Conectores de certificado para Microsoft Intune

  • Artículo

Importante

A partir del 29 de julio de 2021, Certificate Connector for Microsoft Intune reemplaza el uso de Conector de certificados PFX para Microsoft Intune y Conector de Microsoft Intune. El nuevo conector incluye la funcionalidad de los dos conectores anteriores. La compatibilidad con los conectores anteriores que se describen en este artículo finalizó el 22/9/2021 con el lanzamiento de la versión 6.2109.51.0 de Certificate Connector para Microsoft.

Si tiene que instalar un conector de certificados nuevo o volver a instalar uno, instale la versión de Conector de certificados para Microsoft Intune más reciente. Para obtener más información, vea Certificate Connector para Microsoft Intune.

Para admitir el uso de certificados para la autenticación, y la firma y el cifrado del correo electrónico mediante S/MIME, Intune requiere el uso de un conector de certificado. Un conector de certificado es el software que se instala en un servidor local. El conector permite a los dispositivos administrados en la nube aprovisionar certificados desde la infraestructura local, como una entidad de certificación emisora.

Conectores disponibles

Hay dos conectores de certificado para Intune. Cada uno tiene sus propios requisitos y usos.

Conector de certificado PFX para Microsoft Intune

El conector de certificados PFX admite la implementación de certificados para las solicitudes de certificados PCKS #12 y administra solicitudes de archivos PFX importados a Intune para el cifrado de correo electrónico S/MIME para un usuario específico.

Sugerencia

Antes de la actualización de agosto de este conector (versión 6.2008.60.607), las solicitudes de certificados PKCS nro. 12 se administraban mediante el Conector de certificado de Intune. Con la actualización de agosto, la funcionalidad de todas las solicitudes del certificado PKCS se consolidó en el conector de certificados PFX, que admite la actualización automática del conector a nuevas versiones y requiere el uso de la versión de .NET Framework 4.7.2.

Este conector también admite las tres plataformas siguientes, que no son compatibles con el conector de Microsoft Intune:

  • Android Enterprise: Totalmente administrado
  • Android Enterprise: dedicado
  • Android Enterprise: Perfil de trabajo de propiedad corporativa

La funcionalidad del conector de Microsoft Intune no está en desuso y se puede seguir utilizando con perfiles de certificado PKCS en algunas plataformas. Sin embargo, si no usa SCEP o requiere usar NDES, puede cambiar al conector de certificados PFX y quitar NDES de los servidores.

Conector de certificados PFX:

  • Admite varias instancias de este conector para cada inquilino de Intune. Cada instancia del conector debe instalarse en un servidor de Windows y tener acceso a la clave privada que se usa para cifrar las contraseñas de los archivos PFX cargados.

    Nota:

    Todos los conectores deben tener los mismos permisos y ser capaces de conectarse a todas las entidades de certificación definidas más adelante en los perfiles PKCS.

    Cualquier instancia de este conector puede recuperar solicitudes de PKCS pendientes de la cola del servicio Intune, ya que no es posible definir qué conector controla cada solicitud.

    Lo mismo se aplica a la revocación de certificados.

  • Se puede instalar en el mismo servidor que hospeda el conector de Microsoft Intune.

  • Admite hasta cien instancias de este conector por inquilino, con cada una de ellas en un servidor Windows independiente. Cuando se usan varios conectores:

    • Todas las instancias del conector de certificados PFX de su entorno deben tener la misma versión.
    • Su infraestructura admite redundancia y equilibrio de carga, ya que cualquier instancia del conector disponible puede procesar las solicitudes de certificado.

  • Admite actualizaciones automáticas a nuevas versiones. Para que las nuevas versiones se instalen automáticamente, el equipo que hospeda el conector debe contactar con autoupdate.msappproxy.net en el puerto 443. Si el conector no se actualiza automáticamente, puede actualizar manualmente el conector.

  • Admite la revocación de certificados (requiere la ejecución del conector versión 6.2008.60.607 o posterior).

  • Tiene los mismos requisitos de red que los dispositivos administrados.

    Para más información, vea Puntos de conexión de red de Microsoft Intune y Ancho de banda y requisitos de configuración de red de Intune.

El servidor de Windows donde se instala el conector:

  • Debe ejecutar Windows Server 2012 R2 o versiones posteriores.
  • Debe ejecutar .NET Framework 4.7.2.

Para instalar el conector de certificados PFX:

Para una instalación guiada del conector, vea Descarga, instalación y configuración del conector de certificados PFX.

