Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar Microsoft Intune para el conector para SCEP
Se puede utilizar AWS Private CA como entidad de certificación (CA) externa con el sistema de administración de dispositivos móviles (MDM) de Microsoft Intune. Esta guía proporciona instrucciones sobre cómo configurar Microsoft Intune después de crear un conector para SCEP para Microsoft Intune.
Requisitos previos
Antes de crear un conector para SCEP para Microsoft Intune, debe cumplir los siguientes requisitos previos.
Cree un ID de Entra.
Cree un inquilino de Microsoft Intune.
Cree un registro de aplicación en su ID de Microsoft Entra. Consulte Actualizar los permisos solicitados de una aplicación en Microsoft Entra ID
en la documentación de Microsoft Entra para obtener información sobre cómo administrar los permisos a nivel de aplicación para el registro de su aplicación. El registro de la aplicación debe tener los siguientes permisos: En Intune, configura scep_challenge_provider.
Para Microsoft Graph, defina Application.Read-All y User.Read.
En el registro de la aplicación, debes conceder el consentimiento de administrador a la aplicación. Para obtener más información, consulte Otorgar el consentimiento de administrador de todo el inquilino a una aplicación en la
documentación de Microsoft Entra. sugerencia
Al crear el registro de la aplicación, anote el ID de la aplicación (cliente) y el ID del directorio (inquilino) o el dominio principal. Cuando cree su conector para SCEP para Microsoft Intune, introducirá estos valores. Para obtener información sobre cómo obtener estos valores, consulte Crear una aplicación y un director de servicio de Microsoft Entra que pueda acceder a los recursos
en la documentación de Microsoft Entra.
Paso 1: Otorgue AWS Private CA permiso para usar su aplicación Microsoft Entra ID
Tras crear un conector para SCEP para Microsoft Intune, debe crear una credencial federada en el registro de aplicaciones de Microsoft para que Connector for SCEP pueda comunicarse con Microsoft Intune.
Para configurar AWS Private CA como una CA externa en Microsoft Intune
En la consola Microsoft Entra ID, navega hasta los registros de aplicaciones.
Elija la aplicación que creó para utilizarla con Connector for SCEP. El ID de aplicación (cliente) de la aplicación en la que haga clic debe coincidir con el ID que especificó al crear el conector.
Seleccione Certificados y secretos en el menú desplegable Administrado.
Seleccione la pestaña Credenciales federadas.
Seleccione Añadir una credencial.
En el menú desplegable del escenario de credenciales federadas, selecciona Otro emisor.
Copie y pegue el valor del emisor de OpenID de los detalles de Connector for SCEP para Microsoft Intune en el campo Emisor. Para ver los detalles de un conector, selecciónelo en la lista de conectores para SCEP
de la consola. AWS Como alternativa, puede obtener la URL llamando GetConnectory copiando el Issuervalor de la respuesta.Copie y pegue el valor de OpenID Audience de los detalles de Connector for SCEP for Microsoft Intune en el campo Audience. Para ver los detalles de un conector, selecciónelo en la lista de conectores para SCEP
de la consola. AWS Como alternativa, puede obtener la URL llamando GetConnectory copiando el Subjectvalor de la respuesta.(Opcional) Introduce el nombre de la instancia en el campo Nombre. Por ejemplo, puede asignarle un nombre AWS Private CA.
(Opcional) Introduzca una descripción en el campo Descripción.
Seleccione Editar (opcional) en el campo Audiencia. Copie y pegue el valor de asunto de OpenID de su conector en el campo Asunto. Puede ver el valor del emisor de OpenID en la página de detalles del conector de la consola. AWS Como alternativa, puede obtener la URL llamando GetConnectory copiando el
Audiencevalor de la respuesta.Seleccione Añadir.
Paso 2: configurar un perfil de configuración de Microsoft Intune
Tras conceder AWS Private CA el permiso para llamar a Microsoft Intune, debe usar Microsoft Intune para crear un perfil de configuración de Microsoft Intune que indique a los dispositivos que se pongan en contacto con Connector for SCEP para emitir el certificado.
Cree un perfil de configuración de certificados de confianza. Debe cargar el certificado de CA raíz de la cadena que está utilizando con Connector for SCEP en Microsoft Intune para establecer la confianza. Para obtener información sobre cómo crear un perfil de configuración de certificados de confianza, consulte Perfiles de certificados raíz de confianza para Microsoft Intune
en la documentación de Microsoft Intune. Cree un perfil de configuración de certificados SCEP que dirija sus dispositivos al conector cuando necesiten un certificado nuevo. El tipo de perfil del perfil de configuración debe ser un certificado SCEP. Para el certificado raíz del perfil de configuración, asegúrese de utilizar el certificado de confianza que creó en el paso anterior.
En el caso del servidor SCEP URLs, copie y pegue la URL pública del SCEP que figura en los detalles del conector en el campo del servidor SCEP. URLs Para ver los detalles de un conector, selecciónelo en la lista Conectores para el SCEP
. Como alternativa, puede obtener la URL llamando y ListConnectors, a continuación, copiar el Endpointvalor de la respuesta. Para obtener instrucciones sobre la creación de perfiles de configuración en Microsoft Intune, consulte Crear y asignar perfiles de certificados SCEP en Microsoft Intune en la documentación de Microsoft Intune. nota
Para los dispositivos que no son Mac OS e iOS, si no establece un período de validez en el perfil de configuración, Connector for SCEP emite un certificado con una validez de un año. Si no establece un valor de uso extendido de claves (EKU) en el perfil de configuración, Connector for SCEP emite un certificado con el EKU establecido con.
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)En el caso de los dispositivos macOS o iOS, Microsoft Intune no respetaExtendedKeyUsageValiditylos parámetros de los perfiles de configuración. Para estos dispositivos, Connector for SCEP emite un certificado con un período de validez de un año para estos dispositivos mediante la autenticación del cliente.
Paso 3: Compruebe la conexión con el conector para SCEP
Después de crear un perfil de configuración de Microsoft Intune que apunte al punto final de Connector for SCEP, confirme que un dispositivo inscrito puede solicitar un certificado. Para confirmarlo, asegúrese de que no haya ningún error en la asignación de políticas. Para confirmarlo, en el portal de Intune, vaya a Dispositivos > Administrar dispositivos > Configuración y compruebe que no haya nada en la lista Errores de asignación de políticas de configuración. Si lo hay, confirme la configuración con la información de los procedimientos anteriores. Si la configuración es correcta y aún hay errores, consulte Recopilar los datos disponibles desde un dispositivo móvil
Para obtener información sobre la inscripción de dispositivos, consulta ¿Qué es la inscripción de dispositivos?
