Adición de un gestor de dispositivos Intune

Editar en línea

Configure Microsoft™ Intune como su administrador de dispositivos.

Antes de empezar

Nota: Los arrendatarios globales de mtlsidaas para gestores de dispositivos están ahora en desuso y se eliminarán después de marzo de 2024. Vaya a Obtener un nombre de host personalizado para solicitar un dominio personalizado. Para obtener más información, consulte Añadir un administrador de dispositivos.
  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM Verify como administrador.

Acerca de esta tarea

Sistemas operativos soportados
  • Windows 8.1 y versiones posteriores
  • MacOS 10.13 y versiones posteriores
Nota: Si utiliza MacOS Safari, es posible que se encuentre con un problema en el que no se le soliciten los certificados de cliente emitidos por el gestor de dispositivos Intune. Para resolver el problema, debe configurar la preferencia de identidad de MacOS Keychain.
  1. En el sistema Mac, vaya a Acceso de cadena de claves.
  2. Añada una preferencia de identidad para el certificado de cliente.
  3. Establezca la ubicación de preferencia de identidad en URL de autenticación + (espacio) + (com.apple.Safari). Por ejemplo, https://{mtls_enabled_tenant_name}/usc.
La preferencia de identidad ahora se encuentra en Acceso a Llaveros > Inicio de sesión > Todos los elementos y la solicitud de certificado funciona correctamente.

Procedimiento

  1. Seleccione Autenticación > Administradores de dispositivos.
  2. Seleccione Añadir gestor de dispositivos.
  3. Seleccione el Tipo del gestor de dispositivos que desea configurar.
  4. Seleccione Siguiente.
  5. En la página Valores generales , proporcione la información siguiente.
    • Especifique el Nombre de gestor de dispositivos en el campo proporcionado.
    • Seleccione el Proveedor de identidades en el menú.
    • Seleccione el Tipo de confianza del menú. Para la selección Confianza en el dispositivo, los usuarios deben iniciar sesión con su mecanismo de autenticación de primer factor configurado. La confianza del dispositivo sólo confirma si la autenticación se realiza desde el dispositivo gestionado o no.
      Nota: La función de confianza del dispositivo CI-114829 puede activarse bajo petición. Para solicitar esta función, póngase en contacto con su representante de ventas de IBM o con su contacto de IBM e indíquele su interés en activar esta función. Crea un ticket de soporte si tienes permiso. IBM Verify las suscripciones de prueba no pueden crear tickets de soporte.
    • Seleccione si desea habilitar el suministro puntual para las cuentas de usuario.
      Nota: El aprovisionamiento justo a tiempo (JIT) para cuentas de usuario solo es aplicable en caso de selección de confianza de usuario y dispositivo .
    • Seleccione el Periodo de validez del certificado de cliente. Por defecto, la selección es de 3 años.
    • Especifique el número máximo de certificados para cada dispositivo.
    • Especifique cuántos minutos se mantiene la información de usuario y de dispositivo.
  6. Seleccione Siguiente.
  7. En la página Credenciales de API , especifique los detalles de la API de la aplicación en Azure Active Directory.
    • Si ya tiene la aplicación, seleccione Sólo formulario.
      1. Proporcione el ID de aplicación, el secreto y el nombre del arrendatario.
      2. Seleccione Unique user identifier en una lista predefinida de atributos o seleccione Regla personalizada para especificar correlaciones de atributos. Si selecciona utilizar una regla personalizada, puede añadir atributos personalizados y una regla. Escriba la regla para calcular el valor de atributo. Por ejemplo:
        requestContext.email[0].split('@')[0]
        Nota: La selección de reglas personalizadas no es aplicable a Confianza en el dispositivo. Sin embargo, puede introducir el atributo apropiado en el campo previsto para ello.
      3. Seleccione Probar credenciales para verificar sus credenciales.
      4. Seleccione Siguiente.
    • Si está creando una aplicación, seleccione Mostrar con pasos y siga las instrucciones.
      1. En el Azure portal, vaya a AzureActive Directory > Registros de aplicaciones y seleccione Nuevo registro.
      2. En la página Registrar una aplicación, especifique los detalles siguientes.
        Nombre
        Introduzca un nombre de aplicación significativo, por ejemplo IBM Verify.
        Tipos de cuenta soportados
        Seleccione Cuentas en cualquier directorio organizativo.
        URI de redirección
        Deje la sección predeterminada de Web y, a continuación, especifique el URL de inicio de sesión para el servidor SCEP de terceros.
      3. Seleccione Registro.
      4. En la página Visión general de la aplicación, copie el valor de IP de aplicación (cliente) y péguelo en el campo Especificar ID de aplicación.
      5. En la página de navegación de la aplicación, en Gestionar, seleccione Certificados y secretos y seleccione Nuevo secreto de cliente.
      6. Especifique una descripción, seleccione cualquier opción para Caduca y, a continuación, pulse Añadir.
      7. Pegue el secreto de cliente en el campo Especificar secreto de aplicación.
      8. Copie el ID de arrendatario, que es el texto del dominio después del signo @ en la cuenta y péguelo en el campo Nombre de arrendatario.
      9. Seleccione o escriba un atributo de identificador de usuario exclusivo.
      10. En la página de navegación de la aplicación, en Gestionar, seleccione Permisos de APIy seleccione Añadir un permiso.
      11. Seleccione Intune y, a continuación, seleccione Permisos de aplicación. Marque el recuadro de selección para ce_challenge-provider.
      12. Seleccione Permisos de API.
      13. En el panel de navegación de la aplicación, en Gestionar, seleccione Permisos de API y seleccione Añadir un permiso.
      14. Seleccione Microsoft Graphy, a continuación, seleccione Permisos de aplicación. .
      15. Seleccione la casilla de verificación de DeviceManagementManageDevices.Read.All, User.Read.All, y Application.Read.All.
      16. Seleccione Añadir permisos.
      17. Seleccione Otorgar consentimiento de administrador para Microsoft y, a continuación, seleccione .
      18. Seleccione Probar credenciales para verificar sus credenciales.
      19. Seleccione Siguiente.
  8. En la página Propiedades del usuario (se abre en caso de selección de confianza Usuario y dispositivo) o Propiedades del dispositivo (se abre en caso de selección de confianza Dispositivo), asigna los atributos del administrador de dispositivos a los atributos IBM Verify.
