Adicionar autoridades de certificação parceiras no Intune com o SCEP

Utilize as autoridades de certificação de terceiros (CA) com a Intune. Os CAs de terceiros podem fornecer dispositivos móveis com certificados novos ou renovados utilizando o Protocolo de Inscrição de Certificados Simples (SCEP), e podem suportar dispositivos Windows, iOS/iPadOS, Android e macOS.

Existem duas partes para utilizar esta funcionalidade: API open source e tarefas de administrador do Intune.

Parte 1 – utilizar uma API open source
A Microsoft criou uma API para integrar com o Intune. Através da API pode validar certificados, enviar notificações de sucesso ou falha, e utilizar a SSL, especificamente a fábrica de tomadas SSL, para comunicar com a Intune.

A API está disponível para transferência no Repositório do GitHub público da API do SCEP no Intune e pode utilizá-la nas suas soluções. Utilize esta API com servidores SCEP de terceiros para executar a validação de desafio personalizado contra o Intune antes de o SCEP prever um certificado a um dispositivo.

A secção Integração com a solução de gestão do SCEP no Intune fornece mais detalhes sobre como utilizar a API, os seus métodos e como testar a solução que criar.

Parte 2 – criar a aplicação e o perfil
Ao utilizar uma aplicação do Azure Active Directory (Azure AD), pode delegar direitos ao Intune para processar pedidos de SCEP provenientes de dispositivos. A aplicação do Azure AD inclui o ID da aplicação e os valores de chave de autenticação que são utilizados na solução de API criada pelo programador. Os administradores criam e implantam perfis de certificados SCEP utilizando o Intune e podem visualizar relatórios sobre o estado de implantação dos dispositivos.

Este artigo fornece uma descrição geral desta funcionalidade a partir da perspetiva do administrador, incluindo como criar a aplicação do Azure AD.

Descrição Geral

As seguintes etapas fornecem uma visão geral da utilização do SCEP para certificados em Intune:

1. No Intune, um administrador cria um perfil de certificado SCEP e, em seguida, direciona o perfil para utilizadores ou dispositivos.
2. O dispositivo é registado no Intune.
3. O Intune cria um desafio SCEP exclusivo. Também adiciona outras informações de verificação de integridade, tal como o assunto e o SAN esperado.
4. O Intune encripta e assina as informações de verificação de integridade e o desafio e, em seguida, envia estas informações para o dispositivo com o pedido de SCEP.
5. O dispositivo gera um pedido de assinatura do certificado (CSR) e o par de chaves pública/privada no dispositivo com base no perfil de certificado SCEP que é emitido pelo Intune.
6. O CSR e o desafio encriptado/assinado são enviados para o ponto final do servidor do SCEP de terceiros.
7. O servidor do SCEP envia o CSR e o desafio para o Intune. Em seguida, o Intune valida a assinatura, desencripta o payload e compara o CSR às informações de verificação de integridade.
8. O Intune envia de volta uma resposta para o servidor do SCEP e indica se a validação do desafio ocorreu com êxito.
9. Se o desafio for verificado com êxito, o servidor do SCEP emite o certificado para o dispositivo.

O seguinte diagrama mostra um fluxo detalhado da integração do SCEP de terceiros com o Intune:

Configurar a integração de autoridades de certificação de terceiros

Validar autoridades de certificação de terceiros

Antes de integrar as autoridades de certificação de terceiros com o Intune, confirme se a autoridade de certificação que está a utilizar suporta o Intune. A secção Parceiros de autoridades de certificação de terceiros (neste artigo) inclui uma lista. Também pode verificar a documentação de orientação da autoridade de certificação para obter mais informações. A autoridade de certificação pode incluir instruções de configuração específicas à respetiva implementação.

Nota

Para suportar os seguintes dispositivos, o CA deve suportar a utilização de um URL HTTPS quando configurar que deve configurar um URL HTTPS quando configurar URLs do Servidor SCEP para o perfil de certificado SCEP:

• Android device administrator (Administrador de dispositivos Android)
• Proprietário de dispositivo Android Enterprise
• Perfil de trabalho corporativo da Android Enterprise
• Perfil de trabalho pessoal da Android Enterprise

Autorizar a comunicação entre a AC e o Intune

Para permitir que um servidor do SCEP de terceiros execute a validação do desafio personalizado com o Intune, crie uma aplicação no Azure AD. Esta aplicação fornece direitos delegados ao Intune para validar pedidos de SCEP.

Certifique-se de que tem as permissões obrigatórias para registar uma aplicação do Azure AD. Consulte as permissões necessárias,na documentação Azure AD.

Criar uma Aplicação no Azure Active Directory

1. No portal Azure,vá a Azure Ative Directory > Registos de Aplicações, e, em seguida, selecione Novas inscrições.

2. Na página registar uma candidatura, especifique os seguintes detalhes:

   • Na secção Nome, insira um nome de aplicação significativo.
   • Para a secção de tipos de conta suportada, selecione Contas em qualquer diretório organizacional.
   • Para redirecionar uri, deixe o padrão da Web e, em seguida, especifique o URL de inscrição para o servidor SCEP de terceiros.

3. Selecione Registar-se para criar a aplicação e abrir a página 'Visão Geral' para a nova aplicação.

4. Na página de Visão Geral da aplicação, copie o valor de ID da Aplicação (cliente) e grave-o para utilização posterior. Vai precisar deste valor mais tarde.

5. No painel de navegação para a aplicação, aceda aos segredos & certificados em Manage. Selecione o botão secreto do novo cliente. Introduza um valor em Descrição, selecione qualquer opção para Expira , e, em seguida, escolha Adicionar para gerar um valor para o segredo do cliente.

   Importante

   Antes de sair desta página, copie o valor para o segredo do cliente e grave-o para posterior utilização com a sua implementação de CA de terceiros. Este valor não é mostrado novamente. Certifique-se de rever as orientações para o seu CA de terceiros sobre como eles querem configurar o ID de aplicação, chave de autenticação e ID do inquilino.

6. Grave a sua identificação de inquilino. O ID do Inquilino é o texto de domínio após o sinal @ na sua conta. Por exemplo, se a sua conta admin@name.onmicrosoft.com for, então a sua identificação de inquilino é name.onmicrosoft.com.

7. No painel de navegação para a aplicação, aceda às permissões da API, que estão sob Gestão. Vai adicionar três permissões de candidatura separadas:

   1. Selecione Adicionar uma permissão:

      1. Na página de permissões da API do Pedido, selecione Intune e, em seguida, selecione permissões de aplicação.
      2. Selecione a caixa de verificação para scep_challenge_provider (validação de desafio SCEP).
      3. Selecione Adicionar permissões para guardar esta configuração.

   2. Selecione Adicione novamente uma permissão.

      1. Na página de permissões da API do Pedido, selecione > permissões de Aplicação microsoft Graph .
      2. Expandir a aplicação e selecionar a caixa de verificação para Aplicação.Ler.Tudo (Ler todas as aplicações).
      3. Selecione Adicionar permissões para guardar esta configuração.

   3. Selecione Adicione novamente uma permissão.

      1. Na página de permissões da API do Pedido, selecione permissões Azure Ative Directory Graph > Application.
      2. Expandir a aplicação e selecionar a caixa de verificação para Aplicação.Ler.Tudo (Ler todas as aplicações).
      3. Selecione Adicionar permissões para guardar esta configuração.

8. Permaneça na página de permissões da API e selecione o consentimento de administração grant para <your tenant> _, e, em seguida, selecione _ Sim.

   O processo de registo de aplicações em Azure AD está completo.

Configurar e implementar um perfil de certificado SCEP

Enquanto administrador, crie um perfil de certificado SCEP para direcionar para utilizadores ou dispositivos. Em seguida, atribua o perfil.

• Criar um perfil de certificado SCEP

• Atribuir o perfil de certificado

Remover certificados

Quando anula a inscrição ou apaga os dados do dispositivo, os certificados são removidos. Os certificados não são revogados.

Parceiros de autoridades de certificação de terceiros

As seguintes autoridades de certificação de terceiros suportam o Intune:

• DigiCert
• EJBCA
• Confiança
• EverTrust
• HID Global
• GlobalSign
• Idnomic
• SCEPman
• Sectigo
• SecureW2
• Venafi

Se for uma autoridade de certificação de terceiros interessada em integrar o seu produto com o Intune, reveja a documentação de orientação da API:

• Repositório do GitHub da API do SCEP no Intune
• Documentação de orientação da API do SCEP no Intune para ACs de terceiros

Ver também

• Configurar perfis de certificado
• Repositório do GitHub da API do SCEP no Intune
• Documentação de orientação da API do SCEP no Intune para ACs de terceiros