Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configurar Microsoft Intune para el conector para SCEP
<a name="connector-for-scep-intune"></a>

Se puede utilizar AWS Private CA como entidad de certificación (CA) externa con el sistema de administración de dispositivos móviles (MDM) de Microsoft Intune. Esta guía proporciona instrucciones sobre cómo configurar Microsoft Intune después de crear un conector para SCEP para Microsoft Intune.

## Requisitos previos
<a name="connector-for-scep-intune-prerequisites"></a>

Antes de crear un conector para SCEP para Microsoft Intune, debe cumplir los siguientes requisitos previos.
+ Cree un ID de Entra.
+ Cree un inquilino de Microsoft Intune.
+ Cree un registro de aplicación en su ID de Microsoft Entra. Consulte [Actualizar los permisos solicitados de una aplicación en Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) en la documentación de Microsoft Entra para obtener información sobre cómo administrar los permisos a nivel de aplicación para el registro de su aplicación. El registro de la aplicación debe tener los siguientes permisos:
  + En **Intune**, configura **scep\$1challenge\$1provider**.
  + **Para **Microsoft Graph**, defina **Application.Read-All y User.Read.****
+ Debe conceder el consentimiento de administrador a la aplicación al registrarse en la aplicación. Para obtener más información, consulte [Otorgar el consentimiento de administrador de todo el inquilino a una aplicación en la](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) documentación de Microsoft Entra.
**sugerencia**  
Al crear el registro de la aplicación, anote el ID de la **aplicación (cliente) y el ID del** **directorio (inquilino) o el dominio principal**. Cuando cree su conector para SCEP para Microsoft Intune, introducirá estos valores. Para obtener información sobre cómo obtener estos valores, consulte [Crear una aplicación y un director de servicio de Microsoft Entra que pueda acceder a los recursos](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) en la documentación de Microsoft Entra.

## Paso 1: Otorgue AWS Private CA permiso para usar su aplicación Microsoft Entra ID
<a name="connector-for-scep-intune-configure-pca"></a>

Tras crear un conector para SCEP para Microsoft Intune, debe crear una credencial federada en el registro de aplicaciones de Microsoft para que Connector for SCEP pueda comunicarse con Microsoft Intune.

**Para configurar AWS Private CA como una CA externa en Microsoft Intune**

1. En la consola Microsoft Entra ID, navega hasta los **registros de aplicaciones.**

1. Elija la aplicación que creó para utilizarla con Connector for SCEP. El ID de aplicación (cliente) de la aplicación en la que haga clic debe coincidir con el ID que especificó al crear el conector.

1. Seleccione **Certificados y secretos** en el menú desplegable **Administrado**.

1. Seleccione la pestaña **Credenciales federadas**.

1. Seleccione **Añadir una credencial**.

1. **En el menú desplegable del **escenario de credenciales federadas**, selecciona Otro emisor.**

1. **Copie y pegue el valor del **emisor de OpenID** de los detalles de Connector for SCEP para Microsoft Intune en el campo Emisor.** Para ver los detalles de un conector, selecciónelo en la lista de [conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) de la consola. AWS Como alternativa, puede obtener la URL llamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)y copiando el `Issuer` valor de la respuesta.

1. En **Tipo**, selecciona **Identificador de asunto explícito**.

1. Copie y pegue el valor **del asunto OpenID** del conector en el campo **Valor**. Puede ver el valor del emisor de OpenID en la página de detalles del conector de la consola. AWS Como alternativa, puede obtener la URL llamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)y, a continuación, copiar el `Audience` valor de la respuesta.

1. (Opcional) Introduce el nombre de la instancia en el campo **Nombre**. Por ejemplo, puede asignarle un nombre **AWS Private CA**.

1. (Opcional) Introduzca una descripción en el campo **Descripción**.

1. **Copie y pegue el valor de **OpenID Audience** de los detalles de Connector for SCEP for Microsoft Intune en el campo Audience.** Para ver los detalles de un conector, selecciónelo en la lista de [conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) de la consola. AWS Como alternativa, puede obtener la URL llamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)y copiando el `Subject` valor de la respuesta.

1. Seleccione **Añadir**.

## Paso 2: configurar un perfil de configuración de Microsoft Intune
<a name="connector-for-scep-intune-config-profile"></a>

Tras conceder AWS Private CA el permiso para llamar a Microsoft Intune, debe usar Microsoft Intune para crear un perfil de configuración de Microsoft Intune que indique a los dispositivos que se pongan en contacto con Connector for SCEP para emitir el certificado.

1. Cree un perfil de configuración de certificados de confianza. Debe cargar el certificado de CA raíz de la cadena que está utilizando con Connector for SCEP en Microsoft Intune para establecer la confianza. Para obtener información sobre cómo crear un perfil de configuración de certificados de confianza, consulte [Perfiles de certificados raíz de confianza para Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) en la documentación de Microsoft Intune.

1. Cree un perfil de configuración de certificados SCEP que dirija sus dispositivos al conector cuando necesiten un certificado nuevo. El **tipo de perfil del perfil** de configuración debe ser un certificado **SCEP.** Para el certificado raíz del perfil de configuración, asegúrese de utilizar el certificado de confianza que creó en el paso anterior.

   Para el **servidor SCEP URLs**, copie y pegue la **URL del SCEP** de los detalles del conector en el campo Servidor **SCEP**. URLs Para ver los detalles de un conector, selecciónelo en la lista [Conectores para el SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Como alternativa, puede obtener la URL llamando y [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), a continuación, copiar el `Endpoint` valor de la respuesta. Para obtener instrucciones sobre la creación de perfiles de configuración en Microsoft Intune, consulte [Crear y asignar perfiles de certificados SCEP en Microsoft Intune en la documentación de Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**nota**  
Para los dispositivos que no son Mac OS e iOS, si no establece un período de validez en el perfil de configuración, Connector for SCEP emite un certificado con una validez de un año. Si no establece un valor de uso extendido de claves (EKU) en el perfil de configuración, Connector for SCEP emite un certificado con el EKU establecido con. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` En el caso de los dispositivos macOS o iOS, Microsoft Intune no respeta `ExtendedKeyUsage` `Validity` los parámetros de los perfiles de configuración. Para estos dispositivos, Connector for SCEP emite un certificado con un período de validez de un año para estos dispositivos mediante la autenticación del cliente.

## Paso 3: Compruebe la conexión con el conector para SCEP
<a name="connector-for-scep-verify"></a>

Después de crear un perfil de configuración de Microsoft Intune que apunte al punto final de Connector for SCEP, confirme que un dispositivo inscrito puede solicitar un certificado. Para confirmarlo, asegúrese de que no haya ningún error en la asignación de políticas. Para confirmarlo, en el portal de Intune, vaya a **Dispositivos** > **Administrar dispositivos** > **Configuración** y compruebe que no haya nada en la lista **Errores de asignación de políticas de configuración**. Si lo hay, confirme la configuración con la información de los procedimientos anteriores. Si la configuración es correcta y aún hay errores, consulte [Recopilar los datos disponibles desde un dispositivo móvil](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).

Para obtener información sobre la inscripción de dispositivos, consulta [¿Qué es la inscripción de dispositivos?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) en la documentación de Microsoft Intune.