Uso de certificados para la autenticación en Microsoft IntuneUse certificates for authentication in Microsoft Intune

Use certificados con Intune para autenticar a los usuarios en las aplicaciones y los recursos corporativos a través de VPN, Wi-Fi o perfiles de correo electrónico.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Cuando se usan certificados para autenticar estas conexiones, los usuarios finales no tendrán que escribir nombres de usuario ni contraseñas, lo que puede facilitar su acceso.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which can make their access seamless. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.Certificates are also used for signing and encryption of email using S/MIME.

Certificados y uso admitidos por IntuneIntune supported certificates and usage

TipoType AutenticaciónAuthentication Firma S/MIMES/MIME Signing Cifrado S/MIMES/MIME encryption
Certificado importado de Public Key Cryptography Standards (PKCS)Public Key Cryptography Standards (PKCS) imported certificate Compatible. Compatible.
PKCS#12 (o PFX)PKCS#12 (or PFX) Compatible. Compatible.
Protocolo de inscripción de certificados simple (SCEP)Simple Certificate Enrollment Protocol (SCEP) Compatible. Compatible.

Para implementar estos certificados, debe crear y asignar perfiles de certificado a los dispositivos.To deploy these certificates, you'll create and assign certificate profiles to devices.

Cada perfil de certificado individual que cree es compatible con una sola plataforma.Each individual certificate profile you create supports a single platform. Por ejemplo, si usa certificados PKCS, creará un perfil de certificado PKCS para Android y otro independiente para iOS o iPadOS.For example, if you use PKCS certificates, you'll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS/iPadOS. Si también usa certificados SCEP para esas dos plataformas, tendrá que crear un perfil de certificado SCEP para Android y otro para iOS o iPadOS.If you also use SCEP certificates for those two platforms, you'll create a SCEP certificate profile for Android, and another for iOS/iPadOS.

Consideraciones generales al usar una entidad de certificación de MicrosoftGeneral considerations when you use a Microsoft Certification Authority

Cuando se usa una entidad de certificación (CA) de Microsoft:When you use a Microsoft Certification Authority (CA):

Consideraciones generales al usar una entidad de certificación de tercerosGeneral considerations when you use a third-party Certification Authority

Cuando se usa una entidad de certificación (CA) de terceros (que no es de Microsoft):When you use a third-party (non-Microsoft) Certification Authority (CA):

Plataformas compatibles y perfiles de certificadoSupported platforms and certificate profiles

PlataformaPlatform Perfil de certificado de confianzaTrusted certificate profile Perfil de certificado PKCSPKCS certificate profile Perfil de certificado SCEPSCEP certificate profile Perfil de certificado PKCS importadoPKCS imported certificate profile
Administrador de dispositivos AndroidAndroid device administrator Compatible. Compatible. Compatible. Compatible.
Android EnterpriseAndroid Enterprise
- Totalmente administrado (propietario del dispositivo)- Fully Managed (Device Owner)
Compatible. Compatible.
Android EnterpriseAndroid Enterprise
- Dedicado (propietario del dispositivo)- Dedicated (Device Owner)
Compatible. Compatible. Compatible
Android EnterpriseAndroid Enterprise
- Perfil de trabajo- Work Profile
Compatible. Compatible. Compatible. Compatible
iOS/iPadOSiOS/iPadOS Compatible. Compatible. Compatible. Compatible
macOSmacOS Compatible. Compatible. Compatible. Compatible
Windows Phone 8.1Windows Phone 8.1 Compatible. Compatible. Compatible
Windows 8.1 y posteriorWindows 8.1 and later Compatible. Compatible
Windows 10 y versiones posterioresWindows 10 and later Compatible. Compatible. Compatible. Compatible.

