Uso de certificados para la autenticación en Microsoft IntuneUse certificates for authentication in Microsoft Intune

Use certificados con Intune para autenticar a los usuarios en las aplicaciones y los recursos corporativos a través de VPN, Wi-Fi o perfiles de correo electrónico.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Cuando se usan certificados para autenticar estas conexiones, los usuarios finales no tendrán que escribir nombres de usuario ni contraseñas, lo que puede facilitar su acceso.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which can make their access seamless. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.Certificates are also used for signing and encryption of email using S/MIME.

Certificados y uso admitidos por IntuneIntune supported certificates and usage

TipoType AutenticaciónAuthentication Firma S/MIMES/MIME Signing Cifrado S/MIMES/MIME encryption
Certificado importado de Public Key Cryptography Standards (PKCS)Public Key Cryptography Standards (PKCS) imported certificate Compatible. Compatible.
PKCS#12 (o PFX)PKCS#12 (or PFX) Compatible. Compatible.
Protocolo de inscripción de certificados simple (SCEP)Simple Certificate Enrollment Protocol (SCEP) Compatible. Compatible.

Para implementar estos certificados, debe crear y asignar perfiles de certificado a los dispositivos.To deploy these certificates, you’ll create and assign certificate profiles to devices.

Cada perfil de certificado individual que cree es compatible con una sola plataforma.Each individual certificate profile you create supports a single platform. Por ejemplo, si usa certificados PKCS, creará un perfil de certificado PKCS para Android y un perfil de certificado PKCS independiente para iOS.For example, if you use PKCS certificates, you’ll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS. Si también usa certificados SCEP para esas dos plataformas, tendrá que crear un perfil de certificado SCEP para Android y otro para iOS.If you also use SCEP certificates for those two platforms, you’ll create a SCEP certificate profile for Android, and another for iOS.

Consideraciones generales al usar una entidad de certificación de MicrosoftGeneral considerations when you use a Microsoft Certification Authority

Cuando se usa una entidad de certificación (CA) de Microsoft:When you use a Microsoft Certification Authority (CA):

Consideraciones generales al usar una entidad de certificación de tercerosGeneral considerations when you use a third-party Certification Authority

Cuando se usa una entidad de certificación (CA) de terceros (que no es de Microsoft):When you use a third-party (non-Microsoft) Certification Authority (CA):

Plataformas compatibles y perfiles de certificadoSupported platforms and certificate profiles

PlataformaPlatform Perfil de certificado de confianzaTrusted certificate profile Perfil de certificado PKCSPKCS certificate profile Perfil de certificado SCEPSCEP certificate profile Perfil de certificado PKCS importadoPKCS imported certificate profile
Administrador de dispositivos AndroidAndroid device administrator Compatible. Compatible. Compatible. Compatible.
Android EnterpriseAndroid Enterprise
- Totalmente administrado (propietario del dispositivo)- Fully Managed (Device Owner)
Compatible. Compatible.
Android EnterpriseAndroid Enterprise
- Dedicado (propietario del dispositivo)- Dedicated (Device Owner)
Compatible. Compatible.
Android EnterpriseAndroid Enterprise
- Perfil de trabajo- Work Profile
Compatible. Compatible. Compatible. Compatible.
iOSiOS Compatible. Compatible. Compatible. Compatible.
macOSmacOS Compatible. Compatible. Compatible. Compatible.
Windows Phone 8,1Windows Phone 8.1 Compatible. Compatible. Compatible.
Windows 8.1 y posteriorWindows 8.1 and later Compatible. Compatible.
Windows 10 y versiones posterioresWindows 10 and later Compatible. Compatible. Compatible. Compatible.

Exportación del certificado de entidad de certificación raíz de confianzaExport the trusted root CA certificate

Para usar certificados PKCS, SCEP y PKCS importados, los dispositivos deben confiar en la entidad de certificación raíz.To use PKCS, SCEP, and PKCS imported certificates, devices must trust your root Certification Authority. Para establecer la confianza, exporte el certificado de la entidad de certificación raíz de confianza y cualquier certificado de entidad de certificación intermedia o emisora, como un certificado público (.cer).To establish trust, export the Trusted Root CA certificate, and any intermediate or issuing Certification Authority certificates, as a public certificate (.cer). Puede obtener estos certificados de la entidad de certificación emisora o desde cualquier dispositivo que confíe en ella.You can get these certificates from the issuing CA, or from any device that trusts your issuing CA.

Para exportar el certificado, consulte la documentación de la entidad de certificación.To export the certificate, refer to the documentation for your Certification Authority. Tendrá que exportar el certificado público como un archivo .cer.You’ll need to export the public certificate as a .cer file. No exporte la clave privada, un archivo .pfx.Don't export the private key, a .pfx file.

Usará este archivo .cer al crear perfiles de certificado de confianza para implementar ese certificado en los dispositivos.You’ll use this .cer file when you create trusted certificate profiles to deploy that certificate to your devices.

creación de perfiles de certificado de confianzaCreate trusted certificate profiles

Cree un perfil de certificado de confianza antes de poder crear un perfil de certificado SCEP, PKCS o PKCS importado.Create a trusted certificate profile before you can create a SCEP, PKCS, or PKCS imported certificate profile. La implementación de un perfil de certificado de confianza garantiza que cada dispositivo reconozca la legitimidad de la entidad de certificación.Deploying a trusted certificate profile ensures each device recognizes the legitimacy of your CA. Los perfiles de certificado SCEP hacen referencia directamente a un perfil de certificado de confianza.SCEP certificate profiles directly reference a trusted certificate profile. Los perfiles de certificado PKCS no hacen referencia directamente al perfil de certificado de confianza, pero sí al servidor en el que se hospeda la entidad de certificación.PKCS certificate profiles don’t directly reference the trusted certificate profile but do directly reference the server that hosts your CA. Los perfiles de certificado PKCS importados no hacen referencia directamente al perfil de certificado de confianza, pero pueden usarlo en el dispositivo.PKCS imported certificate profiles don't directly reference the trusted certificate profile but can use it on the device. La implementación de un perfil de certificado de confianza en los dispositivos garantiza que se establece esta confianza.Deploying a trusted certificate profile to devices ensures this trust is established. Cuando un dispositivo no confía en la entidad de certificación raíz, se producirá un error en la directiva de perfil de certificado SCEP o PKCS.When a device doesn’t trust the root CA, the SCEP or PKCS certificate profile policy will fail.

Cree un perfil de certificado de confianza independiente para cada plataforma de dispositivo que quiera admitir, como lo haría con los perfiles de certificado SCEP, PKCS y PKCS importados.Create a separate trusted certificate profile for each device platform you want to support, just as you'll do for SCEP, PKCS, and PKCS imported certificate profiles.

Para crear un perfil de certificado de confianzaTo create a trusted certificate profile

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.Select Devices > Configuration profiles > Create profile.

    Navegación a Intune y creación de un perfil para un certificado de confianza

  3. Escriba las propiedades siguientes:Enter the following properties:

    • Nombre del perfilName for the profile
    • Si lo desea, puede rellenar el campo Descripción.Optionally set a Description
    • Plataforma en la cual implementar el perfilPlatform to deploy the profile to
    • Establezca el tipo del perfil en Certificado de confianzaSet Profile type to Trusted certificate
  4. Seleccione Configuración y busque el archivo .cer del certificado de entidad de certificación raíz de confianza que ha exportado para usar con este perfil de certificado y, después, seleccione Aceptar.Select Settings, and then browse to the trusted root CA certificate .cer file you exported for use with this certificate profile, and then select OK.

  5. Solo para dispositivos Windows 8.1 y Windows 10, seleccione el almacén de destino del certificado de confianza. Las opciones son:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Almacén de certificados de equipo - RaízComputer certificate store - Root
    • Almacén de certificados de equipo - IntermedioComputer certificate store - Intermediate
    • Almacén de certificados de usuario - IntermedioUser certificate store - Intermediate
  6. Cuando haya terminado, elija Aceptar, vuelva al panel Crear perfil y seleccione Crear.When you're done, choose OK, go back to the Create profile pane, and select Create.

El perfil aparece en la lista de perfiles de la ventana Dispositivos - Perfiles de configuración, con un tipo de perfil de Certificado de confianza.The profile appears in the list of profiles on the Devices - Configuration profiles window, with a profile type of Trusted certificate. Asegúrese de asignar este perfil a los dispositivos que vayan a usar certificados SCEP o PKCS.Be sure to assign this profile to devices that will use SCEP or PKCS certificates. Para asignar el perfil a grupos, vea Asignación de perfiles de dispositivo.To assign the profile to groups, see assign device profiles.

Nota

Es posible que los dispositivos Android muestren un mensaje que indica que un tercero ha instalado un certificado de confianza.Android devices might display a message that a third party has installed a trusted certificate.

Recursos adicionalesAdditional resources

Pasos siguientesNext steps

Cree perfiles de certificado SCEP, PKCS o PKCS importados para cada plataforma que quiera usar.Create SCEP, PKCS, or PKCS imported certificate profiles for each platform you want to use. Para continuar, vea los artículos siguientes:To continue, see the following articles: