Saltar al contenido principal
Español (México)

Cómo usar Microsoft Intune para enviar certificados de WiFi a dispositivos

Una referencia técnica completa para líderes de TI sobre la implementación de certificados de WiFi 802.1X a través de Microsoft Intune. Cubre la arquitectura SCEP frente a PKCS, los pasos de implementación, el mapeo de cumplimiento y escenarios de implementación del mundo real para entornos empresariales.

📖 7 min de lectura📝 1,541 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
CÓMO USAR MICROSOFT INTUNE PARA ENVIAR CERTIFICADOS DE WIFI A DISPOSITIVOS Una sesión informativa de Purple Enterprise WiFi Intelligence [INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto] Bienvenidos de nuevo. Hoy hablo en nombre de Purple, la plataforma de WiFi intelligence empresarial, y este episodio es una sesión informativa enfocada en una de las capacidades más prácticas —y, sinceramente, más subestimadas— del kit de herramientas de Microsoft Intune: la implementación automatizada de certificados para la autenticación WiFi 802.1X. Si gestionas WiFi en un complejo hotelero, una cadena de tiendas, un estadio o un entorno del sector público, conocerás el problema que estoy a punto de describir. Tienes cientos o miles de dispositivos gestionados. Quieres que se conecten a tu WiFi corporativo de forma automática y segura, sin que los usuarios tengan que escribir contraseñas y sin que el equipo de TI tenga que configurar cada dispositivo de forma individual. Y quieres que esa conexión sea criptográficamente sólida, no solo una contraseña compartida que alguien ya haya enviado por correo electrónico a la mitad de la organización. Eso es exactamente lo que resuelve la implementación de certificados de Intune. Y en los próximos nueve minutos, te guiaré a través de cómo funciona, cómo implementarlo y los errores comunes que atrapan a la mayoría de los equipos en su primer intento. [INMERSIÓN TÉCNICA PROFUNDA — aproximadamente 5 minutos] Comencemos con la arquitectura. La base aquí es IEEE 802.1X, el estándar de control de acceso a la red basado en puertos que ha sido la columna vertebral de la seguridad WiFi empresarial durante más de dos décadas. Cuando un dispositivo se conecta a tu WiFi, el estándar 802.1X requiere que se autentique antes de obtener cualquier acceso a la red. La conversación de autenticación ocurre entre tres partes: el dispositivo (llamado suplicante), tu punto de acceso WiFi (que actúa como el autenticador) y tu servidor RADIUS (que es el servidor de autenticación que toma la decisión final). Ahora bien, 802.1X admite múltiples métodos de autenticación. El más seguro es EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte). EAP-TLS utiliza autenticación mutua de certificados: el dispositivo presenta un certificado para demostrar su identidad y el servidor RADIUS presenta un certificado para demostrar la suya. No hay contraseñas de por medio. No hay credenciales que puedan ser objeto de phishing. Esto es a lo que aspiramos. El desafío siempre ha sido llevar esos certificados a los dispositivos a gran escala. Ahí es donde entra Microsoft Intune. Intune admite dos mecanismos de implementación de certificados: SCEP (Protocolo Simple de Inscripción de Certificados) y PKCS, que significa Estándares de Criptografía de Clave Pública. Comprender la diferencia es importante. Con SCEP, la clave privada se genera en el propio dispositivo. El dispositivo crea una Solicitud de Firma de Certificado, la envía a tu Autoridad de Certificación a través de un servidor intermediario llamado NDES (Servicio de Inscripción de Dispositivos de Red) y la CA emite el certificado de vuelta. La clave privada nunca sale del dispositivo. Este es el enfoque más seguro y se recomienda para entornos BYOD e implementaciones de alta seguridad. Con PKCS, la Entidad de Certificación genera el par de claves, y el Intune Certificate Connector entrega la clave privada y el certificado al dispositivo. Es más sencillo de configurar —no requiere un servidor NDES— pero la clave privada transita a través del conector, lo cual es un factor a considerar para su postura de seguridad. Para la mayoría de las implementaciones empresariales, recomendaría SCEP para entornos BYOD y de dispositivos mixtos, y PKCS cuando se tiene una flota homogénea de dispositivos Windows propiedad de la empresa y se desea minimizar la complejidad de la infraestructura. Ahora, hablemos de la secuencia de implementación —porque el orden importa y equivocarse es la causa más común de fallas en los despliegues. Paso uno: configure su Entidad de Certificación. Necesita una plantilla de certificado en su instancia de Active Directory Certificate Services —o si es totalmente nativo de la nube, Cloud PKI de Microsoft Intune ya está disponible de forma general y elimina por completo el requisito de una CA local. La plantilla necesita las extensiones de uso de clave correctas: la Autenticación de Cliente es obligatoria. Establezca el tamaño mínimo de clave en 2048 bits, o 4096 si la política de seguridad de su organización lo requiere. Paso dos: implemente el certificado raíz de confianza. Antes de que cualquier dispositivo pueda validar el certificado del servidor RADIUS, debe confiar en la CA que lo emitió. Cree un perfil de configuración de Certificado de Confianza en Intune, cargue el certificado de la CA raíz y asígnelo a sus grupos de dispositivos. Esto debe llegar a los dispositivos antes de cualquier perfil de WiFi o perfil de certificado de cliente. Si se equivoca en la secuencia, los dispositivos rechazarán el servidor RADIUS y pasará la tarde analizando el Event ID 20271 en el registro de eventos de Windows. Paso tres: implemente el perfil de certificado de cliente. Este puede ser su perfil SCEP —que apunta a la URL de su servidor NDES— o su perfil PKCS, que apunta a su Entidad de Certificación. El Nombre Alternativo del Sujeto debe incluir el Nombre Principal de Usuario para certificados de usuario, o el ID de Dispositivo de AAD para certificados de dispositivo. Esta distinción es importante: los certificados de usuario autentican al usuario que ha iniciado sesión, mientras que los certificados de dispositivo autentican a la máquina misma, lo que significa que el dispositivo puede conectarse a WiFi antes de que un usuario inicie sesión —útil para escenarios de unión a dominios y despliegues de quioscos. Paso cuatro: cree el perfil de configuración de WiFi. En Intune, esto se encuentra en Dispositivos, Perfiles de Configuración, Plantillas, Wi-Fi. Establezca el tipo de WiFi en Enterprise, ingrese su SSID, configure el tipo de EAP en EAP-TLS, configure los ajustes de confianza del servidor —aquí es donde hace referencia al nombre del certificado del servidor RADIUS— y para la autenticación de cliente, haga referencia al perfil de certificado que creó en el paso tres. Paso cinco: asigne todo a los grupos correctos y valide. Asigne su certificado raíz, certificado de cliente y perfiles de WiFi a los mismos grupos de usuarios o dispositivos. Utilice los informes integrados de Intune para monitorear el estado de la implementación del perfil. Una implementación exitosa muestra los tres perfiles con el estado Succeeded en la lista de perfiles de configuración del dispositivo. Un punto crítico sobre la configuración de NPS para entornos de Windows Server: desde principios de 2024, Microsoft endureció los requisitos de mapeo de certificados. Si utiliza certificados de dispositivo con dispositivos unidos a Azure AD que se autentican contra un NPS local, debe asegurarse de que el atributo altSecurityIdentities en el objeto de la computadora en Active Directory esté poblado con la huella digital del certificado. Esto no ocurre automáticamente; necesita un script o un flujo de trabajo para manejarlo, que normalmente se activa cuando la CA emite un nuevo certificado. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos] Permítame presentarle los tres errores comunes que veo con más frecuencia en las implementaciones empresariales. Error uno: brechas en la cadena de certificados. El dispositivo debe confiar en cada certificado de la cadena, desde la CA raíz hasta el certificado del servidor RADIUS. Si el certificado de su servidor RADIUS fue emitido por una CA intermedia, debe implementar tanto la raíz como la intermedia en los dispositivos. He visto fallar implementaciones durante semanas porque alguien implementó la raíz pero no la intermedia. Error dos: tiempos de asignación de perfiles. Los perfiles de Intune no llegan a los dispositivos de forma instantánea. En una infraestructura grande, los perfiles pueden tardar de 15 a 30 minutos en propagarse después de la asignación. No realice pruebas inmediatamente después de crear los perfiles. Utilice el botón Sincronizar en el portal de Intune para forzar un registro y luego espere. Además, los perfiles de certificado de cliente deben implementarse y confirmarse antes de aplicar el perfil de WiFi; si el perfil de WiFi hace referencia a un certificado que aún no existe, el perfil fallará silenciosamente en algunas plataformas. Error tres: revocación de certificados BYOD. Cuando un dispositivo se desvincula de Intune (porque un empleado se va o se pierde un dispositivo), se necesita un proceso para revocar el certificado. Si utiliza SCEP con ADCS, configure correctamente el punto de distribución de la Lista de Revocación de Certificados y asegúrese de que su servidor RADIUS verifique la CRL o el OCSP en cada autenticación. Este es un requisito de cumplimiento bajo marcos como PCI DSS, que exige que los mecanismos de control de acceso se revoquen de inmediato cuando ya no sean necesarios. En cuanto al cumplimiento: si opera dentro del alcance de PCI DSS (entornos de pago minorista, por ejemplo), la autenticación 802.1X basada en certificados es su control más sólido para el acceso a redes inalámbricas. Cumple con el Requisito 1.3 de PCI DSS sobre controles de acceso a la red y el Requisito 8.6 sobre factores de autenticación. Documente su proceso de gestión del ciclo de vida de los certificados como parte de su evidencia de cumplimiento. Para entornos regulados por el GDPR, particularmente en el sector público y de hospitalidad, la separación entre su red corporativa 802.1X y su red de guest WiFi es crítica. Su red corporativa administrada por Intune debe estar en una VLAN y SSID completamente separados de cualquier red de invitados o visitantes. La plataforma de guest WiFi de Purple maneja el lado del visitante (Captive Portal, captura de consentimiento, analíticas), mientras que su red corporativa administrada por Intune maneja al personal y los dispositivos operativos. Estas dos redes nunca deben compartir la infraestructura de autenticación. [Preguntas y respuestas rápidas — aproximadamente 1 minuto] Permítame repasar algunas preguntas que surgen con regularidad. ¿Puedo usar Intune Cloud PKI en lugar de ADCS local? Sí. Intune Cloud PKI de Microsoft, lanzado en 2024, proporciona una CA totalmente administrada en Azure. Elimina el requisito del servidor NDES para SCEP y simplifica significativamente la configuración del conector. Para implementaciones nuevas o empresas sin una infraestructura ADCS existente, es el camino recomendado. ¿Funciona esto para dispositivos macOS e iOS? Sí. Intune admite perfiles de certificados para Windows, iOS, iPadOS, Android y macOS. Los tipos de perfil y las opciones de configuración varían ligeramente según la plataforma, pero la arquitectura principal (raíz de confianza, certificado de cliente, perfil de WiFi) es consistente. ¿Qué pasa con los dispositivos personales en un programa BYOD? SCEP es su aliado aquí. Con las políticas de cumplimiento de dispositivos de Intune, puede requerir que un dispositivo cumpla con los estándares mínimos de seguridad antes de que se emita un certificado. Si el dispositivo deja de cumplir con las normas (sin bloqueo de pantalla, sistema operativo desactualizado), el certificado se puede revocar y el acceso a la red se eliminará automáticamente. ¿Puede Purple integrarse con esta arquitectura? Absolutamente. La plataforma de Purple se ubica del lado de la red de invitados, manejando la autenticación del Captive Portal, la gestión del consentimiento y las analíticas. La red corporativa 802.1X y el guest WiFi de Purple operan en paralelo (misma infraestructura física, diferentes SSIDs y VLANs), lo que le brinda una separación completa entre la conectividad del personal y la interacción con los visitantes. [Resumen y próximos pasos — aproximadamente 1 minuto] Para resumir: implementar certificados de WiFi a través de Intune es un proceso de cinco pasos: configuración de la CA, implementación de la raíz de confianza, perfil de certificado de cliente, perfil de WiFi y asignación de grupos. Elija SCEP para entornos BYOD y de alta seguridad; PKCS para flotas corporativas más sencillas. Asegúrese de que la secuencia sea la correcta, maneje el requisito de mapeo de certificados NPS y cree un flujo de trabajo de revocación de certificados desde el primer día. El caso de negocio es sencillo: elimina las contraseñas de WiFi compartidas, obtiene registros de autenticación por dispositivo y por usuario, cumple con los requisitos de seguridad inalámbrica de PCI DSS e ISO 27001, y reduce la carga de trabajo de TI al administrar las credenciales de WiFi en una gran infraestructura.Si estás planeando una implementación y deseas comprender cómo la plataforma de analíticas y WiFi para invitados de Purple se integra con la arquitectura de tu red corporativa, visita purple.ai. Contamos con guías detalladas sobre la integración con Azure Entra ID, la arquitectura 802.1X y el diseño de redes de invitados para entornos de hotelería, retail y el sector público. Gracias por escucharnos. Hasta la próxima.

header_image.png

Resumen Ejecutivo

Para los líderes de TI empresariales que gestionan entornos a gran escala en los sectores de Hospitalidad , Retail o espacios del sector público, el acceso inalámbrico seguro es un requisito operativo básico. Depender de PSK (claves precompartidas) o de la autenticación mediante usuario/contraseña (PEAP-MSCHAPv2) expone a la red al robo de credenciales, phishing y fallas de cumplimiento. El estándar de la industria para una seguridad sólida de WiFi empresarial es 802.1X con EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte), el cual exige una autenticación mutua basada en certificados entre el dispositivo y la red.

Sin embargo, la principal barrera para la adopción de EAP-TLS ha sido históricamente la carga operativa de la gestión del ciclo de vida de los certificados. Microsoft Intune resuelve esto al automatizar la entrega, renovación y revocación de certificados digitales en dispositivos gestionados a escala.

Esta referencia técnica detalla la arquitectura, las metodologías de implementación (SCEP frente a PKCS) y los pasos de implementación necesarios para enviar certificados de WiFi a través de Microsoft Intune. Proporciona una guía práctica para arquitectos de red e ingenieros de sistemas encargados de proteger las comunicaciones corporativas, manteniendo al mismo tiempo una estricta separación de las redes de visitantes, como las gestionadas por una plataforma de Guest WiFi .

Análisis Técnico Profundo: Arquitectura y Protocolos

Para implementar la autenticación basada en certificados de manera efectiva, los equipos de TI deben comprender la interacción entre la plataforma de gestión de dispositivos móviles (MDM), la infraestructura de clave pública (PKI) y la capa de control de acceso a la red.

El Marco de Autenticación 802.1X

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos. En un contexto inalámbrico, evita que un dispositivo transmita cualquier tráfico (que no sean tramas de autenticación EAP) hasta que se verifique su identidad. La arquitectura consta de tres componentes:

  1. Suplicante: El dispositivo cliente (laptop, smartphone, tablet) que solicita acceso a la red.
  2. Autenticador: El punto de acceso inalámbrico o controlador de LAN inalámbrica que bloquea el tráfico hasta que la autenticación sea exitosa.
  3. Servidor de Autenticación: El servidor RADIUS (Servicio de Autenticación de Marcado Telefónico de Usuario Remoto), como Microsoft Network Policy Server (NPS) o Cisco ISE, que valida las credenciales y autoriza el acceso.

EAP-TLS y Autenticación Mutua

EAP-TLS es el método EAP más seguro porque requiere autenticación mutua. El servidor RADIUS presenta su certificado al suplicante para demostrar que es la red corporativa legítima (evitando ataques de gemelo malvado), y el suplicante presenta su certificado de cliente al servidor RADIUS para demostrar que es un dispositivo o usuario autorizado.

architecture_overview.png

Mecanismos de despliegue de certificados de Intune: SCEP vs PKCS

Microsoft Intune admite dos protocolos principales para desplegar certificados de cliente en los dispositivos. Seleccionar el mecanismo adecuado es una decisión arquitectónica crítica.

Protocolo de inscripción de certificados simple (SCEP)

Con SCEP, la clave privada se genera directamente en el dispositivo cliente. El dispositivo crea una Solicitud de firma de certificado (CSR) y la envía a través de Intune al servidor del Servicio de inscripción de dispositivos de red (NDES), que actúa como un proxy para la infraestructura de Servicios de certificados de Active Directory (ADCS). La CA emite el certificado, el cual se devuelve al dispositivo.

Debido a que la clave privada nunca sale del dispositivo, SCEP se considera altamente seguro y es el enfoque recomendado para despliegues BYOD (Bring Your Own Device) y arquitecturas de confianza cero (zero-trust).

Estándares de criptografía de clave pública (PKCS)

Con PKCS, el conector de certificados de Intune solicita el certificado a la CA en nombre del dispositivo. La CA genera tanto el certificado público como la clave privada, que luego el conector entrega de forma segura al dispositivo a través de Intune.

Aunque PKCS simplifica los requisitos de infraestructura (no se necesita un servidor NDES), la clave privada se transmite a través de la red. Este modelo es generalmente aceptable para flotas de dispositivos de propiedad corporativa y totalmente administrados donde la plataforma MDM ya es un componente de alta confianza.

certificate_deployment_comparison.png

Guía de implementación: Despliegue paso a paso

El despliegue de certificados WiFi a través de Intune requiere una secuenciación precisa. Desplegar perfiles fuera de orden es la causa más común de fallas en la implementación.

Paso 1: Preparar la infraestructura de clave pública (PKI)

Ya sea que se utilice ADCS local o una solución nativa de la nube como Microsoft Cloud PKI, la Autoridad de certificación debe estar configurada con las plantillas adecuadas.

  • Uso de clave: La plantilla debe incluir el OID de Autenticación de cliente (1.3.6.1.5.5.7.3.2).
  • Tamaño de clave: Configure un tamaño de clave mínimo de 2048 bits (RSA) para alinearse con los estándares criptográficos modernos.
  • Nombre del sujeto: Para certificados de usuario, el Nombre alternativo del sujeto (SAN) debe configurarse para usar el Nombre principal de usuario (UPN). Para certificados de dispositivo, use el ID de dispositivo de Azure AD.

Paso 2: Implementar el Certificado de Raíz de Confianza

Antes de que un dispositivo pueda autenticarse, debe confiar en la CA que emitió el certificado del servidor RADIUS.

  1. Exporte el certificado de la CA Raíz (y cualquier certificado de CA intermedia) en formato .cer.
  2. En el centro de administración de Intune, navegue a Dispositivos > Perfiles de configuración > Crear perfil.
  3. Seleccione la plataforma y elija el tipo de perfil Certificado de confianza.
  4. Cargue el archivo .cer y asigne el perfil al dispositivo de destino o a los grupos de usuarios.

Nota: Este perfil debe aplicarse correctamente a los dispositivos antes de continuar con los siguientes pasos.

Paso 3: Implementar el Perfil de Certificado de Cliente

Cree un perfil de certificado SCEP o PKCS para entregar el certificado de identidad al suplicante.

  1. Navegue a Dispositivos > Perfiles de configuración > Crear perfil.
  2. Seleccione la plataforma y elija Certificado SCEP o Certificado PKCS.
  3. Configure el formato del Nombre del sujeto y el SAN de acuerdo con sus requisitos de identidad (Usuario frente a Dispositivo).
  4. Especifique el Proveedor de almacenamiento de claves (KSP), que normalmente es el Módulo de plataforma segura (TPM) para la seguridad respaldada por hardware.
  5. Asigne el perfil a los mismos grupos seleccionados en el Paso 2.

Paso 4: Configurar el Perfil de WiFi

El componente final vincula los certificados a la configuración de la red inalámbrica.

  1. Navegue a Dispositivos > Perfiles de configuración > Crear perfil.
  2. Seleccione la plataforma y elija el tipo de perfil Wi-Fi.
  3. Establezca el tipo de Wi-Fi en Enterprise e ingrese el SSID exacto.
  4. Establezca el tipo de EAP en EAP-TLS.
  5. En Confianza del servidor, especifique el nombre exacto del certificado del servidor RADIUS y seleccione el perfil de certificado de Raíz de confianza implementado en el Paso 2.
  6. En Autenticación de cliente, seleccione el perfil de certificado SCEP o PKCS implementado en el Paso 3.
  7. Asigne el perfil a los grupos de destino.

Mejores Prácticas y Recomendaciones Estratégicas

Certificados de Dispositivo frente a Certificados de Usuario

Los arquitectos de red deben decidir si emiten certificados para el dispositivo (autenticación de máquina) o para el usuario (autenticación de usuario).

  • Certificados de Dispositivo: Permiten que la máquina se conecte a la red WiFi antes de que un usuario inicie sesión. Esto es fundamental para el aprovisionamiento inicial del dispositivo, el procesamiento de Directivas de grupo y el restablecimiento de contraseñas en la pantalla de inicio de sesión. Recomendado para dispositivos propiedad de la empresa.
  • Certificados de Usuario: Vinculan el acceso a la red con la identidad del individuo. Esto proporciona una auditoría detallada y un control de acceso basado en roles. Recomendado para escenarios BYOD.

Segmentación de Red y Acceso de Invitados

Un principio de seguridad fundamental es la separación lógica estricta de la red corporativa 802.1X de las redes de acceso público o de visitantes. La infraestructura administrada por Intune debe dedicarse exclusivamente a los dispositivos corporativos y al personal autenticado. Para el acceso de visitantes, las organizaciones deben implementar un SSID de Guest WiFi dedicado y respaldado por un Captive Portal. Esto garantiza que los dispositivos no administrados queden aislados, al mismo tiempo que permite a la empresa recopilar análisis de visitantes a través de una plataforma de WiFi Analytics . Para obtener más información sobre cómo proteger la infraestructura de DNS en ambos segmentos, consulte nuestra guía sobre cómo Protect Your Network with Strong DNS and Security .

Cómo abordar el requisito de mapeo de certificados de NPS

Para las organizaciones que utilizan Microsoft Network Policy Server (NPS) con dispositivos unidos a Azure AD, Microsoft introdujo un cambio de configuración crítico. NPS ahora requiere un mapeo de certificados sólido.

Al utilizar certificados de dispositivo, el objeto de computadora en el Active Directory local debe tener su atributo altSecurityIdentities completado con los detalles del certificado (normalmente el X509IssuerSerialNumber). Los equipos de TI deben implementar un script programado o un flujo de trabajo basado en eventos para actualizar este atributo cuando Intune emita un nuevo certificado; de lo contrario, la autenticación fallará.

Resolución de problemas y mitigación de riesgos

Cuando falla una implementación de 802.1X, el problema casi siempre reside en la cadena de certificados o en la secuenciación del perfil de Intune.

Modos de falla comunes

  1. Falla silenciosa del perfil de WiFi: si el perfil de WiFi de Intune se aplica a un dispositivo antes de que el certificado de cliente se haya aprovisionado correctamente, a menudo el perfil de WiFi no se instalará o fallará silenciosamente. Verifique siempre la presencia del certificado en el almacén personal del dispositivo (certmgr.msc en Windows) antes de solucionar problemas de la configuración de WiFi.
  2. Errores de validación de confianza del servidor: si el dispositivo rechaza el servidor RADIUS, verifique que el nombre del servidor especificado en el perfil de WiFi de Intune coincida exactamente con el Subject Name o SAN en el certificado del servidor RADIUS. Además, asegúrese de que toda la cadena de certificados (raíz e intermedia) esté presente en el almacén de Entidades de certificación raíz de confianza del dispositivo.
  3. Falta de disponibilidad de la Lista de revocación de certificados (CRL): si el servidor RADIUS no puede comunicarse con el punto de distribución CRL de la CA para verificar el estado del certificado del cliente, se denegará la autenticación. Asegúrese de que la URL de la CRL esté altamente disponible y sea accesible desde el servidor RADIUS.

ROI e impacto empresarial

La transición a la autenticación de WiFi basada en certificados a través de Intune ofrece importantes retornos operativos y de seguridad.

  • Mitigación de riesgos: elimina el riesgo de extracción de credenciales, ataques de tipo pass-the-hash y el acceso no autorizado a la red a través de PSK compartidas.
  • Eficiencia operativa: reduce los tickets de soporte de TI relacionados con el vencimiento de contraseñas y problemas de conectividad WiFi. La gestión automatizada del ciclo de vida significa que los certificados se renuevan de forma transparente sin la intervención del usuario.
  • Habilitación de cumplimiento: Satisface los requisitos regulatorios más estrictos. Para entornos minoristas, aborda directamente los requisitos de PCI DSS para un cifrado y autenticación inalámbricos robustos. Para el sector público y la atención médica, se alinea con los principios de acceso a la red de confianza cero (ZTNA).

Al aprovechar Microsoft Intune para la implementación de certificados, los equipos de TI pueden lograr una experiencia de WiFi altamente segura y sin fricciones que opera silenciosamente en segundo plano, lo que permite a la empresa concentrarse en sus operaciones principales.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que evita que los dispositivos no autorizados accedan a una LAN o WLAN hasta que se autentiquen correctamente.

El protocolo de seguridad fundamental que reemplaza las contraseñas de WiFi compartidas con autenticación de nivel empresarial en entornos corporativos.

EAP-TLS

Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte (Extensible Authentication Protocol with Transport Layer Security). Un marco de autenticación que requiere que tanto el cliente como el servidor demuestren sus identidades mediante certificados digitales.

El protocolo específico configurado en el perfil de WiFi de Intune para aplicar la autenticación mutua por certificados, eliminando el riesgo de robo de credenciales.

SCEP

Protocolo Simple de Inscripción de Certificados (Simple Certificate Enrollment Protocol). Un mecanismo en el que el dispositivo cliente genera su propia clave privada y solicita un certificado a la CA a través de un servidor intermediario.

El método de implementación preferido para entornos BYOD porque la clave privada nunca se transmite a través de la red.

PKCS

Estándares de Criptografía de Clave Pública (Public Key Cryptography Standards). En el contexto de Intune, un método de implementación en el que la CA genera la clave privada y el Intune Connector la entrega de forma segura al dispositivo.

Una arquitectura de implementación más simple que se utiliza a menudo para flotas de dispositivos propiedad de la empresa, ya que elimina la necesidad de un servidor NDES.

NDES

Servicio de Inscripción de Dispositivos de Red (Network Device Enrollment Service). Un rol de servidor de Microsoft que actúa como proxy, lo que permite que los dispositivos que se ejecutan sin credenciales de dominio obtengan certificados de una Autoridad de Certificación de Active Directory.

Un componente de infraestructura obligatorio al implementar certificados a través de SCEP en un entorno ADCS local.

RADIUS

Servicio de Usuario de Marcación de Autenticación Remota (Remote Authentication Dial-In User Service). Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El servidor (como Microsoft NPS o Cisco ISE) que recibe la solicitud de autenticación desde el punto de acceso WiFi y valida el certificado del dispositivo.

Supplicant

El cliente de software en el dispositivo del usuario final (laptop, smartphone) que inicia el proceso de autenticación 802.1X.

El perfil de WiFi de Intune configura el suplicante nativo del sistema operativo (por ejemplo, Windows WLAN AutoConfig) para utilizar los certificados y métodos EAP correctos.

Certificate Revocation List (CRL)

Una lista firmada digitalmente y publicada por la Autoridad de Certificación que contiene los números de serie de los certificados que han sido revocados y en los que ya no se debe confiar.

Crucial para el cumplimiento de la seguridad; el servidor RADIUS debe verificar la CRL para garantizar que un dispositivo que se conecta no haya sido reportado como perdido o robado.

Ejemplos resueltos

Una cadena minorista de 400 ubicaciones está implementando tabletas propiedad de la empresa para la gestión de inventario. Los dispositivos se administran por completo a través de Intune y están unidos a Azure AD. Necesitan acceso inmediato a la red al arrancar para sincronizar las bases de datos de inventario, antes de que cualquier usuario específico inicie sesión. La infraestructura de red utiliza Cisco ISE como servidor RADIUS. ¿Cuál es la estrategia óptima de implementación de certificados?

El equipo de TI debe implementar certificados de dispositivo PKCS.

  1. Configure una plantilla de certificado de dispositivo en la CA.
  2. Implemente el certificado de la CA raíz en las tabletas a través de Intune.
  3. Cree un perfil de certificado PKCS en Intune, estableciendo el formato del Nombre del sujeto con el ID de dispositivo de Azure AD ({{AAD_Device_ID}}).
  4. Cree un perfil de WiFi empresarial que especifique EAP-TLS, haciendo referencia al nombre del certificado del servidor ISE y al perfil PKCS implementado.
  5. Asigne todos los perfiles al grupo de dispositivos que contiene las tabletas.
Comentario del examinador: PKCS es adecuado aquí porque los dispositivos son propiedad de la empresa y se administran por completo, lo que reduce el riesgo asociado con el tránsito de claves privadas. Los certificados de dispositivo son obligatorios porque las tabletas requieren acceso a la red antes del inicio de sesión del usuario. Al apuntar al ID de dispositivo de Azure AD, Cisco ISE puede autenticar el activo de hardware específico y asignarlo a la VLAN de inventario restringida correcta.

Un gran hospital universitario permite que el personal médico use sus teléfonos inteligentes personales (BYOD) para acceder a las aplicaciones de programación clínica. Los dispositivos están inscritos en Intune a través de un perfil de trabajo. La política de seguridad exige que no se almacenen credenciales corporativas en los dispositivos personales y que el acceso a la red se revoque de inmediato si un dispositivo se ve comprometido. ¿Cómo se debe diseñar la autenticación de WiFi?

El hospital debe implementar certificados de usuario SCEP combinados con directivas de cumplimiento de Intune.

  1. Implemente un servidor NDES para actuar como proxy de las solicitudes a la CA.
  2. Cree un perfil de certificado de usuario SCEP en Intune, con el SAN configurado para el Nombre principal de usuario ({{UserPrincipalName}}).
  3. Cree una directiva de cumplimiento de Intune que requiera una versión mínima del sistema operativo, un bloqueo de pantalla activo y que no tenga acceso jailbreak/root.
  4. Configure la CA para publicar una lista de revocación de certificados (CRL) de alta disponibilidad.
  5. Configure el servidor RADIUS para aplicar estrictamente la verificación de CRL en cada intento de autenticación.
Comentario del examinador: SCEP es la única opción aceptable para BYOD porque la clave privada se genera en el dispositivo personal y no se puede interceptar. Se requieren certificados de usuario para vincular la actividad de la red al médico específico para las auditorías de HIPAA/GDPR. El componente crítico es la integración con las directivas de cumplimiento de Intune; si un dispositivo deja de cumplir, Intune puede activar la revocación del certificado y la verificación de CRL del servidor RADIUS bloqueará de inmediato el acceso a la red.

Preguntas de práctica

Q1. Su organización está migrando de PEAP-MSCHAPv2 (usuario/contraseña) a EAP-TLS para la red WiFi corporativa. Durante la fase piloto, varias laptops con Windows 11 reciben los perfiles de configuración de Intune correctamente pero no logran conectarse a la red. Al revisar los registros de eventos de Windows, se muestra el ID de evento 20271, que indica que el certificado del servidor RADIUS fue rechazado. ¿Cuál es la causa más probable?

Sugerencia: Considera la cadena de confianza requerida para la autenticación mutua.

Ver respuesta modelo

Los dispositivos no tienen el certificado de la CA Raíz de Confianza que emitió el certificado del servidor RADIUS. En EAP-TLS, el dispositivo debe validar la identidad del servidor RADIUS. El equipo de TI debe asegurarse de que el perfil de 'Certificado de confianza' que contiene la CA Raíz (y cualquier CA intermedia) se implemente en los dispositivos a través de Intune y se instale correctamente antes de que el perfil de WiFi intente conectarse.

Q2. Un recinto del sector público está implementando 802.1X para los dispositivos del personal utilizando Intune y certificados PKCS. También operan una red de visitantes independiente gestionada por una plataforma de Guest WiFi. Un auditor señala que si se roba una laptop del personal, el certificado sigue siendo válido durante 12 meses. ¿Cómo debería el arquitecto de red abordar este riesgo?

Sugerencia: ¿Cómo sabe el servidor de autenticación que un certificado ya no es válido antes de que expire?

Ver respuesta modelo

El arquitecto debe implementar un flujo de trabajo sólido de Revocación de Certificados. Primero, asegurarse de que la CA publique una Lista de Revocación de Certificados (CRL) en un punto de distribución de alta disponibilidad. Segundo, configurar el servidor RADIUS (por ejemplo, NPS) para exigir la verificación de la CRL durante cada intento de autenticación. Finalmente, establecer un procedimiento operativo en Intune para revocar explícitamente el certificado de cualquier dispositivo marcado como perdido o robado, lo que actualiza la CRL y bloquea el acceso a la red.

Q3. Está diseñando la implementación de Intune para una flota de dispositivos quiosco compartidos en un entorno minorista. Estos dispositivos se reinician diariamente y deben conectarse inmediatamente a la red corporativa para descargar actualizaciones antes de que cualquier usuario interactúe con ellos. ¿Debería implementar certificados de Usuario o certificados de Dispositivo, y qué formato de Nombre Alternativo del Sujeto (SAN) debería utilizarse?

Sugerencia: Considera el estado del dispositivo inmediatamente después de un reinicio.

Ver respuesta modelo

Debe implementar certificados de Dispositivo. Debido a que los quioscos necesitan acceso a la red antes de que un usuario inicie sesión, un certificado de Usuario no estaría disponible en el momento del arranque. El Nombre Alternativo del Sujeto (SAN) en el perfil de certificado de Intune debe configurarse para utilizar el ID de dispositivo de Azure AD ({{AAD_Device_ID}}) o el nombre de dominio completamente calificado del dispositivo, lo que permite al servidor RADIUS autenticar el activo de hardware específico.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →