circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Directorios de dispositivos

SCEPman ofrece dos opciones para validar los certificados de los dispositivos (por ejemplo, para solicitudes OCSP). Ambos directorios almacenan objetos de dispositivo con diferentes ID que SCEPman comprueba para verificar su existencia:

  • ID de dispositivo de Microsoft Entra ID (Azure AD)

  • Intune (ID de dispositivo de Intune)

Esos ID son visibles en Intune por dispositivo en la pestaña "Hardware":

Para reconocer el dispositivo detrás de un certificado emitido, SCEPman requiere el correspondiente ID en el nombre del sujeto:

  • Microsoft Entra ID (Azure AD): CN={{AAD_Device_ID}}

  • Intune: CN={{DeviceId}}

Al configurar SCEPman y los perfiles de certificado en Intune, es importante decidir qué inventario debe utilizarse.

hashtag
Entra ID (AAD) vs. Intune

Ambos directorios tienen sus ventajas y desventajas. En general, recomendamos Intune como inventario desde SCEPman 2.0:

  • El ID de dispositivo de Entra puede cambiar durante el registro (visto en iOS/iPadOS/macOS): El ID de dispositivo de Entra se establece con el ID de dispositivo de Intune hasta que el dispositivo finalmente se registra en AAD. Intune ya emite el certificado antes de que el dispositivo obtenga su ID final. Como resultado, SCEPman no puede encontrar el dispositivo en AAD después de este cambio de ID.

  • Intune suele mantenerse mejor que Entra ID (AAD): En teoría, los objetos de dispositivo de AAD e Intune son independientes entre sí. Eliminar un dispositivo en Intune no elimina el objeto correspondiente en AAD. Además, los dispositivos Autopilot solo se pueden eliminar en Intune y no en Microsoft Entra ID (Azure AD). Por lo tanto, los certificados seguirían siendo válidos.

hashtag
Configuración de SCEPman

SCEPman necesita saber qué directorio(s) deben usarse para la validación. Por ello, ofrecemos la opción de configuraciónAppConfig:IntuneValidation:DeviceDirectory. Por favor ajuste ese valor según sus necesidades.

circle-exclamation

Tenga en cuenta que esto requiere la versión 2.0 o superior. SCEPman 1.x solo admite Microsoft Entra ID (Azure AD) como directorio.

hashtag
Perfiles de certificado

Por favor, también ajuste el nombre del sujeto según sus necesidades como se indica en Microsoft Intune.

Tenga en cuenta que CN={{DeviceId}} actualmente no es compatible con Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile como se indica en documentación de Microsoftarrow-up-right. Si esos tipos de dispositivos están en uso, considere comprobar ambos directorios o solo Microsoft Entra ID (Azure AD).

Para migrando de Microsoft Entra ID (Azure AD) a ID de Intune o viceversa, certificados necesitan ser reemitidos en todos los clientes. Durante ese cambio, por favor configure SCEPman a través de AppConfig:IntuneValidation:DeviceDirectory para comprobar ambos directorios (de modo que ambos ID sean válidos). Después de la migración, puede cambiar a Intune o AAD como único directorio.

Última actualización

¿Te fue útil?