Android
Desplegar certificados a dispositivos Android vía SCEP usando Intune y SCEPman.
El siguiente artículo describe cómo implementar un certificado de dispositivo o de usuario para Android. La implementación de certificados en Android es similar a las implementaciones de certificados en Windows 10, macOS y iOS.
Android ofrece dos conjuntos de soluciones distintas: una es el perfil de trabajo (conocido como Perfil de Trabajo de Propiedad Personal) y la otra es el dispositivo totalmente administrado (conocido también como Totalmente Administrado, Dedicado y Perfil de Trabajo de Propiedad Corporativa). En ambos escenarios, la configuración de los perfiles de configuración de certificados permanece consistente.
La administración de administrador de dispositivos de Android se lanzó en Android 2.2 como una forma de gestionar dispositivos Android. Luego, a partir de Android 5, se lanzó el marco de gestión más moderno Android Enterprise (para dispositivos que pueden conectarse de forma fiable a Google Mobile Services). Google está fomentando el cambio desde la administración por administrador de dispositivos disminuyendo su soporte de gestión en nuevas versiones de Android. Para más información por favor consulte MS. Intune Reducción del soporte para el administrador de dispositivos de Android
Certificado raíz
La base para implementar certificados SCEP (de dispositivo o de usuario) es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:
Tenga en cuenta, que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, la implementación en Intune podría fallar.
Certificados de dispositivo
Tipo de certificado: Dispositivo
En esta sección, estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}
SCEPman usa el campo CN del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos ID diferentes:
{{DeviceId}}: Este ID es generado y usado por Intune (Recomendado). (Requiere SCEPman 2.0 o superior y #AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune
{{AAD_Device_ID}}: Este ID es generado y usado por Microsoft Entra ID (Azure AD).
Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI es recomendado por Microsoft para soluciones NAC para identificar los dispositivos basándose en su ID de dispositivo de Intune:
Otros valores SAN como DNS pueden añadirse si es necesario.
Periodo de validez del certificado: 1 años
La cantidad de tiempo restante antes de que el certificado expire. El valor predeterminado está establecido en un año.
SCEPman limita la validez del certificado al máximo configurado en la configuración AppConfig:ValidityPeriodDays, pero por lo demás utiliza la validez configurada en la solicitud.
Certificado raíz: Perfil del paso anterior
Por favor seleccione el perfil de Intune de [Android](android.md#root-certificate).
Si está utilizando un CA intermedia, aún debe seleccionar el perfil de certificado Confiable para la CA raíz, ¡no la CA intermedia!
Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.
Umbral de renovación (%): 20
Este valor define cuándo el dispositivo está autorizado a renovar su certificado (basado en la vida útil restante de un certificado existente). Por favor lea la nota bajo Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un período prolongado. Un valor del 20% permitiría que un dispositivo con un certificado válido por 1 año inicie la renovación 73 días antes del vencimiento.
URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de #Intune MDM
Ejemplo
Ejemplo
Certificados de usuario
Por favor siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.
Nombre alternativo del sujeto: (UPN)Valor: {{UserPrincipalName}}
Usted coincidir añade el nombre principal del usuario como el nombre alternativo del sujeto. Agregue '{{UserPrincipalName}}' como Nombre alternativo del sujeto de tipo Nombre principal de usuario (UPN). Esto asegura que SCEPman pueda vincular certificados a objetos de usuario en AAD.
Otros valores SAN como una dirección de correo electrónico pueden añadirse si es necesario.
Se requiere tener un Nombre alternativo del sujeto en el Certificado SCEP, Tipo Usuario. Sin un SAN, no tiene acceso al Wi-Fi de su empresa.
Ejemplo
Comprobación del certificado
Para asegurar la correcta implementación de certificados en su dispositivo Android, hay dos opciones:
En versiones más recientes de Android (p. ej. 14), puede verificar certificados (de usuario y certificados confiables) desde la configuración > seguridad y privacidad
A través de aplicaciones de terceros como Herramienta de visualización de certificados X509
Última actualización
¿Te fue útil?