Android

Desplegar certificados a dispositivos Android vía SCEP usando Intune y SCEPman.

El siguiente artículo describe cómo implementar un certificado de dispositivo o de usuario para Android. La implementación de certificados en Android es similar a las implementaciones de certificados en Windows 10, macOS y iOS.

Android ofrece dos conjuntos de soluciones distintas: una es el perfil de trabajo (conocido como Perfil de Trabajo de Propiedad Personal) y la otra es el dispositivo totalmente administrado (conocido también como Totalmente Administrado, Dedicado y Perfil de Trabajo de Propiedad Corporativa). En ambos escenarios, la configuración de los perfiles de configuración de certificados permanece consistente.

La administración de administrador de dispositivos de Android se lanzó en Android 2.2 como una forma de gestionar dispositivos Android. Luego, a partir de Android 5, se lanzó el marco de gestión más moderno Android Enterprise (para dispositivos que pueden conectarse de forma fiable a Google Mobile Services). Google está fomentando el cambio desde la administración por administrador de dispositivos disminuyendo su soporte de gestión en nuevas versiones de Android. Para más información por favor consulte MS. Intune Reducción del soporte para el administrador de dispositivos de Android

Certificado raíz

La base para implementar certificados SCEP (de dispositivo o de usuario) es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:

Descargar el certificado de la CA desde el portal de SCEPman

Crear un perfil para Android Enterprise con el tipo certificado de confianza en Microsoft Intune (basado en su opción de inscripción para dispositivos Android)

Suba su previamente descargado archivo .cer.
Ahora puede desplegar este perfil en sus dispositivos. Por favor elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.

Tenga en cuenta, que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, la implementación en Intune podría fallar.

Certificados de dispositivo

Abra el portal de SCEPman y copie la URL que aparece bajo Intune MDM

Crear un perfil para Android Enterprise con tipo Certificado SCEP en Microsoft Intune (de nuevo, basado en su opción de inscripción para los dispositivos Android)

Configure el perfil como se describe

Tipo de certificado: Dispositivo

En esta sección, estamos configurando un certificado de dispositivo.

Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}

SCEPman usa el campo CN del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos ID diferentes:

{{DeviceId}}: Este ID es generado y usado por Intune (Recomendado). (Requiere SCEPman 2.0 o superior y #AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune
{{AAD_Device_ID}}: Este ID es generado y usado por Microsoft Entra ID (Azure AD).

Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.

Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}

IntuneDeviceId://{{DeviceId}}

El campo URI es recomendado por Microsoft para soluciones NAC para identificar los dispositivos basándose en su ID de dispositivo de Intune:

Otros valores SAN como DNS pueden añadirse si es necesario.

Periodo de validez del certificado: 1 años

La cantidad de tiempo restante antes de que el certificado expire. El valor predeterminado está establecido en un año.

SCEPman limita la validez del certificado al máximo configurado en la configuración AppConfig:ValidityPeriodDays, pero por lo demás utiliza la validez configurada en la solicitud.

Uso de la clave: Firma digital y cifrado de clave

Por favor active ambas acciones criptográficas.

Tamaño de clave (bits): 4096

SCEPman admite 4096 bits.

Certificado raíz: Perfil del paso anterior

Por favor seleccione el perfil de Intune de [Android](android.md#root-certificate).

Si está utilizando un CA intermedia, aún debe seleccionar el perfil de certificado Confiable para la CA raíz, ¡no la CA intermedia!

Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2

Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Umbral de renovación (%): 20

Este valor define cuándo el dispositivo está autorizado a renovar su certificado (basado en la vida útil restante de un certificado existente). Por favor lea la nota bajo Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un período prolongado. Un valor del 20% permitiría que un dispositivo con un certificado válido por 1 año inicie la renovación 73 días antes del vencimiento.

URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de #Intune MDM

Ejemplo

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Ejemplo

Certificados de usuario

Por favor siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:

Tipo de certificado: Usuario

En esta sección estamos configurando un certificado de usuario.

Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}

Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.

Nombre alternativo del sujeto: (UPN)Valor: {{UserPrincipalName}}

Usted coincidir añade el nombre principal del usuario como el nombre alternativo del sujeto. Agregue '{{UserPrincipalName}}' como Nombre alternativo del sujeto de tipo Nombre principal de usuario (UPN). Esto asegura que SCEPman pueda vincular certificados a objetos de usuario en AAD.

Otros valores SAN como una dirección de correo electrónico pueden añadirse si es necesario.

Se requiere tener un Nombre alternativo del sujeto en el Certificado SCEP, Tipo Usuario. Sin un SAN, no tiene acceso al Wi-Fi de su empresa.

Ejemplo

Comprobación del certificado

Para asegurar la correcta implementación de certificados en su dispositivo Android, hay dos opciones:

En versiones más recientes de Android (p. ej. 14), puede verificar certificados (de usuario y certificados confiables) desde la configuración > seguridad y privacidad
A través de aplicaciones de terceros como Herramienta de visualización de certificados X509

Última actualización hace 6 meses

¿Te fue útil?

Buenas tardes

hashtagCertificado raíz

hashtagCertificados de dispositivo

hashtagEjemplo

hashtagCertificados de usuario

hashtagEjemplo

hashtagComprobación del certificado

Certificado raíz

Certificados de dispositivo

Ejemplo

Certificados de usuario

Ejemplo

Comprobación del certificado