Uso de credenciales derivadas en Microsoft IntuneUse derived credentials in Microsoft Intune

Este artículo se aplica a los dispositivos que ejecutan iOSThis article applies to devices that run iOS

En un entorno en el que se necesitan tarjetas inteligentes para la autenticación o el cifrado y la firma, ahora puede usar Intune para aprovisionar dispositivos móviles con un certificado que se derive de la tarjeta inteligente de un usuario.In an environment where smart cards are required for authentication or encryption and signing, you can now use Intune to provision mobile devices with a certificate that’s derived from a user’s smart card. Ese certificado se denomina credencial derivada.That certificate is called a derived credential. Intune admite varios emisores de credenciales derivadas, aunque solo se puede usar un emisor por inquilino a la vez.Intune supports several derived credential issuers, though you can use only a single issuer per tenant at a time.

Las credenciales derivadas son una implementación de las directrices del National Institute of Standards and Technology (NIST) para las credenciales derivadas de verificación de identidad personal (PIV) como parte de la publicación especial (SP) 800-157.Derived credentials are an implementation of the National Institute of Standards and Technology (NIST) guidelines for Derived Personal Identity Verification (PIV) credentials as part of Special Publication (SP) 800-157.

Con la implementación de Intune:With Intune’s implementation:

  • El administrador de Intune configura su inquilino para que funcione con un emisor de credenciales derivadas compatible.The Intune administrator configures their tenant to work with a supported derived credential issuer. No es necesario aplicar ninguna configuración específica de Intune en el sistema del emisor de las credenciales derivadas.You don’t need to configure any Intune specific settings in the derived credential issuer's system.

  • El administrador de Intune especifica la credencial derivada como método de autenticación de los siguientes objetos:The Intune administrator specifies Derived credential as the authentication method for the following objects:

    • Tipos de perfiles comunes, como Wi-Fi, VPN y correo electrónico, que incluye la aplicación de correo electrónico nativa de iOSCommon profile types like Wi-Fi, VPN, and Email, which includes the iOS native mail app

    • Autenticación de aplicacionesApp authentication

    • Firma S/MIME y cifradoS/MIME signing and encryption

  • Los usuarios obtienen una credencial derivada usando su tarjeta inteligente en un equipo para autenticarse en el emisor de las credenciales derivadas.Users obtain a derived credential by using their smart card on a computer to authenticate to the derived credential issuer. Luego, el emisor emite en el dispositivo móvil un certificado que se deriva de su tarjeta inteligente.The issuer then issues to the mobile device a certificate that’s derived from their smart card.

  • Una vez que el dispositivo ha recibido la credencial derivada, se usa para la autenticación, así como para la firma S/MIME y el cifrado, cuando las aplicaciones o los recursos obtienen acceso a perfiles que requieren la credencial derivada.After the device receives the derived credential, it's used for authentication and for S/MIME signing and encryption when apps or resource access profiles require the derived credential.

Requisitos previosPrerequisites

Revise la siguiente información antes de configurar su inquilino para usar las credenciales derivadas.Review the following information before you configure your tenant to use derived credentials.

Plataformas compatiblesSupported platforms

Intune admite credenciales derivadas en las siguientes plataformas de sistemas operativos:Intune supports derived credentials on the following OS platforms:

  • iOS/iPadOSiOS/iPadOS

Emisores admitidosSupported issuers

Intune admite un solo emisor de credenciales derivadas por inquilino.Intune supports a single derived credential issuer per tenant. Puede configurar Intune para que funcione con los siguientes emisores:You can configure Intune to work with the following issuers:

Para obtener información importante sobre el uso de los distintos emisores, consulte la guía del emisor en cuestión.For important details about using the different issuers, review guidance for that issuer.. Para obtener más información, vea Planear las credenciales derivadas en este artículo.For more information, see Plan for derived credentials in this article.

Importante

Si elimina de su inquilino un emisor de credenciales derivadas, las credenciales derivadas que se hayan configurado con ese emisor dejarán de funcionar.If you delete a derived credential issuer from your tenant, the derived credentials that were set up through that issuer will no longer function.

Consulte Cambiar el emisor de las credenciales derivadas más adelante en este artículo.See Change the derived credential issuer later in this article.

Aplicación de portal de empresaCompany Portal app

Planee la implementación de la aplicación Portal de empresa de Intune en los dispositivos que se van a inscribir en una credencial derivada.Plan to deploy the Intune Company Portal app to devices that will enroll for a derived credential. Los usuarios de dispositivos usan la aplicación Portal de empresa para iniciar el proceso de inscripción de credenciales.Device users use the Company Portal app to start the credential enrollment process.

Para los dispositivos iOS, consulte Adición de aplicaciones de la tienda iOS a Microsoft Intune.For iOS devices, see Add iOS store apps to Microsoft Intune.

Planear las credenciales derivadasPlan for derived credentials

Tenga presentes las siguientes consideraciones antes de configurar un emisor de credenciales derivadas.Understand the following considerations before setting up a derived credential issuer.

1) Revisar la documentación del emisor de credenciales derivadas elegido1) Review the documentation for your chosen derived credential issuer

Antes de configurar un emisor, revise la documentación correspondiente para comprender cómo suministra su sistema las credenciales derivadas a los dispositivos.Before you configure an issuer, review that issuer’s documentation to understand how their system delivers derived credentials to devices.

En función del emisor que elija, puede que necesite personal que esté disponible en el momento de la inscripción para que los usuarios puedan llevar a cabo el proceso.Depending on the issuer you choose, you might need staff to be available at the time of enrollment to help users complete the process. También debe revisar las configuraciones actuales de Intune para asegurarse de que no bloquean el acceso necesario para que los dispositivos o los usuarios lleven a cabo la solicitud de credenciales.You should also review your current Intune configurations to ensure they don’t block access that’s necessary for devices or users to complete the credential request.

Por ejemplo, puede usar el acceso condicional para bloquear el acceso al correo electrónico en los dispositivos no compatibles.For example, you might use conditional access to block access to email for non-compliant devices. Si confía en las notificaciones por correo electrónico para informar al usuario de que debe iniciar el proceso de inscripción de credenciales derivadas, es posible que los usuarios no reciban esas instrucciones hasta que cumplan la directiva.If you rely on email notifications to inform the user to start the derived credential enrollment process, your users might not receive those instructions until they're compliant with policy.

Del mismo modo, algunos flujos de trabajo de solicitud de credenciales derivadas requieren el uso de la cámara del dispositivo para escanear un código QR que aparece en pantalla.Similarly, some derived credential request workflows require the use of the device camera to scan an on-screen QR code. Este código vincula ese dispositivo a la solicitud de autenticación que se efectuó en el emisor de las credenciales derivadas con las credenciales de la tarjeta inteligente del usuario.This code links that device to the authentication request that occurred against the derived credential issuer with the user’s smart card credentials. Si las directivas de la configuración del dispositivo bloquean el uso de la cámara, el usuario no podrá llevar a cabo la solicitud de inscripción de credenciales derivadas.If device configuration polices block camera use, the user can’t complete the derived credential enrollment request.

Información general:General information:

  • Solo puede configurar un emisor por inquilino a la vez; ese emisor está disponible para todos los usuarios y los dispositivos compatibles en el inquilino.You can only configure a single issuer per tenant at a time, and that issuer is available to all users and supported devices in your tenant.

  • No se notificará a los usuarios de que deben inscribirse en las credenciales derivadas hasta que les aplique una directiva que requiera credenciales derivadas.Users won't be notified that they must enroll for derived credentials until you target them with a policy that requires derived credentials.

  • La notificación puede realizarse a través de una notificación de la aplicación del Portal de empresa, por correo electrónico o ambos.Notification can be through app notification for the Company Portal, through email, or both. Si decide usar notificaciones por correo electrónico y habilita el acceso condicional, es posible que los usuarios no reciban la notificación por correo electrónico si su dispositivo no es compatible.If you choose to use email notifications and you use enabled conditional access, users might not receive the email notification if their device isn’t compliant.

2) Revisar el flujo de trabajo del usuario final del emisor elegido2) Review the end-user workflow for your chosen issuer

A continuación se indican las consideraciones clave de cada asociado admitido.Following are key considerations for each supported partner. Familiarícese con esta información para asegurarse de que las directivas y configuraciones de Intune no impidan que los usuarios y los dispositivos lleven a cabo correctamente la inscripción de una credencial derivada de ese emisor.Become familiar with this information so you can ensure your Intune policies and configurations don’t block users and devices from successfully completing enrollment for a derived credential from that issuer.

DISA PurebredDISA Purebred

Revise el flujo de trabajo del usuario para DISA Purebred.Review the user workflow for DISA Purebred. Los principales requisitos de este flujo de trabajo incluyen:Key requirements for this workflow include:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.Users need access to a computer or KIOSK where they can use their smart card to authenticate to the issuer.

  • Los dispositivos que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune.Devices that will enroll for a derived credential must install the Intune Company Portal app.

  • Use Intune para implementar la aplicación DISA Purebred en los dispositivos que se van a inscribir en una credencial derivada.Use Intune to deploy the DISA Purebred app to devices that will enroll for a derived credential. Esta aplicación debe estar implementada a través de Intune para que se administre y pueda trabajar después con la aplicación Portal de empresa de Intune.This app must be deployed through Intune so that it’s managed, and can then work with the Intune Company Portal app. Esta aplicación la usan los usuarios del dispositivo para llevar a cabo la solicitud de credenciales derivadas.This app is used by device users to complete the derived credential request.

  • La aplicación DISA Purebred requiere una VPN por aplicación para garantizar que la aplicación pueda acceder a DISA Purebred durante la inscripción de la credencial derivada.The DISA Purebred app requires a per-app VPN to ensure the app can access DISA Purebred during enrollment for the derived credential.

  • Los usuarios del dispositivo deben trabajar con un agente activo durante el proceso de inscripción.Device users must work with a live agent during the enrollment process. Durante la inscripción se proporciona al usuario códigos de acceso de un solo uso y de tiempo limitado a medida que avanza en el proceso de inscripción.During enrollment, time-limited one-time passcodes are provided to the user as they proceed through the enrollment process.

Para obtener información sobre cómo obtener y configurar la aplicación DISA Purebred, vea Implementar la aplicación DISA Purebred más adelante en este artículo.For information getting and configuring the DISA Purebred app, see Deploy the DISA Purebred app later in this article.

Entrust DatacardEntrust Datacard

Revise el flujo de trabajo del usuario para Entrust Datacard.Review the user workflow for Entrust Datacard. Los principales requisitos de este flujo de trabajo incluyen:Key requirements for this workflow include:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.Users need access to a computer or KIOSK where they can use their smart card to authenticate to the issuer.

  • Los dispositivos que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune.Devices that will enroll for a derived credential must install the Intune Company Portal app.

  • Uso de una cámara de dispositivo para escanear un código QR que vincule la solicitud de autenticación a la solicitud de la credencial derivada desde el dispositivo móvil.Use of a device camera to scan a QR code that links the authentication request to the derived credential request from the mobile device.

IntercedeIntercede

Revise el flujo de trabajo del usuario para Intercede.Review the user workflow for Intercede. Los principales requisitos de este flujo de trabajo incluyen:Key requirements for this workflow include:

  • Los usuarios necesitan tener acceso a un equipo o a un quiosco en el que puedan usar su tarjeta inteligente para autenticarse en el emisor.Users need access to a computer or KIOSK where they can use their smart card to authenticate to the issuer.

  • Los dispositivos que se inscriban en una credencial derivada deben instalar la aplicación Portal de empresa de Intune.Devices that will enroll for a derived credential must install the Intune Company Portal app.

  • Uso de una cámara de dispositivo para escanear un código QR que vincule la solicitud de autenticación a la solicitud de la credencial derivada desde el dispositivo móvil.Use of a device camera to scan a QR code that links the authentication request to the derived credential request from the mobile device.

3) Implementar un certificado raíz de confianza en los dispositivos3) Deploy a trusted root certificate to devices

Se usa un certificado raíz de confianza con credenciales derivadas para comprobar que la cadena de certificados de las credenciales derivadas es válida y de confianza.A trusted root certificate is used with derived credentials to verify that the derived credential certificate chain is valid and trusted. Incluso si no se hace referencia directa a él mediante una directiva, se requiere un certificado raíz de confianza.Even when not directly referenced by policy, a trusted root certificate is required. Vea Configuración de un perfil de certificado para sus dispositivos en Microsoft Intune.See Configure a certificate profile for your devices in Microsoft Intune.

4) Proporcionar instrucciones al usuario final sobre cómo obtener la credencial derivada4) Provide end-user instructions for how to get the derived credential

Cree y proporcione orientación a sus usuarios sobre cómo iniciar el proceso de inscripción de credenciales derivadas y dirigirlos al flujo de trabajo de inscripción de credenciales derivadas para el emisor elegido.Create and provide guidance to your users on how to start the derived credential enrollment process and to navigate you the derived credential enrollment workflow for your chosen issuer.

Le recomendamos que proporcione una dirección URL que hospede su guía.We recommend you provide a URL that will host your guidance. Esta dirección URL se especifica al configurar el emisor de credenciales derivadas de su inquilino y se pone a disposición desde la aplicación Portal de empresa.You specify this URL when you configure the derived credential issuer for your tenant, and that URL is made available from within the Company Portal app. Si no especifica su propia dirección URL, Intune proporcionará un vínculo a los detalles genéricos.If you don’t specify your own URL, Intune provides a link to generic details. Esta información detallada no puede cubrir todos los escenarios y es posible que no sea precisa para su entorno.These details can’t cover all scenarios and might not be accurate for your environment.

5) Implementar directivas de Intune que requieran credenciales derivadas5) Deploy Intune policies that require derived credentials

Cree directivas o edite las directivas existentes para usar las credenciales derivadas.Create new policies or edit existing policies to use derived credentials. Las credenciales derivadas reemplazan otros métodos de autenticación para la autenticación de aplicaciones, Wi-Fi, VPN, correo electrónico, así como para la firma S/MIME y el cifrado.Derived credentials replace other authentication methods for app authentication, Wi-Fi, VPN, email, and for S/MIME signing and encryption.

Evite requerir el uso de una credencial derivada para obtener acceso a un proceso que usará como parte del proceso para obtener la credencial derivada, ya que puede impedir que los usuarios lleven a cabo la solicitud.Avoid requiring use of a derived credential to access a process that you’ll use as part of the process to get the derived credential, as that can prevent users from completing the request.

Configurar un emisor de credenciales derivadasSet up a derived credential issuer

Antes de crear directivas que requieran el uso de una credencial derivada, configure un emisor de credenciales en la consola de Intune.Before you create policies that require use of a derived credential, set up a credential issuer in the Intune console. Un emisor de credenciales derivadas es una configuración aplicada a todo el inquilino.A derived credential issuer is a tenant-wide setting. Los inquilinos solo admiten un emisor a la vez.Tenants support only a single issuer at a time.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Administración de inquilinos > Conectores y tokens > Credenciales derivadas.Select Tenant administration > Connectors and tokens > Derived Credentials.

    Configurar las credenciales derivadas en la consolaConfigure derived credentials in the console

  3. Especifique un nombre para mostrar descriptivo para la directiva del emisor de credenciales derivadas.Specify a friendly Display name for the derived credential issuer policy. Este nombre no se mostrará a los usuarios del dispositivo.This name isn’t shown to your device users.

  4. En Emisor de credenciales derivadas, seleccione el emisor de credenciales derivadas que ha elegido para su inquilino:For Derived credential issuer, select the derived credential issuer that you have chosen for your tenant:

    • DISA PurebredDISA Purebred
    • Entrust DatacardEntrust Datacard
    • IntercedeIntercede
  5. Especifique una dirección URL de ayuda de credenciales derivadas para proporcionar un vínculo a una ubicación que incluya instrucciones personalizadas para ayudar a los usuarios a obtener las credenciales derivadas para su organización.Specify a Derived credential help URL to provide a link to a location that includes custom instructions to help users get derived credentials for your organization. Las instrucciones deben ser específicas de su organización y del flujo de trabajo necesario para obtener una credencial del emisor elegido.The instructions should be specific to your organization and to the workflow that's necessary to get a credential from your chosen issuer. El vínculo aparece en la aplicación Portal de empresa y debe ser accesible desde el dispositivo.The link appears in the Company Portal app and should be accessible from the device.

    Si no especifica su propia dirección URL, Intune proporcionará un vínculo a los detalles genéricos que no pueden cubrir todos los escenarios.If you don’t specify your own URL, Intune provides a link to generic details that can’t cover all scenarios. Puede que esta guía genérica no sea precisa para su entorno.This generic guidance might not be accurate for your environment.

  6. Seleccione una o más opciones para Tipo de notificación.Select one or more options for Notification type. Los tipos de notificación son los métodos que se usan para informar a los usuarios sobre los siguientes escenarios:Notification types are the methods you use to inform users about the following scenarios:

    • Inscribir un dispositivo con un emisor para obtener una credencial derivada nueva.Enroll a device with an issuer to get a new derived credential.
    • Obtener una credencial derivada nueva cuando la credencial actual está a punto de vencer.Get a new derived credential when the current credential is close to expiration.
    • Usar una credencial derivada con una directiva para la autenticación de Wi-Fi, VPN, correo electrónico o aplicación, así como para la firma S/MIME y el cifrado.Use a derived credential with a policy for Wi-Fi, VPN, email, or app authentication, and for S/MIME signing and encryption.
  7. Cuando esté a punto, seleccione Guardar para completar la configuración del emisor de credenciales derivadas.When ready, select Save to complete configuration of the derived credential issuer.

Después de guardar la configuración, puede hacer cambios en todos los campos excepto en Emisor de credenciales derivadas.After you save the configuration, you can make changes to all fields except for the Derived credential issuer. Para cambiar el emisor, vea Cambiar el emisor de credenciales derivadas.To change the issuer, see Change the derived credential issuer.

Implementar la aplicación DISA PurebredDeploy the DISA Purebred app

Esta sección solo se aplica si se usa DISA Purebred.This section applies only when you use DISA Purebred.

Para usar DISA Purebred como emisor de credenciales derivadas para Intune, debe obtener la aplicación DISA Purebred y, después, usar Intune para implementar la aplicación en los dispositivos.To use DISA Purebred as your derived credential issuer for Intune, you must get the DISA Purebred app and then use Intune to deploy the app to devices. Los usuarios del dispositivo usan la aplicación en su dispositivo para solicitar la credencial derivada de DISA Purebred.Device users use the app on their device to request the derived credential from DISA Purebred.

Además de implementar la aplicación con Intune, configure una VPN por aplicación de Intune para la aplicación DISA Purebred.In addition to the deploying the app with Intune, configure an Intune per-app VPN for the DISA Purebred application.

Lleve a cabo las siguientes tareas:Complete the following tasks:

  1. Descargue la aplicación DISA Purebred.Download the DISA Purebred application.
  2. Implemente la aplicación DISA Purebred en Intune.Deploy the DISA Purebred application in Intune. Vea Incorporación de una aplicación de línea de negocio de iOS a Microsoft Intune.See Add an iOS line-of-business app to Microsoft Intune.
  3. Cree una VPN por aplicación para la aplicación DISA Purebred.Create a per-app VPN for the DISA Purebred application.

Usar credenciales derivadas para la autenticación, la firma S/MIME y el cifradoUse derived credentials for authentication and S/MIME signing and encryption

Puede especificar credenciales derivadas para los tipos de perfil y propósitos siguientes:You can specify Derived credential for the following profile types and purposes:

Usar credenciales derivadas para la autenticación de aplicacionesUse derived credentials for app authentication

Use credenciales derivadas para la autenticación basada en certificados en sitios web y aplicaciones.Use derived credentials for certificate-based authentication to web sites and applications. Para entregar una credencial derivada para la autenticación de aplicaciones:To deliver a derived credential for app authentication:

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.Select Devices > Configuration profiles > Create profile.

  3. Escriba los valores siguientes:Enter the following settings:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.Name: Enter a descriptive name for the profile. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.Name your profiles so you can easily identify them later. Por ejemplo, un buen nombre de perfil es Perfil Credencial derivada para dispositivos iOS.For example, a good profile name is Derived credential for iOS devices profile.
    • Descripción: escriba una descripción con información general sobre la configuración y otros detalles importantes.Description: Enter a description that gives an overview of the setting, and any other important details.
    • Plataforma: Seleccione iOS/iPad.Platform: Select iOS/iPadOS.
    • Tipo de perfil: Seleccione Credencial derivada.Profile type: Select Derived credential.
  4. Haga clic en Aceptar para guardar los cambios.Select OK to save your changes.

  5. Cuando termine, seleccione Aceptar > Crear para crear el perfil de Intune.When finished, select OK > Create to create the Intune profile. Una vez que se haya completado, el perfil se mostrará en la lista Dispositivos - Perfiles de configuración.When complete, your profile is shown in the Devices - Configuration profiles list.

  6. Seleccione su perfil nuevo > Asignaciones.Select your new profile > Assignments. Seleccione los grupos que deben recibir la directiva.Select the groups that should receive the policy.

Los usuarios reciben la notificación por correo electrónico o de la aplicación en función de la configuración que haya especificado al configurar el emisor de credenciales derivadas.Users receive the app or email notification depending on the settings you specified when you set up the derived credential issuer. La notificación informa al usuario de que debe iniciar el Portal de empresa para que se puedan procesar las directivas de credenciales derivadas.The notification informs the user to launch the Company Portal so that the derived credential policies can be processed.

Renovar una credencial derivadaRenew a derived credential

Las credenciales derivadas no se pueden ampliar ni renovar;Derived credentials can't be extended or renewed. los usuarios deben usar el flujo de trabajo de solicitud de credenciales para solicitar una credencial derivada nueva para su dispositivo.Instead, users must use the credential request workflow to request a new derived credential for their device.

Si configura uno o varios métodos para el tipo de notificación, Intune notificará automáticamente a los usuarios cuando la credencial derivada actual haya alcanzado el 80% de su ciclo de vida.If you configure one or more methods for Notification type, Intune automatically notifies users when the current derived credential reaches 80% of its life span. La notificación dirige a los usuarios al proceso de solicitud de credenciales para obtener una nueva credencial derivada.The notification directs users to go through the credential request process to get a new derived credential.

Una vez que un dispositivo recibe una nueva credencial derivada, las directivas que usan credenciales derivadas se reimplementan en ese dispositivo.After a device receives a new derived credential, policies that use derived credentials redeploy to that device.

Cambiar el emisor de credenciales derivadasChange the derived credential issuer

En el nivel de inquilino puede cambiar el emisor de credenciales, aunque solo se admite un emisor por inquilino a la vez.At the tenant level, you can change your credential issuer, although only one issuer is supported for a tenant at a time.

Después de cambiar el emisor, se solicitará a los usuarios que obtengan una nueva credencial derivada del emisor nuevo.After you change the issuer, users are prompted to get a new derived credential from the new issuer. Deben hacerlo antes de poder usar una credencial derivada para la autenticación.They must do so before they can use a derived credential for authentication.

Cambiar el emisor de su inquilinoChange the issuer for your tenant

Importante

Si elimina un emisor y acto seguido vuelve a configurar ese mismo emisor, deberá actualizar los perfiles y dispositivos para usar las credenciales derivadas de ese emisor.If you delete an issuer and immediately reconfigure that same issuer, you must still update profiles and devices to use derived credentials from that issuer. Las credenciales derivadas obtenidas antes de eliminar el emisor ya no son válidas.Derived credentials that were obtained before you delete the issuer are no longer valid.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.
  2. Seleccione Administración de inquilinos > Conectores y tokens > Credenciales derivadas.Select Tenant administration > Connectors and tokens > Derived Credentials.
  3. Seleccione Eliminar para quitar el emisor de credenciales derivadas actual.Select Delete to remove the current derived credential issuer.
  4. Configure un nuevo emisor.Configure a new issuer.

Actualizar los perfiles que usan credenciales derivadasUpdate profiles that use derived credentials

Después de eliminar un emisor y de agregar uno nuevo, edite todos los perfiles que usen credenciales derivadas.After you delete an issuer and then add a new one, edit each profile that uses derived credentials. Esta regla se aplica incluso si se restaura el emisor anterior.This rule applies even if you restore the previous issuer. Cualquier edición del perfil desencadenará una actualización, incluida una simple edición en la descripción del perfil.Any edit of the profile will trigger an update, including a simple edit to the profile Description.

Actualizar las credenciales derivadas en los dispositivosUpdate derived credentials on devices

Después de eliminar un emisor y de agregar uno nuevo, los usuarios del dispositivo deben solicitar una nueva credencial derivada.After you delete an issuer and then add a new one, device users must request a new derived credential. Esta regla se aplica incluso si se agrega el mismo emisor que se ha quitado.This rule applies even when you add the same issuer that you removed. El proceso para solicitar la nueva credencial derivada es el mismo que para inscribir un dispositivo nuevo o renovar una credencial existente.The process to request the new derived credential is the same as for enrolling a new device or renewing an existing credential.

Pasos siguientesNext steps

Creación de perfiles de configuración de dispositivo.Create device configuration profiles.