Comparteix a través de


Utilizar certificados para autenticación en Microsoft Intune

Use certificados con Intune para autenticar a los usuarios en las aplicaciones y los recursos corporativos a través de VPN, Wi-Fi o perfiles de correo electrónico. Cuando se usan certificados para autenticar estas conexiones, los usuarios finales no necesitan escribir nombres de usuario y contraseñas, lo que puede hacer que su acceso sea perfecto. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.

Introducción a los certificados con Intune

Los certificados proporcionan acceso autenticado sin retraso a través de las dos fases siguientes:

  • Fase de autenticación: la autenticidad del usuario se comprueba para confirmar que es quien dice ser.
  • Fase de autorización: el usuario se somete a unas condiciones para determinar si se le debe conceder acceso.

Estos son algunos escenarios típicos de uso de certificados:

  • Autenticación de red (por ejemplo, 802.1x) con certificados de dispositivo o de usuario
  • Autenticación con servidores VPN mediante certificados de dispositivo o de usuario
  • Firma de correo electrónico basada en certificados de usuario

Intune admite el Protocolo de inscripción de certificados simple (SCEP), Public Key Cryptography Standards (PKCS) y certificados PKCS importados como métodos para aprovisionar certificados en dispositivos. Los diferentes métodos de aprovisionamiento tienen requisitos y resultados diferentes. Por ejemplo:

  • SCEP aprovisiona certificados que son únicos para cada solicitud de certificado.
  • PKCS aprovisiona un certificado único para cada dispositivo.
  • Con PKCS importado, se puede implementar el mismo certificado que se ha exportado desde un origen, como un servidor de correo electrónico, en varios destinatarios. Este certificado compartido es útil para asegurarse de que todos los usuarios o dispositivos puedan descifrar los mensajes de correo electrónico que se cifraron con ese certificado.

Para aprovisionar un usuario o un dispositivo con un tipo de certificado específico, Intune usa un perfil de certificado.

Además de los tres tipos de certificado y los métodos de aprovisionamiento, necesita un certificado raíz de confianza de una entidad de certificación (CA) de confianza. La CA puede ser una entidad de certificación de Microsoft local o una entidad de certificación de terceros. El certificado raíz de confianza establece una relación de confianza desde el dispositivo a la entidad de certificación raíz o intermedia (emisora) desde la que se emiten los otros certificados. Para implementar este certificado, use el perfil de certificado de confianza e impleméntela en los mismos dispositivos y usuarios que reciben los perfiles de certificado para SCEP, PKCS e PKCS importado.

Sugerencia

Intune también admite el uso de credenciales derivadas para entornos que requieren el uso de tarjetas inteligentes.

Requisitos para usar certificados

  • Una entidad de certificación. La entidad de certificación es el origen de confianza al que hacen referencia los certificados para la autenticación. Puede usar una CA de Microsoft o de terceros.
  • Infraestructura local. La infraestructura que necesite depende de los tipos de certificado que use:
  • Un certificado de raíz de confianza. Antes de implementar perfiles de certificado SCEP o PKCS, implemente el certificado raíz de confianza de la CA mediante un perfil de certificado de confianza. Este perfil ayuda a establecer la confianza del dispositivo a la CA y es necesario para los otros perfiles de certificado.

Con un certificado raíz de confianza implementado, está listo para implementar perfiles de certificado para aprovisionar usuarios y dispositivos con certificados para la autenticación.

Qué perfil de certificado usar

Las siguientes comparaciones no son exhaustivas, pero están pensadas para ayudar a distinguir el uso de los distintos tipos de perfiles de certificado.

Tipo de perfil Detalles
Certificado de confianza Se usa para implementar la clave pública (certificado) de una CA raíz o intermediaria en los usuarios y los dispositivos para establecer una relación de confianza de nuevo en la CA de origen. Otros perfiles de certificado requieren el perfil de certificado de confianza y su certificado raíz.
Certificado SCEP Implementa una plantilla para una solicitud de certificado en los usuarios y los dispositivos. Cada certificado aprovisionado mediante SCEP es único y está vinculado al usuario o al dispositivo que solicita el certificado.

