Usar certificados de autenticação no Microsoft Intune
Use os certificados com o Intune para autenticar seus usuários em aplicativos e recursos corporativos pelos perfis de VPN, Wi-Fi ou e-mail. Quando utiliza certificados para autenticar estas ligações, os utilizadores finais não precisam de introduzir nomes de utilizador e palavras-passe, o que pode tornar o acesso totalmente integrado. Os certificados também são usados para assinatura e criptografia de e-mail usando S/MIME.
Introdução aos certificados com o Intune
Os certificados fornecem acesso autenticado sem atraso nas duas fases a seguir:
- Fase de autenticação: a autenticidade do usuário é verificada para confirmar se o usuário é quem ele diz ser.
- Fase de autorização: o usuário está sujeito às condições em que uma determinação é feita sobre se o usuário deve receber acesso.
Os cenários de uso típicos para certificados incluem:
- Autenticação de rede (por exemplo, 802.1x) com certificados de dispositivo ou de usuário
- Autenticação com servidores VPN usando certificados de dispositivo ou de usuário
- Assinatura de email com base em certificados de usuário
O Intune dá suporte ao protocolo SCEP, aos PKCS (Padrões de Criptografia por Chave Pública) e aos certificados PKCS importados como métodos para provisionar certificados em dispositivos. Os diferentes métodos de provisionamento têm requisitos e resultados diferentes. Por exemplo:
- O SCEP provisiona certificados exclusivos para cada solicitação do certificado.
- O PKCS provisiona cada dispositivo com um certificado exclusivo.
- Com o PKCS Importado, você pode implantar o mesmo certificado que exportou de uma fonte, como um servidor de e-mail para vários destinatários. Esse certificado compartilhado é útil para garantir que todos os usuários ou dispositivos possam descriptografar emails que foram criptografados por esse certificado.
Para provisionar um usuário ou dispositivo com um tipo específico de certificado, o Intune usa um perfil de certificado.
Além dos três tipos de certificado e métodos de aprovisionamento, precisa de um certificado de raiz fidedigna de uma Autoridade de Certificação (AC) fidedigna. A AC pode ser uma Autoridade de Certificação local da Microsoft ou uma Autoridade de Certificação de terceiros. O certificado raiz confiável estabelece uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos. Para implementar este certificado, utilize o perfil de certificado fidedigno e implemente-o nos mesmos dispositivos e utilizadores que recebem os perfis de certificado para SCEP, PKCS e PKCS importados.
Dica
O Intune também dá suporte ao uso de Credenciais derivadas para ambientes que exigem o uso de cartões inteligentes.
O que é necessário para usar certificados
- Uma Autoridade de Certificação. Sua AC é a fonte de confiança que os certificados referenciam para autenticação. Você pode usar uma AC da Microsoft ou uma AC de terceiros.
- Infraestrutura local. A infraestrutura necessária depende dos tipos de certificado que utiliza:
- Um certificado raiz confiável. Antes de implantar perfis de certificado SCEP ou PKCS, implante o certificado raiz confiável de sua AC usando um perfil de certificado confiável. Esse perfil ajuda a estabelecer a confiança do dispositivo de volta para a AC e é exigida pelos outros perfis de certificado.
Com um certificado de raiz fidedigna implementado, está pronto para implementar perfis de certificado para aprovisionar utilizadores e dispositivos com certificados para autenticação.
Qual perfil de certificado usar
As comparações a seguir não são abrangentes, mas se destinam a ajudar a distinguir o uso dos diferentes tipos de perfil de certificado.
| Tipo de perfil | Detalhes |
|---|---|
| Certificado confiável | Use para implantar a chave pública (certificado) de uma AC raiz ou AC intermediária em usuários e dispositivos a fim de estabelecer uma relação de confiança de volta com a AC de origem. Outros perfis de certificado exigem o perfil de certificado confiável e o certificado raiz dele. |
| Certificado SCEP | Exibe um modelo para uma solicitação de certificado para usuários e dispositivos. Cada certificado provisionado usando o SCEP é exclusivo e vinculado ao usuário ou ao dispositivo que solicita o certificado. Com o SCEP, pode implementar certificados em dispositivos sem uma afinidade de utilizador, incluindo a utilização do SCEP para aprovisionar um certificado em QUIOSK ou dispositivo sem utilizador. |
| Certificado PKCS | Implanta um modelo para uma solicitação de certificado que especifica um tipo de certificado de usuário ou de dispositivo. - Os pedidos para um tipo de certificado de utilizador requerem sempre afinidade de utilizador. Quando implantado em um usuário, cada um dos dispositivos do usuário recebe um certificado exclusivo. Quando implantado em um dispositivo com um usuário, esse usuário é associado ao certificado desse dispositivo. Quando implantado em um dispositivo sem usuário, nenhum certificado é provisionado. - Os modelos com um tipo de certificado de dispositivo não necessitam de afinidade de utilizador para aprovisionar um certificado. A implantação em um dispositivo provisiona o dispositivo. A implantação em um usuário provisiona o dispositivo ao qual o usuário está conectado com um certificado. |
| Certificado importado PKCS | Implanta um certificado em vários dispositivos e usuários, que dá suporte a cenários como assinatura e criptografia S/MIME. Por exemplo, implantando o mesmo certificado em cada dispositivo, cada dispositivo pode descriptografar emails recebidos desse mesmo servidor de email. Outros métodos de implementação de certificados são insuficientes para este cenário, uma vez que o SCEP cria um certificado exclusivo para cada pedido e o PKCS associa um certificado diferente para cada utilizador, com diferentes utilizadores a receberem certificados diferentes. |
Certificados e uso compatíveis com o Intune
| Tipo | Autenticação | Autenticação S/MIME | Criptografia S/MIME |
|---|---|---|---|
| Certificado PKCS (Public Key Cryptography Standards) importado |  |
|
|
| PKCS#12 (ou PFX) | |
|
|
| Protocolo SCEP | |
|
Para implementar estes certificados, crie e atribua perfis de certificado a dispositivos.
Cada perfil de certificado individual que você criou oferece suporte a uma única plataforma. Por exemplo, se utilizar certificados PKCS, crie um perfil de certificado PKCS para Android e um perfil de certificado PKCS separado para iOS/iPadOS. Se também utilizar certificados SCEP para essas duas plataformas, crie um perfil de certificado SCEP para Android e outro para iOS/iPadOS.
Considerações gerais quando você usa uma Autoridade de Certificação da Microsoft
Quando você usa uma Autoridade de Certificação da Microsoft (CA):
Para usar os perfis de certificado SCEP:
Para usar os perfis de certificado PKCS:
Para usar os certificados PKCS importados:
- Instale o Certificate Connector para Microsoft Intune.
- Exporte os certificados da autoridade de certificação e importe-os para o Microsoft Intune. Consulte o Projeto PFXImport do PowerShell.
Implante certificados usando os seguintes mecanismos:
- Perfis de certificado confiáveis para implantar o certificado de AC de raiz confiável por meio de sua AC raiz ou intermediária (emissora) nos dispositivos
- Perfis de certificado SCEP
- Perfis de certificado PKCS
- Perfis de certificado PKCS importados
Considerações gerais sobre o uso de uma Autoridade de Certificação de terceiros
Quando usar uma autoridade de certificação (CA) de terceiros (não Microsoft):
Para usar os perfis de certificado SCEP:
- Configure a integração com uma AC de terceiros de um de nossos parceiros com suporte. Para realizar a configuração, siga as instruções da AC de terceiros para concluir a integração da AC com o Intune.
- Crie uma aplicação no Microsoft Entra ID que delega direitos ao Intune para fazer a validação do desafio de certificado SCEP.
Os certificados PKCS importados exigem que você instale o Certificate Connector para Microsoft Intune.
Implante certificados usando os seguintes mecanismos:
- Perfis de certificado confiáveis para implantar o certificado de AC de raiz confiável por meio de sua AC raiz ou intermediária (emissora) nos dispositivos
- Perfis de certificado SCEP
- Perfis de certificado PKCS (com suporte apenas da Digicert PKI Platform)
- Perfis de certificado PKCS importados
Perfis de certificado e plataformas compatíveis
| Plataforma | Perfil de certificado confiável | Perfil de Certificado PKCS | Perfil de Certificado SCEP | Perfil de certificado PKCS importado |
|---|---|---|---|---|
| Administrador de dispositivo Android | Suportado(consulte Nota 1) |
|
|
|
| Android Enterprise – Totalmente Gerido (Proprietário do Dispositivo) | |
|
|
|
| Android Enterprise - Dedicado (Proprietário do Dispositivo) | |
|
|
|
| Android Enterprise - Perfil de Trabalho do Corporate-Owned | |
|
|
|
| Android Enterprise - Perfil de Trabalho do Personally-Owned | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 e posterior | |
|
||
| Windows 10/11 | Suportado(consulte Nota 2) |
Suportado(consulte Nota 2) |
Suportado(consulte Nota 2) |
|
- Nota 1 – a partir do Android 11, os perfis de certificado fidedignos já não podem instalar o certificado de raiz fidedigna em dispositivos inscritos como administradores de dispositivos Android. Essa limitação não se aplica ao Samsung Knox. Para obter mais informações, consulte Perfis de certificado confiável do administrador do dispositivo Android.
- Nota 2 – este perfil é suportado para ambientes de trabalho remotos de várias sessões do Windows Enterprise.
Importante
A 22 de outubro de 2022, o Microsoft Intune terminou o suporte para dispositivos com o Windows 8.1. A assistência técnica e as atualizações automáticas nestes dispositivos não estão disponíveis.
Se utilizar atualmente o Windows 8.1, recomendamos a mudança para dispositivos Windows 10/11. O Microsoft Intune tem funcionalidades de segurança e dispositivos incorporadas que gerem dispositivos cliente Windows 10/11.
Importante
O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.
Próximas etapas
Mais recursos:
Crie os perfis de certificado:
- Configurar um perfil de certificado confiável
- Configurar a infraestrutura para dar suporte aos Certificados SCEP com o Intune
- Configurar e gerenciar certificados PKCS com o Intune
- Criar um perfil de certificado PKCS importado
Saiba mais sobre o Certificate Connector para Microsoft Intune
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de