# Validación de Intune {% hint style="info" %} Estos ajustes solo deben aplicarse al SCEPman App Service, no al Certificate Master. Consulte [SCEPman Settings](https://docs.scepman.com/es/configuracion-de-scepman/application-settings). {% endhint %} ## AppConfig:IntuneValidation:ComplianceCheck *Linux: AppConfig\_\_IntuneValidation\_\_ComplianceCheck* {% hint style="warning" %} **Configuración experimental** solo en SCEPman Enterprise Edition Antes de la versión 1.9, debido a la evaluación retrasada del estado de cumplimiento durante el registro, esta función rompe el registro de Windows Autopilot. Después de la implementación del certificado, la comprobación OCSP inmediatamente siguiente devolverá '**no válido**' durante el proceso de registro y el proceso de Autopilot no tendrá éxito. Con la versión 1.9 y posteriores, los clientes reciben un "Ephemeral Bootstrap Certificate" durante la fase de registro que luego se reemplaza por un certificado de cliente normal, en cuanto el cliente pasa a estar en cumplimiento. Con la versión 2.5 y posteriores, alternativamente puede configurar un período de gracia durante el cual el dispositivo siempre se considera compatible con la configuración ComplianceGracePeriodMinutes. {% endhint %} **Valor:** *Siempre* o *Nunca* (predeterminado) **Descripción:** Cuando SCEPman recibe una solicitud OCSP, SCEPman puede comprobar opcionalmente el estado de cumplimiento del dispositivo. Cuando se establece en **Siempre** SCEPman consultará el estado de cumplimiento del dispositivo y el resultado OCSP solo puede ser GOOD si el dispositivo también está marcado como compatible en Azure AD. Establecer esto en **Nunca** deshabilitará la comprobación de cumplimiento. ## AppConfig:IntuneValidation:ComplianceGracePeriodMinutes *Linux: AppConfig\_\_IntuneValidation\_\_ComplianceGracePeriodMinutes* {% hint style="warning" %} solo en SCEPman Enterprise Edition Aplicable a la versión 2.5 y posteriores {% endhint %} **Valor:** *Integer* (valor predeterminado: 0) **Descripción:** Inmediatamente después del registro, los dispositivos a menudo aún no están en cumplimiento en Intune. Esta configuración define un período de gracia en minutos durante el cual el dispositivo se considera compatible, incluso si todavía no lo está. Si el dispositivo no está en cumplimiento después del período de gracia, el certificado se revoca. Esto evita el problema de un dispositivo Windows que acaba de registrarse y necesita completar correctamente el perfil SCEP para finalizar el registro de Windows Autopilot, pero que solo pasará a estar en cumplimiento en Intune algún tiempo después. La configuración comprobará la propiedad EnrolledDateTime de Intune y comenzará a contar a partir de ese momento. Es una alternativa al uso de Ephemeral Bootstrap Certificates. Si configura cualquier valor superior a 0, SCEPman nunca emitirá Ephemeral Bootstrap Certificates. Esta configuración solo es efectiva si [ComplianceCheck](#appconfig-intunevalidation-compliancecheck) se establezca en *Siempre*. ## AppConfig:IntuneValidation:DeviceDirectory *Linux: AppConfig\_\_IntuneValidation\_\_DeviceDirectory* **Valor:** String Opciones disponibles: * `AAD`\ (predeterminado para SCEPman 2.0) * `Intune` * `AADAndIntune` * `AADAndIntuneOpportunistic`\ (predeterminado para SCEPman 2.1 o posterior) * `AADAndIntuneAndEndpointlist`\ (disponible en SCEPman 2.2 y posteriores) {% hint style="warning" %} Si desea cambiar esta configuración en una implementación existente que se instaló con una versión anterior de SCEPman, ejecute de nuevo el [script de configuración de PowerShell](https://docs.scepman.com/es/implementacion-de-scepman/permissions/post-installation-config#acquire-and-run-the-scepman-installation-powershell-module) para asegurarse de que SCEPman tenga los últimos permisos para acceder a los directorios de dispositivos correspondientes. {% endhint %} **Descripción:** Determina dónde buscar dispositivos en las solicitudes OCSP para certificados de dispositivo. El directorio correspondiente se consulta para encontrar un dispositivo que coincida con el ID de dispositivo escrito en el campo CN del sujeto del certificado. El certificado solo es válido si el dispositivo existe. Para **`AAD`**, además debe estar habilitado (Intune no admite deshabilitar dispositivos). Si ComplianceCheck está activado, el dispositivo también debe cumplir los requisitos. Si no se configura nada y para SCEPman 1.9 y anteriores, `AAD` se utiliza. Por lo tanto, debe configurar en consecuencia el perfil de configuración de Intune para los dispositivos. `{{AAD_Device_ID}}` es el ID de dispositivo de Entra/AAD, mientras que `{{DeviceID}}` es el ID de dispositivo de Intune. Para **`AADAndIntune`**, ambos directorios se consultan en paralelo. En este caso, basta con que el dispositivo exista en uno de los dos directorios. Esta configuración permite migrar de una configuración a otra cuando todavía existen