iOS/iPadOS
Implemente certificados en dispositivos iOS e iPadOS mediante SCEP en Intune usando SCEPman.
El siguiente artículo describe cómo implementar un certificado de dispositivo y/o de usuario para dispositivos iOS e iPadOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo el certificado de dispositivo, solo el de usuario o incluso ambos tipos de certificado.
Tenga en cuenta que iOS e iPadOS inscriben certificados de autenticación de cliente separados para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP propiamente dicho. Vea aquí
Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un certificado de confianza perfil mediante Microsoft Intune:
Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, la implementación de Intune podría fallar.
Certificados de dispositivo
Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}
SCEPman usa el campo CN del sujeto para identificar el dispositivo y como base para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos identificadores diferentes:
{{DeviceId}}: Este identificador lo genera y usa Intune (Recomendado) (requiere AppConfig:IntuneValidation:DeviceDirectory que se establezca en Intune o AADAndIntune)
{{AAD_Device_ID}}: Este identificador lo genera y usa Microsoft Entra ID (Azure AD). (Nota: Al usar el registro automatizado de dispositivos mediante Apple Business Manager, este identificador podría cambiar durante la configuración del dispositivo. Si eso ocurre, es posible que SCEPman no pueda identificar el dispositivo después. En ese caso, el certificado dejaría de ser válido.)
Puede agregar otros RDN si es necesario (por ejemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI está recomendado por Microsoft para soluciones NAC para identificar los dispositivos en función de su identificador de dispositivo de Intune.
Si es necesario, se pueden agregar otros valores SAN como DNS.
Período de validez del certificado: 1 años
Importante: Los dispositivos iOS/iPadOS ignoran la configuración del período de validez mediante Intune. Asegúrese de configurar AppConfig:ValidityPeriodDays con un valor fijo. Recomendamos 2 años, por lo que debe establecer esta variable en la configuración de SCEPman en 730 días. Pero puede dejar la configuración del período de validez del certificado en 1 año, porque Intune la ignorará de todos modos. Importante: También tenga en cuenta que los certificados en iOS/iPadOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del alcance del umbral de renovación. Si los certificados han expirado (por ejemplo: el dispositivo estuvo sin conexión y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de iOS/iPadOS.
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) en Valores predefinidos. Los demás campos se rellenarán automáticamente.
Importante: Los dispositivos iOS/iPadOS no admiten ningún uso extendido de clave (EKU) que no sea Autenticación de cliente . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.
Umbral de renovación (%): 50
Este valor define cuándo se permite que el dispositivo renueve su certificado (en función de la vida útil restante del certificado existente). Lea la nota en Período de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 50 % permitiría que un dispositivo con un certificado válido durante 1 año inicie la renovación 182 días antes de su expiración.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Ejemplo
Con la configuración indicada, cumplimos los requisitos de certificados de Apple.
Ejemplo
Certificados de usuario
Siga las instrucciones de iOS/iPadOS y tenga en cuenta las siguientes diferencias:
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: [email protected]) como configuración base.
Nombre alternativo del sujeto: UPN Valor: {{UserPrincipalName}}
SCEPman usa el UPN en el SAN para identificar al usuario y como base para la generación del número de serie del certificado (por ejemplo: [email protected]). Si es necesario, se pueden agregar otros valores SAN como la dirección de correo electrónico.
Con la configuración indicada, cumplimos los requisitos de certificados de Apple
Ejemplo
Última actualización
¿Te fue útil?