Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Integración incorporada de AC y SCEP para dispositivos administrados por Microsoft Intune

La configuración de AC incorporada en Juniper Mist Access Assurance proporciona un servicio SCEP nativo de nube que se integra directamente con Intune para la distribución automatizada de certificados de cliente. Esto elimina la necesidad de una PKI externa y simplifica la incorporación segura de Wi-Fi con autenticación EAP-TLS.

Juniper Mist Access Assurance ofrece una configuración de autoridad de certificación (AC) integrada, que ofrece una infraestructura de protocolo simple de inscripción de certificados (SCEP) completamente administrada. Cuando la AC de Onboard está habilitada, Access Assurance aprovisiona automáticamente la dirección URL de Intune SCEP. Con esta URL, los usuarios pueden integrar Intune con Mist Access Assurance sin implementar ni mantener ninguna PKI externa o servicio SCEP local. A continuación, el certificado de AC integrado proporcionado por Access Assurance se usa para configurar un perfil SCEP en Intune, lo que permite la emisión segura de certificados de cliente a los dispositivos inscritos.

Mediante el aprovechamiento de la infraestructura SCEP de Access Assurance, puede automatizar la distribución de certificados de cliente a puntos de conexión administrados por Intune y enlazarlos a perfiles de Wi-Fi para la autenticación EAP-TLS. Esta función garantiza que cada dispositivo que se conecte a la red esté autenticado a través de una sólida confianza basada en certificados, mientras se administra completamente desde la nube de Juniper Mist Access Assurance.

Nota: Cuando un dispositivo está marcado como inactivo o eliminado en Intune, debe revocar el certificado de cliente manualmente a través del portal de Juniper Mist.

Para permitir que Intune aproveche Juniper Mist Access Assurance como su infraestructura SCEP para la distribución de certificados de cliente, siga estos pasos:

Habilitar la configuración de la AC incorporada

Para habilitar la configuración de AC incorporada:

  1. En el menú de la izquierda del portal de Mist de Juniper, seleccione Organización > acceder > certificados.

    Aparecerá la página Autoridades de certificado.

  2. Haga clic en el icono de configuración en la esquina superior derecha de la página y seleccione Configuración de AC incorporada.

  3. Seleccione Activo y haga clic en Aceptar.

    El servicio de autoridad de certificación incorporada está habilitado y se generan los puntos de conexión SCEP respectivos para cada MDM.

    Cuando se active la configuración de Incorporar AC, verá las siguientes pestañas:

    • Externa: muestra los detalles de las entidades de certificación externas.

    • Interna: muestra los detalles de los certificados de cliente emitidos por la AC integrada a través del portal de NAC o MDM.

  4. Haz clic de nuevo en el icono de configuración en la esquina superior derecha de la página y selecciona Información de integración de MDM.

  5. Copie la dirección URL de SCEP de Intune que aparece para Intune. Deberá usar esta dirección URL en el perfil SCEP de Intune.

Descargue la AC de organización de Mist y los certificados de AC incorporados

El certificado de AC de la organización de Mist es necesario para configurar los clientes administrados de Intune para que confíen en el certificado de servidor RADIUS del servicio Mist Access Assurance. El certificado de AC integrado es necesario para configurar el perfil SCEP en Intune.

  1. Haga clic en el icono de configuración en la esquina superior derecha de la página Certificados y seleccione Descargar certificado de AC incorporado para descargar el certificado emitido por la AC de organización de Mist integrada.

  2. Vaya a Certificados >acceso a la organización>. Haga clic en Ver certificado de Mist y haga clic en Descargar.

    Nota: Si está utilizando un certificado de servidor RADIUS personalizado, no es necesario el certificado de AC de Mist Org. Deberá tener el certificado Root AC del emisor del certificado de servidor RADIUS personalizado.

Vincular Intune al portal de Mist

Vincule su cuenta de Intune con Juniper Mist. Consulte Agregar Intune al portal de Mist.

Nota:

Las capturas de pantalla de las aplicaciones de terceros son correctas en el momento de la publicación. No tenemos forma de saber cuándo o si las capturas de pantalla serán precisas en el futuro. Consulte el sitio web de terceros para obtener orientación sobre los cambios en estas pantallas o los flujos de trabajo involucrados.
Nota: Si la cuenta de Intune ya está vinculada a la organización, debe volver a vincular la cuenta de MDM. Esto garantiza que Mist Access Assurance reciba el conjunto actualizado de permisos necesarios para las operaciones de la AC integrada.