certificados válidos para ambos tipos de directorios. También admite casos en los que configura las plataformas de forma diferente. También puede usarse como solución alternativa para dispositivos iOS o Android que reciben un ID de Intune en lugar de un ID de objeto de Entra, porque no están completamente unidos a Entra en el momento del registro del certificado. Si ha actualizado de SCEPman 1.x a SCEPman 2.x y todavía está usando [una App Registration para los permisos de SCEPman](https://docs.scepman.com/es/implementacion-de-scepman/permissions/azure-app-registration), SCEPman carece de los permisos para consultar dispositivos en Intune. Por lo tanto, está limitado a la `AAD` opción. La opción **`AADAndIntuneOpportunistic`** comprueba si se han concedido a SCEPman los permisos para consultar Intune. Si están presentes, esto funciona como `AADAndIntune`. Si no están, esto se comporta como `AAD`. El valor **`AADAndIntuneAndEndpointlist`** funciona igual que `AADAndIntune`, pero además consulta [la lista de certificados emitidos de Intune](https://endpoint.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMonitorMenu/~/certificateReport). Si Intune [desencadenó la revocación de un certificado](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates#scep-certificates), esto hará que el certificado quede revocado en SCEPman. {% embed url="" %} SCEPman 2.0: Validación de certificados {% endembed %} ## AppConfig:IntuneValidation:RevokeCertificatesOnWipe *Linux: AppConfig\_\_IntuneValidation\_\_RevokeCertificatesOnWipe* {% hint style="info" %} Aplicable a la versión 2.1 y posteriores. {% endhint %} **Valor:** *verdadero* (predeterminado) o *falso* **Descripción:** Esta configuración amplía la validación de dispositivos al usar el ID de dispositivo de Intune. No funciona al usar el ID de dispositivo de Entra/AAD. Si está habilitada, SCEPman evalúa la propiedad Management State de un dispositivo de Intune cuando se valida su certificado de dispositivo. Si el estado indica uno de los siguientes valores, el certificado se revoca: * RetirePending * RetireFailed * WipePending * WipeFailed * Unhealthy * DeletePending * RetireIssued * WipeIssued En particular, esto significa que cuando un administrador inicia un Wipe o Retire para un dispositivo, el certificado se revocará de inmediato. Incluso si el dispositivo está apagado o sin conexión y, por lo tanto, la acción no puede realizarse en el dispositivo, el certificado ya no es válido. ## AppConfig:IntuneValidation:UntoleratedUserRisks *Linux: AppConfig\_\_IntuneValidation\_\_UntoleratedUserRisks* {% hint style="warning" %} **Configuración experimental** - Aplicable a la versión 2.2 y posteriores. Requiere el permiso *IdentityRiskyUser.Read.All* asignado por el módulo SCEPman PS versión 1.7 y posteriores. solo en SCEPman Enterprise Edition {% endhint %} **Valor:** Lista separada por comas de niveles de riesgo de usuario, por ejemplo *Low*, *Medium*, *High*. **Descripción:** Esta configuración solo tiene efecto si establece [UserRiskCheck](#appconfig-intunevalidation-userriskcheck) a *Siempre*. Los certificados de los usuarios con niveles de riesgo en esta lista se considerarán no válidos. Ejemplo: Usted define `Medium,High` para esta configuración. Un usuario tiene un nivel de riesgo *Low*. El certificado del usuario es válido y puede utilizarse para conectarse a la VPN corporativa. Luego, un evento de riesgo aumenta el nivel de riesgo del usuario a *Medium*. El usuario intenta conectarse a la VPN, pero no lo consigue, porque el Gateway de VPN comprueba la validez del certificado en tiempo real y SCEPman responde que ha sido revocado. ## AppConfig:IntuneValidation:UserRiskCheck *Linux: AppConfig\_\_IntuneValidation\_\_UserRiskCheck* {% hint style="warning" %} **Configuración experimental** - Aplicable a la versión 2.2 y posteriores. Requiere el permiso *IdentityRiskyUser.Read.All* asignado por el módulo SCEPman PS versión 1.7 y posteriores. solo en SCEPman Enterprise Edition {% endhint %} **Valor:** *Siempre* o *Nunca* (predeterminado) **Descripción:** Cuando SCEPman recibe una solicitud OCSP para un certificado emitido a un usuario de Intune, SCEPman puede comprobar opcionalmente el [nivel de riesgo del usuario](https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks#user-linked-detections). Cuando se establece en **Siempre** SCEPman consultará el estado de riesgo del usuario y el resultado OCSP solo puede ser GOOD si el riesgo del usuario no está en la lista de [UntoleratedUserRisks](#appconfig-intunevalidation-untolerateduserrisks). Establecer esto en **Nunca** deshabilitará la comprobación de riesgo del usuario. ## AppConfig:IntuneValidation:WaitForSuccessNotificationResponse *Linux: AppConfig\_\_IntuneValidation\_\_WaitForSuccessNotificationResponse* **Valor:** *verdadero* (predeterminado) o *falso* **Descripción:** Después de que un certificado se emitió correctamente, SCEPman envía una