iOS/iPadOS
Desplegar certificados a dispositivos iOS y iPadOS vía SCEP en Intune usando SCEPman.
El siguiente artículo describe cómo desplegar certificados de dispositivo y/o de usuario para dispositivos iOS y iPadOS. El despliegue del Certificado Raíz de SCEPman es obligatorio. Después, puede elegir entre desplegar solo el certificado del dispositivo, el de usuario o incluso ambos tipos de certificados.
Tenga en cuenta que iOS y iPadOS inscriben un certificado(es) separado(s) de autenticación de cliente para cada perfil de configuración de dispositivo en el que se haga referencia a un perfil SCEP, además del propio perfil de certificado SCEP. Vea aquí
Certificado raíz
La base para desplegar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado CA raíz y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:
Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, el despliegue en Intune podría fallar.
Certificados de dispositivo
Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}
SCEPman utiliza el campo CN del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:
{{DeviceId}}: Este ID es generado y utilizado por Intune (Recomendado) (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune)
{{AAD_Device_ID}}: Este ID es generado y utilizado por Microsoft Entra ID (Azure AD). (Nota: Al usar la Inscripción Automática de Dispositivos mediante Apple Business Manager, este ID podría cambiar durante la configuración del dispositivo. Si es así, SCEPman podría no ser capaz de identificar el dispositivo después. En ese caso el certificado se volvería inválido.)
Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI es recomendado por Microsoft para soluciones NAC para identificar los dispositivos basándose en su ID de dispositivo de Intune.
Otros valores SAN como DNS pueden añadirse si es necesario.
Periodo de validez del certificado: 1 año
Importante: Los dispositivos iOS/iPadOS ignoran la configuración del periodo de validez mediante Intune. Por favor, asegúrese de configurar AppConfig:ValidityPeriodDays a un valor fijo. Recomendamos 2 años, por lo que debe establecer esta variable en la configuración de SCEPman a 730 días. Pero puede dejar el ajuste del periodo de validez del certificado en 1 año porque Intune lo ignora de todos modos. Importante: También tenga en cuenta que los certificados en iOS/iPadOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del umbral de renovación. Si los certificados han expirado (por ejemplo: el dispositivo estuvo desconectado y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.
Certificado raíz: Perfil del paso anterior
Por favor seleccione el perfil de Intune de iOS/iPadOS.
Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.
Importante: Los dispositivos iOS/iPadOS no admiten ninguna Extensión de Uso de Clave (EKU) distinta de Autenticación de cliente . Esto significa que cualquier otra EKU configurada en este perfil será ignorada.
Umbral de renovación (%): 50
Este valor define cuándo se permite al dispositivo renovar su certificado (basado en la vida útil restante del certificado existente). Por favor lea la nota en Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo periodo. Un valor del 50% permitiría al dispositivo con un certificado válido por 1 año comenzar la renovación 182 días antes de la expiración.
URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Ejemplo
Con nuestras configuraciones indicadas, cumplimos los requisitos de certificados de Apple.
Ejemplo
Certificados de usuario
Por favor siga las instrucciones de iOS/iPadOS y tenga en cuenta las siguientes diferencias:
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.
Nombre alternativo del sujeto: UPN Valor: {{UserPrincipalName}}
SCEPman utiliza el UPN en el SAN para identificar al usuario y como semilla para la generación del número de serie del certificado (por ejemplo: [email protected]). Otros valores de SAN como la dirección de correo electrónico pueden añadirse si es necesario.
Con nuestras configuraciones indicadas, cumplimos los requisitos de certificados de Apple
Ejemplo
Última actualización
¿Te fue útil?