circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search
Ctrlk

macOS

Implemente certificados en dispositivos MacOS mediante SCEP en Intune usando SCEPman.

El siguiente artículo describe cómo implementar certificados de dispositivo o/y de usuario para dispositivos macOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo certificados de dispositivo, solo de usuario o incluso ambos tipos de certificado.

circle-exclamation

Tenga en cuenta que macOS registra un certificado de autenticación de cliente independiente para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP real. Consulte la nota aquíarrow-up-right

hashtag
Certificado raíz

La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un certificado de confianza perfil a través de Microsoft Intune:

circle-info

Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, la implementación de Intune podría fallar.

hashtag
Certificados de dispositivo

chevron-rightTipo de certificado: Dispositivohashtag

En esta sección estamos configurando un certificado de dispositivo.

chevron-rightFormato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}hashtag

Recomendado: Use {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.

Opcional: Si se configura en CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como base para generar el número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:

  • {{DeviceId}}: Este ID es generado y usado por Intune. (requiere AppConfig:IntuneValidation:DeviceDirectory que se establezca en Intune o AADAndIntune)

  • {{AAD_Device_ID}}: Este ID es generado y usado por Microsoft Entra ID (Azure AD).

En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se usen para el campo CN (por ejemplo, CN={{DeviceName}}), SCEPman identificará el dispositivo basándose en el ID de dispositivo de Intune ((URI)Value: IntuneDeviceId://{{DeviceId}}) proporcionado en el nombre alternativo del sujeto (SAN).

Importante: La elección del campo CN afecta al comportamiento de revocación automática de los certificados emitidos para sus dispositivos administrados por Intune.

Puede añadir otros RDN si es necesario (por ejemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables admitidas se enumeran en la documentación de Microsoftarrow-up-right.

chevron-rightNombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}hashtag

El campo URI es recomendado por Microsoftarrow-up-right para que las soluciones NAC identifiquen los dispositivos en función de su ID de dispositivo de Intune.

El campo URI es obligatorio en caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se use en el campo Formato del nombre del sujeto .

Se pueden añadir otros valores SAN como DNS si es necesario.

chevron-rightPeríodo de validez del certificado: 1 añoshashtag

Importante: Los dispositivos macOS ignoran la configuración del período de validez a través de Intune. Asegúrese de configurar AppConfig:ValidityPeriodDays con un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque se ignorará de todos modos. Importante: Tenga en cuenta también que los certificados en macOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del umbral de renovación. Si los certificados están caducados (por ejemplo, el dispositivo estuvo desconectado y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir aquí un valor más alto.

chevron-rightUso de la clave: Firma digital y cifrado de clave.hashtag

Active ambas acciones criptográficas.

chevron-rightTamaño de clave (bits): 2048hashtag

SCEPman admite 2048 bits.

chevron-rightCertificado raíz: Perfil del paso anteriorhashtag

Seleccione el perfil de Intune de #Certificados raíz

chevron-rightUso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2hashtag

Elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) en Valores predefinidos. Los demás campos se completarán automáticamente.

Importante: Los dispositivos macOS no admiten ningún Uso Extendido de Clave (EKU) distinto de Autenticación de cliente . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.

chevron-rightUmbral de renovación (%): 50hashtag

Este valor define cuándo se permite al dispositivo renovar su certificado (según la vida útil restante del certificado existente). Lea la nota debajo de Período de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 50 % permitiría que un dispositivo con un certificado válido durante 1 año inicie la renovación 182 días antes del vencimiento.

chevron-rightURL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDMhashtag

Ejemplo

circle-info

Con nuestros ajustes indicados, cumplimos los requisitos de certificados de Applearrow-up-right.

hashtag
Ejemplo

hashtag
Certificados de usuario

La siguiente sección le mostrará cómo puede implementar certificados de usuario mediante el perfil de certificado de Intune en dispositivos macOS X 10.12 (o posteriores).

circle-exclamation

Tenga en cuenta: los certificados provisionados a través del protocolo SCEP, independientemente del tipo (usuario o dispositivo), siempre se colocan en el llavero del sistema (almacén del sistema) del dispositivo.

En caso de que una aplicación de terceros requiera acceso a dicho certificado (por ejemplo, un cliente VPN de terceros), el control deslizante para Permitir que todas las aplicaciones accedan a la clave privada en el llavero debe establecerse en habilitado.

Siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:

chevron-rightTipo de certificado: Usuariohashtag

En esta sección estamos configurando un certificado de usuario.

chevron-rightFormato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}hashtag

Puede definir RDN según sus necesidades. Las variables admitidas se enumeran en la documentación de Microsoftarrow-up-right. Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: [email protected]) como configuración básica.

chevron-rightNombre alternativo del sujeto: UPN Valor:{{UserPrincipalName}}hashtag

SCEPman usa el UPN en el SAN para identificar al usuario y como base para generar el número de serie del certificado (por ejemplo: [email protected]). Se pueden añadir otros valores SAN como la dirección de correo electrónico si es necesario.

circle-info

Con nuestros ajustes indicados, cumplimos los requisitos de certificados de Applearrow-up-right

hashtag
Ejemplo

Última actualización

¿Te fue útil?