# Directorios de dispositivos

SCEPman ofrece dos opciones para validar certificados de dispositivo (p. ej., para solicitudes OCSP). Ambos directorios almacenan objetos de dispositivo con distintos IDs que SCEPman comprueba para verificar su existencia:

* Microsoft Entra ID (Azure AD) Device ID
* Intune (Intune Device ID)

Esos IDs son visibles en Intune por dispositivo en la pestaña "Hardware":

![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-d44ef355496196be88c70825db9d9249a4258254%2Fimage.png?alt=media)

Para reconocer el dispositivo detrás de un certificado emitido, SCEPman requiere el correspondiente **ID en el nombre del sujeto**:

* Microsoft Entra ID (Azure AD): `CN={{AAD_Device_ID}}`
* Intune: `CN={{DeviceId}}`

Al configurar SCEPman y los perfiles de certificado en Intune, es importante **decidir qué inventario se debe usar**.

### Entra ID (AAD) vs. Intune

Ambos directorios tienen sus ventajas y desventajas. En general, **recomendamos Intune** como inventario desde SCEPman 2.0:

* **El Entra Device ID puede cambiar durante el registro (visto en iOS/iPadOS/macOS)**:\
  El Entra Device ID se establece como el Intune device ID hasta que el dispositivo queda finalmente registrado en AAD. Intune ya emite el certificado antes de que el dispositivo obtenga su ID final. Como resultado, SCEPman no puede encontrar el dispositivo en AAD después de este cambio de ID.
* **Intune suele estar mejor mantenido que Entra ID (AAD)**:\
  En teoría, los objetos de dispositivo de AAD e Intune son independientes entre sí. Eliminar un dispositivo en Intune no elimina el objeto AAD correspondiente. Además, los dispositivos Autopilot solo pueden eliminarse en Intune y no en Microsoft Entra ID (Azure AD). Por lo tanto, los certificados seguirían siendo válidos.

### Configuración de SCEPman

SCEPman necesita saber qué directorio o directorios deben usarse para la validación. Por ello, ofrecemos la opción de configuración[#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/es/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention"). Ajuste ese valor según sus necesidades.

{% hint style="warning" %}
Tenga en cuenta que esto requiere la versión 2.0 o posterior. SCEPman 1.x solo admite Microsoft Entra ID (Azure AD) como directorio.
{% endhint %}

### Perfiles de certificado

Ajuste también el nombre del sujeto según sus necesidades, tal como se indica en [microsoft-intune](https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune "mention").

Tenga en cuenta que `CN={{DeviceId}}` actualmente no es compatible con Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile, como se indica en [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Si se utilizan esos tipos de dispositivo, considere comprobar ambos directorios o solo Microsoft Entra ID (Azure AD).

Para **la migración** de Microsoft Entra ID (Azure AD) a Intune ID o viceversa, **los certificados** deben ser **reemitidos en todos los clientes**. Durante ese cambio, configure SCEPman mediante [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/es/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") para comprobar ambos directorios (de modo que ambos IDs sean válidos). Después de la migración, puede cambiar a Intune o AAD como único directorio.