Compartir a través de


Quitar certificados SCEP y PKCS en Microsoft Intune

En Microsoft Intune, puede usar perfiles de certificados de Protocolo de inscripción de certificados simple (SCEP) y Public Key Cryptography Standards (PKCS) para agregar certificados a los dispositivos.

Estos certificados se pueden quitar al borrar o retirar el dispositivo. Los certificados aprovisionados por Intune también se quitan cuando el perfil que aprovisionó el certificado ya no está dirigido al dispositivo o al usuario. Hay otros casos en los que los certificados se quitan automáticamente y otros en los que permanecen en el dispositivo. En este artículo se muestran algunos casos comunes y el impacto en los certificados PKCS y SCEP.

Nota:

Para quitar y revocar certificados para un usuario que se va a quitar de Active Directory local o Microsoft Entra ID, siga estos pasos en orden:

  1. Borre o retire el dispositivo del usuario.
  2. Quite el usuario de Active Directory local o Microsoft Entra ID.

La mayoría de este artículo se aplica a los perfiles de certificado SCEP y PKCS, pero no a los certificados PKCS importados. Intune quita los certificados PKCS importados cuando se quitan los datos de la empresa del dispositivo o cuando se anula la inscripción de un dispositivo de la administración.

Certificados eliminados manualmente

La eliminación manual de un certificado es un escenario que se aplica a las plataformas y los certificados aprovisionados por SCEP o los perfiles de certificado PKCS. Por ejemplo, un usuario podría eliminar un certificado de un dispositivo si a dicho dispositivo se le sigue aplicando una directiva de certificados.

En este caso, una vez eliminado el certificado, la próxima vez que el dispositivo se registra con Intune se detecta que este no es compatible, ya que carece del certificado esperado. A continuación, Intune emite un nuevo certificado para restaurar el cumplimiento del dispositivo. No se necesita ninguna otra acción para restaurar el certificado.

Nota:

Los certificados SCEP se quitan pero no se revocan cuando se usa una entidad de certificación de terceros.

Dispositivos Windows

Certificados SCEP

Un certificado SCEP se revoca y se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.
  • El dispositivo se quita de un grupo de Microsoft Entra.
  • Un perfil de certificado se quita de la asignación de grupo.

Un certificado SCEP se revoca cuando:

  • Un administrador cambia o actualiza el perfil SCEP.

Un certificado raíz se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.
  • Un perfil de certificado se quita de la asignación de grupo.

Los certificados SCEP permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.

Certificados PKCS

Un certificado PKCS se revoca y se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Un certificado PKCS se quita cuando:

  • El perfil de certificado PKCS ya no tiene como destino el dispositivo o el usuario.

Un certificado raíz se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Los certificados PKCS permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.
  • Un administrador cambia o actualiza el perfil PKCS.

Dispositivos iOS

Certificados SCEP

Un certificado SCEP se revoca y se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.
  • El dispositivo se quita del grupo de Microsoft Entra.
  • Un perfil de certificado se quita de la asignación de grupo.

Un certificado SCEP se revoca cuando:

  • Un administrador cambia o actualiza el perfil SCEP.

Un certificado raíz se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Los certificados SCEP permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.

Certificados PKCS

Un certificado PKCS se revoca y se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Un certificado PKCS se quita cuando:

  • Un perfil de certificado se quita de la asignación de grupo.

Un certificado raíz se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Los certificados PKCS permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.
  • Un administrador cambia o actualiza el perfil PKCS.

Dispositivos Android KNOX

Certificados SCEP

Un certificado SCEP se revoca y se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.

Un certificado SCEP se revoca cuando:

  • Un administrador ejecuta la acción de retirar.
  • El dispositivo se quita de un grupo de Microsoft Entra.
  • Un perfil de certificado se quita de la asignación de grupo.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.
  • Un administrador cambia o actualiza el perfil SCEP.

Un certificado raíz se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Los certificados SCEP permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.

Certificados PKCS

Un certificado PKCS se revoca y se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Un certificado raíz se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de borrar.
  • Un administrador ejecuta la acción de retirar.

Los certificados PKCS permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.
  • Un administrador cambia o actualiza el perfil PKCS.
  • Un perfil de certificado se quita de la asignación de grupo.

Nota:

Los dispositivos Android for Work no están validados para los escenarios anteriores. Los dispositivos antiguos de Android (todos los dispositivos de perfiles que no sean de trabajo ni de Samsung) no están habilitados para la eliminación de certificados.

Certificados macOS

Certificados SCEP

Un certificado SCEP se revoca y se elimina cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta una acción de retirar.
  • El dispositivo se quita de un grupo de Microsoft Entra.
  • Un perfil de certificado se quita de la asignación de grupo.

Un certificado SCEP se revoca cuando:

  • Un administrador cambia o actualiza el perfil SCEP.

Los certificados SCEP permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.

Nota:

No se admite el uso de la acción borrar para restablecer la configuración de fábrica de los dispositivos macOS.

Certificados PKCS

Un certificado PKCS se revoca y se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de retirar.

Un certificado raíz se quita cuando:

  • Un usuario anula su inscripción.
  • Un administrador ejecuta la acción de retirar.

Los certificados PKCS permanecen en el dispositivo (es decir, no se revocan ni se quitan) cuando:

  • Un usuario pierde la licencia de Intune.
  • Un administrador retira la licencia de Intune.
  • Un perfil de certificado se quita de la asignación de grupo. (El perfil se elimina).
  • Un administrador quita el usuario o grupo de Microsoft Entra ID.
  • Un administrador cambia o actualiza el perfil PKCS.

Siguientes pasos

Uso de certificados para la autenticación