# Asignación fuerte de Intune

[Actualmente, Microsoft informa a los clientes que vuelvan a comprobar sus PKI](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376): Con la actualización de Windows del 10 de mayo de 2022 ([KB5014754](https://support.microsoft.com/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)) se realizaron cambios en el comportamiento de Active Directory Kerberos Key Distribution (KDC) en Windows Server 2008 y versiones posteriores para mitigar las vulnerabilidades de elevación de privilegios asociadas con la suplantación de certificados. [Describimos el impacto de este cambio cuando la vulnerabilidad se divulgó originalmente](https://docs.scepman.com/es/otros/troubleshooting/certifried).

### Alcance

En primer lugar, esta vulnerabilidad solo se aplica a las CA cuyos certificados están publicados en el almacén NTAuth del bosque de AD. Si no utiliza sus certificados para autenticarse contra su AD local, no necesita publicar el certificado de su CA en el almacén NTAuth y entonces será invulnerable frente a este ataque. Tenga en cuenta que Microsoft ADCS publica sus certificados de CA en el almacén NTAuth de forma predeterminada.

Para la autenticación de red, el único NAC que conocemos que requiere el certificado de la CA en el almacén NTAuth es Microsoft NPS. Entre los NAC que no requieren autenticación local y el almacén NTAuth se encuentran RADIUSaaS, Cisco ISE y Aruba Clearpass. Si usa certificados solo para este caso de uso, asegúrese simplemente de que el certificado de su CA no esté en el almacén NTAuth de su bosque y no tendrá que preocuparse por el mapeo fuerte de certificados.

Si tiene un caso de uso que requiere el certificado de su CA en el almacén NTAuth, como nuestro [certificados de Domain Controller](https://docs.scepman.com/es/administracion-de-certificados/domain-controller-certificates), es posible que aun así no quiera que los certificados de sus usuarios finales se utilicen para la autenticación local. En este caso, nuevamente no necesita un mapeo fuerte de certificados *para estos certificados*. Por lo tanto, debe habilitar el Modo de Aplicación Completa, pero no agregar los SID locales a los certificados.

Solo si está usando sus certificados finales para la autenticación local, debe asegurarse de que se agreguen los SID. Los ejemplos más comunes para este caso de uso son si está usando Microsoft NPS o si usa autenticación basada en certificados para iniciar sesión en máquinas virtuales locales mediante RDP a fin de evitar contraseñas.

### Habilitar el mapeo fuerte de certificados

Para abordar los cambios de ADCS/KDC, Microsoft Intune puede incluir el SID en los certificados emitidos. Puede incluir el SID agregando un SAN de tipo URI con el valor "{{OnPremisesSecurityIdentifier}}" y aparecerá en el certificado así:

```
URL=tag:microsoft.com,2022-09-14:sid:<valor>
```

Este cambio implementa esta nueva funcionalidad en octubre/noviembre de 2024 para todos los clientes de Microsoft Intune.

{% hint style="success" %}
SCEPman está listo para este cambio. No se requieren cambios en SCEPman, solo en la configuración de Intune.
{% endhint %}

Si desea usar esta funcionalidad, debe actualizar sus perfiles de configuración de SCEP en Intune según las instrucciones de Microsoft. Hemos probado que SCEPman admite este formato SAN y funciona con todas las versiones de SCEPman.

Como alternativa, puede agregar una [extensión SID](https://docs.scepman.com/es/application-settings/certificates#appconfig-addsidextension) con SCEPman. Así abordamos el problema de KDC en [julio de 2023](https://docs.scepman.com/es/changelog#scepman-2.5.892) de la misma manera que lo hace ADCS local. Por lo tanto, los clientes de SCEPman no requieren el nuevo campo SAN, especialmente si ya están usando la extensión SID.

Los clientes de SCEPman pueden elegir si quieren la extensión SID o el valor SID SAN. La primera requiere un ajuste de configuración de SCEPman; la segunda requiere un cambio en los perfiles de configuración de SCEP, como se detalló anteriormente.