¿Le han asignado la tarea de crear certificados de usuario con Intune pero no sabe por dónde empezar? ¡Has venido al lugar correcto! En esta publicación, repasaremos lo que necesita y cómo configurarlo.
Para emitir Certificados de Usuario en Intune necesita una Autoridad Certificadora que soporte Intune SCEP; aquí están los recomendados por Microsoft. Esto también debe incluir una Lista de Revocación de Certificados (CRL) y, si su infraestructura lo requiere, un servicio OCSP también. Afortunadamente, si utiliza una Autoridad de Certificación (CA) basada en Azure, como EZCA, todo esto está alojado para usted, lo que significa que hay No hay ninguna infraestructura que usted pueda administrar.
Intune usa SCEP para emitir certificados. Afortunadamente, no es necesario conocer los detalles de cómo se implementa, pero los conceptos básicos son: Intune envía al dispositivo una contraseña de un solo uso para que envíe la solicitud de certificado a la CA; cuando la CA recibe la solicitud, verifica con Intune para ver si el código es válido y coincide con la información del usuario; si la información coincide, se emite el certificado. Intune también se encargará de revocar el certificado si el dispositivo o usuario está deshabilitado, así como de renovar el certificado antes de que caduque.
1) Registre la aplicación Keytos en su inquilino y registre la aplicación EZCA Intune en su inquilino. Esto permite a EZCA autenticar a sus usuarios y verificar el estado de la solicitud de certificado en Intune para luego emitir certificados para sus dispositivos administrados por Intune.
2) Cree su instancia de EZCA en Azure.
3) Cree su CA de Intune.
4) Cree sus perfiles de dispositivo Intune y ¡empiece a emitir certificados seguros para los dispositivos de sus usuarios!
Ahora que hemos creado nuestra Autoridad de certificación, tenemos que crear los perfiles SCEP para emitir certificados a sus usuarios. Aquí hay una guía paso a paso sobre cómo crear perfiles de certificado SCEP de usuario para Windows o creación de perfiles de certificado SCEP de usuario para Mac. Básicamente, lo que la mayoría de las aplicaciones utilizan para autenticar al usuario es el nombre alternativo del sujeto, por lo que recomendamos tener un Nombre principal de usuario Asunto alt con {{UserPrincipalName}}
como valor y haga que el nombre del sujeto sea CN={{UserName}},E={{EmailAddress}}
para aplicaciones heredadas que todavía usan el nombre del sujeto como valor de nombre de usuario.
Una de las preguntas más comunes que recibimos en nuestras evaluaciones de identidad y PKI gratuitas es: “¿Cuánto tiempo debe tener el certificado de usuario?” Como ocurre con muchas cosas en seguridad cibernética, la respuesta es: depende de su organización. Recomendamos realizar certificados de usuario entre 3-6 meses. Esto permite que los usuarios estén de licencia parental o de licencia extendida y, cuando regresan, su certificado WiFi aún funciona, lo que les permite continuar autenticándose en la red y luego Intune renovará el certificado. Vemos que algunas organizaciones también emiten certificados de 1 año o incluso de 2 años; sin embargo, advertimos cuando se emiten certificados tan largos porque si hay una alta rotación de usuarios, las listas de revocación de certificados pueden volverse bastante grandes, creando una carga mayor en su red (recuerde cada vez que se utiliza el certificado, se debe verificar la CRL para garantizar que el certificado no haya sido revocado).
Hasta ahora, hemos cubierto cómo emitir certificados de usuario usando Intune; sin embargo, es posible que haya usuarios que necesiten certificados de dispositivos que no están administrados por Intune. Afortunadamente, EZCA también admite otros MDM con emisión SCEP regular, así como en la emisión de certificados del portal, lo que significa que sus usuarios pueden usar su identidad AAD (Entra ID) existente, autenticarse en nuestro portal web y emitir el certificado para su cuenta. La mejor parte de esto es que también admite usuarios de otros inquilinos, lo que significa que si tiene un contratista de otro inquilino de Entra ID que requiere un certificado, puede ingresar al portal y, siempre que lo haya incluido en la lista blanca para su perfil de certificado de usuario, pueden autoservicio emitir un certificado para su cuenta.
Sí, los certificados emitidos a través de Intune se pueden usar para Entra CBA, siempre y cuando tengan los campos de nombre alternativo del sujeto correctos y usted haya registrado la autoridad de certificación como Autoridad de certificación de Entra CBA; sin embargo, es posible que desees leer nuestro blog sobre si los certificados son MFA ya que es posible que tu certificado de Intune no califique como multifactor método de autenticación; en ese caso, es posible que desee considerar usar una YubiKey para Entra CBA.