsgruppen** aus.

1. Erstellen oder bearbeiten Sie die Smart-Gruppe für POC-Geräte:
   + **Name: POC-Geräte**.
   + **Gerätetyp**: Wählen Sie **Alle** oder eine bestimmte Plattform (z. B. Android oder iOS).
   + **Kriterien**: Verwendung **UserGroup**, **Plattform und Betriebssystem**, **OEM und Modell**, um die Kriterien für die Gruppierung der Zielgeräte festzulegen.
   + **Besitz**: Wählen Sie **Beliebig** für Privat- oder Unternehmensgeräte aus.

1. Speichern und überprüfen Sie, ob die Zielgeräte auf der Registerkarte **Vorschau** angezeigt werden.

### Manuelle Geräteregistrierung
<a name="manual-device-enrollment"></a>

Android  
+ Laden Sie die **Workspace ONE Intelligent Hub-App** von Google Play herunter.
+ Öffnen Sie die App und geben Sie die Registrierungs-URL ein oder scannen Sie einen QR-Code.
+ Melden Sie sich an und folgen Sie den Anweisungen, um sich als MDM-verwaltetes Gerät zu registrieren.

iOS/macOS  
+ Öffnen Sie auf dem Gerät **Safari** und navigieren Sie zur Registrierungs-URL (z. B. https://<Workspace ONEUEMHostname >/enroll).
+ Melden Sie sich mit Benutzeranmeldedaten an.
+ Laden Sie die **Workspace ONE Intelligent Hub-App** aus dem App Store herunter und installieren Sie sie.
+ **Folgen Sie den Anweisungen zur Installation des MDM-Profils **unter Einstellungen** > **Allgemein** > **VPN- und Geräteverwaltung** > **Profil** > Installieren.**

Windows  
+ Laden Sie den **Workspace ONE Intelligent Hub** vom Workspace ONE-Server oder Microsoft Store herunter.
+ Melden Sie sich über den Hub mit der Registrierungs-URL und den Anmeldeinformationen an.

**Weisen Sie registrierte Geräte der POC-Devices Smart Group unter **Geräte** > **Listenansicht > **Weitere Aktionen** > Zu** Smart Group zuweisen zu.**

Weitere Informationen finden Sie unter [Automatisierte Geräteregistrierung](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) in der Omnissa-Dokumentation.

**Überprüfen Sie die Registrierung**

1. **Gehen Sie in der Omnissa Workspace ONE UEM Console zu **Geräte** und dann zu Listenansicht.**

1. **Vergewissern Sie sich, dass Ihre registrierten Geräte mit dem Status „Registriert“ angezeigt werden.**

1. **Stellen Sie auf der Registerkarte **Gruppen** der Gerätedetails sicher, dass sich die Geräte in der Smart-Gruppe POC-Geräte befinden.**

## Schritt 4: Stellen Sie ein Zertifikat aus
<a name="step-4-certificate-issuance"></a>

**Auslöser für die Ausstellung eines Zertifikats**

1. Wählen Sie in **der **Gerätelistenansicht**** das registrierte Gerät aus.

1. Klicken Sie auf die Schaltfläche „**Abfragen**“, um zum Einchecken aufzufordern.

1. Sie Device-Cert-Profile sollten ein Zertifikat ausstellen über. AWS Private CA

**Überprüfen Sie die Installation des Zertifikats**

Android  
Wählen Sie **Einstellungen**, dann **Sicherheit**, **vertrauenswürdige Anmeldeinformationen** und dann **Benutzer**, um das Zertifikat zu überprüfen.

iOS  
Gehen Sie zu **Einstellungen** und wählen Sie dann **Allgemein**, dann **VPN- und Geräteverwaltung** und dann **Konfigurationsprofil** aus. Stellen Sie sicher, dass das Zertifikat von vorhanden AWS-Private-CA ist.

macOS  
Öffnen Sie **Keychain Access** und dann **System Keychain** und überprüfen Sie das Zertifikat.

Windows  
**Öffnen Sie **certmgr.msc**, dann **Personal** und dann Certificates, um das Zertifikat zu überprüfen.**

## Fehlerbehebung
<a name="troubleshooting"></a>

SCEP-Fehler (z. B. „22013 — Der SCEP-Server hat eine ungültige Antwort zurückgegeben“)  
+ Stellen Sie sicher, dass die SCEP-URL und das statische Challenge-Passwort in Workspace ONE übereinstimmen. AWS Private CA
+ <SCEP\$1URL>Testen Sie die SCEP-Endpunktkonnektivität: curl.
+ Überprüfen Sie die AWS CloudTrail Protokolle AWS Private CA auf Fehler (z. B. `IssueCertificate` Ausfälle).

APNs Probleme (iOS/macOS)  
+ Stellen Sie sicher, dass das APNs Zertifikat gültig und der richtigen Organisationsgruppe zugewiesen ist.
+ Testen Sie die APNs Konnektivität: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

Fehler bei der Profilinstallation  
+ Vergewissern Sie sich, dass sich die **Geräte in der richtigen Smartgroup befinden (Geräte**, dann **Listenansicht** und dann **Gruppen**).
+ Eine Profilsynchronisierung erzwingen: **Weitere Aktionen**, dann **Senden** und dann **Profilliste**.

Protokolle  
+ Android: Verwenden Sie **Logcat** - oder Workspace ONE-Protokolle.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleKonfigurator).
+ Windows: **Event Viewer**, dann **Anwendungs- und Dienstprotokolle** und dann **Microsoft-Windows** -. DeviceManagement
+ **Workspace ONE UEM: **Monitor**, dann **Reports & Analytics**, dann **Events** und dann Device Events.**

Ausführliche Informationen zum Connector für die SCEP-Überwachung finden Sie unter [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) SCEP. AWS

## Sicherheitsüberlegungen
<a name="security-considerations"></a>
+ Speichern Sie SCEP URLs und geheime Daten sicher. Weitere Informationen finden Sie im [AWS Secrets Manager Service](https://docs.aws.amazon.com/secretsmanager/).
+ Beschränken Sie die Smart-Group-Kriterien nur auf Zielgeräte.
+ Erneuern Sie regelmäßig die Zertifikate für Apple Push Notifications (APNs) (gültig für 1 Jahr).
+ Lege kurze Gültigkeitszeiträume für Zertifikate für Machbarkeitsstudien fest, um das Risiko zu minimieren.
+ Stellen Sie bei privaten Geräten sicher, dass bei der Bereinigung alle Profile und Zertifikate entfernt werden.

[Informationen zur Konfiguration der Omnissa Workspace ONE UEM- und CA-Integration mithilfe eines SCEP-Connectors finden Sie in der Dokumentation zu SCEP in Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)