Introducción y contexto
La autenticación basada en certificados (CBA) es una de las formas más sólidas de proteger el acceso a Microsoft 365, Azure portal y otras aplicaciones protegidas por Entra. Muchas organizaciones quieren las ventajas de CBA, como autenticación resistente al phishing, eliminación de contraseñas y una sólida identidad de dispositivo, pero no quieren operar una autoridad de certificación ni pagar un extra por Microsoft Cloud PKI.
Foxpass Cloud PKI ofrece una PKI privada totalmente gestionada que funciona en todas las plataformas de dispositivos y se integra fácilmente con Entra ID para habilitar CBA con una sobrecarga mínima. Esta guía te ofrece un recorrido por:
La arquitectura de Entra CBA con Foxpass Cloud PKI
Cómo Foxpass Cloud PKI emite certificados ClientAuth
Cómo implementar certificados con tu MDM
Cómo configurar Entra CBA
Cómo usar el mismo certificado para Wi-Fi/VPN con Foxpass Cloud RADIUS
Sigue esta guía y pronto tendrás una implementación de CBA funcional con Foxpass como tu PKI privada.
Arquitectura de referencia para Entra CBA con Foxpass Cloud PKI
Un diagrama que muestra cómo Foxpass Cloud PKI, MDM y Microsoft Entra ID funcionan juntos para la autenticación basada en certificados.
Foxpass Cloud PKI emite certificados de autenticación de cliente a los dispositivos a través del MDM de la organización (como Intune, Jamf, Iru/Kandji o Addigy). Los dispositivos presentan estos certificados al iniciar sesión en Microsoft Entra ID mediante CBA. Entra valida la cadena de certificados, la asignación de usuarios y EKU antes de conceder acceso a las aplicaciones en la nube.
Prerrequisitos y requisitos
Lista de verificación de requisitos de Foxpass
Cloud PKI de Foxpass habilitado
CA del cliente creada y exportada
Endpoint SCEP creado
Integración de MDM y/o instalador de BYOD (tráete tu dispositivo)
Lista de requisitos de Microsoft Entra
tenant de Entra ID
Autenticación basada en certificados activada
CA de cliente de Foxpass cargado
Asignación SAN (UPN/correo electrónico) definida
Lista de comprobación de requisitos de MDM
Capacidad del perfil SCEP
Guía de configuración paso a paso
1. Verifica o crea tu CA de cliente en Foxpass
Foxpass Cloud PKI requiere una CA de cliente (autoridad de certificación emisora) para firmar los certificados de dispositivo usados para Microsoft Entra CBA y Wi-Fi/VPN EAP-TLS.
Inicia sesión en la consola de Foxpass y ve a RADIUS → EAP-TLS
Si todavía no existe ninguna CA de cliente, crea una ahora:
En "Client Certificate Authorities," haz clic en "Create new Client CA"
Edita el nombre de la CA, la validez de la CA y el período de validez del certificado si lo deseas, y luego haz clic en "Create CA"
3. En "Client Certificate Authorities," haz clic en "Download CA" para guardarlo para más tarde
Una vez creada la CA del cliente, Foxpass emite automáticamente certificados EKU de autenticación de cliente (ClientAuth), certificados con las extensiones de uso de clave adecuadas y valores SAN/Subject obtenidos de tu inscripción en MDM.
2. Asegúrate de que exista un endpoint SCEP de Foxpass
Todos los MDM compatibles usan SCEP para solicitar y renovar certificados de Foxpass.
Ve a Foxpass Console → RADIUS → SCEP
Si ya se muestra una URL del servidor SCEP (endpoint único), continúa con el paso 4
Haz clic en "Create SCEP Endpoint" y luego asigna un nombre, tipo de verificación, tipo de autenticación y selecciona la CA de cliente del paso 1 anterior
Toma nota de "Unique Endpoint" y "Challenge Password" para más tarde
3. Implementa certificados mediante tu MDM o el instalador de certificados BYOD (tráete tu dispositivo) de Foxpass
Una vez que Client CA y el endpoint SCEP estén configurados, tu MDM podrá emitir certificados de dispositivo para Entra CBA.
Foxpass es compatible con MDMs con capacidad SCEP (Microsoft Intune, Jamf, Iru (Kandji), Addigy y más), así como con el instalador de certificados BYOD (tráete tu dispositivo) de Foxpass (inscripción basada en OAuth).
Tu MDM determina el Subject/SAN (UPN o correo electrónico), el comportamiento de renovación y la generación de claves. Foxpass firma el certificado y gestiona la revocación.
Opción A: Microsoft Intune
Paso A1: Crea un perfil de certificado SCEP
Ve al Centro de administración de Intune
Ve a Dispositivos → Perfiles de configuración → Crear perfil
Elige plataforma (Windows, iOS/iPadOS, macOS, Android)
Tipo de perfil: certificado SCEP
Configura los siguientes ajustes clave:
Configuración | Relación calidad-precio |
URL del servidor SCEP | ‘Endpoint único’ de Foxpass SCEP |
Formato del nombre del asunto | {{UserPrincipalName}} o {{EmailAddress}} |
Tamaño de clave | 2048 o 4096 |
Uso de la clave | Firma digital, cifrado de claves |
EKU | Autenticación de clientes |
Algoritmo hash | SHA-256 |
Umbral de renovación | Recomendado: 20–30% |
Paso A2: Configura la autenticación SCEP
Tipo de autenticación → secreto compartido
Secreto → Foxpass SCEP "Contraseña de desafío" (de la consola de Foxpass)
Paso A3: Asignar y validar
Asigna el perfil a grupos de usuarios/dispositivos y verifica:
Certificado emitido por Foxpass Client CA
SAN/el asunto coincide con el UPN o el correo electrónico
EKU = autenticación de cliente
Opción B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
Entra CBA no requiere Intune para el aprovisionamiento de certificados. Esto significa que puedes usar Entra CBA incluso en entornos no gestionados por Intune, incluidas flotas mixtas de Apple, implementaciones multiplataforma, entornos educativos, dispositivos de contratistas/BYOD (tráete tu dispositivo) y organizaciones que usan MDM no pertenecientes a Microsoft.
Estos MDM siguen la misma lógica subyacente que Intune, usando SCEP para generar claves en el dispositivo y solicitar certificados de Foxpass. Puedes encontrar aquí las instrucciones completas de cada uno:
Opción C: dispositivos BYOD (tráete tu dispositivo)
Usa el instalador de certificados BYOD (tráete tu dispositivo) de Foxpass y completa los siguientes pasos:
El usuario inicia sesión con OAuth usando Microsoft Entra ID (Nota: el inicio de sesión de Google del instalador de BYOD (tráete tu dispositivo) no se puede usar para Microsoft Entra CBA. CBA requiere certificados que se asignen a identidades de Entra.)
Foxpass emite un certificado ClientAuth
El certificado se instala localmente (no se requiere MDM)
Esto es ideal para contratistas, dispositivos de estudiantes (EDU) o endpoints no gestionados.
4. Sube la CA de cliente de Foxpass a Microsoft Entra
Para usar este método, Microsoft Entra debe confiar en tu CA emisora.
Paso 1: Descarga el certificado Client CA
Ve a Foxpass Console → RADIUS → EAP-TLS
Descarga el certificado CA del cliente
Paso 2: sube la CA del cliente a Entra
Ve a Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities
Sube el certificado CA del cliente de Foxpass
5. Configura la autenticación basada en certificados de Microsoft Entra
En Entra Admin Center:
Habilitar la autenticación basada en certificados
Elige reglas de asignación:
SAN → UPN (recomendado)
SAN → correo electrónico
EKU requerido → Autenticación de cliente
Opcional: restringe por emisor o política de certificados
Consulta Microsoft Learn para ver reglas avanzadas de asignación, requisitos de EKU, restricciones del emisor y una guía completa de la configuración de Entra CBA:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. Aplica políticas de acceso condicional
Crea una política de acceso condicional:
Usuarios: empieza con un grupo de prueba
Aplicaciones: Microsoft 365 o todas las aplicaciones en la nube
Conceder: requerir autenticación basada en certificados
Mejoras opcionales:
Bloquear el inicio de sesión con contraseña
Exige dispositivos conformes o unidos al dominio
Añadir opción alternativa de MFA
7. Probar la autenticación basada en certificados
En un dispositivo con un certificado emitido por Foxpass:
Visita https://portal.office.com
Introduce tu nombre de usuario
El navegador solicita un certificado
Selecciona el certificado emitido por Foxpass
La autenticación se realiza correctamente sin contraseña
Si tienes algún problema al autenticarte con un certificado, verifica que el emisor sea Foxpass Client CA y que el SAN/Subject coincida con el UPN/correo electrónico.
(Opcional) Usa el mismo certificado de Foxpass para Wi-Fi/VPN (EAP-TLS)
Una ventaja de usar Foxpass Cloud PKI es que el mismo certificado de dispositivo emitido para Microsoft Entra CBA también puede usarse para un acceso seguro por Wi‑Fi o VPN mediante EAP-TLS con Foxpass Cloud RADIUS.
Con EAP-TLS, las organizaciones pueden:
Aplica acceso a la red Zero Trust
Elimina las contraseñas para Wi‑Fi y VPN
Asegúrate de que solo los dispositivos con un certificado válido emitido por Foxpass puedan unirse
Aplica la asignación de VLAN, reglas de confianza del dispositivo o políticas basadas en la identidad
Comparte el mismo ciclo de vida de certificados en la autenticación en la nube de Entra CBA y el acceso a la red
Conclusión
Usar Foxpass Cloud PKI con Microsoft Entra CBA y tu MDM te permite:
Una PKI privada totalmente gestionada
Emisión de certificados multiplataforma
Gestión automatizada del ciclo de vida de los certificados
Identidad de certificado unificada para el acceso SaaS y Wi‑Fi/VPN (opcional)
Integración fluida con Intune, Jamf, Iru (Kandji), Addigy y BYOD (tráete tu dispositivo)
Esta configuración ofrece un enfoque moderno, sin contraseñas y basado en certificados para proteger tanto la identidad como el acceso a la red sin ejecutar tu propia CA.