Exportación del certificado de entidad de certificación raíz de confianzaExport the trusted root CA certificate

Para usar certificados PKCS, SCEP y PKCS importados, los dispositivos deben confiar en la entidad de certificación raíz.To use PKCS, SCEP, and PKCS imported certificates, devices must trust your root Certification Authority. Para establecer la confianza, exporte el certificado de la entidad de certificación raíz de confianza y cualquier certificado de entidad de certificación intermedia o emisora, como un certificado público (.cer).To establish trust, export the Trusted Root CA certificate, and any intermediate or issuing Certification Authority certificates, as a public certificate (.cer). Puede obtener estos certificados de la entidad de certificación emisora o desde cualquier dispositivo que confíe en ella.You can get these certificates from the issuing CA, or from any device that trusts your issuing CA.

Para exportar el certificado, consulte la documentación de la entidad de certificación.To export the certificate, refer to the documentation for your Certification Authority. Tendrá que exportar el certificado público como un archivo .cer.You'll need to export the public certificate as a .cer file. No exporte la clave privada, un archivo .pfx.Don't export the private key, a .pfx file.

Usará este archivo .cer al crear perfiles de certificado de confianza para implementar ese certificado en los dispositivos.You'll use this .cer file when you create trusted certificate profiles to deploy that certificate to your devices.

creación de perfiles de certificado de confianzaCreate trusted certificate profiles

Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado.Create and deploy a trusted certificate profile before you create a SCEP, PKCS, or PKCS imported certificate profile. La implementación de un perfil de certificado de confianza en los mismos grupos que reciben los otros tipos de perfiles de certificado garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación.Deploying a trusted certificate profile to the same groups that receive the other certificate profile types ensures that each device can recognize the legitimacy of your CA. Esto incluye perfiles como los de VPN, Wi-Fi y correo electrónico.This includes profiles like those for VPN, Wi-Fi, and email.

Los perfiles de certificado SCEP hacen referencia directamente a un perfil de certificado de confianza.SCEP certificate profiles directly reference a trusted certificate profile. Los perfiles de certificado PKCS no hacen referencia directamente al perfil de certificado de confianza, pero sí al servidor que hospeda la entidad de certificación.PKCS certificate profiles don't directly reference the trusted certificate profile but do directly reference the server that hosts your CA. Los perfiles de certificado PKCS importados no hacen referencia directamente al perfil de certificado de confianza, pero pueden usarlo en el dispositivo.PKCS imported certificate profiles don't directly reference the trusted certificate profile but can use it on the device. La implementación de un perfil de certificado de confianza en los dispositivos garantiza que se establece esta confianza.Deploying a trusted certificate profile to devices ensures this trust is established. Cuando un dispositivo no confía en la entidad de certificación raíz, se producirá un error en la directiva de perfil de certificado SCEP o PKCS.When a device doesn't trust the root CA, the SCEP or PKCS certificate profile policy will fail.

Cree un perfil de certificado de confianza independiente para cada plataforma de dispositivo que quiera admitir, como lo haría con los perfiles de certificado SCEP, PKCS y PKCS importados.Create a separate trusted certificate profile for each device platform you want to support, just as you'll do for SCEP, PKCS, and PKCS imported certificate profiles.

Importante

Los perfiles raíz de confianza que cree para la plataforma Windows 10 y versiones posteriores se muestran en el centro de administración de Microsoft Endpoint Manager como perfiles de la plataforma Windows 8.1 y versiones posteriores.Trusted root profiles that you create for the platform Windows 10 and later, display in the Microsoft Endpoint Manager admin center as profiles for the platform Windows 8.1 and later.

Se trata de un problema conocido con la presentación de la plataforma de los perfiles de certificado de confianza.This is a known issue with the presentation of the platform for Trusted certificate profiles. Aunque el perfil muestra una plataforma de Windows 8.1 y versiones posteriores, es funcional para Windows 10 y versiones posteriores.While the profile displays a platform of Windows 8.1 and later, it is functional for Windows 10 and later.

Nota

El perfil Certificado de confianza de Intune solo se puede usar para proporcionar certificados raíz o intermedios.The Trusted Certificate profile in Intune can only be used to deliver either root or intermediate certificates. El propósito de implementar estos certificados es establecer una cadena de confianza.The purpose of deploying such certificates is to establish a chain of trust. Microsoft no admite el uso del perfil de certificado de confianza para ofrecer certificados que no sean raíz o intermedios.Using the trusted certificate profile to deliver certificates other than root or intermediate certificates is not supported by Microsoft. Es posible que se le impida importar certificados que no se consideren raíz o intermedios al seleccionar el perfil de certificado de confianza en el portal de Intune.You might be blocked from importing certificates which are not deemed to be root or intermediate certificates when selecting the trusted certificate profile in the Intune portal. Aunque pueda importar e implementar un certificado que no sea raíz o intermedio con este tipo de perfil, es probable que se produzcan resultados inesperados entre distintas plataformas, como iOS y Android.Even if you are able to import and deploy a certificate which is neither a root or intermediate certificate using this profile type, you will likely encounter unexpected results between different platforms such as iOS and Android.

Para crear un perfil de certificado de confianzaTo create a trusted certificate profile

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione y vaya a Dispositivos > Perfiles de configuración > Crear perfil.Select and go to Devices > Configuration profiles > Create profile.

    Navegación a Intune y creación de un perfil para un certificado de confianza

  3. Escriba las propiedades siguientes:Enter the following properties:

    • Plataforma: elija la plataforma de los dispositivos que recibirán este perfil.Platform: Choose the platform of the devices that will receive this profile.
    • Perfil: seleccione Certificado de confianza.Profile: Select Trusted certificate
  4. Seleccione Crear.Select Create.

  5. En Básico, escriba las propiedades siguientes:In Basics, enter the following properties:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.Name: Enter a descriptive name for the profile. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.Name your profiles so you can easily identify them later. Por ejemplo, un buen nombre de perfil es Perfil de certificado de confianza en toda la empresa.For example, a good profile name is Trusted certificate profile for entire company.
    • Descripción: escriba una descripción para el perfil.Description: Enter a description for the profile. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.
  6. Seleccione Siguiente.Select Next.

  7. En Configuración, especifique el archivo cer. del certificado de la entidad de certificación raíz de confianza que exportó anteriormente.In Configuration settings, specify the .cer file for the trusted Root CA Certificate you previously exported.

    Solo para dispositivos Windows 8.1 y Windows 10, seleccione el almacén de destino del certificado de confianza. Las opciones son:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Almacén de certificados de equipo - RaízComputer certificate store - Root
    • Almacén de certificados de equipo - IntermedioComputer certificate store - Intermediate
    • Almacén de certificados de usuario - IntermedioUser certificate store - Intermediate

    Crear un perfil y cargar un certificado de confianza

  8. Seleccione Siguiente.Select Next.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Seleccione Siguiente.Select Next.

  10. En Asignaciones, seleccione el usuario o los grupos que van a recibir el perfil.In Assignments, select the user or groups that will receive your profile. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.For more information on assigning profiles, see Assign user and device profiles.

    Seleccione Siguiente.Select Next.

  11. (Se aplica solo a Windows 10) En Reglas de aplicación, especifique las reglas de aplicación para restringir la asignación de este perfil.(Applies to Windows 10 only) In Applicability Rules, specify applicability rules to refine the assignment of this profile. Puede elegir asignar o no asignar el perfil en función de la edición del sistema operativo o la versión de un dispositivo.You can choose to assign or not assign the profile based on the OS edition or version of a device.

Para más información, consulte Reglas de aplicabilidad en Creación de un perfil de dispositivo en Microsoft Intune.For more information, see Applicability rules in Create a device profile in Microsoft Intune.

  1. En Revisar y crear, revise la configuración.In Review + create, review your settings. Si selecciona Crear, se guardan los cambios y se asigna el perfil.When you select Create, your changes are saved, and the profile is assigned. La directiva también se muestra en la lista de perfiles.The policy is also shown in the profiles list.

Recursos adicionalesAdditional resources

Pasos siguientesNext steps

Cree perfiles de certificado SCEP, PKCS o PKCS importados para cada plataforma que quiera usar.Create SCEP, PKCS, or PKCS imported certificate profiles for each platform you want to use. Para continuar, vea los artículos siguientes:To continue, see the following articles: