Validación Intune

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

Valor: Siempre o Nunca (predeterminado)

Descripción: Cuando SCEPman recibe una solicitud OCSP, SCEPman puede opcionalmente verificar el estado de cumplimiento del dispositivo. Cuando se establece en Siempre SCEPman consultará el estado de cumplimiento del dispositivo y el resultado OCSP solo puede ser GOOD si el dispositivo también está marcado como conforme en Azure AD.

Establecer esto en Nunca desactivará la comprobación de cumplimiento.

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

Valor: Entero (predeterminado: 0)

Descripción: Inmediatamente después de la inscripción, los dispositivos a menudo aún no son conformes en Intune. Esta configuración define un período de gracia en minutos durante el cual el dispositivo se considera conforme, incluso si aún no lo es. Si el dispositivo no es conforme después del período de gracia, el certificado se revoca. Esto evita el problema de un dispositivo Windows que está recién inscribiéndose y necesita completar correctamente el perfil SCEP para finalizar la inscripción de Windows Autopilot, pero que solo se volverá conforme en Intune algún tiempo después.

La configuración comprobará la propiedad EnrolledDateTime de Intune y comenzará a contar a partir de ese punto.

Es una alternativa al uso de Certificados de Arranque Efímero. Si configura cualquier valor superior a 0, SCEPman nunca emitirá Certificados de Arranque Efímero.

Esta configuración solo es efectiva si ComplianceCheck está configurado en Siempre.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

Valor: Cadena

Opciones disponibles:

• AAD (predeterminado para SCEPman 2.0)

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic (predeterminado para SCEPman 2.1 o superior)

• AADAndIntuneAndEndpointlist (disponible en SCEPman 2.2 y superior)

Descripción: Determina dónde buscar dispositivos en las solicitudes OCSP para certificados de dispositivo. Se consulta el directorio correspondiente para un dispositivo que coincida con la ID de dispositivo escrita en el campo CN del sujeto del certificado. El certificado es válido solo si el dispositivo existe. Para AAD, también debe estar habilitado (Intune no admite deshabilitar dispositivos). Si ComplianceCheck está activado, el dispositivo también debe ser conforme. Si no se configura nada y para SCEPman 1.9 y anteriores, AAD se utiliza.

Por lo tanto, debe configurar el perfil de configuración de Intune para los dispositivos en consecuencia. {{AAD_Device_ID}} es la ID de dispositivo de Entra/AAD, mientras que {{DeviceID}} es la ID de dispositivo de Intune.

Para AADAndIntune, ambos directorios se consultan en paralelo. En ese caso, es suficiente que el dispositivo exista en uno de los dos directorios. Esta configuración permite migrar de una configuración a otra cuando aún existen certificados válidos para ambos tipos de directorios. También admite casos en los que configura plataformas de manera diferente. También puede usarse como una solución para dispositivos iOS o Android que reciben una ID de Intune en lugar de una ID de objeto de Entra, porque no están completamente unidos a Entra en el momento de la inscripción del certificado.

Si ha actualizado de SCEPman 1.x a SCEPman 2.x y todavía está usando un registro de aplicación para permisos de SCEPman, SCEPman carece de los permisos para consultar Intune por dispositivos. Por lo tanto, está limitado a la AAD opción. La opción AADAndIntuneOpportunistic comprueba si se han concedido a SCEPman los permisos para consultar Intune. Si están presentes, esto funciona como AADAndIntune. Si no están presentes, esto se comporta como AAD.

El valor AADAndIntuneAndEndpointlist funciona igual que AADAndIntune, pero además consulta la lista de certificados emitidos de Intune. Si Intune activó la revocación de un certificado, esto hará que el certificado se revoque en SCEPman.

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

Valor: true (predeterminado) o false

Descripción: Esta configuración amplía la validación de dispositivos cuando se utiliza la ID de dispositivo de Intune. No funciona cuando se usa la ID de dispositivo de Entra/AAD. Si está habilitada, SCEPman evalúa la propiedad Management State de un dispositivo de Intune cuando se valida su certificado de dispositivo. Si el estado indica uno de los siguientes valores, el certificado se revoca:

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

En especial, esto significa que cuando un administrador desencadena un Wipe o Retire para un dispositivo, el certificado se revocará inmediatamente. Incluso si el dispositivo está apagado u offline y por lo tanto la acción no puede realizarse en el dispositivo, el certificado ya no es válido.

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

Valor: Lista separada por comas de Niveles de Riesgo de Usuario, por ejemplo Bajo, Medio, Alto.

