Certificate Connector para Microsoft Intune

  • Artículo

Para que Microsoft Intune admita el uso de certificados para la autenticación y la firma y cifrado de correo electrónico mediante S/MIME, puede usar Certificate Connector para Microsoft Intune. El conector de certificados es software que se instala en un servidor local a fin de facilitar la entrega y administración de certificados para los dispositivos administrados por Intune.

En este artículo se presenta Certificate Connector para Microsoft Intune, su ciclo de vida y cómo mantenerlo actualizado.

Sugerencia

A partir del 29 de julio de 2021, Certificate Connector for Microsoft Intune reemplaza el uso de Conector de certificados PFX para Microsoft Intune y Conector de Microsoft Intune. El nuevo conector incluye la funcionalidad de los dos conectores anteriores. Al poner a la venta la versión 6.2109.51.0 del conector de certificados para Microsoft, los conectores anteriores ya no son compatibles.

Introducción al conector

Para usar el conector de certificados, primero descargará software desde el centro de administración de Microsoft Intune, que luego instalará en windows server.

Durante la instalación, puede instalar una o varias características del conector, incluida la compatibilidad con lo siguiente:

  • Certificados de par de claves públicas y privadas (PKCS)
  • Certificados PKCS importados
  • Protocolo de inscripción de certificados simple (SCEP)
  • Revocación de certificados

También asignará una cuenta de servicio para ejecutar el conector. Esta cuenta se usa para todas las interacciones con la entidad de certificación y para la emisión, revocación y renovación de certificados. Entre las opciones admitidas para la cuenta de servicio se incluyen la cuenta del sistema para los servidores del conector o una cuenta de dominio.

Una vez que se ha instalado el conector, puede volver a ejecutar su configuración en cualquier momento para actualizarlo o cambiar las características que ha instalado. Una vez que se ha instalado y configurado, el conector puede instalar automáticamente actualizaciones futuras para mantener los conectores actualizados a la versión más reciente.

Intune admite la instalación de varias instancias del conector en un inquilino y cada instancia puede admitir características diferentes. Si usa varios conectores que admiten características diferentes, las solicitudes de certificado siempre se enrutan al conector pertinente. Por ejemplo, si instala dos conectores que admiten PKCS e instala otros dos que admiten PKCS y SCEP, las tareas de certificado para PKCS se pueden administrar mediante cualquiera de los cuatro conectores, pero las tareas de SCEP solo se dirigen a los dos conectores que admiten SCEP.

Cada instancia del conector de certificados tiene los mismos requisitos de red que los dispositivos administrados por Intune. Más información en Puntos de conexión de red para Microsoft Intune y Ancho de banda y requisitos de configuración de red de Intune.

Funcionalidades del conector de certificados

Certificate Connector para Microsoft Intune admite lo siguiente:

  • Solicitudes de certificado PKCS #12.

  • Certificados PKCS importados (archivo PFX) para el cifrado de correo electrónico S/MIME para un usuario específico.

  • Emisión de certificados de Protocolo de inscripción de certificados simple (SCEP). Cuando se usa una entidad de certificación (CA) de Servicios de certificados de Active Directory, también denominada CA de Microsoft, también se debe configurar el Servicio de inscripción de dispositivos de red (NDES) en el servidor en el que se hospeda el conector.

    Para usar SCEP con una entidad de certificación de terceros no es necesario utilizar Certificate Connector para Microsoft Intune.

  • Revocación de certificados.

  • Actualizaciones automáticas a nuevas versiones. Cuando los servidores en los que se hospeda el conector de certificados pueden acceder a Internet, instalan de forma automática nuevas actualizaciones para mantenerse al día. Cuando un conector no se actualiza de forma automática, puede actualizarlo manualmente.

  • Instalación de hasta 100 instancias del conector por inquilino de Intune, cada una de ellas en una instancia de Windows Server independiente. Cuando se usan varios conectores:

    • Cada instancia del conector debe tener acceso a la clave privada que se usa para cifrar las contraseñas de los archivos PFX cargados.

    • Cada instancia del conector debe ser de la misma versión. Como el conector admite actualizaciones automáticas a la versión más reciente, Intune puede administrar las actualizaciones de forma automática.

    • La infraestructura admite redundancia y equilibrio de carga, ya que cualquier instancia del conector disponible que admite las mismas características del conector puede procesar las solicitudes de certificado.

    • Puede configurar un proxy para permitir que el conector se comunique con Intune.

      Nota:

      Cualquier instancia del conector que admita PKCS se puede usar para recuperar solicitudes PKCS pendientes de la cola del servicio Intune, procesar certificados importados y controlar las solicitudes de revocación. No es posible definir qué conector controla cada solicitud.

      Por lo tanto, cada conector que admita PKCS debe tener los mismos permisos y poder conectarse con todas las entidades de certificación definidas más adelante en los perfiles PKCS.

Ciclo de vida

Periódicamente, se publican las actualizaciones del conector de certificado. Los anuncios de nuevas actualizaciones del conector, incluida la versión y la fecha de lanzamiento de cada actualización, aparecen en la sección Novedades de Certificate Connector de este artículo.

Cada nueva versión del conector:

  • Se admite durante seis meses después del lanzamiento de una nueva versión. Durante este período, las actualizaciones automáticas pueden instalar una versión más reciente del conector. Las versiones de conector actualizadas pueden incluir, entre otras, correcciones de errores y mejoras de rendimiento y características.

  • Si se produce un error en un conector fuera de soporte técnico, deberá actualizar a la versión compatible más reciente.

  • Si bloquea la actualización automática del conector, planee actualizar manualmente el conector en un plazo de seis meses, antes de que finalice el soporte técnico para la versión instalada. Una vez finalizada la compatibilidad, tendrá que actualizar el conector a una versión que permanezca en soporte técnico para recibir soporte técnico para problemas con el conector.

  • Los conectores que no sean compatibles seguirán funcionando hasta 18 meses después del lanzamiento de una nueva versión. Después de 18 meses, una funcionalidad de conectores podría producir un error debido a mejoras de nivel de servicio, actualizaciones o a la solución de vulnerabilidades de seguridad comunes que podrían aparecer en el futuro.

Por ejemplo, cuando la versión 6.2203.12.0 del conector publicada el 4 de mayo de 2022, la versión anterior del conector 6.2202.38.0 dejará de ser compatible el 4 de noviembre de 2022. La versión anterior del conector debe seguir funcionando (aunque no se admite) hasta noviembre de 2023. Después de noviembre de 2023, la versión anterior del conector podría dejar de comunicarse con Intune.

Actualización automática

Intune puede actualizar automáticamente el conector a la versión más reciente poco después de que se haya publicado la versión de ese conector.

Para llevar a cabo una actualización automática, el servidor que hospeda el conector debe acceder al servicio de actualización de Azure:

  • Puerto: 443
  • Punto de conexión: autoupdate.msappproxy.net

Cuando los firewalls, la infraestructura o las configuraciones de red limitan el acceso para la actualización automática, puede resolver los problemas de bloqueo o actualizar manualmente el conector a la nueva versión.

Actualización manual

El proceso para actualizar manualmente un conector de certificado es el mismo que para reinstalar un conector.

Puede actualizar manualmente un conector de certificado, aunque este admita las actualizaciones automáticas. Por ejemplo, puede hacerlo cuando la configuración de red bloquee una actualización automática.

Reinstalación de un conector de certificados

  1. En la instancia de Windows Server en la que se hospeda el conector, ejecute el programa de instalación del conector para desinstalarlo.

  2. Para instalar la nueva versión, use el procedimiento para instalar una nueva versión del conector. Al instalar una versión más reciente de un conector, asegúrese de comprobar los requisitos previos nuevos o actualizados.

Estado del conector

En el centro de administración de Microsoft Intune, puede seleccionar un conector de certificado para ver información sobre su estado:

  1. Iniciar sesión en el centro de administración de Microsoft Intune

  2. Vaya a Administración de inquilinos>Conectores y tokens>Conectores de certificados.

  3. Seleccione un conector para ver su estado.

Al ver el estado del conector:

  • En los conectores en desuso se muestra una advertencia. Después del período de gracia de seis meses, la advertencia cambia a error.
  • Los conectores que superan el período de gracia, muestran un error. Estos conectores ya no se admiten y pueden dejar de funcionar en cualquier momento.