Conector de Microsoft Intune

A veces, el conector de Microsoft Intune se denomina Microsoft Intune Certificate Connector. Este conector admite la implementación de certificados cuando usa el Protocolo de inscripción de certificados simple (SCEP) y una entidad de certificación de Servicios de certificados de Active Directory (CA). Este tipo de entidad de certificación también se conoce como CA de Microsoft.

Al usar SCEP con una CA de Microsoft, también debe configurar el servicio de inscripción de dispositivos de red (NDES). Por ese motivo, a menudo se hace referencia a este conector como conector de certificado de NDES.

Si usa una entidad de certificación de terceros, no es necesario usar este conector y NDES no es necesario.

El Conector de Microsoft Intune:

  • Admite la emisión de certificados SCEP

  • Se puede usar para emitir certificados PKCS en la mayoría de las plataformas de dispositivos, pero no en todas. Este conector no admite la emisión de certificados PKCS para:

    • Android Enterprise: Totalmente administrado
    • Android Enterprise: dedicado
    • Android Enterprise: Perfil de trabajo de propiedad corporativa

    Para admitir esas plataformas, use el Conector de certificado PFX, que admite la emisión de certificados PKCS a todas las plataformas de dispositivos. Si no usa SCEP, puede desinstalar este conector y usar solo el Conector de certificado PFX.

    Nota:

    Con PKCS, todos los conectores deben tener los mismos permisos y ser capaces de conectarse a todas las entidades de certificación definidas más adelante en los perfiles PKCS.

    Cualquier instancia de este conector puede recuperar solicitudes de PKCS pendientes de la cola del servicio Intune, ya que no es posible definir qué conector controla cada solicitud.

    Lo mismo se aplica a la revocación de certificados.

  • Se instala en un servidor de Windows, que también puede hospedar una instancia del conector de certificados PFX.

  • Admite hasta cien instancias de este conector por inquilino, con cada una de ellas en un servidor Windows independiente. Cuando se usan varios conectores:

    • Todas las instancias del conector de Microsoft Intune de su entorno deben tener la misma versión.
    • Su infraestructura admite redundancia y equilibrio de carga, ya que cualquier instancia del conector disponible puede procesar las solicitudes de certificado.

  • Requiere una actualización manual para instalar la nueva versión del conector. Para realizar una actualización manual, hay que desinstalar el conector actual y después instalar la nueva versión del conector. No es necesario realizar acciones adicionales.

  • Admite el modo del Estándar federal de procesamiento de información (FIPS). No se requiere FIPS. Cuando FIPS está habilitado, puede emitir y revocar certificados.

  • Tiene los mismos requisitos de red que los dispositivos administrados.

    Para más información, vea Puntos de conexión de red de Microsoft Intune y Ancho de banda y requisitos de configuración de red de Intune.

El servidor de Windows donde se instala el conector:

  • Debe ejecutar Windows Server 2012 R2 o versiones posteriores.
  • Debe ejecutar .NET Framework 4.5. Cuando este conector se instala en el mismo servidor que el conector de certificados PFX, debe usar .NET 4.7.2 Framework, ya que es un requisito del conector PFX.
  • No puede ser el mismo servidor que hospeda la entidad de certificación (CA) emisora.
  • Cuando se usa para SCEP con una CA de Microsoft, requiere acceso a un servidor que ejecuta NDES. NDES se ejecuta en un servidor de Windows y puede ejecutarse en el mismo servidor que este conector.

Cuando se requiere NDES:

Para instalar el conector de Microsoft Intune:

Para instrucciones sobre la instalación de este conector, vea Configuración de la infraestructura para admitir SCEP con Intune.

Ciclo de vida del conector

Importante

A partir del 29 de julio de 2021, certificate connector for Microsoft Intune reemplaza el uso de PFX Certificate Connector para Microsoft Intune y Microsoft Intune Connector. El nuevo conector incluye la funcionalidad de los dos conectores anteriores.

Se publican versiones actualizadas de los conectores del certificado con regularidad. Los anuncios de nuevas versiones del conector se publican en el artículo Novedades de Intune y en la sección Novedades sobre los conectores del final de este artículo.

Cuando se publica una nueva versión, la versión anterior deja de ser compatible con un período de gracia limitado para su uso continuado. Una vez finalizado el período de gracia, finaliza la compatibilidad con esa versión en desuso y puede dejar de funcionar en cualquier momento. El período de gracia es de seis meses.

Actualice el conector a la versión más reciente lo más pronto posible. Cada conector tiene una ruta de acceso de actualización diferente:

  • Conector de certificados PFX para Microsoft Intune: admite actualizaciones automáticas.
  • Conector de Microsoft Intune : requiere una actualización manual.

Actualización automática

Cuando el tipo de conector y el entorno lo admiten, Intune puede actualizar automáticamente el conector a la versión más reciente poco después de que se lance la versión del conector.

Para llevar a cabo una actualización automática, el servidor que hospeda el conector debe acceder al servicio de actualización de Azure:

  • Puerto: 443
  • Punto de conexión: autoupdate.msappproxy.net

Cuando los firewalls, la infraestructura o las configuraciones de red limitan el acceso para la actualización automática, puede resolver los problemas de bloqueo o actualizar manualmente el conector a la nueva versión.

Actualización manual

El proceso para actualizar manualmente un conector de certificado es el mismo que para reinstalar un conector.

Puede actualizar manualmente un conector de certificado, aunque este admita las actualizaciones automáticas. Por ejemplo, puede hacerlo cuando la configuración de red bloquee una actualización automática.

Para reinstalar un conector de certificado:

  1. En el servidor de Windows que hospeda el conector, use Aplicaciones y características de Windows para desinstalar el conector.

  2. Para instalar la nueva versión, use el procedimiento para instalar una nueva versión del conector. Al instalar una versión más reciente de un conector, asegúrese de comprobar los requisitos previos nuevos o actualizados:

Estado del conector

En el centro de administración de Microsoft Intune, puede seleccionar un conector de certificado para ver información sobre su estado:

  1. Iniciar sesión en el centro de administración de Microsoft Intune

  2. Vaya a Administración de inquilinos>Conectores y tokens>Conectores de certificados.

  3. Seleccione un conector para ver su estado.

Al ver el estado del conector:

  • Los conectores en desuso se mostrarán con una advertencia. Después del período de gracia de seis meses, la advertencia cambia a error.
  • Los conectores que superan el período de gracia, muestran un error. Estos conectores ya no se admiten y pueden dejar de funcionar en cualquier momento.

Registro

A partir de la versión de conector 6.2101.13.0 están disponibles los siguientes detalles de registro.

Los registros del conector de certificados PFX están disponibles como registros de eventos en el servidor en el que está instalado el conector:

  • Visor de eventos>Registros de aplicaciones y servicios>Microsoft>Intune>Conectores de certificados

Los registros siguientes están disponibles, tienen el archivado automático habilitado y un valor predeterminado de 50 MB:

  • Registro de administración: este registro contiene un evento de registro por solicitud al conector. Los eventos incluyen un éxito con información sobre la solicitud o un error con información sobre la solicitud y el error.
  • Registro operativo: este registro muestra información adicional que se encuentra en el registro de administración y puede resultar de utilidad en los problemas de depuración. En este registro también se muestran las operaciones en curso para el conector de certificados PFX en lugar de los eventos únicos.

ID. de eventos

Todos los eventos tienen uno de los siguientes identificadores:

  • 0001-0999: no está asociado a ningún escenario concreto
  • 1000-1999: PKCS
  • 2000-2999: importación de PKCS
  • 3000-3999: revocar

Categorías de tareas

Todos los eventos reciben una etiqueta de Categoría de tarea para ayudar en el filtrado. Entre las categorías de tareas se incluyen las siguientes:

PKCS

  • Admin
    • PkcsRequestSuccess: se completó correctamente una solicitud PKCS y se cargó en Intune.
    • PkcsRequestFailure: no se pudo completar o cargar una solicitud PKCS en Intune.
  • Operativo
    • PkcsDownloadSuccess: se descargaron correctamente las solicitudes PKCS de Intune.
    • PkcsDownloadFailure: se produjo un error al descargar las solicitudes PKCS de Intune.
    • PkcsDownloadedRequest: detalles de una única solicitud descargada de Intune.
    • PkcsIssuedSuccess: se ha emitido un certificado para una solicitud.
    • PkcsIssuedFailedAttempt: se produjo un error al emitir un certificado para una solicitud.
    • PkcsIssuedFailure: no se pudo emitir un certificado para una solicitud.
    • PkcsUploadSuccess: detalles de la solicitud correcta que se ha cargado en Intune.
    • PkcsUploadFailure : error al cargar solicitudes en Intune
    • PkcsUploadedRequest: detalles de una solicitud cargada en Intune.

Importación de PKCS

  • Admin
    • PkcsImportRequestSuccess: se descargaron correctamente las solicitudes de importación de PKCS de Intune.
    • PkcsImportRequestFailure: se produjo un error al descargar solicitudes de importación de PKCS desde Intune.
  • Operativo
    • PkcsImportDownloadSuccess: se descargaron correctamente las solicitudes de importación de PKCS de Intune.
    • PkcsImportDownloadFailure: se produjo un error al descargar solicitudes de importación de PKCS desde Intune.
    • PkcsImportDownloadedRequest: detalles de una única solicitud descargada de Intune.
    • PkcsImportReencryptSuccess: volver a cifrar un certificado importado.
    • PkcsImportReencryptFailedAttempt: se produjo un error al volver a cifrar un certificado importado
    • PkcsImportReencryptFailure: no se pudo volver a cifrar un certificado importado.
    • PkcsImportUploadFailure: se produjo un error al cargar las solicitudes en Intune.
    • PkcsImportUploadedRequest: detalles de una solicitud cargada en Intune.

Revocación

  • Admin
    • RevokeRequestSuccess: se descargaron correctamente las solicitudes de revocación de Intune.
    • RevokeRequestFailure: se produjo un error al descargar solicitudes de revocación de Intune.
  • Operativo
    • RevokeDownloadSuccess: se descargaron correctamente las solicitudes de revocación de Intune.
    • RevokeDownloadFailure: se produjo un error al descargar solicitudes de revocación de Intune.
    • RevokeDownloadedRequest: detalles de una única solicitud descargada de Intune.
    • RevokeSuccess: certificado revocado correctamente.
    • RevokeFailure: se produjo un error al revocar un certificado.
    • RevokeFailedAttempt: no se pudo revocar un certificado.
    • RevokeUploadSuccess: detalles de la solicitud correcta que se ha cargado en Intune.
    • RevokeUploadFailure: se produjo un error al cargar las solicitudes en Intune.
    • RevokeUploadedRequest: detalles de una solicitud cargada en Intune.

Novedades sobre los conectores

Se publican actualizaciones para los dos conectores de certificados con regularidad. Cuando actualizamos un conector, informamos aquí sobre los cambios realizados.

Importante

A partir de abril de 2022, los conectores de certificados anteriores a la versión 6.2101.13.0 quedarán en desuso y mostrarán el estado Error. Este estado no afecta a la funcionalidad. A partir de junio de 2022, estos conectores no podrán emitir certificados. Consulte la nota al principio de este artículo para obtener más información sobre cómo pasar al nuevo Conector de certificados para Microsoft.

Historial de versiones del conector de certificados PFX

El conector de certificados PFX para Microsoft Intuneadmite actualizaciones automáticas.

10 de marzo, 2021

Versión 6.2101.16.0. - Cambios de esta versión:

  • Mejoras en el flujo de creación de PFX para evitar la duplicación de archivos de solicitud de certificado en servidores locales que hospedan el conector.

24 de febrero de 2021

Versión 6.2101.13.0. Esta nueva versión del conector incorpora mejoras de registro al conector PFX:

  • Nueva ubicación de los registros de eventos, con los registros divididos como de administración, operativos o de depuración.
  • Los registros operativos y de administración tienen un tamaño predeterminado de 50 MB cuando el archivado automático está habilitado.
  • EventID de creación, importación y revocación de PKCS.

26 de enero de 2021

Versión 6.2009.2.0: cambios en esta versión:

  • Mejora la actualización del conector para conservar las cuentas que ejecutan los servicios de conector.

15 de enero de 2021

Versión 6.2009.1.9. Cambios de esta versión:

  • Mejoras en la renovación del certificado de conector.

2 de octubre de 2020

Versión 6.2008.60.612. Cambios de esta versión:

  • Se corrigió un problema con la entrega de certificados PKCS a dispositivos Android Enterprise totalmente administrados. El problema requiere que el proveedor de almacenamiento de claves (KSP) de cifrado sea un proveedor heredado. Ahora también puede usar un proveedor de almacenamiento de claves de cifrado de nueva generación (CNG).
  • Cambios en la pestaña Cuenta de CA del conector de certificados PFX: el nombre de usuario y la contraseña (credenciales) que especifique ahora se usan para emitir certificados y revocar certificados. Anteriormente, estas credenciales solo se usaban para la revocación de certificados.

Historial de versiones del conector de Microsoft Intune

2 de abril de 2019

Versión 6.1904.1.0. Cambios de esta versión:

  • Se ha corregido un problema que podría producir que el conector no se inscriba en Intune después de iniciar sesión en el conector con una cuenta de administrador global.
  • Incluye correcciones de fiabilidad para la revocación de certificados.
  • Incluye correcciones de rendimiento para aumentar la rapidez con la que se procesan las solicitudes de certificado PKCS.

Siguientes pasos

Cree perfiles de certificado SCEP, PKCS o PKCS importados para cada plataforma que quiera usar. Para continuar, vea los artículos siguientes: