Microsoft Cloud PKI

Implementar un Microsoft Cloud PKI

Crear una CA raíz en el centro de administración de Intune

Antes de poder emitir certificados a dispositivos administrados, debe crear una CA raíz en su inquilino que actúe como ancla de confianza. Para crear una CA raíz en el centro de administración de Intune, siga esto Guía de Microsoft.

Crear una CA emisora en el centro de administración de Intune

Se requiere una CA emisora para emitir certificados para dispositivos administrados por Intune. Cloud PKI proporciona automáticamente un servicio SCEP que actúa como autoridad de registro de certificados. Solicita certificados a la CA emisora en nombre de los dispositivos administrados por Intune utilizando un perfil SCEP. Para crear una CA emisora, siga esto Guía de Microsoft.

Establecer confianza entre RADIUSaaS y Microsoft Cloud PKI

Configure RADIUSaaS para confiar en los certificados de autenticación de cliente emitidos por Microsoft Cloud PKI. Dado que la PKI en la nube requiere una estructura de CA por niveles, debe cargar tanto la CA raíz como la CA emisora (es decir, la cadena completa de confianza). Para lograr esto, siga los pasos a continuación:

1. Navegue a Certificados de confianza.

2. Cargar el Cloud PKI de Contoso CA raíz seleccionando Autenticación de cliente en el proceso de carga.

3. Como método de verificación seleccione CRL junto con codificación DER der.

4. Use la URL copiada del punto de distribución CRL de la CA raíz en el Puntos de distribución CRL campo de entrada de URL.

5. Cargue el Cloud PKI de Contoso CA emisora seleccionando Autenticación de cliente en el proceso de carga.

6. De nuevo, seleccione CRL como método de verificación junto con codificación DER der.

7. Use la URL copiada del punto de distribución CRL de la CA emisora en el Puntos de distribución CRL campo de entrada de URL.

Configurar el certificado del servidor RADIUS

Para establecer confianza de servidor entre sus dispositivos finales y RADIUSaaS, siga estas instrucciones.

Configurar su equipo de red

Para configurar su equipo de red (puntos de acceso WiFi, conmutadores o pasarelas VPN), siga estos pasos.

Después de completar con éxito los Pasos 2 - 4, la Certificados de confianza página de su instancia de RADIUSaaS se verá similar a la que se muestra a continuación. Tenga en cuenta que en nuestro ejemplo hemos usado un punto de acceso MikroTik punto de acceso.

Configurar perfiles de Intune

Para configurar la autenticación WiFi basada en certificados, necesitamos crear una serie de perfiles y desplegarlos mediante Intune. Estos perfiles son:

Perfiles de certificados de confianza

Microsoft Cloud PKI

Despliegue los certificados de CA raíz y CA emisora creados en Paso 1 a través de un Certificado de confianza perfil a sus dispositivos navegando a centro de administración de Intune y luego a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva política con los siguientes parámetros:

• Plataforma = Windows 10 y posterior

• Tipo de perfil = Plantilla

• Nombre de plantilla = Certificado de confianza.

Cargue el archivo de certificado correspondiente (*.cer) en el perfil respectivo:

• Certificado de CA raíz creado aquí

• Certificado de CA emisora creado aquí

Esto debe repetirse para cada plataforma de dispositivo que deba usar el servicio (por ejemplo, Windows, macOS, ...)

Confianza del servidor RADIUS

A continuación, publique el certificado de la CA raíz que emitió su certificado del servidor RADIUS como se describe aquí:

Perfil de certificado SCEP

Para crear un Certificado SCEP perfil en el centro de administración de Intune, primero copie la URI SCEP desde Inicio > Administrador del inquilino > Cloud PKI > CA emisora de Contoso > Propiedades > URI SCEP.

A continuación, vaya a Inicio > Dispositivos > Windows > Perfiles de configuración > Crear > Nueva política con los siguientes parámetros:

• Plataforma = Windows 10 y posterior

• Tipo de perfil = Plantilla

• Nombre de la plantilla = certificado SCEP

A continuación, configure la plantilla de acuerdo con la captura de pantalla a continuación asegurándose de adjuntar el Certificado raíz de Contoso creado anteriormente en el paso 1 y el URI SCEP del que hizo una copia más arriba.

Esto debe repetirse para cada plataforma de dispositivo que deba usar el servicio (por ejemplo, Windows, macOS, ...)

Perfil Wi‑Fi

Despliegue la configuración del adaptador WiFi a sus dispositivos siguiendo este artículo:

Permisos y contactos técnicos

Reglas

Si desea configurar reglas adicionales, por ejemplo para asignar identificadores VLAN o limitar las solicitudes de autenticación a ciertas CA de confianza o puntos de acceso Wi‑Fi, por favor consulte el Motor de Reglas de RADIUSaaS.