Perfiles de certificado raíz de confianza para Microsoft Intune

Cuando use Intune al aprovisionar dispositivos con certificados para acceder a la red y los recursos corporativos, use un perfil de certificado de confianza para implementar el certificado raíz de confianza en esos dispositivos. El certificado raíz de confianza establece una relación de confianza desde el dispositivo a la entidad de certificación raíz o intermedia (emisora) desde la que se emiten los otros certificados.

El perfil del certificado de confianza se implementa en los mismos dispositivos y usuarios que reciben los perfiles de certificado para el Protocolo de inscripción de certificados simple (SCEP), Public Key Cryptography Standards (PKCS) y PKCS importado.

Sugerencia

Se admiten perfiles de certificado de confianza para escritorios remotos de sesiones múltiples de Windows Enterprise.

Exportación del certificado de entidad de certificación raíz de confianza

Para usar certificados PKCS, SCEP y PKCS importados, los dispositivos deben confiar en la entidad de certificación raíz. Para establecer la confianza, exporte el certificado de entidad de certificación raíz de confianza y cualquier certificado intermedio o emisor de entidad de certificación, como certificado público (.cer). Puede obtener estos certificados de la entidad de certificación emisora o desde cualquier dispositivo que confíe en ella.

Para exportar el certificado, consulte la documentación de la entidad de certificación. Debe exportar el certificado público como un archivo codificado .cer en DER. No exporte la clave privada, un .pfx archivo.

Este archivo se usa .cer al crear perfiles de certificado de confianza para implementar ese certificado en los dispositivos.

Creación de perfiles de certificado de confianza

Antes de crear un perfil de certificado importado de SCEP, PKCS o PKCS, cree e implemente un perfil de certificado de confianza. Implemente el perfil de certificado de confianza en los mismos grupos que reciben los otros tipos de perfil de certificado. Este paso garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación, incluidos los perfiles de VPN, Wi-Fi y correo electrónico.

Los perfiles de certificado SCEP hacen referencia directamente a un perfil de certificado de confianza. Los perfiles de certificado PKCS no hacen referencia directamente al perfil de certificado de confianza, pero sí al servidor que hospeda la entidad de certificación. Los perfiles de certificado PKCS importados no hacen referencia directamente al perfil de certificado de confianza, pero pueden usarlo en el dispositivo. La implementación de un perfil de certificado de confianza en los dispositivos garantiza que se establece esta confianza. Cuando un dispositivo no confía en la CA raíz, se produce un error en la directiva de perfil de certificado SCEP o PKCS.

Cree un perfil de certificado de confianza independiente para cada plataforma de dispositivo que quiera admitir, al igual que para los perfiles de certificado importados SCEP, PKCS y PKCS.

Importante

Los perfiles raíz de confianza que se crean para la plataforma Windows 10 y versiones posteriores se muestran en el centro de administración de Microsoft Intune como perfiles para la plataforma Windows 8.1 y versiones posteriores.

Se trata de un problema conocido con la presentación de la plataforma de los perfiles de certificado de confianza. Aunque el perfil muestra una plataforma de Windows 8.1 y versiones posteriores, es funcional para Windows 10 y 11 y versiones posteriores.

Nota:

El perfil Certificado de confianza de Intune solo se puede usar para proporcionar certificados raíz o intermedios. El propósito de implementar estos certificados es establecer una cadena de confianza. Microsoft no admite el uso del perfil de certificado de confianza para ofrecer certificados que no sean raíz o intermedios. Es posible que se le bloquee la importación de certificados que no se consideren certificados raíz o intermedios al seleccionar el perfil de certificado de confianza en el centro de administración de Microsoft Intune. Aunque pueda importar e implementar un certificado que no sea raíz o intermedio con este tipo de perfil, es probable que se produzcan resultados inesperados entre distintas plataformas, como iOS y Android.

Perfiles de certificado de confianza para el administrador de dispositivos Android

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 31 de diciembre de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Esta característica se aplica a:

  • Android 10 y versiones anteriores en dispositivos que no son KNOX
  • Android 12 y versiones anteriores en dispositivos Samsung KNOX

Dado que los perfiles de certificado SCEP requieren que el certificado raíz de confianza esté instalado en un dispositivo y deben hacer referencia a un perfil de certificado de confianza que, a su vez, haga referencia a ese certificado, debe seguir estos pasos para solucionar esta limitación:

  1. Aprovisione manualmente el dispositivo con el certificado raíz de confianza. Para obtener instrucciones de ejemplo, consulte la siguiente sección.