Descripción: Esta configuración solo tiene efecto si establece UserRiskCheck en Siempre. Los certificados de usuarios con niveles de riesgo en esta lista se considerarán inválidos.

Ejemplo: Define usted Medium,High para esta configuración. Un usuario tiene Nivel de Riesgo Bajo. El certificado del usuario es válido y el certificado puede usarse para conectarse a la VPN corporativa. Luego, un evento de riesgo aumenta el Nivel de Riesgo del usuario a Medio. El usuario intenta conectarse a la VPN, pero no lo consigue, porque la puerta de enlace VPN comprueba la validez del certificado en tiempo real y SCEPman responde que está revocado.

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

Valor: Siempre o Nunca (predeterminado)

Descripción: Cuando SCEPman recibe una solicitud OCSP para un certificado emitido a un usuario de Intune, SCEPman puede opcionalmente comprobar el nivel de riesgo del usuario. Cuando se establece en Siempre SCEPman consultará el estado de riesgo del usuario y el resultado OCSP solo puede ser GOOD si el riesgo del usuario no está en la lista de UntoleratedUserRisks.

Establecer esto en Nunca desactivará la comprobación del riesgo de usuario.

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

Valor: true (predeterminado) o false

Descripción: Después de que se haya emitido correctamente un certificado, SCEPman envía una notificación sobre el certificado a Intune. Microsoft recomienda esperar la respuesta en su especificación. Sin embargo, algunas instancias muestran retrasos largos que ocasionalmente resultan en tiempos de espera. Por lo tanto True es el valor predeterminado.

Establecer esto en False hace que SCEPman devuelva el certificado emitido antes de que Intune responda a la notificación. Esto va en contra del espíritu de la especificación, pero aumenta el rendimiento y evita tiempos de espera en instancias donde surge este problema.

AppConfig:IntuneValidation:ValidityPeriodDays

Linux: AppConfig__IntuneValidation__ValidityPeriodDays

Valor: Positivo Entero

Descripción: Esta configuración reduce además el ValidityPeriodDays global para el endpoint de Intune.

AppConfig:IntuneValidation:EnableCertificateStorage

Linux: AppConfig__IntuneValidation__EnableCertificateStorage

Valor: true o false (predeterminado)

Descripción: Al solicitar certificados a través del endpoint de Intune, SCEPman almacena esos certificados solicitados en la Cuenta de Almacenamiento en Azure si esto se establece en true. Esto hará que los certificados emitidos aparezcan en SCEPman Certificate Master, donde puede verlos y revocarlos manualmente. Adicionalmente, los certificados se revocan automáticamente cuando el objeto Entra o Intune asociado entra en un estado inválido según lo especificado por las otras configuraciones (como estar deshabilitado o eliminado). Si se establece en false, SCEPman no almacenará los certificados emitidos y los certificados serán visibles solo en los registros o en la vista clásica de Intune en Certificate Master o en el portal de Intune. Si esto no se configura, el comportamiento depende de la configuración global AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

Valor: true o false (predeterminado)

Descripción: Esto permite usar la RenewalReq operación en este endpoint SCEP. Funciona solo para los tipos de certificado añadidos a AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

Esta operación puede usarse con el módulo SCEPmanClient de PowerShell.

AppConfig:IntuneValidation:AllowRequestedSidExtension

Valor: true o false (predeterminado)

Descripción: Si hay una extensión SID (OID 1.3.6.1.4.1.311.25.2) en la solicitud de certificado, se copiará al certificado emitido si esta configuración es verdadera. Si es falsa, será filtrada. El SID es importante para un mapeo fuerte de certificados en escenarios de autenticación AD local. Sin embargo, aparentemente Intune no comprueba la autenticidad del SID solicitado en la extensión, por lo que permitir extensiones SID solicitadas puede plantear una vulnerabilidad de seguridad.

Las extensiones SID añadidas vía AppConfig:AddSidExtension no se ven afectadas por esta configuración. Además, los SID añadidos como un SAN URI que contiene un SID tampoco se ven afectados si la versión de SCEPman es 2.11.1460 o posterior — las versiones más antiguas de SCEPman copian el SAN URI SID solo si esto true, pero tienen true como valor predeterminado.

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

Valor: Lista separada por comas de tipos de certificado de esta lista:

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

• JamfComputer

Descripción: Puede usar el endpoint SCEP para renovaciones de certificados de los tipos especificados en esta configuración. Si no especifica ningún valor, por defecto no habrá tipos.

Por ejemplo, si quisiera renovar certificados emitidos manualmente a través de Certificate Master, especificaría Static. Si además desea renovar certificados de Domain Controller, especificaría DomainController,Static.