Adición de un gestor de dispositivos Intune

Editar en línea

Configura Microsoft™ Intune como administrador de dispositivos.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.
Nota: Cada inquilino que requiera una autenticación de tipo « mTLS » debe tener
  • Se ha configurado un nombre de host ficticio. Consulte «Cómo obtener un nombre de host personalizado ».
  • Los certificados de CA raíz e intermedios del cliente cargados en la infraestructura periférica (Akamai) para el nombre de host personalizado.
Los dispositivos se autentican directamente en el nombre de host personalizado del inquilino utilizando sus certificados de cliente. Se utilizan los siguientes puntos finales.
  • Autenticación: https://{vanity-hostname}/v1.0/mdm/mtls
  • Operaciones del SCEP: https://{vanity-hostname}/v1.0/mdm/scep

Acerca de esta tarea

Sistemas operativos soportados
  • Windows 8.1 y versiones posteriores
  • MacOS 10.13 y versiones posteriores
Modelo de confianza
Verify actúa como autoridad de certificación (CA) SCEP y expide certificados de cliente a los dispositivos registrados. Los perfiles de certificado raíz, certificado intermedio y SCEP que configure permiten este proceso de emisión de certificados.

En la autenticación mutua TLS ( mTLS ), cuando un dispositivo intenta autenticarse, presenta su certificado de cliente a Verify. El certificado se valida frente a la CA de verificación para establecer la confianza criptográfica y verificar la identidad del dispositivo.

Una vez validado correctamente el certificado, Verify utiliza los permisos configurados para consultar la API de Microsoft Graph y obtener de Intune información en tiempo real sobre el estado de los dispositivos y el cumplimiento normativo. Esta información básica sobre el cumplimiento normativo incluye:
  • Estado de conformidad del dispositivo (conforme/no conforme/desconocido). Cuando un dispositivo deja de cumplir los requisitos en Intune, el certificado en sí no se revoca automáticamente. Cada vez que expira el tiempo de espera de la caché de la información del usuario y del dispositivo, IBM Verify consulta la API de Microsoft Graph para recuperar el estado actual de cumplimiento del dispositivo desde Intune. Si el inquilino utiliza el control de acceso basado en políticas, el complianceState atributo (y otros atributos del dispositivo) se evalúan en función de las políticas de acceso configuradas en IBM Verify. Estas políticas determinan si se debe
    • Permitir el acceso (si la política permite dispositivos no conformes).
    • Exigir autenticación adicional (autenticación reforzada).
    • Denegar el acceso (si la política exige que solo se utilicen dispositivos compatibles).
    Las aplicaciones se pueden configurar con políticas de acceso que definan los requisitos de cumplimiento. Verify recupera los atributos del dispositivo, incluido el número de serie ( complianceState ), y los almacena una vez completada la inscripción. Los atributos del dispositivo se almacenan en caché durante un tiempo limitado, que viene determinado por el tiempo de caducidad de la caché, y se vuelven a recuperar de Intune una vez que la caché caduca.
    Nota: Si es necesario bloquear de forma permanente un dispositivo no conforme, elimínelo de IBM Verify, lo que también revocará su certificado. Esto no elimina automáticamente el certificado revocado del dispositivo cliente gestionado.
  • Estado de gestión del dispositivo (gestionado/no gestionado) Los siguientes atributos del dispositivo están disponibles para la evaluación de la política de acceso.
    • Nuevo dispositivo
    • Plataforma de dispositivo
    • Conformidad de dispositivo
Todos estos atributos están disponibles para su uso en la toma de decisiones sobre políticas de acceso. Consulte «Gestión de políticas de acceso ».
Nota: Si un dispositivo resulta comprometido, elimínelo de IBM Verify, lo que activará inmediatamente el proceso de revocación del certificado. Todos los certificados asociados al dispositivo quedan revocados de inmediato. El dispositivo ya no puede autenticarse, aunque siga teniendo el archivo de certificado.
Requisitos del servidor SCEP

No se necesita ninguna infraestructura SCEP externa. La funcionalidad del servidor SCEP está integrada en el servicio mdm-broker y gestiona todas las operaciones estándar de SCEP:

  • GetCACaps - Devuelve las capacidades de CA
  • GetCACert - Devuelve la cadena de certificados de la CA
  • PKIOperation - Gestiona las solicitudes de emisión y renovación de certificados

IBM Verify ofrece un servidor SCEP integrado y una autoridad de certificación (CA). Los dispositivos gestionados envían solicitudes de firma de certificados (CSR) a los puntos finales de Verify SCEP a través del protocolo SCEP estándar (PKIOperation). Verify actúa tanto como servidor SCEP como autoridad de certificación (CA) de firma, procesando estas solicitudes y emitiendo certificados de cliente firmados de acuerdo con el perfil SCEP configurado.

Todo el ciclo de vida de los certificados SCEP —incluida su generación, firma, almacenamiento y renovación— lo gestiona internamente Verify.

Nota: Si utiliz MacOS o Safari, es posible que se encuentre con un problema por el que no se le soliciten los certificados de cliente emitidos por el administrador de dispositivos de Intune. Para resolver el problema, debe configurar la preferencia de identidad de MacOS Keychain.
  1. En tu Mac, ve a «Acceso a Llaveros ».
  2. Añada una preferencia de identidad para el certificado de cliente.
  3. Establezca la ubicación de preferencia de identidad en URL de autenticación + (espacio) + (com.apple.Safari). Por ejemplo, https://{tenant_vanity_hostname}/usc.
La preferencia de identidad se encuentra ahora en «Acceso a Llavero » > «Inicio de sesión » > «Todos los elementos», y el mensaje de solicitud del certificado funciona correctamente.

Procedimiento

  1. Selecciona «Autenticación » > «Administradores de dispositivos ».
  2. Selecciona «Añadir administrador de dispositivos ».
  3. Selecciona el tipo de controlador de dispositivos que deseas configurar.
  4. Selecciona «Siguiente ».
  5. En la página «Configuración general», introduce la siguiente información.
    • Introduzca el nombre del Administrador de dispositivos en el campo correspondiente.
    • Selecciona el proveedor de identidad en el menú.
    • Selecciona el tipo de fideicomiso en el menú. Para seleccionar la confianza del dispositivo, los usuarios deben iniciar sesión mediante el mecanismo de autenticación de primer factor que tengan configurado. La confianza del dispositivo proporciona atributos gestionados del dispositivo a una sesión de autenticación existente.
      Nota: La función «Separación de dispositivos y autenticación de usuarios» CI-114829 puede activarse previa solicitud. Para solicitar esta función, póngase en contacto con su representante de ventas de IBM o con IBM e indique su interés en habilitar esta función. Crea un ticket de asistencia si tienes permiso. IBM Verify Las suscripciones de prueba no permiten crear tickets de asistencia.
    • Seleccione si desea habilitar el suministro puntual para las cuentas de usuario.
      Nota: La configuración «Just-in-Time» (JIT) para las cuentas de usuario solo es aplicable en caso de que se seleccione la opción de confianza de usuario y dispositivo.
    • Seleccione el período de validez del certificado de cliente. Un administrador de dispositivos puede configurarse para emitir certificados con una validez de 90, 180 o 365 días, o de 3 años. Por defecto, el periodo seleccionado es de 3 años. Las organizaciones pueden elegir el periodo de validez que se ajuste a sus políticas de seguridad y requisitos de cumplimiento. Los períodos de validez más cortos reducen el tiempo de exposición en caso de que un certificado se vea comprometido, mientras que los períodos más largos reducen la frecuencia de las operaciones de renovación.
    • Especifique el número máximo de certificados para cada dispositivo. El dispositivo se encarga automáticamente de la renovación del certificado cuando el tiempo de validez restante de este es inferior al umbral de renovación configurado en el perfil SCEP. El dispositivo inicia automáticamente una solicitud de renovación. El proceso de renovación es transparente para el usuario final y no requiere ninguna intervención manual. Una vez completada la renovación, el certificado anterior queda revocado automáticamente.
      Verify aplica una revocación de certificados exhaustiva en múltiples situaciones.
      • Renovación de certificado
      • Eliminación de un dispositivo de Verify
      • Eliminación de un usuario de Verify
      • Caducidad del certificado
    • Especifique cuántos minutos se mantiene la información de usuario y de dispositivo.
  6. Selecciona «Siguiente ».
  7. En la página de credenciales de la API, introduce los datos de la API de tu aplicación en AzureActive Directory.
    • Si ya tiene la aplicación, seleccione Sólo formulario.
      1. Proporcione el ID de aplicación, el secreto y el nombre del arrendatario.
      2. Seleccione Unique user identifier de una lista predefinida de atributos o elija «Regla personalizada » para especificar las asignaciones de atributos. Si eliges utilizar una regla personalizada, puedes añadir atributos personalizados y una regla. Escribe la regla para calcular el valor del atributo. Por ejemplo:
        requestContext.email[0].split('@')[0]
        Nota: La selección de reglas personalizadas no es aplicable a la confianza del dispositivo. No obstante, puede introducir el atributo correspondiente en el campo correspondiente.
      3. Seleccione Probar credenciales para verificar sus credenciales.
      4. Selecciona «Siguiente ».
    • Si está creando una aplicación, seleccione Mostrar con pasos y siga las instrucciones.
      1. En el portal Azure, ve a Azure Active Directory > Registros de aplicaciones y selecciona «Nuevo registro ».
      2. En la página Registrar una aplicación, especifique los detalles siguientes.
        Nombre
        Introduce un nombre significativo para la aplicación, por ejemplo, « IBM Verify ».
        Tipos de cuenta soportados
        Seleccione Cuentas en cualquier directorio organizativo.
        URI de redirección
        Nota: El URI de redireccionamiento durante la configuración del registro de la aplicación puede dejarse en blanco.
      3. Seleccione Registro.
      4. En la página Visión general de la aplicación, copie el valor de IP de aplicación (cliente) y péguelo en el campo Especificar ID de aplicación.
      5. En la página de navegación de la aplicación, en la sección «Gestionar», selecciona «Certificados y secretos» y, a continuación, «Nuevo secreto de cliente ».
      6. Especifique una descripción, seleccione cualquier opción para Caduca y, a continuación, pulse Añadir.
      7. Pegue el secreto de cliente en el campo Especificar secreto de aplicación.
      8. En el campo «Nombre del inquilino», introduce el nombre de tu inquilino de Microsoft Entra ID.
      9. Seleccione o escriba un atributo de identificación de usuario único.
      10. En la página de navegación de la aplicación, en la sección «Gestionar», selecciona «Permisos de API » y, a continuación, «Añadir un permiso».
      11. Selecciona Intune y, a continuación, selecciona «Permisos de aplicaciones ». Marque el recuadro de selección para ce_challenge-provider.
      12. Seleccione Permisos de API.
      13. En el panel de navegación de la aplicación, en Gestionar, seleccione Permisos de API y seleccione Añadir un permiso.
      14. Selecciona «Microsoft Graph » y, a continuación, selecciona «Permisos de la aplicación ».
      15. Marca la casilla de verificación correspondiente a « DeviceManagementManagedDevices ». Read.All, User.Read.All y Application.Read.All.
      16. Seleccione Añadir permisos.
      17. Seleccione Otorgar consentimiento de administrador para Microsoft y, a continuación, seleccione .
      18. Seleccione Probar credenciales para verificar sus credenciales.
        El botón «Probar credenciales» comprueba que
        • Las credenciales tienen el formato correcto.
        • El ID de cliente y el secreto de cliente son válidos.
        • Se puede acceder a Microsoft Entra ID.
        • Se puede obtener un token de acceso de OAuth a través de Microsoft.
        No comprueba:
        • Permisos de la API (por ejemplo, DeviceManagementManagedDevices.Read.All)
        • Capacidad para leer información de identificación de usuario ( /dev ) de Microsoft Graph
        • Conectividad de red con los puntos finales de la API de Microsoft Graph
        • Integridad de la configuración del inquilino
        Pruebas superadas:
        • OAuth Se ha obtenido correctamente el token de acceso de https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
        Nota: El hecho de que la prueba de credenciales se haya superado NO garantiza que la integración funcione. La prueba solo verifica la autenticación, no los permisos de la API ni el acceso a los datos. Para una validación completa es necesario realizar pruebas de inscripción del dispositivo.
        La prueba falla:
        • HTTP Se devuelve un código de respuesta 400 con el siguiente error:Connection to MicrosoftIntune failed.
        • Las causas más comunes son un ID de cliente o un secreto no válidos, un nombre de inquilino incorrecto, problemas de red o credenciales caducadas.
        Resolución de problemas
        • Revisión de la respuesta de « HTTP »: en caso de éxito, devuelve las URL del SCEP; en caso de error, devuelve un mensaje de error.
        • Comprueba la configuración de « Azure »: verifica el ID de cliente, el secreto y el nombre del inquilino en el portal de Azure.
        • Confirmar permisos de la API : Asegúrate de que se hayan concedido los permisos necesarios de Microsoft Graph con el consentimiento del administrador.
        • Prueba de extremo a extremo : Realice un intento real de registro del dispositivo para comprobar que la integración funciona correctamente.
      19. Selecciona «Siguiente ».
  8. En la página Propiedades de usuario (se abre en caso de selección de confianza de usuario y dispositivo) o Propiedades del dispositivo (se abre en caso de selección de confianza de dispositivo), asigne los atributos del administrador de dispositivos a IBM Verify atributos.
    Nota: Los nombres de los atributos no distinguen entre mayúsculas y minúsculas, y no se permiten atributos duplicados.
    1. Selecciona el atributo del administrador de dispositivos.
      Los atributos del administrador de dispositivos de Intune que se pueden asignar son los que devuelven los puntos finales de la API de Microsoft Graph:
      • /deviceManagement/managedDevices
      • /users/{userId}
      • Microsoft documenta los atributos de usuario de Intune en el tipo de recurso de usuario. Selecciona «Propiedades» en el menú «En este artículo ».
      • Microsoft documenta los atributos de los dispositivos de Intune en managedDevice resouce-type. Selecciona «Propiedades» en el menú «En este artículo ».
      Nota: Para asignar un atributo de dispositivo a Verify, es necesario anteponerle la cadena « mdmDevice:: ». Por ejemplo, si quisieras asignar el atributo complianceState del dispositivo a «Verificar», tendrías que escribirlo así:
      mdmDevice::complianceState

      Los atributos de usuario no requieren prefijo.

      Atributos del dispositivo, como mdmDevice::complianceState el mapa, desde un único dispositivo registrado. En entornos con varios dispositivos, este valor podría no ser coherente. Solo se deben asignar los atributos del dispositivo a Verify cuando se prevea que los usuarios solo puedan utilizar un único dispositivo.

    2. Opcional: Selecciona una transformación en el menú.
    3. Requisito: Selecciona el Verify atributo al que deseas asignar el atributo.
    4. Seleccione cómo desea almacenar el atributo en el perfil del usuario.
  9. Opcional: haz clic en «Añadir atributos ».
    Si eliges utilizar una regla personalizada, puedes añadir atributos personalizados de uno en uno a la regla. Escribe la regla para calcular el valor del atributo. Por ejemplo:
    idsuser.email[0].split('@')[0]
    Haz clic en «Ejecutar prueba» para comprobar que la regla funciona.
  10. Selecciona «Guardar y continuar ».
    El gestor de dispositivos se ha guardado.
  11. Cree el perfil de certificado raíz.
    Siga las instrucciones proporcionadas.
    1. Descarga los siguientes archivos de certificados .zip raíz y de perfil que se proporcionan.
    2. Inicia sesión en Microsoft Endpoint Manager y abre Dispositivos > Perfiles de configuración.
    3. Para crear un perfil de certificado raíz, selecciona «Crear perfil» y elige la siguiente configuración:
      Plataforma
      Seleccione la plataforma adecuada.
      Perfil
      Certificado de confianza.
    4. Selecciona «Crear ».
    5. Asigne un nombre al perfil de certificado raíz, por ejemplo, « WIN10_RootCA_Cert », y seleccione «Siguiente ».
    6. Sube el perfil de certificado raíz que descargaste en el paso 1, configura el almacén de destino como «Almacén de certificados del equipo - Raíz » y selecciona «Siguiente ».
    7. Establece la opción «Asignar a» en los usuarios o grupos con los que quieras realizar la prueba y selecciona «Siguiente ».
    8. Selecciona «Crear ».
    9. Repita los pasos 2 a 8 para el certificado intermedio.
  12. Selecciona «Siguiente ».
  13. En la página del perfil de certificado SCEP, introduce los datos de la API de tu aplicación en Azure Active Directory.

    • Si ya tiene un perfil de certificado SCEP, seleccione Solo valores.
      1. Proporcione el asunto y el URL de SCEP.
      2. Selecciona «Siguiente ».
    • Si está creando un perfil de certificado SCEP, seleccione Mostrar con pasos y siga las instrucciones.
      1. Para crear un perfil de certificado SCEP, seleccione Crear perfil y elija los valores siguientes:
        Plataforma
        Seleccione la plataforma adecuada.
        Perfil
        TrustedSCEP certificado.
      2. Selecciona «Crear ».
      3. Asigne un nombre al perfil de certificado raíz, por ejemplo WIN10_RootCA_Cert y seleccione Siguiente.
      4. Utilice los valores de configuración siguientes:
        Tipo de certificado
        Usuario.
        Formato del nombre del asunto
        Personalizada.
        Personalizado
        CN generado automáticamente.
        Nombre alternativo del asunto
        Nombre principal de usuario (UPN).
        Periodo de validez del certificado
        1 año.
        Proveedor de almacenamiento de claves (KSP)
        Si está disponible, inscríbase en Trusted Platform Module (TPM) KSP; de lo contrario, inscribirse en Software KSP.
        Uso de clave
        Cifrado de clave, firma digital.
        Tamaño de clave (bits)
        2048.
        Algoritmo hash
        SHA-2.
        Certificado raíz
        Selecciona el perfil de certificado raíz que creaste y al que diste un nombre en el paso 11.
        Uso de clave ampliada
        Selecciona «Autenticación de cliente» en el menú «Valores predefinidos ».
        Umbral de renovación
        20.
        URL de servidor SCEP
        URL generado automáticamente.
      5. Seleccione Siguiente y asigne los usuarios o grupos con los que desee probar la conexión.
      6. Selecciona «Crear ».
      7. Selecciona «Siguiente ».
  14. Establezca los ámbitos de MDM.
    Siga las instrucciones.
    1. En el centro de administración de Microsoft Endpoint Manager, seleccione Todos los servicios > M365 Azure Active Directory > Azure Active Directory > Movilidad (MDM y MAM).
    2. Selecciona «Microsoft Intune» para configurar Intune.
    3. Seleccione «Algunos» en el ámbito de usuarios de MDM para utilizar la inscripción automática de MDM y gestionar los datos de la empresa en los dispositivos Windows™ de sus empleados.
      Las inscripciones automáticas de MDM están configuradas para dispositivos incorporados a AAD y para situaciones de «traiga su propio dispositivo».
    4. Selecciona «Grupos» > «Grupos/usuarios seleccionados » > «Seleccionar como grupo asignado ».
    5. Selecciona «Algunos» en el ámbito «Usuarios de MAM» para gestionar los datos de los dispositivos de tu plantilla.
    6. Selecciona «Seleccionar grupos » > «Seleccionar grupos/Usuarios » > «Seleccionar como grupo asignado ».
    7. Utilice los valores predeterminados para los valores de configuración restantes.
    8. Selecciona «Guardar ».
  15. Selecciona «Siguiente ».
  16. Pruebe la configuración.
    Siga las instrucciones.
  17. Selecciona «Finalizar la configuración ».
    1. Revise los valores.
    2. Selecciona «Guardar cambios ».