  2. Implemente en el dispositivo, un perfil de certificado raíz de confianza que haga referencia al certificado raíz de confianza que instaló en el dispositivo.

  3. Implemente un perfil de certificado SCEP en el dispositivo que haga referencia al perfil del certificado raíz de confianza.

Este problema no se limita a los perfiles de certificado SCEP. Por lo tanto, planee instalar manualmente el certificado raíz de confianza en los dispositivos aplicables, si así lo requiere el uso que haga de los perfiles de certificado PKCS o de los perfiles de certificado de PKCS importados.

Obtenga más información sobre los cambios en la compatibilidad con el administrador de dispositivos Android en techcommunity.microsoft.com.

Aprovisionamiento manual de un dispositivo con el certificado raíz de confianza

Las siguientes instrucciones pueden ayudarle a aprovisionar manualmente dispositivos con un certificado raíz de confianza.

  1. Descargue o transfiera el certificado raíz de confianza al dispositivo Android. Por ejemplo, puede usar el correo electrónico para enviar el certificado a los usuarios del dispositivo, o hacer que estos lo descarguen desde una ubicación segura. Una vez que el certificado está en el dispositivo, se debe abrir, darle un nombre y guardarlo. Al guardar el certificado, este se agrega al almacén de certificados de usuario en el dispositivo.

    1. Para abrir el certificado en el dispositivo, el usuario debe buscar y pulsar (abrir) el certificado. Por ejemplo, después de enviar el certificado por correo electrónico, el usuario del dispositivo puede pulsar o abrir los datos adjuntos del certificado.
    2. Cuando el certificado se abre, el usuario debe proporcionar su PIN o, de lo contrario, autenticarse en el dispositivo para poder administrarlo.
  2. Después de la autenticación, el certificado se abre y se debe llamar antes de que se pueda guardar en el almacén de certificados de los usuarios. El nombre del certificado debe coincidir con el nombre del certificado que se encuentra en el perfil de certificado raíz de confianza que se envía al dispositivo. Después de asignar el nombre al certificado, se puede guardar.

  3. Después de guardarse, el certificado está listo para su uso. Un usuario puede confirmar que el certificado está en la ubicación correcta en el dispositivo:

    1. Abra Configuración>Seguridad>Credenciales de confianza. La ruta de acceso real a Credenciales de confianza puede variar según el dispositivo.
    2. Abra la pestaña Usuario y busque el certificado.
    3. Si figura en la lista de certificados de usuario, quiere decir que el certificado está correctamente instalado.
  4. Con un certificado raíz instalado en un dispositivo, aún es necesario implementar lo siguiente para aprovisionar los certificados SCEP o PKCS:

    • Un perfil de certificado de confianza que haga referencia a ese certificado
    • El perfil de SCEP o PKCS que haga referencia al perfil de certificado para aprovisionar los certificados SCEP o PKCS

Para crear un perfil de certificado de confianza

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione y vaya a Dispositivos>Administrar dispositivos>Configuración>Crear.

    Navegación a Intune y creación de un perfil para un certificado de confianza

  3. Escriba las propiedades siguientes:

    • Plataforma: elija la plataforma de los dispositivos que deben recibir este perfil.
    • Perfil: en función de la plataforma elegida, seleccione Certificado de confianzao Plantillas>Certificado de confianza.

    Importante

    El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

    Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.

  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es Perfil de certificado de confianza en toda la empresa.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Configuración, especifique el .cer archivo para el certificado de entidad de certificación raíz de confianza que exportó anteriormente.

    Solo para dispositivos Windows 8.1 y Windows 10 y 11, seleccione el almacén de destino del certificado de confianza. Las opciones son:

    • Almacén de certificados de equipo - Raíz
    • Almacén de certificados de equipo - Intermedio
    • Almacén de certificados de usuario - Intermedio

    Crear un perfil y cargar un certificado de confianza

  8. Seleccione Siguiente.

  9. En Asignaciones, seleccione el usuario o los grupos que deben recibir el perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  10. ( Se aplica solo a Windows 10/11) En Reglas de aplicabilidad, especifique reglas de aplicabilidad para refinar la asignación de este perfil. Puede elegir asignar o no asignar el perfil en función de la edición del sistema operativo o la versión de un dispositivo.

    Para más información, consulte Reglas de aplicabilidad en Creación de un perfil de dispositivo en Microsoft Intune.

  11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Siguientes pasos

Creación de perfiles de certificado: