Integre Intune MDM con Identity Services Engine

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de septiembre de 2021
ID del documento:217290

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo integrar la gestión de dispositivos móviles (MDM) de Intune con Cisco Identity Services Engine (ISE).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos sobre los servicios de MDM en Cisco ISE
    • Conocimiento de Microsoft Azure Intune Services

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Identity Services Engine 3.0
    • Aplicación Intune de Microsoft Azure

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Los servidores de MDM protegen, supervisan, administran y admiten dispositivos móviles implementados en operadores móviles, proveedores de servicios y empresas. Estos servidores actúan como el servidor de políticas que controla el uso de algunas aplicaciones en un dispositivo móvil (por ejemplo, una aplicación de correo electrónico) en el entorno implementado. Sin embargo, la red es la única entidad que puede proporcionar acceso granular a los terminales en función de las listas de control de acceso (ACL). ISE consulta a los servidores de MDM los atributos de dispositivo necesarios para crear ACL que proporcionen control de acceso a la red para dichos dispositivos. Cisco ISE se integra con Microsoft Intune MDM Server para ayudar a las organizaciones a proteger los datos corporativos cuando los dispositivos intentan acceder a los recursos en las instalaciones.

    Configurar

    Diagrama de la red

    Integrate Intune MDM with ISE - Intune Integration Architecture

    Configurar Microsoft Intune

    Importar los certificados de Intune Portal al almacén de confianza de ISE

    Inicie sesión en la consola de administración de Intune o en la consola de administración de Azure, cualquiera que sea el sitio que tenga su arrendatario. Utilice el navegador para obtener los detalles del certificado:

    Paso 1. Abra el Microsoft Azure portal desde un navegador web.

    Paso 2. Haga clic en el símbolo de bloqueo de la barra de herramientas del explorador y, a continuación, haga clic en View Certificates.

    Paso 3. En la ventana Certificado, haga clic en el botón Certification Path  ficha. Un ejemplo se muestra aquí:

    Integrate Intune MDM with ISE - Azure Certificate

    Paso 4. Buscar Baltimore Cyber Trust root, que es la CA raíz habitual. Sin embargo, si hay otra CA raíz distinta, haga clic en ese certificado de CA raíz. En la ficha Detalles de ese certificado de CA raíz, puede copiarlo en el archivo y guardarlo como certificado BASE64.

    Paso 5. En ISE, vaya a Administration > System > Certificates > Trusted Certificatese importe el certificado raíz que se acaba de guardar. Dé un nombre descriptivo al certificado, como Azure MDM. Repita también el procedimiento para los certificados de CA intermedios.

    Implementar ISE como una aplicación en el portal de Azure

    Paso 1. Desplácese hasta el Azure Active Directory y elija App registrations.

    Integrate Intune MDM with ISE - App Registrations

    Paso 2. En el App registrations, cree un nuevo registro de aplicación con el nombre de ISE. Haga clic en Create como se muestra en esta imagen.

    Integrate Intune MDM with ISE - Create New Application

    Paso 3. Elegir Settings para editar la aplicación y agregar los componentes requeridos.

    Integrate Intune MDM with ISE - Edit the Application

    Paso 4. Debajo Settings, elija los permisos necesarios y aplique estas opciones:

    1. Microsoft Graph
      • Permisos de aplicación
        • Leer datos de directorio
      • Permisos delegados
        • Leer configuración y directivas de dispositivos de Microsoft Intune
        • Leer configuración de Microsoft Intune
        • Iniciar sesión como usuarios
        • Acceder a los datos del usuario en cualquier momento

    2. API de Microsoft Intune
      • Permisos de aplicación
        • Obtener información sobre el estado y el cumplimiento del dispositivo de Microsoft Intune

    3. Windows Azure Active Directory
      • Permisos de aplicación
        • Leer datos de directorio

      • Permisos delegados
        • Leer datos de directorio
        • Inicie sesión y lea el perfil de usuario

    El resultado de la configuración es similar a lo que se muestra aquí :

    Integrate Intune MDM with ISE - Intune Configuration Details

    Integrate Intune MDM with ISE - Required Permissions

    Paso 5. Haga clic en Grant Permissions para confirmar todos los permisos de la aplicación. Este proceso tarda de 5 a 10 minutos en surtir efecto. Edite el Azure Manifest para la aplicación creada para importar certificados de CA de ISE internos.

    Importar certificados de ISE a la aplicación en Azure

    Paso 1. Descargue el archivo de manifiesto de la aplicación.

    Integrate Intune MDM with ISE - Download the ISE Manifest File

    Nota: Es un archivo con una extensión JSON. No edite el nombre de archivo o la extensión; de lo contrario, no se podrá editar.

    Paso 2. Exporte el certificado del sistema ISE desde todos los nodos. En el panel, desplácese hasta Administration > System > Certificates > System Certificates, elija el certificado de servidor autofirmado predeterminado y haga clic en Export. Elegir Export Certificate Only (valor predeterminado) y elija un lugar para guardarlo. Elimine las etiquetas BEGIN y END del certificado y copie el resto del texto como una sola línea. Esto se aplica a las versiones anteriores a junio de 2020 descritas en la sección Legacy Option (Opción heredada).

    Integrate Intune MDM with ISE - Export System Certificate

    Desde junio de 2020, el portal le permite cargar certificados directamente.

    Integrate Intune MDM with ISE - Certificates and Secrets

    Opción heredada:

    Paso 1. Ejecute un procedimiento de PowerShell para convertir el certificado a BASE64 e importarlo correctamente al archivo de manifiesto JSON de Azure. Utilice la aplicación ISE de Windows PowerShell o Windows PowerShell desde Windows. Use estos comandos:

    $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import(“mycer.cer”)
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
 
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
 
$keyid = [System.Guid]::NewGuid().ToString()

    Paso 2. Mantener los valores para $base64Thumbprint, $base64Value,y $keyid, que se utilizan en el paso siguiente. Todos estos valores se agregan al campo JSON keyCredentials dado que, de forma predeterminada, tiene el siguiente aspecto:

    Integrate Intune MDM with ISE - JSON Default Field keyCredentials

    Para ello, asegúrese de utilizar los valores en este orden:

    "keyCredentials": [

  {

  “customKeyIdentifier“: “$base64Thumbprint_from_powerShell_for_PPAN”,

  “keyId“: “$keyid_from_above_PPAN“,

  "type": "AsymmetricX509Cert",

  "usage": "Verify",

  "value": "Base64 Encoded String of ISE PPAN cert"

  },

  {

  “customKeyIdentifier“: “$base64Thumbprint_from_powerShell_for_SPAN”,

  “keyId“: “$keyid_from_above_SPAN“,

  "type": "AsymmetricX509Cert",

  "usage": "Verify",

  "value": "Base64 Encoded String of ISE SPAN cert"

  }
],

    Paso 3. Cargar el archivo editado JSON a Azure Portal para validar la keyCredentials de los certificados utilizados en ISE.

    Debe tener un aspecto similar al siguiente:

    Integrate Intune MDM with ISE - Edited JSON File

    Paso 4. Tenga en cuenta que, después de la carga, el value campo debajo de keyCredentials espectáculos null ya que esto es forzado por el lado de Microsoft para no permitir que estos valores sean vistos después de la primera carga.

    Los valores necesarios para agregar el servidor MDM en ISE se pueden copiar desde Microsoft Azure AD Graph API Endpoint y OAUTH 2.0 Token Endpoint.

    Integrate Intune MDM with ISE - Endpoints

    Estos valores deben introducirse en la GUI de ISE. Desplácese hasta Administration > Network Resources > External MDM   y agregue un nuevo servidor:

    ISE

    Intune

    URL de detección automática

    Terminales > Extremo API de Microsoft Azure AD Graph

    ID del cliente

    {Registered-App-Name} > ID de aplicación

    URL de emisión de token

    Terminales > Terminal Token de OAuth 2.0

    Integrate Intune MDM with ISE - Add MDM Server

    Una vez completada la configuración, el estado muestra habilitado.

    Integrate Intune MDM with ISE - MDM Server Status Enabled

    Verificación y resolución de problemas

    "Error de conexión al servidor" basado en sun.security.validatorException

    Integrate Intune MDM with ISE - Connection to the Server Failed Error Message

    Paso 1. Recopile el paquete de soporte con estos registros en el nivel TRACE:

    • portal (guest.log)
    • mdmportal (ise-psc.log)
    • external-mdm (ise-psc.log)

    Paso 2. Cheque ise-psc.log para estos registros:

    • 2016-10-17 12:45:52,158 DEBUG [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmAzureActiveDirectoryClient -::::- ClientId - a46a6fd7-4a31-4471-9078-59cb2bb6a5ab, Token issuance endpoint - https://login
    • microsoftonline.com/273106dc-2878-42eb-b7c8-069dcf334687/oauth2/token, ResourceId/App Id uri - https://graph.windows.net
    • 2016-10-17 12:45:52,329 DEBUG [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmCertAndKeyUtil -::::- Certificate Friendly Name -USMEM-AM01-ISE.Sncorp.smith-nephew.com#USMEM-AM01-ISE.Sncorp.smith-nephew.c
    • om#00003
    • 2016-10-17 12:45:52,354 DEBUG [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmCertAndKeyUtil -::::- Result of command invocation
    • 2016-10-17 12:45:52,363 DEBUG [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmCertAndKeyUtil -::::- Result of command invocation
    • 2016-10-17 12:45:52,364 DEBUG [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmCertAndKeyUtil -::::- Successfuly decrypted private key
    • 2016-10-17 12:45:52,794 ERROR [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmAzureActiveDirectoryClient -::::- There is a problem with the Azure certificates or ISE trust store. sun.security.validator
    • .ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    • 2016-10-17 12:45:52,794 ERROR [admin-http-pool9300][] cisco.cpm.mdm.authtoken.MdmAzureActiveDirectoryClient -::::- Unable to acquire access token from Azure
    • java.util.concurrent.ExecutionException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
    • : unable to find valid certification path to requested target

    Esto indica que es necesario importar el archivo graph.microsoft.com presente en esta página.

    Integrate Intune MDM with ISE - Graph

    Paso 3. Haga clic en el locker y compruebe los detalles del certificado.

    Integrate Intune MDM with ISE - Graph Certificate Information

    Paso 4. Guárdelo en un archivo en formato BASE64 e impórtelo a ISE Trusted Store. Asegúrese de importar la cadena de certificados completa. Después de esto, vuelva a probar la conexión con el servidor MDM.

    Error al adquirir token de autenticación de Azure AD

    Integrate Intune MDM with ISE - Failed to Acquire Auth Token from Azure AD Error Message

    Normalmente, este error se produce cuando el manifiesto JSON contiene la cadena de certificados ISE incorrecta. Antes de cargar el archivo de manifiesto en Azure, verifique si al menos esta configuración está presente:

    "keyCredentials": [
  {
  “customKeyIdentifier“: “$base64Thumbprint_from_powerShell_for_PPAN”,
  “keyId“: “$keyid_from_above_PPAN“,
  "type": "AsymmetricX509Cert",
  "usage": "Verify",
  "value": "Base64 Encoded String of ISE PPAN cert"
  },
  {
  “customKeyIdentifier“: “$base64Thumbprint_from_powerShell_for_SPAN”,
  “keyId“: “$keyid_from_above_SPAN“,
  "type": "AsymmetricX509Cert",
  "usage": "Verify",
  "value": "Base64 Encoded String of ISE SPAN cert"
  }
}
],

    El ejemplo anterior se basa en un escenario en el que hay una PAN y una SAN. Ejecute de nuevo los scripts desde PowerShell e importe los valores BASE64 adecuados. Intente cargar el archivo de manifiesto y no debe enfrentarse a ningún error.

    $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import(“mycer.cer”)
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
 
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
 
$keyid = [System.Guid]::NewGuid().ToString()

    Recuerde aplicar los valores para $base64Thumbprint, $base64Value  y $keyid como se menciona en los pasos de la sección Configurar.

    Error al adquirir token de autenticación de Azure AD

    Integrate Intune MDM with ISE - MDM Server API Error Message

    A menudo, este error se produce cuando no se conceden los permisos adecuados a la aplicación de Azure en portal.azure.com. Compruebe que la aplicación tiene los atributos correctos y asegúrese de que hace clic en Grant Permissions cada cambio.

    Integrate Intune MDM with ISE - Failed to Acquire Auth Token Error Message

    Este mensaje aparece cuando ISE intenta acceder a la URL de emisión de token y devuelve un certificado que ISE no envía. Asegúrese de que la cadena completa de CA esté en el almacén de confianza de ISE. Si el problema continúa después de instalar el certificado correcto en el almacén de confianza de ISE, realice capturas de paquetes y pruebe la conectividad para ver qué se envía.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    02-Sep-2021
    Se ha agregado una imagen a la sección Configurar Microsoft Intune
    1.0
    05-Aug-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Deon Pillsbury
      Cisco TAC Engineer
    • Surendra Reddy Kanala
      Cisco TAC Engineer
    • Ruben Maia
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos