Usar credenciales derivadas con Microsoft Intune

  • Artículo

Este artículo se aplica a:

  • Dispositivos Android Enterprise totalmente administrados que ejecutan la versión 7.0 y posteriores
  • iOS/iPadOS
  • Windows 10/11

En un entorno en el que se necesitan tarjetas inteligentes para la autenticación o el cifrado y la firma, puede usar Intune para aprovisionar dispositivos móviles con un certificado que se derive de la tarjeta inteligente de un usuario. Ese certificado se denomina credencial derivada. Intune admite varios emisores de credenciales derivadas, aunque solo se puede usar un emisor por inquilino a la vez.

Las credenciales derivadas son una implementación de las directrices del Instituto Nacional de Estándares y Tecnología (NIST) para las credenciales de verificación de identidad personal derivada (PIV) como parte de la publicación especial (SP) 800-157(Link abre un archivo de .pdf en nvlpubs.nist.gov).

Con la implementación de Intune:

  • El administrador de Intune configura su inquilino para que funcione con un emisor de credenciales derivadas compatible. No es necesario aplicar ninguna configuración específica de Intune en el sistema del emisor de credenciales derivadas.

  • El administrador de Intune especifica la credencial derivada como método de autenticación de los siguientes objetos:

    Para dispositivos Android Enterprise totalmente administrados:

    • Tipos de perfil comunes, como Wi-Fi
    • Autenticación de aplicaciones

    Para iOS/iPadOS:

    • Tipos de perfiles comunes, como Wi-Fi, VPN y correo electrónico, que incluye la aplicación de correo electrónico nativa de iOS/iPadOS
    • Autenticación de aplicaciones
    • Firma S/MIME y cifrado

    Para Windows:

    • Tipos de perfiles comunes, como Wi-Fi y VPN

    Nota:

    Actualmente, las credenciales derivadas como método de autenticación para los perfiles de VPN no funcionan según lo esperado en los dispositivos Windows. Este comportamiento solo afecta a los perfiles de VPN en dispositivos Windows y se corregirá en una versión futura (sin ETA).

  • En el caso de iOS/iPadOS y Android, los usuarios obtienen una credencial derivada usando su tarjeta inteligente en un equipo para autenticarse en el emisor de las credenciales derivadas. Luego, el emisor emite al dispositivo móvil un certificado que se deriva de su tarjeta inteligente. En el caso de Windows, los usuarios instalan la aplicación desde el proveedor de credenciales derivadas, que instala el certificado en el dispositivo para su uso posterior.

  • Una vez que el dispositivo ha recibido la credencial derivada, se usa para la autenticación, así como para la firma S/MIME y el cifrado, cuando las aplicaciones o los recursos obtienen acceso a perfiles que requieren la credencial derivada.

Requisitos previos

Revise la siguiente información antes de configurar su inquilino para usar las credenciales derivadas.

Plataformas compatibles

Intune admite credenciales derivadas en las siguientes plataformas:

  • iOS/iPadOS
  • Android Enterprise:
    • Dispositivos totalmente administrados (versión 7.0 y posteriores)
    • Perfil de trabajo de propiedad corporativa
  • Windows 10/11

Emisores admitidos

Intune admite un solo emisor de credenciales derivadas por inquilino. Puede configurar Intune para que funcione con los siguientes emisores:

Para obtener información importante sobre el uso de los distintos emisores, consulte la guía del emisor en cuestión. Para obtener más información, vea Planear las credenciales derivadas en este artículo.

Importante

Si elimina de su inquilino un emisor de credenciales derivadas, las credenciales derivadas que se hayan configurado con ese emisor dejarán de funcionar.

Consulte Cambiar el emisor de las credenciales derivadas más adelante en este artículo.

Aplicaciones necesarias

Planee implementar la aplicación relevante para el usuario en dispositivos que se inscribirán para una credencial derivada. Los usuarios de dispositivos usan la aplicación para iniciar el proceso de inscripción de credenciales.

Planear las credenciales derivadas

Tenga presentes las siguientes consideraciones antes de configurar un emisor de credenciales derivadas para iOS/iPadOS y Android.

Con respecto a los dispositivos Windows, consulte Credenciales derivadas para Windows, más adelante en este artículo.

1- Revise la documentación del emisor de credenciales derivadas elegido.

Antes de configurar un emisor, revise la documentación correspondiente para comprender cómo suministra su sistema las credenciales derivadas a los dispositivos.

En función del emisor que elija, puede que necesite personal que esté disponible en el momento de la inscripción para que los usuarios puedan llevar a cabo el proceso. Revise también las configuraciones actuales de Intune a fin de garantizar que no bloquean el acceso necesario para que los dispositivos o los usuarios lleven a cabo la solicitud de credenciales.

Por ejemplo, puede usar el acceso condicional para bloquear el acceso al correo electrónico para dispositivos no compatibles. Si confía en las notificaciones por correo electrónico para informar al usuario de que debe iniciar el proceso de inscripción de credenciales derivadas, es posible que los usuarios no reciban esas instrucciones hasta que cumplan la directiva.

Del mismo modo, algunos flujos de trabajo de solicitud de credenciales derivadas requieren el uso de la cámara del dispositivo para escanear un código QR que aparece en pantalla. Este código vincula ese dispositivo a la solicitud de autenticación que se efectuó en el emisor de credenciales derivadas con las credenciales de la tarjeta inteligente del usuario. Si las directivas de configuración del dispositivo bloquean el uso de la cámara, el usuario no podrá llevar a cabo la solicitud de inscripción de credenciales derivadas.

Información general:

  • Solo puede configurar un emisor por inquilino a la vez; ese emisor está disponible para todos los usuarios y los dispositivos compatibles en el inquilino.

  • No se notificará a los usuarios de que deben inscribirse en las credenciales derivadas hasta que les aplique una directiva que requiera credenciales derivadas.

  • La notificación puede realizarse a través de una notificación de la aplicación del Portal de empresa, por correo electrónico o ambos. Si decide usar notificaciones por correo electrónico y habilita el acceso condicional, es posible que los usuarios no reciban la notificación por correo electrónico si su dispositivo no es compatible.

    Importante

    Para garantizar que los usuarios finales reciban correctamente las notificaciones relacionadas con las credenciales del dispositivo, debe habilitar las notificaciones de aplicaciones para el Portal de empresa, las notificaciones por correo electrónico o ambas.

2- Revisar el flujo de trabajo del usuario final para el emisor elegido

A continuación se indican las consideraciones clave de cada asociado admitido. Familiarícese con esta información para asegurarse de que las directivas y configuraciones de Intune no impidan que los usuarios y los dispositivos lleven a cabo correctamente la inscripción de una credencial derivada de ese emisor.

DISA Purebred

Revise el flujo de trabajo del usuario específico de la plataforma para los dispositivos que se van a usar con las credenciales derivadas.

Los requisitos clave incluyen lo siguiente:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.

  • Los dispositivos de iOS y iPadOS que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune. Los dispositivos Android de perfil de trabajo de propiedad corporativa y totalmente administrados deben instalar y usar la aplicación de Intune.

  • Use Intune para implementar la aplicación DISA Purebred en los dispositivos que se van a inscribir en una credencial derivada. Esta aplicación debe implementarse a través de Intune para que se administre y, a continuación, pueda trabajar con la aplicación Portal de empresa de Intune o la aplicación de Intune, que los usuarios del dispositivo usan para completar la solicitud de credencial derivada.

  • Para recuperar una credencial derivada de la aplicación Purebred, el dispositivo debe tener acceso a la red local. El acceso puede ser a través de VPN o Wi-Fi corporativos.

  • Los usuarios del dispositivo deben trabajar con un agente activo durante el proceso de inscripción. Durante la inscripción se proporcionan al usuario códigos de acceso de un solo uso y de tiempo limitado a medida que avanza en el proceso de inscripción.

  • Cuando se realizan cambios en una directiva que usa credenciales derivadas, como la creación de un nuevo perfil de Wi-Fi, se notifica a los usuarios de iOS y iPadOS que abran la aplicación Portal de empresa.

  • Se notifica a los usuarios que abran la aplicación aplicable cuando necesiten renovar sus credenciales derivadas.

    El proceso de renovación tiene lugar de la siguiente manera:

    • El emisor de credenciales derivadas debe emitir certificados nuevos o actualizados antes de que los certificados anteriores estén en el 80 % de su período de validez.
    • El dispositivo se registra durante el período de renovación (el último 20 % del período de validez).
    • Microsoft Intune notifica al usuario a través de correo electrónico o una notificación de aplicación para iniciar el Portal de empresa.
    • El usuario inicia el Portal de empresa y pulsa la notificación de credenciales derivadas y, a continuación, los certificados de credencial derivados se copian en el dispositivo.

Para recibir información sobre cómo obtener y configurar la aplicación DISA Purebred, vea Implementar la aplicación DISA Purebred más adelante en este artículo.

Entrust

Revise el flujo de trabajo del usuario específico de la plataforma para los dispositivos que se van a usar con las credenciales derivadas.

Los requisitos clave incluyen lo siguiente:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.

  • Los dispositivos de iOS y iPadOS que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune. Los dispositivos Android de perfil de trabajo de propiedad corporativa y totalmente administrados deben instalar y usar la aplicación de Intune.

  • Uso de una cámara de dispositivo para escanear un código QR que vincule la solicitud de autenticación a la solicitud de la credencial derivada desde el dispositivo móvil.

  • A través de la aplicación Portal de empresa o del correo electrónico se solicita a los usuarios que se inscriban en las credenciales derivadas.

  • Cuando se realizan cambios en una directiva que usa credenciales derivadas, como la creación de un nuevo perfil de Wi-Fi:

    • iOS y iPadOS: se notifica a los usuarios que abran la aplicación Portal de empresa.
    • Perfil de trabajo corporativo de Android Enterprise o dispositivos totalmente administrados: no es necesario abrir la aplicación Portal de empresa.

  • Se notifica a los usuarios que abran la aplicación aplicable cuando necesiten renovar sus credenciales derivadas.

    El proceso de renovación tiene lugar de la siguiente manera:

    • El emisor de credenciales derivadas debe emitir certificados nuevos o actualizados antes de que los certificados anteriores estén en el 80 % de su período de validez.
    • El dispositivo se registra durante el período de renovación (el último 20 % del período de validez).
    • Microsoft Intune notifica al usuario a través de correo electrónico o una notificación de aplicación para iniciar el Portal de empresa.
    • El usuario inicia el Portal de empresa y pulsa la notificación de credencial derivada y, a continuación, los certificados de credenciales derivadas se copian en el dispositivo

Intercede

Revise el flujo de trabajo del usuario específico de la plataforma para los dispositivos que se van a usar con las credenciales derivadas.

Los requisitos clave incluyen lo siguiente:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.

  • Los dispositivos de iOS y iPadOS que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune. Los dispositivos Android de perfil de trabajo de propiedad corporativa y totalmente administrados deben instalar y usar la aplicación de Intune.

  • Uso de una cámara de dispositivo para escanear un código QR que vincule la solicitud de autenticación a la solicitud de la credencial derivada desde el dispositivo móvil.

  • A través de la aplicación Portal de empresa o del correo electrónico se solicita a los usuarios que se inscriban en las credenciales derivadas.

  • Cuando se realizan cambios en una directiva que usa credenciales derivadas, como la creación de un nuevo perfil de Wi-Fi:

    • iOS y iPadOS: se notifica a los usuarios que abran la aplicación Portal de empresa.
    • Perfil de trabajo corporativo de Android Enterprise o dispositivos totalmente administrados: no es necesario abrir la aplicación Portal de empresa.

  • Se notifica a los usuarios que abran la aplicación aplicable cuando necesiten renovar sus credenciales derivadas.

    El proceso de renovación tiene lugar de la siguiente manera:

    • El emisor de credenciales derivadas debe emitir certificados nuevos o actualizados antes de que los certificados anteriores estén en el 80 % de su período de validez.
    • El dispositivo se registra durante el período de renovación (el último 20 % del período de validez).
    • Microsoft Intune notifica al usuario a través de correo electrónico o una notificación de aplicación para iniciar el Portal de empresa.
    • El usuario inicia el Portal de empresa y pulsa la notificación de credencial derivada y, a continuación, los certificados de credenciales derivadas se copian en el dispositivo

3: Implementación de un certificado raíz de confianza en dispositivos

Se usa un certificado raíz de confianza con credenciales derivadas para comprobar que la cadena de certificados de las credenciales derivadas es válida y de confianza. Incluso si no se hace referencia directa a él mediante una directiva, se requiere un certificado raíz de confianza. Vea Configuración de un perfil de certificado para sus dispositivos en Microsoft Intune.

4- Proporcionar instrucciones para el usuario final sobre cómo obtener la credencial derivada

Cree y proporcione orientación a sus usuarios sobre cómo iniciar el proceso de inscripción de credenciales derivadas y dirigirlos al flujo de trabajo de inscripción de credenciales derivadas para el emisor elegido.

Se recomienda proporcionar una dirección URL que hospede las instrucciones. Esta dirección URL se especifica al configurar el emisor de credenciales derivadas de su inquilino y se pone a disposición desde la aplicación Portal de empresa. Si no especifica su propia dirección URL, Intune proporcionará un vínculo a los detalles genéricos. Esta información detallada no puede cubrir todos los escenarios y es posible que no sea correcta para su entorno.

5: Implementación de directivas de Intune que requieren credenciales derivadas

Cree directivas o edite las directivas existentes para usar las credenciales derivadas. Las credenciales derivadas reemplazan a otros métodos de autenticación para los objetos siguientes:

  • Autenticación de aplicaciones
  • Wi-Fi
  • VPN
  • Correo electrónico (solo iOS)
  • Firma S/MIME y cifrado, incluido Outlook (solo iOS)

Evite exigir el uso de una credencial derivada para acceder a un proceso que se usará como parte del proceso para obtener la credencial derivada, ya que puede impedir que los usuarios lleven a cabo la solicitud.

Configurar un emisor de credenciales derivadas

Antes de crear directivas que requieran el uso de una credencial derivada, configure un emisor de credenciales en el centro de administración de Microsoft Intune. Un emisor de credenciales derivadas es una configuración aplicada a todo el inquilino. Los inquilinos solo admiten un emisor a la vez.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Administración de inquilinos>Conectores y tokens>Credenciales derivadas.

    Configure las credenciales derivadas en el centro de administración de Microsoft Intune.

  3. Especifique un nombre para mostrar descriptivo para la directiva del emisor de credenciales derivadas. Este nombre no se mostrará a los usuarios del dispositivo.

  4. En Emisor de credenciales derivadas, seleccione el emisor de credenciales derivadas que ha elegido para su inquilino:

    • DISA Purebred (solo iOS)
    • Entrust
    • Intercede

  5. Especifique una dirección URL de ayuda de credenciales derivadas para proporcionar un vínculo a una ubicación que incluya instrucciones personalizadas para ayudar a los usuarios a obtener las credenciales derivadas para su organización. Las instrucciones deben ser específicas de su organización y del flujo de trabajo necesario para obtener una credencial del emisor elegido. El vínculo aparece en la aplicación Portal de empresa y debe ser accesible desde el dispositivo.

    Si no especifica su propia dirección URL, Intune proporcionará un vínculo a detalles genéricos que no pueden abarcar todos los escenarios. Puede que esta guía genérica no sea correcta para su entorno.

  6. Seleccione una o más opciones para Tipo de notificación. Los tipos de notificación son los métodos que se usan para informar a los usuarios sobre los siguientes escenarios:

    • Inscribir un dispositivo con un emisor para obtener una credencial derivada nueva.
    • Obtener una credencial derivada nueva cuando la credencial actual está a punto de vencer.
    • Use una credencial derivada con un objeto compatible.

  7. Cuando esté a punto, seleccione Guardar para completar la configuración del emisor de credenciales derivadas.

Después de guardar la configuración, puede hacer cambios en todos los campos excepto en Emisor de credenciales derivadas. Para cambiar el emisor, vea Cambiar el emisor de credenciales derivadas.

Implementar la aplicación DISA Purebred

Esta sección solo se aplica si se usa DISA Purebred.

Para usar DISA Purebred como emisor de credenciales derivadas para Intune, debe obtener la aplicación DISA Purebred y, después, usar Intune para implementar la aplicación en los dispositivos. A continuación, los usuarios solicitan la credencial derivada de DISA Purebred mediante la aplicación Portal de empresa en su dispositivo iOS/iPadOS o la aplicación Intune en sus dispositivos Android.

Además de implementar la aplicación DISA Purebred con Intune, el dispositivo debe tener acceso a la red local. Para proporcionar este acceso, considere la posibilidad de usar una VPN o Wi-Fi corporativa.

Lleve a cabo las siguientes tareas:

  1. Descargue la aplicación DISA Purebred: https://cyber.mil/pki-pke/purebred/.

  2. Implemente la aplicación DISA Purebred en Intune.

    Es posible que se requiera una configuración adicional para la aplicación Purebred. Hable con el agente de Purebred para comprender qué valores deben incluirse en las directivas, o si tiene una tarjeta de acceso común (CAC) emitida por el DoD, puede acceder a la documentación de Purebred en línea en https://cyber.mil/pki-pke/purebred/.

  3. Si decide usar una VPN por aplicación para la aplicación DISA Purebred, consulte Creación de una VPN por aplicación.

Usar credenciales derivadas para la autenticación, la firma S/MIME y el cifrado

Puede especificar credenciales derivadas para los tipos de perfil y propósitos siguientes:

Usar credenciales derivadas para la autenticación de aplicaciones

Use credenciales derivadas para la autenticación basada en certificados en sitios web y aplicaciones. Para entregar una credencial derivada para la autenticación de aplicaciones:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. SeleccioneConfiguración de>dispositivos> En la pestaña Directivas, seleccione + Crear.

  3. Use la configuración siguiente:

    Para iOS y iPadOS:

    • Para plataforma. seleccione iOS/iPadOS y, a continuación, en Tipo de perfil, seleccione Plantillas > Credencial derivada. Seleccione Crear para continuar.
    • En Nombre, escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es Perfil de credencial derivada para dispositivos iOS.
    • En Descripción, escriba una descripción que proporcione información general sobre la configuración y cualquier otro detalle importante.

    Para Android Enterprise:

    • Para plataforma. seleccione Android Enterprise y, a continuación, en Tipo de perfil, en Totalmente administrado, Dedicado y Corporate-Owned perfil de trabajo, seleccione Credencial derivada**. Seleccione Crear para continuar.
    • En Nombre, escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es Perfil de credencial derivada para dispositivos Android Enterprise.
    • En Descripción, escriba una descripción que proporcione información general sobre la configuración y cualquier otro detalle importante.
    • En la página Aplicaciones , configure El acceso al certificado para administrar cómo se concede el acceso de certificado a las aplicaciones. Elija entre:
      • Requerir aprobación de usuario para aplicaciones(valor predeterminado): los usuarios deben aprobar el uso de un certificado por todas las aplicaciones.
      • Conceder de forma silenciosa para aplicaciones específicas (requerir la aprobación del usuario para otras aplicaciones): con esta opción, seleccione Agregar aplicaciones y, a continuación, seleccione una o varias aplicaciones que usarán de forma silenciosa el certificado sin interacción del usuario.

  4. En la página Asignaciones , seleccione los grupos que deben recibir la directiva.

  5. Cuando haya terminado, seleccione Crear para crear el perfil de Intune. Una vez que se haya completado, el perfil se mostrará en la lista Dispositivos - Perfiles de configuración.

Los usuarios reciben la notificación por correo electrónico o de la aplicación en función de la configuración que haya especificado al configurar el emisor de credenciales derivadas. La notificación informa al usuario de que debe iniciar el Portal de empresa para que se puedan procesar las directivas de credenciales derivadas.

Credenciales derivadas para Windows

Puede usar certificados de credencial derivada como método de autenticación para perfiles de Wi-Fi y VPN en dispositivos Windows. Los mismos proveedores que se admiten en los dispositivos iOS/iPadOS y Android se admiten como proveedores para Windows:

  • DISA Purebred
  • Entrust
  • Intercede

Nota:

Actualmente, las credenciales derivadas como método de autenticación para los perfiles de VPN no funcionan según lo esperado en los dispositivos Windows. Este comportamiento solo afecta a los perfiles de VPN en dispositivos Windows y se corregirá en una versión futura (sin ETA).

En Windows, los usuarios no pasan por un proceso de registro de tarjeta inteligente para obtener un certificado que puedan usar como credenciales derivadas. En su lugar, el usuario debe instalar la aplicación para Windows, que se obtiene del proveedor de credenciales derivadas. Para usar credenciales derivadas con Windows, complete las siguientes configuraciones:

  1. Instale la aplicación de los proveedores de credenciales derivadas en el dispositivo Windows.

    Al instalar la aplicación de Windows desde un proveedor de credenciales derivadas en un dispositivo Windows, el certificado derivado se agrega al almacén de certificados de Windows de ese dispositivo. Una vez que el certificado se agrega al dispositivo, está disponible para usar un método de autenticación de credencial derivada.

    Después de obtener la aplicación del proveedor elegido, la aplicación se puede implementar en los usuarios o instalarla directamente el usuario del dispositivo.

  2. Configure los perfiles de Wi-Fi y VPN para usar credenciales derivadas como método de autenticación.

    Al configurar un perfil de Windows para Wi-Fi o VPN, seleccione Credencial derivada como Método de autenticación. Con esta configuración, el perfil usa el certificado que se instala en el dispositivo cuando se instaló la aplicación del proveedor.

Renovar una credencial derivada

Las credenciales derivadas para dispositivos Android o iOS/iPadOS no se pueden ampliar ni renovar. En vez de eso, los usuarios deben usar el flujo de trabajo de solicitud de credenciales para solicitar una credencial derivada nueva para su dispositivo. En el caso de los dispositivos Windows, consulte la documentación de la aplicación del proveedor de credenciales derivadas.

Si configura uno o varios métodos para el tipo de notificación, Intune notificará automáticamente a los usuarios cuando la credencial derivada actual haya alcanzado el 80 % de su ciclo de vida. La notificación dirige a los usuarios al proceso de solicitud de credenciales para obtener una nueva credencial derivada.

Una vez que un dispositivo recibe una nueva credencial derivada, las directivas que usan credenciales derivadas se reimplementan en ese dispositivo.

Cambiar el emisor de credenciales derivadas

En el nivel de inquilino, puede cambiar el emisor de credenciales, aunque solo un emisor es compatible con un inquilino a la vez.

Después de cambiar el emisor, se solicitará a los usuarios que obtengan una nueva credencial derivada del emisor nuevo. Deben hacerlo antes de poder usar una credencial derivada para la autenticación.

Cambiar el emisor de su inquilino

Importante

Si elimina un emisor y acto seguido vuelve a configurar ese mismo emisor, deberá actualizar los perfiles y dispositivos para usar las credenciales derivadas de ese emisor. Las credenciales derivadas obtenidas antes de eliminar el emisor ya no son válidas.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Administración de inquilinos>Conectores y tokens>Credenciales derivadas.
  3. Seleccione Eliminar para quitar el emisor de credenciales derivadas actual.
  4. Configure un nuevo emisor.

Actualizar los perfiles que usan credenciales derivadas

Después de eliminar un emisor y de agregar uno nuevo, edite todos los perfiles que usen credenciales derivadas. Esta regla se aplica incluso si se restaura el emisor anterior. Cualquier edición del perfil desencadena una actualización, incluida una edición sencilla de la descripción del perfil.

Actualizar las credenciales derivadas en los dispositivos

Después de eliminar un emisor y de agregar uno nuevo, los usuarios del dispositivo deben solicitar una nueva credencial derivada. Esta regla se aplica incluso si se agrega el mismo emisor que se ha quitado. El proceso para solicitar la nueva credencial derivada es el mismo que para inscribir un dispositivo nuevo o renovar una credencial existente.

Siguientes pasos

Creación de perfiles de configuración de dispositivo.