Utilizar certificados para autenticación en Microsoft Intune

Use certificados con Intune para autenticar a los usuarios en las aplicaciones y los recursos corporativos a través de VPN, Wi-Fi o perfiles de correo electrónico. Cuando se usan certificados para autenticar estas conexiones, los usuarios finales no tendrán que escribir nombres de usuario ni contraseñas, lo que puede facilitar su acceso. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.

Introducción a los certificados con Intune

Los certificados proporcionan acceso autenticado sin retraso a través de las dos fases siguientes:

  • Fase de autenticación: la autenticidad del usuario se comprueba para confirmar que es quien dice ser.
  • Fase de autorización: el usuario se somete a unas condiciones para determinar si se le debe conceder acceso.

Estos son algunos escenarios típicos de uso de certificados:

  • Autenticación de red (por ejemplo, 802.1x) con certificados de dispositivo o de usuario
  • Autenticación con servidores VPN mediante certificados de dispositivo o de usuario
  • Firma de correo electrónico basada en certificados de usuario

Intune admite el Protocolo de inscripción de certificados simple (SCEP), Public Key Cryptography Standards (PKCS) y certificados PKCS importados como métodos para aprovisionar certificados en dispositivos. Los diferentes métodos de aprovisionamiento tienen requisitos y resultados diferentes. Por ejemplo:

  • SCEP aprovisiona certificados que son únicos para cada solicitud de certificado.
  • PKCS aprovisiona un certificado único para cada dispositivo.
  • Con PKCS importado, se puede implementar el mismo certificado que se ha exportado desde un origen, como un servidor de correo electrónico, en varios destinatarios. Este certificado compartido es útil para asegurarse de que todos los usuarios o dispositivos puedan descifrar los mensajes de correo electrónico que se cifraron con ese certificado.

Para aprovisionar un usuario o un dispositivo con un tipo de certificado específico, Intune usa un perfil de certificado.

Además de los tres tipos de certificados y métodos de aprovisionamiento, necesitará un certificado raíz de confianza de una entidad de certificación (CA) de confianza. La CA puede ser una entidad de certificación de Microsoft local o una entidad de certificación de terceros. El certificado raíz de confianza establece una relación de confianza desde el dispositivo a la entidad de certificación raíz o intermedia (emisora) desde la que se emiten los otros certificados. Para implementar este certificado, use el perfil del certificado de confianza e impleméntelo en los mismos dispositivos y usuarios que recibirán los perfiles de certificado para SCEP, PKCS y PKCS importado.

Sugerencia

Intune también admite el uso de credenciales derivadas para entornos que requieren el uso de tarjetas inteligentes.

Requisitos para usar certificados

  • Una entidad de certificación. La entidad de certificación es el origen de confianza al que hacen referencia los certificados para la autenticación. Puede usar una CA de Microsoft o de terceros.
  • Infraestructura local. La infraestructura que necesitará depende de los tipos de certificado que use:
  • Un certificado de raíz de confianza. Antes de implementar perfiles de certificado SCEP o PKCS, implemente el certificado raíz de confianza de la CA mediante un perfil de certificado de confianza. Este perfil ayuda a establecer la confianza del dispositivo a la CA y es necesario para los otros perfiles de certificado.

Con un certificado raíz de confianza implementado, ya podrá implementar perfiles de certificado para aprovisionar usuarios y dispositivos con certificados para la autenticación.

Qué perfil de certificado usar

Las siguientes comparaciones no son exhaustivas, pero están pensadas para ayudar a distinguir el uso de los distintos tipos de perfiles de certificado.

Tipo de perfil Detalles
Certificado de confianza Se usa para implementar la clave pública (certificado) de una CA raíz o intermediaria en los usuarios y los dispositivos para establecer una relación de confianza de nuevo en la CA de origen. Otros perfiles de certificado requieren el perfil de certificado de confianza y su certificado raíz.
Certificado SCEP Implementa una plantilla para una solicitud de certificado en los usuarios y los dispositivos. Cada certificado aprovisionado mediante SCEP es único y está vinculado al usuario o al dispositivo que solicita el certificado.

Con SCEP, puede implementar certificados en dispositivos que carecen de afinidad de usuario. Esto incluye el uso de SCEP para aprovisionar un certificado en un dispositivo de pantalla completa o sin usuario.
Certificado PKCS Implementa una plantilla para una solicitud de certificado que especifica un tipo de certificado de usuario o de dispositivo.

- Las solicitudes de un tipo de certificado de usuario siempre requieren afinidad de usuario. Cuando se implementa en un usuario, cada uno de los dispositivos de dicho usuario recibe un certificado único. Cuando se implementa en un dispositivo con un usuario, el usuario está asociado con el certificado para ese dispositivo. Cuando se implementa en un dispositivo sin usuario, no se aprovisiona ningún certificado.
- Las plantillas con un tipo de certificado de dispositivo no requieren afinidad de usuario para aprovisionar un certificado. La implementación en un dispositivo aprovisiona dicho dispositivo con un certificado. La implementación en un usuario aprovisiona el dispositivo en el que el usuario ha iniciado sesión con un certificado.
Certificado PKCS importado Implementa un solo certificado en varios dispositivos y usuarios, lo que admite escenarios como la firma y el cifrado de S/MIME. Por ejemplo, al implementar el mismo certificado en todos los dispositivos, cada dispositivo puede descifrar el correo electrónico recibido de ese mismo servidor de correo electrónico.

Otros métodos de implementación de certificados no son suficientes para este escenario, ya que SCEP crea un certificado único para cada solicitud y PKCS asocia un certificado diferente para cada usuario, con distintos usuarios que reciben certificados distintos.

Certificados y uso admitidos por Intune

Tipo Autenticación Firma S/MIME Cifrado S/MIME
Certificado importado de Public Key Cryptography Standards (PKCS) Compatible Compatible
PKCS#12 (o PFX) Compatible Compatible
Protocolo de inscripción de certificados simple (SCEP) Compatible Compatible

Para implementar estos certificados, debe crear y asignar perfiles de certificado a los dispositivos.

Cada perfil de certificado individual que cree es compatible con una sola plataforma. Por ejemplo, si usa certificados PKCS, creará un perfil de certificado PKCS para Android y otro independiente para iOS o iPadOS. Si también usa certificados SCEP para esas dos plataformas, tendrá que crear un perfil de certificado SCEP para Android y otro para iOS o iPadOS.

Consideraciones generales al usar una entidad de certificación de Microsoft

Cuando se usa una entidad de certificación (CA) de Microsoft:

Consideraciones generales al usar una entidad de certificación de terceros

Cuando se usa una entidad de certificación (CA) de terceros (que no es de Microsoft):

  • Para usar perfiles de certificado SCEP:

    • Configure la integración con una entidad de certificación de terceros de uno de nuestros asociados admitidos. La configuración incluye las siguientes instrucciones de la entidad de certificación de terceros para completar la integración de su CA con Intune.
    • Cree una aplicación en Azure AD que delegue derechos en Intune para realizar la validación del desafío de certificado SCEP.
  • Para los certificados PKCS importados es necesario instalar Certificate Connector para Microsoft Intune.

  • Implemente certificados mediante los siguientes mecanismos:

    • Perfiles de certificado de confianza para implementar en los dispositivos el certificado de CA raíz de confianza de la entidad de certificación raíz o intermedia (emisora).
    • Perfiles de certificado SCEP
    • Perfiles de certificado PKCS (solo se admite con la plataforma de PKI de Digicert)
    • Perfiles de certificados PKCS importados

Plataformas compatibles y perfiles de certificado

Plataforma Perfil de certificado de confianza Perfil de certificado PKCS Perfil de certificado SCEP Perfil de certificado PKCS importado
Administrador de dispositivos Android Compatible
(Vea la Nota 1)
Compatible Compatible Compatible
Android Enterprise
- Totalmente administrado (propietario del dispositivo)
Compatible Compatible Compatible Compatible
Android Enterprise
- Dedicado (propietario del dispositivo)
Compatible Compatible Compatible Compatible
Android Enterprise
-Perfil de trabajo de propiedad corporativa
Compatible Compatible Compatible Compatible
Android Enterprise
- Perfil de trabajo de propiedad personal
Compatible Compatible Compatible Compatible
iOS/iPadOS Compatible Compatible Compatible Compatible
macOS Compatible Compatible Compatible Compatible
Windows 8.1 y posterior Compatible Compatible
Windows 10 u 11 Compatible
(consulte la nota 2)
Compatible
(consulte la nota 2)
Compatible
(consulte la nota 2)
Compatible

Recursos adicionales

Siguientes pasos

Creación de perfiles de certificado:

Más información sobre Certificate Connector para Microsoft Intune