    Nota: Los nombres de atributo no distinguen entre mayúsculas y minúsculas y no se permiten atributos duplicados.
    1. Seleccione el atributo de gestor de dispositivos,
    2. Opcional: Seleccione una transformación del menú.
    3. Requerido: Seleccione el Verify atributo al que desea asignar el atributo.
    4. Seleccione cómo desea almacenar el atributo en el perfil del usuario.
  9. Opcional: Haga clic en Añadir atributos.
    Si selecciona utilizar una regla personalizada, puede añadir atributos personalizados de uno en uno y una regla. Escriba la regla para calcular el valor de atributo. Por ejemplo:
    idsuser.email[0].split('@')[0]
    Pulse Ejecutar prueba para asegurarse de que la regla funciona.
  10. Seleccione Guardar y continuar.
    El gestor de dispositivos se ha guardado.
  11. Cree el perfil de certificado raíz.
    Siga las instrucciones proporcionadas.
    1. Descargue los siguientes archivos raíz y certificados de perfil .zip que se proporcionan.
    2. Inicie sesión en Microsoft Endpoint Manager y abra Dispositivos > Perfiles de configuración.
    3. Para crear un perfil de certificado raíz, seleccione Crear perfil y elija los valores siguientes:
      Plataforma
      Seleccione la plataforma adecuada.
      Perfil
      Certificado de confianza.
    4. Seleccione Crear.
    5. Asigne un nombre al perfil de certificado raíz, por ejemplo WIN10_RootCA_Cert, y seleccione Siguiente.
    6. Cargue el perfil de certificado raíz que ha descargado en el paso 1, establezca el almacén de destino en Almacén de certificados del sistema-Raíz, y seleccione Siguiente.
    7. Establezca Asignar a a los usuarios o grupos con los que desea realizar la prueba y seleccione Siguiente.
    8. Seleccione Crear.
    9. Repita los pasos 2 a 8 para el certificado intermedio.
  12. Seleccione Siguiente.
  13. En la página Perfil de certificado SCEP , especifique los detalles de la API de la aplicación en Azure Active Directory.
    • Si ya tiene un perfil de certificado SCEP, seleccione Solo valores.
      1. Proporcione el asunto y el URL de SCEP.
      2. Seleccione Siguiente.
    • Si está creando un perfil de certificado SCEP, seleccione Mostrar con pasos y siga las instrucciones.
      1. Para crear un perfil de certificado SCEP, seleccione Crear perfil y elija los valores siguientes:
        Plataforma
        Seleccione la plataforma adecuada.
        Perfil
        CertificadoTrustedSCEP.
      2. Seleccione Crear.
      3. Asigne un nombre al perfil de certificado raíz, por ejemplo WIN10_RootCA_Cert y seleccione Siguiente.
      4. Utilice los valores de configuración siguientes:
        Tipo de certificado
        Usuario.
        Formato del nombre del asunto
        Personalizado.
        Personalizado
        CN generado automáticamente.
        Nombre alternativo del asunto
        Nombre principal de usuario (UPN).
        Periodo de validez del certificado
        1 año.
        Proveedor de almacenamiento de claves (KSP)
        Si está disponible, inscríbase en Trusted Platform Module (TPM) KSP; de lo contrario, inscribirse en Software KSP.
        Uso de clave
        Cifrado de clave, firma digital.
        Tamaño de clave (bits)
        2048.
        Algoritmo hash
        SHA-2.
        Certificado raíz
        Seleccione el perfil de certificado raíz que ha creado y nombrado en el paso 11.
        Uso de clave ampliada
        Seleccione Autenticación de cliente en el menú Valores predefinidos .
        Umbral de renovación
        20.
        URL de servidor SCEP
        URL generado automáticamente.
      5. Seleccione Siguiente y asigne los usuarios o grupos con los que desee probar la conexión.
      6. Seleccione Crear.
      7. Seleccione Siguiente.
  14. Establezca los ámbitos de MDM.
    Siga las instrucciones.
    1. En el centro de administración de Microsoft Endpoint Manager, seleccione Todos los servicios > M365AzureActive Directory > AzureActive Directory > Movilidad (MDM y MAM).
    2. Seleccione Microsoft Intune para configurar Intune.
    3. Seleccione Algunos del ámbito de usuarios de MDM para utilizar la inscripción automática de MDM y gestionar los datos empresariales en los dispositivos Windows™ de sus empleados.
      Las inscripciones automáticas de MDM se configuran para dispositivos unidos AAD y traen sus propios escenarios de dispositivo.
    4. Seleccionar Seleccionar grupos > Grupos seleccionados/Usuarios > Seleccionar como grupo asignado.
    5. Seleccione Algunos en el ámbito Usuarios MAM para gestionar datos en los dispositivos de la fuerza de trabajo.
    6. Seleccione Seleccionar grupos > Seleccionar grupos/Usuarios > Seleccionar como grupo asignado.
    7. Utilice los valores predeterminados para los valores de configuración restantes.
    8. Seleccione Guardar.
  15. Seleccione Siguiente.
  16. Pruebe la configuración.
    Siga las instrucciones.
  17. Seleccione Completar configuración.
    1. Revise los valores.
    2. Seleccione Guardar cambios.