Registro

Los registros de Certificate Connector para Microsoft Intune están disponibles como registros de eventos en el servidor en el que está instalado el conector:

  • Visor de eventos>Registros de aplicaciones y servicios>Microsoft>Intune>Conectores de certificados

Los registros siguientes están disponibles, tienen el archivado automático habilitado y un valor predeterminado de 50 MB:

  • Registro de administración: este registro contiene un evento de registro por solicitud al conector. Los eventos incluyen el valor correcto con información sobre la solicitud o un error con información sobre la solicitud y el error.
  • Registro operativo: en este registro se muestra información adicional que se encuentra en el registro de administración y puede resultar de utilidad para depurar problemas. En este registro también se muestran operaciones en curso en lugar de eventos concretos.

Además del nivel de registro predeterminado, puede habilitar el registro de depuración de cada registro para obtener más detalles.

ID. de eventos

Todos los eventos tienen uno de los siguientes identificadores:

  • 0001-0999: no está asociado a ningún escenario concreto
  • 1000-1999: PKCS
  • 2000-2999: importación de PKCS
  • 3000-3999: revocar
  • 4000-4999: SCEP
  • 5000-5999: Estado del conector

Categorías de tareas

Todos los eventos reciben una etiqueta de Categoría de tarea para ayudar en el filtrado. Entre las categorías de tareas se incluyen las siguientes:

PKCS

  • Admin

    • Id. de evento: 1000 - PkcsRequestSuccess
      Se cargó correctamente una solicitud PKCS en Intune.

    • Id. de evento: 1001 - PkcsRequestFailure
      No se pudo completar o cargar una solicitud PKCS en Intune.

    • Id. de evento: 1200 - PkcsRecryptRequestSuccess
      Se ha procesado con éxito la solicitud de reencriptado PKCS.

    • Id. de evento: 1201 - PkcsRecryptRequestFailure
      No se pudo procesar la solicitud de reencriptado PKCS.

  • Operativo

    • Id. de evento: 1002 - PkcsDownloadSuccess
      Las solicitudes PKCS de Intune se descargaron correctamente.

    • Id. de evento: 1003 - PkcsDownloadFailure
      No se pudieron descargar las solicitudes PKCS de Intune.

    • Id. de evento: 1020 - PkcsDownloadedRequest
      La solicitud PKCS de Intune se descargó correctamente

    • Id. de evento: 1032 - PkcsDigiCertRequest
      Se descargó correctamente una solicitud PKCS para la CA de DigiCert de Intune.

    • Id. de evento: 1050 - PkcsIssuedSuccess
      Se emitió correctamente un certificado PKCS.

    • Id. de evento: 1051 - PkcsIssuedFailedAttempt
      No se pudo emitir un certificado PKCS. Se volverá a intentar de nuevo.

    • Id. de evento: 1052 - PkcsIssuedFailure
      No se pudo emitir un certificado PKCS.

    • Id. de evento: 1100 - PkcsUploadSuccess
      Los resultados de la solicitud PKCS se cargaron correctamente en Intune.

    • Id. de evento: 1101 - PkcsUploadFailure
      No se pudieron cargar los resultados de la solicitud PKCS en Intune.

    • Id. de evento: 1102 - PkcsUploadedRequest
      La solicitud PKCS se cargó correctamente en Intune.

    • Id. de evento: 1202 - PkcsRecryptDownloadSuccess
      Se han descargado con éxito las solicitudes de reencriptado PKCS.

    • Id. de evento: 1203 - PkcsRecryptDownloadFailure
      No se pudieron descargar las solicitudes de reencriptado PKCS.

    • Id. de evento: 1220 - PkcsRecryptDownloadedRequest
      Se descargó correctamente una solicitud de reencriptado PKCS.

    • Id. de evento: 1250 - PkcsRecryptReencryptSuccess
      La carga del certificado PKCS se ha vuelto a cifrar correctamente.

    • Id. de evento: 1251 - PkcsRecryptDecryptSuccess
      La carga del certificado PKCS se descifra correctamente.

    • Id. de evento: 1252 - PkcsRecryptDecryptFailure
      No se pudo descifrar la carga del certificado PKCS.

    • Id. de evento: 1253 - PkcsRecryptReencryptFailure
      No se pudo volver a cifrar la carga del certificado PKCS.

    • Id. de evento: 1300 - PkcsRecryptUploadSuccess
      Los resultados de la solicitud de reencriptado PKCS se cargaron correctamente en Intune.

    • Id. de evento: 1301 - PkcsRecryptUploadFailure
      No se pudieron cargar los resultados de la solicitud de reencriptado PKCS en Intune.

    • Id. de evento: 1302 - PkcsRecryptUploadedRequest
      Se cargó correctamente una solicitud de reencriptado PKCS en Intune.

Importación de PKCS

  • Admin

    • Id. de evento: 2000 - PkcsImportRequestSuccess
      Las solicitudes de importación PKCS de Intune se descargaron correctamente.

    • Id. de evento: 2001 - PkcsImportRequestFailure
      No se pudo procesar una solicitud de importación PKCS desde Intune.

  • Operativo

    • Id. de evento: 2202 - PkcsImportDownloadSuccess
      Las solicitudes de importación PKCS de Intune se descargaron correctamente.

    • Id. de evento: 2203 - PkcsImportDownloadFailure
      No se pudieron descargar las solicitudes de importación PKCS de Intune.

    • Id. de evento: 2020 - PkcsImportDownloadedRequest
      Se descargó correctamente una solicitud de importación PKCS de Intune.

    • Id. de evento: 2050 - PkcsImportReencryptSuccess
      Se ha vuelto a cifrar correctamente un certificado de importación PKCS.

    • Id. de evento: 2051 - PkcsImportReencryptFailedAttempt
      No se pudo volver a cifrar un certificado de importación PKCS. Se intentará de nuevo.

    • Id. de evento: 2052 - PkcsImportReencryptFailure
      No se pudo volver a cifrar un certificado importado.

    • Id. de evento: 2100 - PkcsImportUploadSuccess
      Los resultados de la solicitud de importación PKCS se cargaron correctamente en Intune.

    • Id. de evento: 2101 - PkcsImportUploadFailure
      No se pudieron cargar los resultados de la solicitud PKCS en Intune.

    • Id. de evento: 2102 - PkcsImportUploadedRequest
      Se cargó correctamente una solicitud de importación PKCS en Intune.

Revocación

  • Admin

    • Id. de evento: 3000 - RevokeRequestSuccess
      Se descargaron correctamente las solicitudes de revocación de Intune.

    • Id. de evento: 3001 - RevokeRequestFailure
      Se produjo un error al descargar solicitudes de revocación de Intune.

  • Operativo

    • Id. de evento: 3002 - RevokeDownloadSuccess
      Se descargaron correctamente las solicitudes de revocación de Intune.

    • Id. de evento: 3003 - RevokeDownloadFailure
      Se produjo un error al descargar solicitudes de revocación de Intune.

    • Id. de evento: 3020 - RevokeDownloadedRequest
      Detalles de una única solicitud descargada de Intune

    • Identificador de evento: 3032 - RevokeDigicertRequest
      Solicitud de revocación recibida de Intune y solicitud de reenvío a Digicert para el cumplimiento de la solicitud.

    • Id. de evento: 3050 - RevokeSuccess
      El certificado se revocó correctamente.

    • Id. de evento: 3051 - RevokeFailure
      Se produjo un error al revocar un certificado.

    • Id. de evento: 3052 - RevokeFailedAttempt
      No se pudo revocar un certificado. Se volverá a intentar de nuevo.

    • Id. de evento: 3100 - RevokeUploadSuccess
      Los resultados de la solicitud de revocación se cargaron correctamente en Intune.

    • Id. de evento: 3101 - RevokeUploadFailure
      No se pudieron cargar los resultados de la solicitud de revocación en Intune.

    • Id. de evento: 3102 - RevokeUploadedRequest
      La solicitud de revocación se cargó correctamente en Intune.

SCEP

  • Admin

    • Id. de evento: 4000 - ScrepRequestSuccess
      Se procesó correctamente una solicitud SCEP y se notificó a Intune.

    • Id. de evento: 4001 - ScepRequestIssuedFailure
      No se pudo procesar una solicitud SCEP y se notificó a Intune.

    • Id. de evento: 4002 - ScepRequestUploadFailure
      La solicitud SCEP se procesó correctamente, pero no se pudo notificar a Intune.

  • Operativo

    • Id. de evento: 4003 - ScepRequestReceived
      Se recibió correctamente una solicitud SCEP de un dispositivo.

    • Id. de evento: 4004 - ScepVerifySuccess
      Se comprobó correctamente una solicitud SCEP con Intune.

    • Id. de evento: 4005 - ScepVerifyFailure
      No se pudo comprobar una solicitud SCEP con Intune.

    • Id. de evento: 4006 - ScepIssuedSuccess
      El certificado se emitió correctamente para una solicitud SCEP.

    • Id. de evento: 4007 - ScepIssuedFailure
      No se pudo emitir el certificado para la solicitud SCEP.

    • Id. de evento: 4008 - ScepNotifySuccess
      Se notificó correctamente a Intune el resultado de una solicitud SCEP.

    • Id. de evento: 4009 - ScepNotifyAttemptFailed
      No se pudo notificar a Intune el resultado de una solicitud SCEP, se volverá a intentar.

    • Id. de evento: 4010 - ScepNotifySaveToDiskFailed
      No se pudo escribir la notificación en el disco y no se puede notificar a Intune el estado de la solicitud.

Estado del conector

  • Operativo

    • Identificador de evento: 5000 - HealthMessageUploadSuccess Mensajes de estado cargados correctamente en Intune.

    • Identificador de evento: 5001 - HealthMessageUploadFailedAttempt No se pudieron cargar los mensajes de estado en Intune, se volverá a intentarlo.

    • Identificador de evento: 5002 - HealthMessageUploadFailure No se pudieron cargar mensajes de estado en Intune.

Novedades de Certificate Connector

Las actualizaciones de Certificate Connector para Microsoft Intune se publican periódicamente y se admiten durante seis meses. Cuando se actualiza un conector, podrá leer sobre los cambios realizados aquí.

Las nuevas actualizaciones del conector pueden tardar más de una semana en estar disponibles para cada inquilino.

Importante

A partir de abril de 2022, los conectores de certificados anteriores a la versión 6.2101.13.0 quedarán en desuso y mostrarán el estado Error. A partir de agosto de 2022, estas versiones del conector no podrán revocar certificados. A partir de septiembre de 2022, estas versiones del conector no podrán emitir certificados. Esto incluye el conector de certificados PFX para Microsoft Intune y Microsoft Intune Connector, que el 29 de julio de 2021 fueron reemplazados por certificate connector para Microsoft Intune (como se detalla en este artículo).

15 de febrero de 2023

Versión 6.2301.1.0 : cambios en esta versión:

  • Registro de información para correlacionar con los registros de Intune Service
  • Mejoras de registro en el flujo de emisión de certificados PFX

21 de septiembre de 2022

Versión 6.2206.122.0 : cambios en esta versión:

  • Telemetría mejorada, además de correcciones de errores y mejoras de rendimiento

jueves, 30 de junio de 2022

Versión 6.2205.201.0: Cambios en esta versión:

  • Canal de telemetría actualizado a Intune para permitir que el administrador de Intune recopile datos en el portal.

4 de mayo de 2022

Versión 6.2203.12.0: cambios de esta versión:

  • Compatibilidad con proveedores CNG para certificados de autenticación de cliente
  • Compatibilidad mejorada con la renovación automática de certificados de autenticación de cliente

10 de marzo de 2022

Versión 6.2202.38.0. Esta actualización incluye:

  • Cambios para admitir TLS 1.2 para la actualización automática

Siguientes pasos

Revisión de los requisitos previos de Certificate Connector para Microsoft Intune