Las credenciales móviles permiten a las organizaciones administrar certificados y claves privadas en Servicios de dominio de Active Directory (AD DS), además de información acerca del estado de la aplicación o la configuración.

Cómo funcionan las credenciales móviles

Las credenciales móviles usan los mecanismos de inscripción automática e inicio de sesión para descargar certificados y claves de forma segura en un equipo local siempre que el usuario inicie una sesión y, si se desea, quitarlos cuando el usuario cierra la sesión. Además, la integridad de estas credenciales se mantiene en todas las condiciones, incluso cuando se actualizan los certificados o cuando los usuarios inician una sesión en más de un equipo al mismo tiempo.

En el procedimiento siguiente se describe el funcionamiento de las credenciales digitales móviles.

  1. Un usuario inicia una sesión en un equipo cliente conectado a un dominio de Active Directory.

  2. Como parte del proceso de inicio de sesión, se aplica la directiva de grupo de credenciales móviles al equipo del usuario.

  3. Si es la primera vez que se usan las credenciales móviles, los certificados del almacén de certificados del usuario en el equipo cliente se copian en AD DS.

  4. Si el usuario ya tiene certificados en AD DS, los certificados del almacén de certificados del usuario del equipo cliente se comparan con los certificados almacenados para el usuario en AD DS.

  5. Si los certificados del almacén de certificados del usuario están actualizados, no se realiza ninguna otra acción. Sin embargo, si AD DS tiene almacenados certificados más recientes para el usuario, estas credenciales se copian en el equipo cliente. Sin embargo, si el equipo cliente tiene almacenados certificados más recientes para el usuario, estas credenciales se copian en AD DS.

  6. Si se necesitan certificados adicionales en el equipo cliente, se procesan las solicitudes de inscripción automática de certificados pendientes.

    Nota

    Los certificados recién emitidos se almacenan en el almacén de certificados del equipo cliente y se replican en AD DS.

  7. Cuando el usuario inicia una sesión en otro equipo cliente conectado al dominio, se aplica la misma configuración de directiva de grupo y, una vez más, las credenciales se replican desde AD DS. Las credenciales móviles sincronizan y resuelven los posibles conflictos entre los certificados y las claves privadas de los equipos cliente en los que inicie una sesión el usuario, así como en AD DS.

    Importante

    Es posible que en los entornos con múltiples dominios y en los dominios con varios controladores de dominio, las credenciales no estén inmediatamente disponibles cuando el usuario inicia una sesión en la red con un controlador de dominio justo después de haberse emitido un certificado en un equipo que valida la identidad del usuario con otro controlador de dominio. Las credenciales solo estarán disponibles cuando haya finalizado la replicación entre los dos dominios o controladores de dominio.

  8. Cuando el certificado del usuario expira, el certificado antiguo se archiva automáticamente en el perfil del usuario en el equipo y en AD DS.

Las credenciales móviles se activan cada vez que cambia una clave privada o un certificado en el almacén de certificados local del usuario, siempre que el usuario bloquea o desbloquea su equipo, y siempre que se actualiza la directiva de grupo.

Se firman y se cifran todas las comunicaciones relacionadas con los certificados entre los componentes del equipo local y entre el equipo local y AD DS.


Tabla de contenido