Con SCEP, puede implementar certificados en dispositivos que carecen de afinidad de usuario, incluido el uso de SCEP para aprovisionar un certificado en KIOSK o en un dispositivo sin usuario.
Certificado PKCS Implementa una plantilla para una solicitud de certificado que especifica un tipo de certificado de usuario o de dispositivo.

- Las solicitudes de un tipo de certificado de usuario siempre requieren afinidad de usuario. Cuando se implementa en un usuario, cada uno de los dispositivos de dicho usuario recibe un certificado único. Cuando se implementa en un dispositivo con un usuario, el usuario está asociado con el certificado para ese dispositivo. Cuando se implementa en un dispositivo sin usuario, no se aprovisiona ningún certificado.
- Las plantillas con un tipo de certificado de dispositivo no requieren afinidad de usuario para aprovisionar un certificado. La implementación en un dispositivo aprovisiona dicho dispositivo con un certificado. La implementación en un usuario aprovisiona el dispositivo en el que el usuario ha iniciado sesión con un certificado.
Certificado PKCS importado Implementa un solo certificado en varios dispositivos y usuarios, lo que admite escenarios como la firma y el cifrado de S/MIME. Por ejemplo, al implementar el mismo certificado en todos los dispositivos, cada dispositivo puede descifrar el correo electrónico recibido de ese mismo servidor de correo electrónico.

Otros métodos de implementación de certificados no son suficientes para este escenario, ya que SCEP crea un certificado único para cada solicitud y PKCS asocia un certificado diferente para cada usuario, con distintos usuarios que reciben certificados diferentes.

Certificados y uso admitidos por Intune

Tipo Autenticación Firma S/MIME Cifrado S/MIME
Certificado importado de Public Key Cryptography Standards (PKCS) Compatible Compatible
PKCS#12 (o PFX) Compatible Compatible
Protocolo de inscripción de certificados simple (SCEP) Compatible Compatible

Para implementar estos certificados, cree y asigne perfiles de certificado a los dispositivos.

Cada perfil de certificado individual que cree es compatible con una sola plataforma. Por ejemplo, si usa certificados PKCS, creará un perfil de certificado PKCS para Android y un perfil de certificado PKCS independiente para iOS/iPadOS. Si también usa certificados SCEP para esas dos plataformas, cree un perfil de certificado SCEP para Android y otro para iOS/iPadOS.

Consideraciones generales al usar una entidad de certificación de Microsoft

Cuando se usa una entidad de certificación (CA) de Microsoft:

Consideraciones generales al usar una entidad de certificación de terceros

Cuando se usa una entidad de certificación (CA) de terceros (que no es de Microsoft):

Plataformas compatibles y perfiles de certificado

Plataforma Perfil de certificado de confianza Perfil de certificado PKCS Perfil de certificado SCEP Perfil de certificado PKCS importado
Administrador de dispositivos Android Soportado
(véase la nota 1)
Compatible Compatible Compatible
Android Enterprise
: totalmente administrado (propietario del dispositivo)
Compatible Compatible Compatible Compatible
Android Enterprise
: dedicado (propietario del dispositivo)
Compatible Compatible Compatible Compatible
Android Enterprise
: perfil de trabajo Corporate-Owned
Compatible Compatible Compatible Compatible
Android Enterprise
: perfil de trabajo Personally-Owned
Compatible Compatible Compatible Compatible
Android (AOSP) Compatible Compatible Compatible
iOS/iPadOS Compatible Compatible Compatible Compatible
macOS Compatible Compatible Compatible Compatible
Windows 8.1 y posterior Compatible Compatible
Windows 10 u 11 Soportado
(véase la nota 2)
Soportado
(véase la nota 2)
Soportado
(véase la nota 2)
Compatible

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 31 de diciembre de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Más recursos:

Creación de perfiles de certificado:

Más información sobre Certificate Connector para Microsoft Intune