> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune/macos.md).
# macOS
El siguiente artículo describe cómo implementar certificados de dispositivo o/y de usuario para dispositivos macOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo certificados de dispositivo, de usuario o ambos tipos de certificado.
{% hint style="warning" %}
Tenga en cuenta que macOS inscribe un certificado de autenticación de cliente independiente para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP real. Consulte la nota [aquí](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un **certificado de confianza** perfil mediante Microsoft Intune:
* [ ] Descargue el certificado de la CA desde su portal de SCEPman:
* [ ] Cree un perfil para macOS con el tipo **certificado de confianza** en Microsoft Intune:
* [ ] Cargue el **archivo .cer descargado previamente**.
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.
{% hint style="info" %}
Tenga en cuenta que debe usar el **mismo grupo para asignar** el **certificado de confianza** y **perfil SCEP**. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra el portal de SCEPman y copie la URL debajo de **Intune MDM**:
* [ ] Cree un perfil para macOS con el tipo **certificado SCEP** en Microsoft Intune:
* [ ] Configure el perfil como se describe:
Tipo de certificado: Dispositivo
En esta sección estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}
**Recomendado:** Use `{{DeviceName}}`para el RDN del CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.
**Opcional:** Si se configura en `CN={{DeviceId}}` o `CN={{AAD_Device_ID}}`, SCEPman utiliza el campo CN del nombre del sujeto para identificar el dispositivo y como base para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos ID diferentes:
* `{{DeviceId}}`: Este ID se genera y se usa mediante Intune.\
\
(requiere [Validación de Intune](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) que se establezca en **Intune** o **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID se genera y se usa mediante Microsoft Entra ID (Azure AD).
En caso de que no se use ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` en el campo CN (p. ej., `CN={{DeviceName}})`, SCEPman identificará el dispositivo basándose en el ID de dispositivo de Intune (`Valor (URI):` `IntuneDeviceId://{{DeviceId}}`) proporcionado en el nombre alternativo del sujeto (SAN).
**Importante:** La elección del campo CN afecta el [comportamiento de revocación automática](/es/administracion-de-certificados/manage-certificates.md#automatic-revocation) de los certificados emitidos para sus dispositivos administrados por Intune.
Puede agregar otros RDN si es necesario (p. ej.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Las variables admitidas se enumeran en [la documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI es [recomendado por Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluciones NAC para identificar los dispositivos basándose en su ID de dispositivo de Intune.
```
IntuneDeviceId://{{DeviceId}}
```
El **campo URI es obligatorio** en caso de que no se use ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` en el **formato del nombre del sujeto** campo.
Se pueden agregar otros valores SAN como DNS si es necesario.
Período de validez del certificado: 1 año
**Importante:** Los dispositivos macOS ignoran la configuración del período de validez mediante Intune. Asegúrese de configurar [Certificados](/es/configuracion-de-scepman/application-settings/certificates.md#appconfig-validityperioddays) a un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque de todos modos se ignorará.\
\ **Importante:** Tenga en cuenta también que **los certificados en macOS solo se renuevan** por Intune cuando el dispositivo está **desbloqueado, en línea, sincronizando y dentro del alcance del umbral de renovación**. Si los certificados están vencidos (p. ej.: el dispositivo estuvo sin conexión y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.
Uso de clave: Firma digital y cifrado de claves
Active ambas acciones criptográficas.
Tamaño de clave (bits): 2048
SCEPman admite 2048 bits.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de [#Certificados raíz](#root-certificate)
Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija **Autenticación de cliente (1.3.6.1.5.5.7.3.2)** bajo **Valores predefinidos**. Los demás campos se rellenarán automáticamente.
**Importante:** Los dispositivos macOS no admiten ningún uso de clave extendido (EKU) aparte de `Autenticación de cliente` . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.
Umbral de renovación (%): 50
Este valor define cuándo se permite al dispositivo renovar su certificado (según la vida útil restante del certificado existente). Lea la nota debajo de **Período de validez del certificado** y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un período prolongado. Un valor del 50 % permitiría al dispositivo con un certificado válido de 1 año iniciar la renovación 182 días antes del vencimiento.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
**Ejemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Con la configuración que indicamos, cumplimos con [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Ejemplo
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija los mismos grupos para la asignación que para el perfil de certificado de confianza.
## Certificados de usuario
La siguiente sección le mostrará cómo puede implementar certificados de usuario mediante un perfil de certificado de Intune en dispositivos macOS X 10.12 (o posteriores).
{% hint style="warning" %}
Tenga en cuenta: los certificados aprovisionados mediante el protocolo SCEP, independientemente del tipo (usuario o dispositivo), siempre se colocan en el llavero del sistema (almacén del sistema) del dispositivo.
En caso de que una aplicación de terceros requiera acceso a dicho certificado (p. ej., un cliente VPN de terceros), el control deslizante para **Permitir que todas las apps accedan a la clave privada** en el llavero debe establecerse en **habilitado**.
{% endhint %}
Siga las instrucciones de [#Certificados de dispositivo](#device-certificates) y tenga en cuenta las siguientes diferencias:
Tipo de certificado: Usuario
En esta sección estamos configurando un certificado de usuario.
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN en función de sus necesidades. Las variables admitidas se enumeran en la [la documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: ) como configuración base.
Nombre alternativo del sujeto: UPN Valor:{{UserPrincipalName}}
SCEPman utiliza el UPN en el SAN para identificar al usuario y como base para la generación del número de serie del certificado (p. ej.: ).\
\
Se pueden agregar otros valores SAN como la dirección de correo electrónico si es necesario.
{% hint style="info" %}
Con la configuración que indicamos, cumplimos con [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Ejemplo
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.