Crear perfiles de configuración

Cree perfiles de configuración específicos del sistema operativo en Intune.

Crear perfil de certificado de confianza

Para cada tipo de sistema operativo que planee inscribir, cree dos perfiles de certificados de confianza: uno para el certificado de Mist AC y otro para el certificado de Mist SCEP AC.

  1. Vaya a Configuración > dispositivos y haga clic en Crear> nueva política.

  2. Seleccione una plataforma. Hemos usado Windows 10 y versiones posteriores en este ejemplo.

  3. Seleccione Plantillas como tipo de perfil.

  4. Seleccione confianza en la lista de plantillas y haga clic en Crear.

  5. Proporcione un nombre para el certificado de confianza de la AC de la organización de Mist y haga clic en Siguiente.

  6. Cargue el certificado de AC de la organización de Mist que descargó anteriormente.

    Si está utilizando un certificado de servidor RADIUS personalizado, no es necesario el certificado de AC de Mist Org. Deberá tener el certificado Root AC del emisor del certificado de servidor RADIUS personalizado.

  7. Asigne este perfil a un grupo de usuarios específico o a todos los dispositivos:

  8. Haga clic en Siguiente y, a continuación, haga clic en Crear.

  9. Repita los pasos del 1 al 8 para obtener el certificado de Mist Onboard AC.

Crear un perfil de certificado SCEP

El perfil de certificado SCEP indica al cliente que obtenga un certificado de cliente del servicio SCEP de Mist. En este ejemplo, usamos el tipo de certificado de usuario, pero puede seguir los mismos pasos para un certificado de dispositivo.

  1. Vaya a Configuración > dispositivos y haga clic en Crear> nueva política.

  2. Seleccione una plataforma. Hemos usado Windows 10 y versiones posteriores en este ejemplo.

  3. Seleccione Plantillas como tipo de perfil.

  4. Seleccione el SCEP de la lista de plantillas y haga clic en Crear.

  5. Proporcione un nombre para el certificado y haga clic en Siguiente.

  6. Escriba las opciones de configuración como se muestra en el ejemplo siguiente. Agregue la URL de SCEP en el campo URL del servidor SCEP .

    Proporcione el formato óptimo del certificado para que la información adicional sobre el usuario o dispositivo se pueda codificar para que el NAC la utilice en la evaluación de políticas. En este ejemplo, el identificador de dispositivo de Intune se codifica en el campo SAN:DNS, lo que permite comprobaciones periódicas del cumplimiento del dispositivo. El nombre principal de usuario completo se codifica en el campo SAN:UPN, que habilita la búsqueda de pertenencia a grupos con el ID de Entrada.

    Se le indicará al cliente que confíe en el certificado AC SCEP de Mist.

    Nota:

    Incluir el ID de dispositivo en el campo SAN:DNS es obligatorio porque el NAC usa este valor para la identificación del dispositivo y las comprobaciones de cumplimiento.

  7. Asigne este perfil a un grupo de usuarios específico o a todos los dispositivos.

  8. Haga clic en Siguiente y, a continuación, haga clic en Crear.

Después de insertar el perfil en el cliente de Windows, verá un nuevo certificado de cliente emitido en el almacenamiento de certificados de usuario personal:

Cambie al portal de Mist Juniper y confirme que el certificado de cliente se emitió en Certificados>interno.

Crear un perfil de Wi-Fi

  1. Vaya a Configuración > dispositivos y haga clic en Crear> nueva política.

  2. Seleccione una plataforma. Hemos usado Windows 10 y versiones posteriores en este ejemplo.

  3. Seleccione Plantillas como tipo de perfil.

  4. Seleccione Wi-Fi en la lista de plantillas.

  5. Proporcione un nombre para el certificado y haga clic en Siguiente.

  6. Escriba las opciones de configuración como se muestra en el ejemplo siguiente.

    • Seleccione Enterprise como tipo de seguridad.

    • Proporcione su nombre de SSID.

    • Establezca el modo de autenticación correcto (usuario y equipo, usuario o equipo) según el tipo de certificado SCEP que proporcione a los clientes.

    • Agregue el certificado de Mist AC como certificado raíz para la validación del servidor (RADIUS).

    • Agregue el perfil SCEP como certificado de cliente para la autenticación del cliente.

Inicie una sincronización de dispositivos desde Intune para que los dispositivos puedan obtener las actualizaciones de perfil más recientes. Los dispositivos del cliente pueden obtener automáticamente los certificados digitales.