Configuración y uso de certificados PKCS con Intune

Microsoft Intune admite el uso de certificados de par de claves privadas y públicas (PKCS). En este artículo se revisa lo necesario para usar certificados PKCS con Intune, incluida la exportación de un certificado PKCS y, a continuación, agregarlo a un perfil de configuración de dispositivo Intune.

Microsoft Intune incluye opciones de configuración integradas para usar certificados PKCS para los procesos de acceso y autenticación de los recursos de la organización. Los certificados permiten autenticar y proteger el acceso a los recursos corporativos, como por ejemplo, una VPN o una red Wi-Fi. Para implementar esta configuración en los dispositivos, se usan perfiles de configuración de dispositivo de Intune.

Para más información sobre el uso de certificados PKCS, consulte Certificados PFX importados.

Sugerencia

Se admiten perfiles de certificado PKCS para escritorios remotos de sesión múltiple de Windows Enterprise.

Requisitos

Para usar certificados PKCS con Intune, debe contar con esta infraestructura:

• Dominio de Active Directory:
  Todos los servidores mencionados en esta sección deben estar unidos al dominio de Active Directory.

  Para más información sobre cómo instalar y configurar Active Directory Domain Services (AD DS), vea Planeación y diseño de AD DS.

• Entidad de certificación:
  entidad de certificación empresarial (CA).

  Para más información sobre cómo instalar y configurar los Servicios de certificados de Active Directory (AD CS), vea Active Directory Certificate Services Step-by-Step Guide (Guía detallada de los Servicios de certificados de Active Directory).

  Advertencia

  Intune requiere ejecutar AD CS con una entidad de certificación (CA) empresarial, no una CA independiente.

• Cliente:
  se usa para conectarse a la CA empresarial.

• Certificado raíz:
  Una copia exportada del certificado raíz desde la CA empresarial.

• Certificate Connector para Microsoft Intune:

  Para obtener información sobre el conector de certificados, vea lo siguiente:

  • Información general de Certificate Connector para Microsoft Intune.
  • Requisitos previos.
  • Instalación y configuración.

Exportación del certificado raíz desde la CA empresarial

Para autenticar un dispositivo con VPN, Wi-Fi u otros recursos, el dispositivo necesita un certificado de entidad de certificación intermedio. Los pasos siguientes explican cómo obtener el certificado requerido desde la CA empresarial.

Usar una línea de comandos:

1. Inicie sesión en el servidor de la entidad de certificación raíz con la cuenta de administrador.

2. Vaya a Inicio>Ejecutar y, después, escriba Cmd para abrir el símbolo del sistema.

3. Especifique certutil -ca.cert ca_name.cer para exportar el certificado raíz como un archivo denominado ca_name.cer.

Configuración de plantillas de certificado en la CA

1. Inicie sesión en la entidad de certificación empresarial con una cuenta que tenga privilegios de administración.

2. En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

3. Busque la plantilla de certificado Usuario, haga clic con el botón derecho en ella y elija Duplicar plantilla para abrir Propiedades de plantilla nueva.

   Nota:

   Para casos de cifrado y firma de correo electrónico S/MIME, muchos administradores usan certificados independientes para la firma y el cifrado. Si va a usar Servicios de certificados de Active Directory de Microsoft, puede usar la plantilla Solo la firma de Exchange para los certificados de firma de correo electrónico S/MIME y la plantilla Usuario de Exchange para los certificados de cifrado S/MIME. Si va a usar una entidad de certificación de terceros, le recomendamos que revise las instrucciones para configurar las plantillas de firma y cifrado.

4. En la pestaña Compatibilidad:

   • Establezca Entidad de certificación en Windows Server 2008 R2
   • Establezca Destinatario del certificado en Windows 7 / Server 2008 R2

5. En la pestaña General:

   • establezca el nombre para mostrar de la plantilla en algo significativo para usted.
   • Desactive Publicar certificado en Active Directory.

   Advertencia

   El nombre de la plantilla predeterminado es el mismo que el nombre para mostrar de la plantillasin espacios. Apunte el nombre de la plantilla, lo necesitará más adelante.

6. En Tratamiento de la solicitud, seleccione Permitir que la clave privada se pueda exportar.

   Nota:

   A diferencia de SCEP, con PKCS, la clave privada del certificado se genera en el servidor en el que el conector de certificados está instalado, y no en el dispositivo. La plantilla de certificado debe permitir la exportación de la clave privada, para que el conector pueda exportar el certificado PFX y enviarlo al dispositivo.

   Cuando los certificados se instalan en el propio dispositivo, la clave privada se marca como no exportable.

7. En Criptografía, confirme que el Tamaño mínimo de clave esté establecido en 2048.

   Los dispositivos Windows y Android admiten el uso de un tamaño de clave de 4096 bits con un perfil de certificado PKCS. Para usar este tamaño de clave, especifique 4096 como tamaño mínimo de clave.

   Nota:

   En el caso de los dispositivos Windows, el almacenamiento de claves de 4096 bits solo se admite en el proveedor de almacenamiento de claves de software (KSP). Lo siguiente no admite el almacenamiento de claves de este tamaño:

   • TPM de hardware (módulo de plataforma segura). Como solución alternativa, puede usar el KSP de software para el almacenamiento de claves.
   • Windows Hello para empresas. No hay ninguna solución alternativa para Windows Hello para empresas en este momento.

8. En Nombre del firmante, elija Proporcionado por el solicitante.

9. En Extensiones, confirme que ve Sistema de cifrado de archivos, Correo seguro y Autenticación de cliente en las Directivas de aplicación.

   Importante

   En el caso de plantillas de certificado de iOS/iPadOS, vaya a la pestaña Extensiones, actualice Uso de la clave y confirme que no está seleccionada la opción Firma como prueba de origen.

10. En Seguridad:

    1. (Obligatorio): agregue la cuenta de equipo para el servidor en el que instala certificate connector para Microsoft Intune. Permita que esta cuenta tenga los permisos Lectura e Inscripción.
    2. (Opcional pero recomendado): quite el grupo Usuarios de dominio de la lista de grupos o nombres de usuario permisos permitidos en esta plantilla seleccionando el grupo Usuarios del dominio y seleccione Quitar. Revise las demás entradas de Grupos o nombres de usuario para obtener permisos y aplicabilidad al entorno.

11. Seleccione Aplicar>Aceptar para guardar la plantilla de certificado. Cierre la consola Plantillas de certificado.

12. En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado>Nuevo>Plantilla de certificado que se va a emitir. Elija la plantilla que ha creado en los pasos anteriores. Seleccione Aceptar.

13. Para que el servidor administre los certificados de los dispositivos inscritos en Intune, siga estos pasos:

    1. Haga clic con el botón secundario en la entidad de certificación y elija Propiedades.
    2. En la pestaña Seguridad, agregue la cuenta de equipo del servidor donde ejecuta el conector.
    3. Conceda los permisos Emitir y administrar certificados y Solicitar certificados a la cuenta de equipo.

14. Cierre la sesión de la entidad de certificación empresarial.

Descarga, instalación y configuración de Certificate Connector para Microsoft Intune

Para obtener instrucciones, vea Instalación y configuración de Certificate Connector para Microsoft Intune.

Creación de un perfil de certificado de confianza

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione y vaya aCreaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: elija la plataforma de los dispositivos que recibirán este perfil.
     • Administrador de dispositivos Android
     • Android Enterprise:
       • Totalmente administrado
       • Dedicado
       • Perfil de trabajo de propiedad corporativa
       • Perfil de trabajo de propiedad personal
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Perfil: Selecciones Certificado de confianza. O bien, seleccione Plantillas>Certificado de confianza.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es Perfil de certificado de confianza en toda la empresa.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, especifique el archivo .cer para el certificado de entidad de certificación raíz que exportó anteriormente.

   Nota:

   En función de la plataforma que ha elegido en el Paso 3, es posible que tenga o no la opción de seleccionar el Almacén de destino del certificado.

   

8. Seleccione Siguiente.

9. En Asignaciones, seleccione el usuario o los grupos de dispositivos a los que se asignará el perfil. Para una mayor granularidad, consulte Crear filtros en Microsoft Intune y aplíquelos seleccionando Editar filtro.

   Planee implementar este perfil de certificado en los mismos grupos que reciben el perfil de certificado PKCS y que reciben un perfil de configuración como un perfil de Wi-Fi que hace uso del certificado. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

   Seleccione Siguiente.

10. ( Se aplica solo a Windows 10/11) En Reglas de aplicabilidad, especifique reglas de aplicabilidad para refinar la asignación de este perfil. Puede elegir asignar o no asignar el perfil en función de la edición del sistema operativo o la versión de un dispositivo.

    Para más información, consulte Reglas de aplicabilidad en Creación de un perfil de dispositivo en Microsoft Intune.

11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Creación de un perfil de certificado PKCS

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione y vaya aCreaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione la plataforma de los dispositivos. Las opciones son:
     • Administrador de dispositivos Android
     • Android Enterprise:
       • Totalmente administrado
       • Dedicado
       • Perfil de trabajo de propiedad corporativa
       • Perfil de trabajo de propiedad personal
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Perfil:seleccione Certificado PKCS. O bien, seleccione Plantillas>Certificado PKCS.

   Nota:

   En los dispositivos con un perfil de Android Enterprise, los certificados que se instalan con un perfil de certificado PKCS no son visibles en el dispositivo. Para confirmar la implementación correcta del certificado, compruebe el estado del perfil en el Centro de administración de Intune.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil sería Perfil de PKCS de toda la empresa.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, las opciones que puede configurar serán diferentes, según la plataforma que haya elegido. Seleccione la plataforma en la configuración detallada:

   • Administrador de dispositivos Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

   Configuración	Plataforma	Detalles
   Umbral de renovación (%)	Todo	El valor recomendado es del 20 %.
   Período de validez del certificado	Todo	Si no ha cambiado la plantilla de certificado, esta opción puede estar establecida en un año. Use un período de validez de 5 días o hasta 24 meses. Cuando el período de validez es inferior a cinco días, existe una alta probabilidad de que el certificado entre en un estado de expiración o expiración próximo, lo que puede hacer que el agente MDM de los dispositivos rechace el certificado antes de instalarlo.
   Proveedor de almacenamiento de claves (KSP)	Windows 10/11	En el caso de Windows, seleccione la ubicación del dispositivo en la que almacenar las claves.
   Entidad de certificación	Todo	Muestra el nombre de dominio completo (FQDN) interno de la CA empresarial.
   Nombre de la entidad de certificación	Todo	Muestra el nombre de la CA empresarial, por ejemplo "Contoso Certification Authority".
   Nombre de plantilla de certificado	Todo	Enumera el nombre de la plantilla de certificado.
   Tipo de certificado	Android Enterprise (Perfil de trabajo de propiedad personal y de propiedad corporativa) iOS macOS Windows 10/11	Seleccione un tipo: Los certificados Usuario pueden contener atributos de usuario y de dispositivo en el asunto y el nombre alternativo del firmante (SAN) del certificado. Los certificados Dispositivo solo pueden contener atributos de dispositivo en el asunto y SAN del certificado. Use Dispositivo en escenarios como, por ejemplo, dispositivos sin usuario (como los quioscos multimedia) u otros dispositivos compartidos. Esta selección afecta al formato de nombre del firmante.
   Formato de nombre del asunto	Todo	Para obtener más información sobre cómo configurar el formato de nombre del sujeto, vea Formato de nombre del sujeto más adelante en este artículo. En las plataformas siguientes, el formato de nombre del firmante viene determinado por el tipo de certificado: Android Enterprise (Perfil de trabajo) iOS macOS Windows 10/11
   Nombre alternativo de sujeto	Todo	En Atributo, seleccione Nombre principal de usuario (UPN), a menos que se precise otra cosa, configure un Valor correspondiente y, después, seleccione Agregar. Puede usar variables o texto estático para el SAN de ambos tipos de certificado. No es necesario usar una variable. Para obtener más información, vea Formato de nombre del sujeto más adelante en este artículo.
   Uso mejorado de clave	Administrador de dispositivos Android Android Enterprise (propietario del dispositivo, Perfil de trabajo de propiedad personal y de propiedad corporativa) Windows 10/11	Los certificados suelen requerir Autenticación de cliente para que el usuario o dispositivo pueda autenticarse en un servidor.
   Permitir el acceso de todas las aplicaciones a la clave privada	macOS	Establezca esta opción en Habilitar para proporcionar a las aplicaciones configuradas para el dispositivo Mac asociado acceso a la clave privada del certificado PKCS. Para más información sobre esta configuración, vea AllowAllAppsAccess de la sección de carga de certificado de la referencia de perfiles de configuración en la documentación para desarrolladores de Apple.
   Certificado raíz	Administrador de dispositivos Android Android Enterprise (propietario del dispositivo, Perfil de trabajo de propiedad personal y de propiedad corporativa)	Seleccione un perfil de certificado de CA raíz asignado previamente.

8. Este paso solo se aplica a los perfiles de dispositivos Android Enterprise para el perfil de trabajo totalmente administrado, dedicado y Corporate-Owned.

   En Aplicaciones, configure El acceso al certificado para administrar cómo se concede el acceso al certificado a las aplicaciones. Elija entre:

   • Requerir aprobación de usuario para aplicaciones(valor predeterminado): los usuarios deben aprobar el uso de un certificado por todas las aplicaciones.
   • Conceder de forma silenciosa para aplicaciones específicas (requerir la aprobación del usuario para otras aplicaciones): con esta opción, seleccione Agregar aplicaciones y, a continuación, seleccione una o varias aplicaciones que usarán de forma silenciosa el certificado sin interacción del usuario.

9. Seleccione Siguiente.

10. En Asignaciones, seleccione el usuario o los grupos que van a recibir el perfil. Planee implementar este perfil de certificado en los mismos grupos que reciben el perfil de certificado de confianza y que reciben un perfil de configuración como un perfil de Wi-Fi que usa el certificado. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Formato de nombre del asunto

Al crear un perfil de certificado PKCS para las plataformas siguientes, las opciones de formato de nombre del firmante dependen del tipo de certificado que seleccione: Usuario o Dispositivo.

Plataformas:

• Android Enterprise (Perfil de trabajo de propiedad personal y de propiedad corporativa)
• iOS
• macOS
• Windows 10/11

Nota:

Hay un problema conocido por el uso de PKCS para obtener certificados , que es el mismo problema que se ve para SCEP cuando el nombre del firmante en la solicitud de firma de certificado (CSR) resultante incluye uno de los siguientes caracteres como carácter de escape (procede de una barra diagonal inversa \):

• +
• ;
• ,
• =

Nota:

A partir de Android 12, Android ya no admite el uso de los siguientes identificadores de hardware para dispositivos de perfil de trabajo de propiedad personal:

• Número de serie
• IMEI
• MEID

Los perfiles de certificado de Intune para dispositivos de perfil de trabajo de propiedad personal que se basan en estas variables en el nombre del firmante o SAN no podrán aprovisionar un certificado en dispositivos que ejecuten Android 12 o posterior en el momento en que el dispositivo se inscriba con Intune. Los dispositivos inscritos antes de la actualización a Android 12 pueden seguir recibiendo certificados siempre que Intune haya obtenido previamente los identificadores de hardware de los dispositivos.

Para obtener más información sobre este y otros cambios introducidos con Android 12, consulte la entrada de blog Soporte técnico de Android Day Zero para Microsoft Endpoint Manager.

• Tipo de certificado de usuario
  Las opciones de formato para el formato de nombre de sujeto incluyen dos variables: nombre común (CN) y correo electrónico de (E). El correo electrónico (E) normalmente se establecería con la variable {{EmailAddress}}. Por ejemplo: E={{EmailAddress}}

  Nombre común (CN) se puede establecer en cualquiera de las siguientes variables:

  • CN={{UserName}}: nombre de usuario del usuario, como Jane Doe.

  • CN={{UserPrincipalName}}: el nombre principal de usuario del usuario, como janedoe@contoso.com.

  • CN={{AAD_Device_ID}}: identificador asignado al registrar un dispositivo en Microsoft Entra ID. Este identificador se usa normalmente para autenticarse con Microsoft Entra ID.

  • CN={{DeviceId}}: identificador asignado al inscribir un dispositivo en Intune.

  • CN={{SERIALNUMBER}}: el número de serie único (SN) que normalmente usa el fabricante para identificar un dispositivo.

  • CN={{IMEINumber}}: número exclusivo de identidad de equipo móvil internacional (IMEI) usado para identificar un teléfono móvil.

  • CN={{OnPrem_Distinguished_Name}}: una secuencia de nombres distintivos relativos separados por comas, como CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    Para usar la variable {{OnPrem_Distinguished_Name}}}, asegúrese de sincronizar el atributo de usuario onpremisesdistinguishedname mediante Microsoft Entra Conectar con el Microsoft Entra ID.

  • CN={{onPremisesSamAccountName}}: los administradores pueden sincronizar el atributo samAccountName de Active Directory con Microsoft Entra ID mediante Microsoft Entra Conectar en un atributo denominado onPremisesSamAccountName. Intune puede sustituir esa variable como parte de una solicitud de emisión de certificado en el asunto de un certificado. El atributo samAccountName es el nombre de inicio de sesión del usuario que se utiliza para admitir clientes y servidores de una versión anterior de Windows (anterior a Windows 2000). El formato de nombre de inicio de sesión del usuario es: DomainName\testUser o solo testUser.

    Para usar la variable {{onPremisesSamAccountName}} , asegúrese de sincronizar el atributo de usuario onPremisesSamAccountName mediante Microsoft Entra Conectar a la Microsoft Entra ID.

  Todas las variables de dispositivo que se muestran en la sección Tipo de certificado de dispositivo siguiente también se pueden usar en los nombres de firmantes de certificados de usuario.

  Mediante una combinación de una o varias de estas variables y cadenas de texto estático, se puede crear un formato de nombre de firmante personalizado, como: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Ese ejemplo incluye un formato de nombre de firmante en el que se usan las variables CN y E, y cadenas para los valores Unidad organizativa, Organización, Ubicación, Estado y País. CertStrToName describe esta función y sus cadenas admitidas.

  No se pueden usar atributos de usuario en dispositivos que carezcan de asociaciones de usuario, por ejemplo, en dispositivos que estén inscritos como dedicados de Android Enterprise. Por ejemplo, un perfil que use CN={{UserPrincipalName}} en el asunto o SAN no podrá obtener el nombre principal de usuario cuando no haya ningún usuario en el dispositivo.

• Tipo de certificado de dispositivo
  Las opciones de formato para el formato de nombre del firmante incluyen las variables siguientes:

  • {{AAD_Device_ID}}
  • {{DeviceId}}: este es el identificador de dispositivo de Intune
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Solo se aplica a dispositivos unidos a Windows y a un dominio)
  • {{MEID}}

  Puede especificar estas variables, seguidas del texto de la variable, en el cuadro de texto. Por ejemplo, el nombre común de un dispositivo denominado Dispositivo1 se puede agregar como CN={{DeviceName}}Dispositivo1.

  Importante

  • Al especificar una variable, incluya el nombre de la variable entre corchetes { } como se muestra en el ejemplo, para evitar un error.
  • Una persona con acceso al dispositivo podría suplantar las propiedades del dispositivo que se usan en el asunto o SAN, como IMEI, SerialNumber y FullyQualifiedDomainName.
  • Un dispositivo debe admitir todas las variables especificadas en un perfil de certificado para que ese perfil se instale en ese dispositivo. Por ejemplo, si se usa {{IMEI}} en el nombre del firmante de un perfil SCEP y se asigna a un dispositivo que no tiene un número IMEI, se producirá un error en la instalación del perfil.

Siguientes pasos

• Uso de SCEP para los certificados
• Emisión de certificados PKCS desde un servicio web de administración de PKI de Symantec.
• Solución de problemas de perfiles de certificado PKCS