Utilizar certificados para autenticación en Microsoft Intune
Use certificados con Intune para autenticar a los usuarios en las aplicaciones y los recursos corporativos a través de VPN, Wi-Fi o perfiles de correo electrónico. Cuando se usan certificados para autenticar estas conexiones, los usuarios finales no necesitan escribir nombres de usuario y contraseñas, lo que puede hacer que su acceso sea perfecto. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.
Introducción a los certificados con Intune
Los certificados proporcionan acceso autenticado sin retraso a través de las dos fases siguientes:
- Fase de autenticación: la autenticidad del usuario se comprueba para confirmar que es quien dice ser.
- Fase de autorización: el usuario se somete a unas condiciones para determinar si se le debe conceder acceso.
Estos son algunos escenarios típicos de uso de certificados:
- Autenticación de red (por ejemplo, 802.1x) con certificados de dispositivo o de usuario
- Autenticación con servidores VPN mediante certificados de dispositivo o de usuario
- Firma de correo electrónico basada en certificados de usuario
Intune admite el Protocolo de inscripción de certificados simple (SCEP), Public Key Cryptography Standards (PKCS) y certificados PKCS importados como métodos para aprovisionar certificados en dispositivos. Los diferentes métodos de aprovisionamiento tienen requisitos y resultados diferentes. Por ejemplo:
- SCEP aprovisiona certificados que son únicos para cada solicitud de certificado.
- PKCS aprovisiona un certificado único para cada dispositivo.
- Con PKCS importado, se puede implementar el mismo certificado que se ha exportado desde un origen, como un servidor de correo electrónico, en varios destinatarios. Este certificado compartido es útil para asegurarse de que todos los usuarios o dispositivos puedan descifrar los mensajes de correo electrónico que se cifraron con ese certificado.
Para aprovisionar un usuario o un dispositivo con un tipo de certificado específico, Intune usa un perfil de certificado.
Además de los tres tipos de certificado y los métodos de aprovisionamiento, necesita un certificado raíz de confianza de una entidad de certificación (CA) de confianza. La CA puede ser una entidad de certificación de Microsoft local o una entidad de certificación de terceros. El certificado raíz de confianza establece una relación de confianza desde el dispositivo a la entidad de certificación raíz o intermedia (emisora) desde la que se emiten los otros certificados. Para implementar este certificado, use el perfil de certificado de confianza e impleméntela en los mismos dispositivos y usuarios que reciben los perfiles de certificado para SCEP, PKCS e PKCS importado.
Sugerencia
Intune también admite el uso de credenciales derivadas para entornos que requieren el uso de tarjetas inteligentes.
Requisitos para usar certificados
- Una entidad de certificación. La entidad de certificación es el origen de confianza al que hacen referencia los certificados para la autenticación. Puede usar una CA de Microsoft o de terceros.
- Infraestructura local. La infraestructura que necesite depende de los tipos de certificado que use:
- Un certificado de raíz de confianza. Antes de implementar perfiles de certificado SCEP o PKCS, implemente el certificado raíz de confianza de la CA mediante un perfil de certificado de confianza. Este perfil ayuda a establecer la confianza del dispositivo a la CA y es necesario para los otros perfiles de certificado.
Con un certificado raíz de confianza implementado, está listo para implementar perfiles de certificado para aprovisionar usuarios y dispositivos con certificados para la autenticación.
Qué perfil de certificado usar
Las siguientes comparaciones no son exhaustivas, pero están pensadas para ayudar a distinguir el uso de los distintos tipos de perfiles de certificado.
Tipo de perfil | Detalles |
---|---|
Certificado de confianza | Se usa para implementar la clave pública (certificado) de una CA raíz o intermediaria en los usuarios y los dispositivos para establecer una relación de confianza de nuevo en la CA de origen. Otros perfiles de certificado requieren el perfil de certificado de confianza y su certificado raíz. |
Certificado SCEP | Implementa una plantilla para una solicitud de certificado en los usuarios y los dispositivos. Cada certificado aprovisionado mediante SCEP es único y está vinculado al usuario o al dispositivo que solicita el certificado.
Con SCEP, puede implementar certificados en dispositivos que carecen de afinidad de usuario, incluido el uso de SCEP para aprovisionar un certificado en KIOSK o en un dispositivo sin usuario. |
Certificado PKCS | Implementa una plantilla para una solicitud de certificado que especifica un tipo de certificado de usuario o de dispositivo.
- Las solicitudes de un tipo de certificado de usuario siempre requieren afinidad de usuario. Cuando se implementa en un usuario, cada uno de los dispositivos de dicho usuario recibe un certificado único. Cuando se implementa en un dispositivo con un usuario, el usuario está asociado con el certificado para ese dispositivo. Cuando se implementa en un dispositivo sin usuario, no se aprovisiona ningún certificado. - Las plantillas con un tipo de certificado de dispositivo no requieren afinidad de usuario para aprovisionar un certificado. La implementación en un dispositivo aprovisiona dicho dispositivo con un certificado. La implementación en un usuario aprovisiona el dispositivo en el que el usuario ha iniciado sesión con un certificado. |
Certificado PKCS importado | Implementa un solo certificado en varios dispositivos y usuarios, lo que admite escenarios como la firma y el cifrado de S/MIME. Por ejemplo, al implementar el mismo certificado en todos los dispositivos, cada dispositivo puede descifrar el correo electrónico recibido de ese mismo servidor de correo electrónico.
Otros métodos de implementación de certificados no son suficientes para este escenario, ya que SCEP crea un certificado único para cada solicitud y PKCS asocia un certificado diferente para cada usuario, con distintos usuarios que reciben certificados diferentes. |
Certificados y uso admitidos por Intune
Tipo | Autenticación | Firma S/MIME | Cifrado S/MIME |
---|---|---|---|
Certificado importado de Public Key Cryptography Standards (PKCS) | |||
PKCS#12 (o PFX) | |||
Protocolo de inscripción de certificados simple (SCEP) |
Para implementar estos certificados, cree y asigne perfiles de certificado a los dispositivos.
Cada perfil de certificado individual que cree es compatible con una sola plataforma. Por ejemplo, si usa certificados PKCS, creará un perfil de certificado PKCS para Android y un perfil de certificado PKCS independiente para iOS/iPadOS. Si también usa certificados SCEP para esas dos plataformas, cree un perfil de certificado SCEP para Android y otro para iOS/iPadOS.
Consideraciones generales al usar una entidad de certificación de Microsoft
Cuando se usa una entidad de certificación (CA) de Microsoft:
Para usar perfiles de certificado SCEP:
Para usar perfiles de certificado PKCS:
Para usar certificados PKCS importados:
- Instale Certificate Connector para Microsoft Intune.
- Exporte los certificados de la entidad de certificación y, luego, impórtelos en Microsoft Intune. Consulte el proyecto PFXImport de PowerShell.
Implemente certificados mediante los siguientes mecanismos:
- Perfiles de certificado de confianza para implementar en los dispositivos el certificado de CA raíz de confianza de la entidad de certificación raíz o intermedia (emisora).
- Perfiles de certificado SCEP
- Perfiles de certificado PKCS
- Perfiles de certificados PKCS importados
Consideraciones generales al usar una entidad de certificación de terceros
Cuando se usa una entidad de certificación (CA) de terceros (que no es de Microsoft):
Los perfiles de certificado SCEP no requieren el uso de Microsoft Intune Certificate Connector. En su lugar, la entidad de certificación de terceros controla directamente la emisión y administración de certificados. Para usar perfiles de certificado SCEP sin Intune Certificate Connector:
- Configure la integración con una entidad de certificación de terceros de uno de nuestros asociados admitidos. La configuración incluye las siguientes instrucciones de la entidad de certificación de terceros para completar la integración de su CA con Intune.
- Cree una aplicación en Microsoft Entra ID que delegue derechos a Intune para realizar la validación del desafío de certificado SCEP.
Para obtener más información, consulte Configuración de la integración de entidades de certificación de terceros.
Los certificados PKCS importados requieren el uso de Microsoft Intune Certificate Connector. Consulte Instalación del conector de certificados para Microsoft Intune.
Implemente certificados mediante los siguientes mecanismos:
- Perfiles de certificado de confianza para implementar en los dispositivos el certificado de CA raíz de confianza de la entidad de certificación raíz o intermedia (emisora).
- Perfiles de certificado SCEP
- Perfiles de certificado PKCS (solo se admite con la plataforma de PKI de Digicert )
- Perfiles de certificados PKCS importados
Plataformas compatibles y perfiles de certificado
Plataforma | Perfil de certificado de confianza | Perfil de certificado PKCS | Perfil de certificado SCEP | Perfil de certificado PKCS importado |
---|---|---|---|---|
Administrador de dispositivos Android |
(véase la nota 1) |
|||
Android Enterprise : totalmente administrado (propietario del dispositivo) |
||||
Android Enterprise : dedicado (propietario del dispositivo) |
||||
Android Enterprise : perfil de trabajo Corporate-Owned |
||||
Android Enterprise : perfil de trabajo Personally-Owned |
||||
Android (AOSP) | ||||
iOS/iPadOS | ||||
macOS | ||||
Windows 8.1 y posterior | ||||
Windows 10 u 11 |
(véase la nota 2) |
(véase la nota 2) |
(véase la nota 2) |
- Nota 1 : A partir de Android 11, los perfiles de certificado de confianza ya no pueden instalar el certificado raíz de confianza en los dispositivos inscritos como administrador de dispositivos Android. Esta limitación no se aplica a Samsung Knox. Para obtener más información, vea Perfiles de certificado de confianza para el administrador de dispositivos Android.
- Nota 2 : Este perfil es compatible con escritorios remotos de varias sesiones de Windows Enterprise.
Importante
El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.
Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.
Importante
Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 31 de diciembre de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.
Contenido relacionado
Más recursos:
- Usar S/MIME para firmar y cifrar mensajes de correo electrónico
- Uso de entidades de certificación de terceros
Creación de perfiles de certificado:
- Configuración de un perfil de certificado de confianza
- Configuración de la infraestructura para admitir certificados SCEP con Intune
- Configuración y administración de certificados PKCS con Intune
- Creación de un perfil de certificado PKCS importado
Más información sobre Certificate Connector para Microsoft Intune