macOS

Desplegar certificados a dispositivos MacOS vía SCEP en Intune usando SCEPman.

El siguiente artículo describe cómo desplegar certificados de dispositivo y/o de usuario para dispositivos macOS. El despliegue del Certificado Raíz de SCEPman es obligatorio. Después, puede elegir entre desplegar solo certificados de dispositivo, de usuario o incluso ambos tipos de certificado.

Tenga en cuenta que macOS registra un certificado(s) de autenticación de cliente separado para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del propio perfil de certificado SCEP. Vea la nota aquí

Certificado raíz

La base para desplegar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado CA raíz y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:

Descargue el certificado CA desde el portal de SCEPman:

Crear un perfil para macOS con tipo certificado de confianza en Microsoft Intune:

Suba su previamente descargado archivo .cer.
Ahora puede desplegar este perfil a sus dispositivos. Por favor, elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.

Nota, que debe usar el mismo grupo para asignar el certificado de confianza y perfil SCEP. De lo contrario, el despliegue en Intune podría fallar.

Certificados de dispositivo

Abra el portal de SCEPman y copie la URL que aparece bajo Intune MDM:

Crear un perfil para macOS con tipo Certificado SCEP en Microsoft Intune:

Configure el perfil como se describe:

Tipo de certificado: Dispositivo

En esta sección estamos configurando un certificado de dispositivo.

Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}

Recomendado: Use {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.

Opcional: Si se configura a CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:

{{DeviceId}}: Este ID es generado y utilizado por Intune. (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune)
{{AAD_Device_ID}}: Este ID es generado y utilizado por Microsoft Entra ID (Azure AD).

En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilicen para el campo CN (p. ej. CN={{DeviceName}}), SCEPman identificará el dispositivo basado en el ID de dispositivo de Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) provisto en el nombre alternativo del sujeto (SAN).

Importante: La elección del campo CN afecta el comportamiento de revocación automática de los certificados emitidos a sus dispositivos gestionados por Intune.

Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.

Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}

El campo URI es recomendado por Microsoft para que las soluciones NAC identifiquen los dispositivos en función de su ID de dispositivo de Intune.

El campo URI es obligatorio en caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilice en el Formato del nombre del sujeto campo.

Otros valores SAN como DNS pueden añadirse si es necesario.

Periodo de validez del certificado: 1 año

Importante: los dispositivos macOS ignoran la configuración del período de validez vía Intune. Por favor, asegúrese de configurar AppConfig:ValidityPeriodDays a un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque de todos modos será ignorada. Importante: También tenga en cuenta, que los certificados en macOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del umbral de renovación. Si los certificados han expirado (p. ej.: el dispositivo estuvo sin conexión y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.

Uso de la clave: Firma digital y cifrado de clavet

Por favor active ambas acciones criptográficas.

Tamaño de clave (bits): 2048

SCEPman soporta 2048 bits.

Certificado raíz: Perfil del paso anterior

Por favor seleccione el perfil de Intune de #Certificados raíz

Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2

Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Importante: Los dispositivos macOS no admiten ningún Usos Extendidos de Clave (EKU) distinto a Autenticación de Cliente . Esto significa que cualquier otro EKU configurado en este perfil será ignorado.

Umbral de renovación (%): 50

Este valor define cuándo se permite al dispositivo renovar su certificado (basado en la vida útil restante del certificado existente). Por favor lea la nota en Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo periodo. Un valor del 50% permitiría al dispositivo con un certificado válido por 1 año comenzar la renovación 182 días antes de la expiración.

URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM

Ejemplo

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Con nuestras configuraciones indicadas, cumplimos los requisitos de certificado de Apple.

Ejemplo

Ahora puede desplegar este perfil a sus dispositivos. Por favor elija los mismos grupos para la asignación que para el perfil de certificado Confiable.

Certificados de usuario

La siguiente sección le mostrará cómo puede desplegar certificados de usuario mediante el perfil de Certificado de Intune en dispositivos macOS X 10.12 (o posterior).

Tenga en cuenta: Los certificados aprovisionados a través del protocolo SCEP - independientemente del tipo (usuario o dispositivo) - siempre se colocan en el llavero del sistema (almacén del Sistema) del dispositivo.

En caso de que una aplicación de terceros requiera acceso a dicho certificado (p. ej. cliente VPN de terceros), el control deslizante para Permitir que todas las aplicaciones accedan a la clave privada en el llavero debe estar habilitado.

Por favor siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:

Tipo de certificado: Usuario

En esta sección estamos configurando un certificado de usuario.

Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}

Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.

Nombre alternativo del sujeto: UPN Valor:{{UserPrincipalName}}

SCEPman utiliza el UPN en el SAN para identificar al usuario y como semilla para la generación del número de serie del certificado (p. ej.: [email protected]). Se pueden añadir otros valores SAN como Dirección de correo electrónico si es necesario.

Con nuestras configuraciones indicadas, cumplimos los requisitos de certificado de Apple

Ejemplo

Última actualización hace 5 meses

¿Te fue útil?

Buenas tardes

hashtagCertificado raíz

hashtagCertificados de dispositivo

hashtagEjemplo

hashtagCertificados de usuario

hashtagEjemplo

Certificado raíz

Certificados de dispositivo

Ejemplo

Certificados de usuario

Ejemplo