Compartir a través de

Preparar los certificados y los perfiles de red para el Escritorio administrado de Microsoft

  • Artículo

La autenticación basada en certificados es un requisito común para los clientes que usan el Escritorio administrado de Microsoft. Es posible que necesite certificados para:

  • Acceder a Wi-Fi o LAN
  • Conectarse a soluciones de VPN
  • Acceder a los recursos internos de la organización

Dado que los dispositivos de Microsoft Managed Desktop están unidos a Microsoft Entra identificador y se administran mediante Microsoft Intune, debe implementar dichos certificados mediante:

  • Protocolo de inscripción de certificados simple (SCEP) o
  • Infraestructura de certificados estándar de criptografía de clave pública (PKCS) que está integrada con Intune.

Requisitos de certificado

Los certificados raíz son necesarios para implementar certificados a través de una infraestructura SCEP o PKCS. Es posible que otras aplicaciones y servicios de la organización requieran la implementación de certificados raíz en los dispositivos Escritorio administrado de Microsoft.

Antes de implementar certificados SCEP o PKCS en el Escritorio administrado de Microsoft, debe recopilar los requisitos para cada servicio que requiera un certificado de usuario o dispositivo en su organización. Para facilitar esta actividad, puede usar una de las siguientes plantillas de planeación:

Requisitos de conectividad Wi-Fi

Para permitir que un dispositivo se proporcione automáticamente con la configuración de Wi-Fi necesaria para la red de empresa, es posible que necesites un perfil de configuración de Wi-Fi.

Puede configurar el Escritorio administrado de Microsoft para implementar estos perfiles en los dispositivos. Si la seguridad de red requiere que los dispositivos formen parte del dominio local, es posible que deba evaluar la infraestructura de red Wi-Fi para asegurarse de que es compatible con Escritorio administrado de Microsoft dispositivos. Los dispositivos de Microsoft Managed Desktop solo están Microsoft Entra unidos.

Antes de implementar una configuración de Wi-Fi en el Escritorio administrado de Microsoft dispositivos, se le pedirá que recopile los requisitos de su organización para cada red Wi-Fi. Para facilitar esta actividad, puede usar esta plantilla de perfil de Wi-Fi.

Requisitos de conectividad cableada y autenticación 802.1x

Si usa la autenticación 802.1x para proteger el acceso desde los dispositivos a la red de área local (LAN), deberá insertar los detalles de configuración necesarios en los dispositivos el Escritorio administrado de Microsoft.

El Escritorio administrado de Microsoft dispositivos que ejecutan Windows 10, versión 1809 o posterior admiten la implementación de una configuración 802.1x a través del proveedor de servicios de configuración (CSP) WiredNetwork. Para obtener más información, consulte la documentación de CSP WiredNetwork.

Antes de implementar un perfil de configuración de red cableada en el Escritorio administrado de Microsoft dispositivos, recopile los requisitos de la organización para la red corporativa cableada.

Para recopilar los requisitos de red corporativa cableada:

  1. Inicie sesión en un dispositivo que tenga configurado el perfil 802.1x existente y que esté conectado a la red LAN.
  2. Abra un símbolo del sistema con credenciales administrativas.
  3. Busque el nombre de la interfaz LAN ejecutando netsh interface show interface.
  4. Exporte el XML de perfil de LAN ejecutando netsh lan export profile folder=. Interface=”interface_name”.
  5. Si necesita probar el perfil exportado en Escritorio administrado de Microsoft dispositivo, ejecute netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

Implemente la infraestructura de certificados

Si ya tiene una infraestructura SCEP o PKCS existente con Intune y este enfoque cumple sus requisitos, también puede usarla para el Escritorio administrado de Microsoft.

Si no existe ninguna infraestructura SCEP o PKCS, tendrá que preparar una. Para obtener más información, consulte Configuración de un perfil de certificado para sus dispositivos en Microsoft Intune.

Implementación de un perfil de LAN

Una vez exportado el perfil de LAN, puede preparar la directiva para el Escritorio administrado de Microsoft.

Para preparar la directiva para el Escritorio administrado de Microsoft:

  1. Cree un perfil personalizado en Microsoft Intune para el perfil de LAN mediante la siguiente configuración (consulte Usar la configuración personalizada para Windows 10 dispositivos en Intune). En Configuración personalizada de OMA-URI, seleccione Agregary, a continuación, escriba los valores siguientes:
    • Nombre: Perfil de LAN de Modern Workplace-Windows 10
    • Descripción: escriba una descripción con información general sobre la configuración y otros detalles importantes.
    • OMA-URI (distingue mayúsculas de minúsculas): escriba ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • Tipo de datos: seleccionar cadena (archivo XML).
    • XML personalizado: cargue el archivo XML exportado.
  2. Asigne el perfil personalizado al grupo Dispositivos de Modern Workplace - Prueba.
  3. Realice las pruebas que crea necesarias con un dispositivo que se encuentra en el grupo de implementación de prueba. Si se realiza correctamente, asigne el perfil personalizado a los siguientes grupos:
    • Dispositivos de área de trabajo moderna: primero
    • Dispositivos modernos del área de trabajo: rápido
    • Dispositivos modernos del área de trabajo: amplios

Implementar certificados y perfil de Wi-Fi/VPN

Para implementar certificados y perfiles:

  1. Cree un perfil para cada uno de los certificados raíz e intermedio (vea Crear perfiles de certificado de confianza. Cada uno de estos perfiles debe tener una descripción que incluya una fecha de expiración en formato DD/MM/AAAA. Los perfiles de certificado deben tener una fecha de expiración.
  2. Cree un perfil para cada certificado SCEP o PKCS (vea Crear un perfil de certificado SCEP o Crear un perfil de certificado PKCS). Cada uno de estos perfiles debe tener una descripción que incluya una fecha de expiración en formato DD/MM/AAAA. Los perfiles de certificado deben tener una fecha de expiración.
  3. Cree un perfil para cada red Wi-Fi corporativa (consulte la configuración de Wi-Fi para Windows 10 y dispositivos posteriores).
  4. Cree un perfil para cada VPN corporativa (consulte Windows 10 y configuración de dispositivos Windows Holographic para agregar conexiones VPN mediante Intune).
  5. Asigne los perfiles al grupo Modern Workplace Devices - Test (Dispositivos modernos del área de trabajo: prueba ).
  6. Realice las pruebas que crea necesarias con un dispositivo que se encuentra en el grupo de implementación de prueba. Si se realiza correctamente, asigne el perfil personalizado a los siguientes grupos:
    • Dispositivos de área de trabajo moderna: primero
    • Dispositivos modernos del área de trabajo: rápido
    • Dispositivos modernos del área de trabajo: amplios