notificación sobre el certificado a Intune. Microsoft recomienda esperar la respuesta en su especificación. Sin embargo, algunas instancias muestran largas demoras que ocasionalmente provocan tiempos de espera agotados. Por lo tanto **True** es el valor predeterminado. Establecer esto en **False** hace que SCEPman devuelva el certificado emitido antes de que Intune responda a la notificación. Esto va en contra de la especificación, pero mejora el rendimiento y evita tiempos de espera agotados en las instancias en las que surge este problema. ## AppConfig:IntuneValidation:ValidityPeriodDays *Linux: AppConfig\_\_IntuneValidation\_\_ValidityPeriodDays* **Valor:** Positive *Integer* **Descripción:** Esta configuración reduce aún más los ValidityPeriodDays globales para el endpoint de Intune. ## AppConfig:IntuneValidation:EnableCertificateStorage *Linux: AppConfig\_\_IntuneValidation\_\_EnableCertificateStorage* {% hint style="info" %} Aplicable a la versión 2.7 y posteriores solo en SCEPman Enterprise Edition {% endhint %} **Valor:** *verdadero* o *falso* (predeterminado) **Descripción:** Al solicitar certificados a través del endpoint de Intune, SCEPman almacena esos certificados solicitados en el Storage Account de Azure si esto se establece en *verdadero*. Esto hará que los certificados emitidos aparezcan en SCEPman Certificate Master, donde puede verlos y revocarlos manualmente. Además, los certificados se revocan automáticamente cuando el objeto asociado de Entra o Intune entra en un estado no válido según lo especificado por las otras configuraciones (como estar deshabilitado o eliminado). Si se establece en *falso*, SCEPman no almacenará los certificados emitidos y estos solo serán visibles en los registros o en la vista clásica de Intune en Certificate Master o en el portal de Intune. Si esto no está configurado, el comportamiento depende de la configuración global [AppConfig:EnableCertificateStorage](https://docs.scepman.com/es/configuracion-de-scepman/basics#appconfig-enablecertificatestorage). ## AppConfig:IntuneValidation:AllowRenewals **Valor:** *verdadero* o *falso* (predeterminado) **Descripción:** Esto permite usar la operación *RenewalReq* en este endpoint SCEP. Solo funciona para los tipos de certificado agregados a *AppConfig:*IntuneValidation*:ReenrollmentAllowedCertificateTypes*. Esta operación se puede usar con el módulo [SCEPmanClient ](https://github.com/scepman/scepmanclient)PowerShell. {% hint style="warning" %} Tenga en cuenta que Intune no hará uso de la operación *RenewalReq* y esta configuración no es necesaria para el funcionamiento habitual. {% endhint %} ## AppConfig:IntuneValidation:AllowRequestedSidExtension {% hint style="info" %} Aplicable a la versión 2.11.1460 y posteriores. Las versiones anteriores se comportan de forma diferente a lo descrito si esta configuración se modifica, y recomendamos no configurarla para esas versiones más antiguas. {% endhint %} **Valor:** *verdadero* o *falso* (predeterminado) **Descripción:** Si hay una extensión SID (OID 1.3.6.1.4.1.311.25.2) en la solicitud de certificado, se copiará al certificado emitido si esta configuración es verdadera. Si es falsa, se filtrará. El SID es importante para una asignación sólida de certificados en escenarios de autenticación de AD local. Sin embargo, aparentemente Intune [no comprueba la autenticidad del SID solicitado](https://docs.scepman.com/es/otro/troubleshooting/sid-spoofing-vulnerability) en la extensión, por lo que permitir extensiones SID solicitadas puede representar una vulnerabilidad de seguridad. Las extensiones SID agregadas mediante [AppConfig:AddSidExtension](https://docs.scepman.com/es/configuracion-de-scepman/certificates#appconfig-addsidextension) no se ven afectadas por esta configuración. Además, los SID agregados como un URI SAN que contiene un SID tampoco se ven afectados si la versión de SCEPman es 2.11.1460 o posterior — las versiones anteriores de SCEPman copian el SID del URI SAN solo si esto *verdadero*, pero tienen *verdadero* como valor predeterminado. ## AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes **Valor:** Lista separada por comas de tipos de certificado de esta lista: * DomainController * Static * IntuneUser * IntuneDevice * JamfUser * JamfUserWithDevice * JamfUserWithComputer * JamfDevice * JamfComputer **Descripción:** Puede usar el endpoint SCEP para renovaciones de certificados de los tipos especificados en esta configuración. Si no especifica ningún valor, el valor predeterminado es ningún tipo. Por ejemplo, si quisiera renovar certificados emitidos manualmente a través de Certificate Master, especificaría `Static`. Si también desea renovar certificados de Domain Controller, especificaría `DomainController,Static`. {% hint style="warning" %} Tenga en cuenta que Intune no hará uso de la operación *RenewalReq* y esta configuración no es necesaria para el funcionamiento habitual. {% endhint %}