# macOS
El siguiente artículo describe cómo implementar certificados de dispositivo o/y de usuario para dispositivos macOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo certificados de dispositivo, solo de usuario o incluso ambos tipos de certificado.
{% hint style="warning" %}
Tenga en cuenta que macOS registra un certificado de autenticación de cliente independiente para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP real. Consulte la nota [aquí](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un **certificado de confianza** perfil a través de Microsoft Intune:
* [ ] Descargue el certificado de la CA desde el portal de SCEPman:
* [ ] Cree un perfil para macOS con el tipo **certificado de confianza** en Microsoft Intune:
* [ ] Cargue su **archivo .cer**.
* [ ] descargado previamente. Ahora puede implementar este perfil en sus dispositivos. Elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.
{% hint style="info" %}
Tenga en cuenta que debe usar el **mismo grupo para asignar** el **certificado de confianza** y **perfil SCEP**. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra el portal de SCEPman y copie la URL debajo de **Intune MDM**:
* [ ] Cree un perfil para macOS con el tipo **certificado SCEP** en Microsoft Intune:
* [ ] Configure el perfil como se describe:
Tipo de certificado: Dispositivo
En esta sección estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}
**Recomendado:** Use `{{DeviceName}}`para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.
**Opcional:** Si se configura en `CN={{DeviceId}}` o `CN={{AAD_Device_ID}}`, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como base para generar el número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:
* `{{DeviceId}}`: Este ID es generado y usado por Intune.\
\
(requiere [Validación de Intune](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) que se establezca en **Intune** o **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID es generado y usado por Microsoft Entra ID (Azure AD).
En caso de que ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` se usen para el campo CN (por ejemplo, `CN={{DeviceName}})`, SCEPman identificará el dispositivo basándose en el ID de dispositivo de Intune (`(URI)Value:` `IntuneDeviceId://{{DeviceId}}`) proporcionado en el nombre alternativo del sujeto (SAN).
**Importante:** La elección del campo CN afecta al [comportamiento de revocación automática](/es/administracion-de-certificados/manage-certificates.md#automatic-revocation) de los certificados emitidos para sus dispositivos administrados por Intune.
Puede añadir otros RDN si es necesario (por ejemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Las variables admitidas se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI es [recomendado por Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para que las soluciones NAC identifiquen los dispositivos en función de su ID de dispositivo de Intune.
El **campo URI es obligatorio** en caso de que ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` se use en el campo **Formato del nombre del sujeto** .
Se pueden añadir otros valores SAN como DNS si es necesario.
Período de validez del certificado: 1 años
**Importante:** Los dispositivos macOS ignoran la configuración del período de validez a través de Intune. Asegúrese de configurar [Certificados](/es/configuracion-de-scepman/application-settings/certificates.md#appconfig-validityperioddays) con un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque se ignorará de todos modos.\
\ **Importante:** Tenga en cuenta también que **los certificados en macOS solo se renuevan** por Intune cuando el dispositivo está **desbloqueado, en línea, sincronizando y dentro del umbral de renovación**. Si los certificados están caducados (por ejemplo, el dispositivo estuvo desconectado y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir aquí un valor más alto.
Uso de la clave: Firma digital y cifrado de clave.
Active ambas acciones criptográficas.
Tamaño de clave (bits): 2048
SCEPman admite 2048 bits.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de [#Certificados raíz](#root-certificate)
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija **Autenticación de cliente (1.3.6.1.5.5.7.3.2)** en **Valores predefinidos**. Los demás campos se completarán automáticamente.
**Importante:** Los dispositivos macOS no admiten ningún Uso Extendido de Clave (EKU) distinto de `Autenticación de cliente` . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.
Umbral de renovación (%): 50
Este valor define cuándo se permite al dispositivo renovar su certificado (según la vida útil restante del certificado existente). Lea la nota debajo de **Período de validez del certificado** y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 50 % permitiría que un dispositivo con un certificado válido durante 1 año inicie la renovación 182 días antes del vencimiento.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
**Ejemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Con nuestros ajustes indicados, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Ejemplo
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija los mismos grupos para la asignación que para el perfil de certificado de confianza.
## Certificados de usuario
La siguiente sección le mostrará cómo puede implementar certificados de usuario mediante el perfil de certificado de Intune en dispositivos macOS X 10.12 (o posteriores).
{% hint style="warning" %}
Tenga en cuenta: los certificados provisionados a través del protocolo SCEP, independientemente del tipo (usuario o dispositivo), siempre se colocan en el llavero del sistema (almacén del sistema) del dispositivo.
En caso de que una aplicación de terceros requiera acceso a dicho certificado (por ejemplo, un cliente VPN de terceros), el control deslizante para **Permitir que todas las aplicaciones accedan a la clave privada** en el llavero debe establecerse en **habilitado**.
{% endhint %}
Siga las instrucciones de [#Certificados de dispositivo](#device-certificates) y tenga en cuenta las siguientes diferencias:
Tipo de certificado: Usuario
En esta sección estamos configurando un certificado de usuario.
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables admitidas se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: ) como configuración básica.
Nombre alternativo del sujeto: UPN Valor:{{UserPrincipalName}}
SCEPman usa el UPN en el SAN para identificar al usuario y como base para generar el número de serie del certificado (por ejemplo: ).\
\
Se pueden añadir otros valores SAN como la dirección de correo electrónico si es necesario.
{% hint style="info" %}
Con nuestros ajustes indicados, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Ejemplo
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.