Intune Connectoren

On-Premises-Komponenten, die als Brücke zwischen der lokalen Infrastruktur und dem Microsoft Intune Cloud-Service fungieren. Der Concat Standard unterscheidet zwischen zwei Connectoren mit sehr unterschiedlichen Einsatzszenarien.

Übersicht & Einsatzszenarien

Connector	Zweck	Benötigt bei…	Concat Standard
Intune Connector for Active Directory	Erstellt Computer-Objekte im lokalen AD für Autopilot Hybrid Join	Nur bei Hybrid Entra Join	⚠️ Nur bei Legacy-Bedarf
Intune Certificate Connector	Stellt Zertifikate (SCEP/PKCS) über eine lokale CA an Intune-verwaltete Geräte aus	Bei 802.1X Netzwerkauthentifizierung (WLAN/LAN), VPN mit Zertifikaten	✅ Häufig auch bei Cloud-only

Important

Häufiges Missverständnis: Der Certificate Connector wird nicht nur bei Hybrid-Szenarien benötigt. Sobald der Kunde eine zertifikatsbasierte Netzwerkauthentifizierung einsetzt (802.1X für WLAN oder LAN via RADIUS/NPS), ist der Certificate Connector auch bei rein Cloud-nativen Entra ID Join Umgebungen erforderlich. Das hängt von der Netzwerkinfrastruktur ab, nicht vom Join-Typ.

Entscheidungsbaum

AD Connector (Hybrid Join)

Intune Connector for Active Directory

Zweck

Ermöglicht Autopilot Hybrid Entra Join: Das Gerät wird über Autopilot provisioniert und gleichzeitig im lokalen Active Directory als Computer-Objekt angelegt. Der Connector übernimmt die Erstellung des Objekts in der konfigurierten OU.

Wann wird er benötigt?

Der Kunde hat On-Premises-Anwendungen, die eine AD-Computer-Authentifizierung erfordern (z. B. Kerberos-basierte Fileserver, Legacy Print Server)
Der Kunde möchte/muss GPOs weiterhin anwenden (Parallelbetrieb während der Migration)
Der Kunde nutzt Network Level Authentication (NLA) für RDP, die AD-Mitgliedschaft voraussetzt

Warning

Concat Standard ist Entra ID Join (Cloud-native). Hybrid Join wird nur bei dokumentiertem Legacy-Bedarf eingesetzt. Jede Hybrid-Join-Entscheidung muss im Decision Log begründet werden — Ziel ist es, mittelfristig auf reinen Entra ID Join zu migrieren.

Voraussetzungen

Voraussetzung	Details
Server-OS	Windows Server 2016+ (Domain-joined)
RAM	Min. 4 GB
.NET Framework	4.7.2+
Netzwerk	Port 443 ausgehend zu `manage.microsoft.com`, `login.microsoftonline.com`
AD-Berechtigung	gMSA oder Service Account mit „Create Computer Objects”-Rechten in der Ziel-OU
Line of Sight	Zum Domain Controller (LDAP/LDAPS)

Installation & Konfiguration

Server vorbereiten

Einen dedizierten Server oder VM bereitstellen (kann auch auf einem bestehenden Management-Server laufen). Nicht auf dem Domain Controller selbst installieren.

Connector herunterladen

Intune Admin Center → Devices → Enrollment → Windows enrollment → Intune Connector for Active Directory → Add → Connector Manager herunterladen.

Connector installieren

Installer als Administrator ausführen. Während der Installation:

Mit einem Intune Administrator oder Global Admin Account anmelden
Ziel-OU für die Computer-Objekte angeben

Service-Account konfigurieren


# Prüfen, ob der Service läuft:
Get-Service -Name "ODJConnectorSvc" | Select-Object Status, StartType
 
# Service-Account: Entweder gMSA oder ein dedizierter Service Account
# Der Account benötigt "Create Computer Objects" auf der Ziel-OU

Autopilot Hybrid Join Profil erstellen

Intune → Devices → Enrollment → Deployment profiles → Neues Profil:

Join-Typ: Hybrid Azure AD joined
Domain und OU angeben
Connector auswählen

Validierung

Test-Gerät über Autopilot enrollen und prüfen:

Computer-Objekt wurde in der Ziel-OU erstellt
Gerät ist in Entra ID als Hybrid Entra Joined sichtbar
GPOs werden angewendet

Einschränkungen

Einschränkung	Details
Kein Home-Office	Autopilot Hybrid Join erfordert Line-of-Sight zum Domain Controller. Funktioniert nicht im Home-Office ohne einen vorgelagerten Device VPN Tunnel.
Latenz	Computer-Objekt-Erstellung + AD-Replikation kann 15-30 Minuten dauern → längere Enrollment-Zeiten
Single Point of Failure	Fällt der Connector-Server aus, schlägt Hybrid Join für neue Geräte fehl

Tip

High Availability: In Produktionsumgebungen mindestens zwei Server mit dem AD Connector betreiben. Intune verteilt die Last automatisch (Round-Robin).

Certificate Connector (SCEP/PKCS)

Intune Certificate Connector

Zweck

Stellt Zertifikate über eine lokale Microsoft CA (Active Directory Certificate Services) an Intune-verwaltete Geräte aus. Die Geräte nutzen diese Zertifikate für die Netzwerkauthentifizierung (802.1X WLAN/LAN), VPN-Verbindungen oder S/MIME E-Mail-Verschlüsselung.

Wann wird er benötigt?

Szenario	Details	Join-Typ
Firmen-WLAN mit 802.1X	WLAN-Authentifizierung via RADIUS/NPS mit Client-Zertifikaten	Cloud-only ✅ oder Hybrid ✅
LAN mit 802.1X (NAC)	Kabelgebundene Netzwerkauthentifizierung via 802.1X	Cloud-only ✅ oder Hybrid ✅
Always-On VPN	Zertifikatsbasierte VPN-Authentifizierung	Cloud-only ✅ oder Hybrid ✅
S/MIME	E-Mail-Verschlüsselung und Signierung	Cloud-only ✅ oder Hybrid ✅

Note

Wichtig: Der Certificate Connector ist unabhängig vom Join-Typ. Er wird immer dann benötigt, wenn Zertifikate von einer lokalen CA an Intune-verwaltete Geräte ausgestellt werden müssen — das ist primär abhängig von der Netzwerkinfrastruktur des Kunden.

SCEP vs. PKCS

Merkmal	SCEP	PKCS
Infrastruktur	CA + NDES Server + Certificate Connector	CA + Certificate Connector
Komplexität	Hoch	Mittel
Private Key	Wird auf dem Gerät generiert (Key bleibt lokal)	Wird auf dem Connector-Server generiert und übertragen
Sicherheit	Höher (Key verlässt Gerät nie)	Standard (Key wird transportiert)
Concat Empfehlung	Für High-Security	Standard (einfacher, weniger Infrastruktur)

Voraussetzungen

Voraussetzung	Details
Microsoft CA	Active Directory Certificate Services (Enterprise CA)
Server-OS	Windows Server 2016+
NDES (nur SCEP)	Network Device Enrollment Service auf separatem Server oder derselben CA
Netzwerk	Port 443 ausgehend zu Intune-Endpoints
Zertifikatsvorlage	Template mit „Supply in the request” und korrekten Enroll-Berechtigungen

Installation & Konfiguration

Zertifikatsvorlage erstellen

Auf dem CA-Server → certsrv.msc → Certificate Templates → Template duplizieren:

Einstellung	Wert
Template Name	`Intune-WLAN-Cert` (oder kundenspezifisch)
Validity Period	1 Jahr
Subject Name	„Supply in the request” aktivieren
Security	Connector Service Account → Enroll Berechtigung
Cryptography	Key Size: 2048, Provider: Microsoft RSA

NDES konfigurieren (nur bei SCEP)

Falls SCEP verwendet wird:

NDES-Rolle auf einem Server installieren (idealerweise nicht auf der CA selbst)
IIS Application Pool konfigurieren
SCEP Challenge Password validieren

Certificate Connector herunterladen und installieren

Intune Admin Center → Tenant Administration → Connectors and tokens → Certificate connectors → Add → Installer herunterladen.

Installation als Administrator auf dem Connector-Server ausführen:

Feature auswählen: SCEP und/oder PKCS
Mit einem Intune Administrator Account authentifizieren

Service prüfen


Get-Service -Name "IntuneCertificateConnector" | Select-Object Status, StartType
# Erwartung: Running, Automatic

WLAN-Profil mit Zertifikat erstellen

Intune Admin Center → Devices → Configuration → Create → Template → Wi-Fi:

EAP-Type: EAP-TLS (zertifikatsbasiert)
Root Certificate: Trusted Root CA Zertifikat als Profil zuweisen
Client Certificate: SCEP- oder PKCS-Profil referenzieren
SSID und Auto-Connect konfigurieren

Validierung

Auf einem Testgerät:

Sync auslösen → Zertifikat wird ausgestellt und installiert
WLAN-Verbindung prüfen → Automatische Verbindung mit Zertifikat


# Zertifikat auf dem Gerät prüfen:
Get-ChildItem -Path "Cert:\CurrentUser\My" | Where-Object { $_.Issuer -like "*Intune*" -or $_.Issuer -like "*CA-Name*" }

Typische Architektur (802.1X WLAN)

Server-Anforderungen (Zusammenfassung)

Anforderung	AD Connector	Certificate Connector
Anzahl Server	Min. 2 (HA)	Min. 1 (2 für HA empfohlen)
Dedizierter Server?	Empfohlen, aber nicht zwingend	Empfohlen
Gemeinsame Installation?	Beide Connectors können auf demselben Server laufen
Internet-Zugang	Port 443 ausgehend (kein Inbound)	Port 443 ausgehend (kein Inbound)
Monitoring	Event Log: Application + ODJ-Events	Event Log: `Microsoft-Intune-CertificateConnectors/Operational`
Update-Zyklus	Automatische Updates via Intune	Automatische Updates via Intune

Querverweise

Thema	Verwandte Seite
Connector-Service prüfen & neustarten	Runbook 5.1
Certificate Connector Troubleshooting	Troubleshooting 6.2
AD Connector offline	Troubleshooting 6.1
Netzwerk-Voraussetzungen	Go-Live Checkliste
PKI im Discovery erfassen	Discovery & Assessment
BitLocker & Konfigurationsprofile	Konfiguration