Partilhar via

Conector de certificado para Microsoft Intune

  • Artigo

Para Microsoft Intune apoiar a utilização de certificados para autenticação e a assinatura e encriptação de e-mail utilizando s/MIME, pode utilizar o Conector de Certificado para Microsoft Intune. O conector de certificado é o software que instala num servidor no local para ajudar a entregar e gerir certificados para os seus dispositivos geridos pelo Intune.

Este artigo introduz o Conector certificado para Microsoft Intune, o seu ciclo de vida e como mantê-lo atualizado.

Dica

A partir de 29 de julho de 2021, o Conector certificado da Microsoft Intune substitui a utilização do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Connector. O novo conector inclui a funcionalidade de ambos os conectores anteriores. Apesar de os conectores anteriores se manterem no suporte,já não estão disponíveis para download. Se precisar de instalar um novo conector ou reinstalar um conector, instale o conector de certificado mais recente para Microsoft Intune.

Descrição geral do conector

Para utilizar o conector de certificado, primeiro descarregará software a partir do centro de administração Microsoft Endpoint Manager, que depois instalará num Servidor Windows.

Durante a instalação, pode instalar um ou mais recursos de conector, incluindo suporte para:

  • Certificados de pares chave privados e públicos (PKCS)
  • Certificados importados de PKCS
  • Protocolo SCEP (Simple Certificate Enrollment Protocol)
  • Revogação do certificado

Também irá atribuir uma conta de serviço para executar o conector. Esta conta é utilizada para todas as interações com a sua Autoridade de Certificação, e para emissão de certificados, revogação e renovação. As opções suportadas para a conta de serviço incluem a conta SYSTEM dos servidores de conector ou uma conta de Domínio.

Após a instalação do conector, pode voltar a executar a configuração do conector a qualquer momento para o atualizar ou alterar as funcionalidades instaladas. Depois de instalado e configurado, o conector pode instalar automaticamente atualizações futuras para manter os conectores atualizados para o lançamento mais recente.

Intune suporta a instalação de múltiplas instâncias do conector em um inquilino, e cada instância pode suportar diferentes características. Se utilizar vários conectores que suportam diferentes funcionalidades, os pedidos de certificado são sempre encaminhados para um conector relevante. Por exemplo, se instalar dois conectores que suportam PKCS, e instalar mais dois que suportam tanto pKCS como SCEP, as tarefas de certificado para PKCS podem ser geridas por qualquer um dos quatro conectores, mas as tarefas para SCEP são apenas direcionadas para os dois conectores que suportam o SCEP.

Cada instância do conector de certificado tem os mesmos requisitos de rede que os dispositivos que são geridos pela Intune. Para obter mais informações, consulte os pontos finais da Rede para Microsoft Intune,e os requisitos de configuração da rede Intune e largura de banda.

Capacidades do conector de certificado

O Conector de Certificado para Microsoft Intune suporta:

  • PKCS #12 pedidos de certificado.

  • Certificados importados de PKCS (ficheiro PFX) para encriptação de e-mail S/MIME para um utilizador específico.

  • Emissão de certificados de protocolo de inscrição de certificados simples (SCEP). Quando utilizar uma Autoridade de Certificação de Certificados de Diretório Ativo (CA), também chamada de Microsoft CA, também deve configurar o Serviço de Inscrição de Dispositivos de Rede (NDES) no servidor que acolhe o conector.

    A utilização do SCEP com uma Autoridade de Certificação de terceiros, não requer a utilização do Conector de Certificados para Microsoft Intune.

  • Revogação do certificado.

  • Atualizações automáticas para novas versões. Quando os servidores que acolhem o conector de certificado podem aceder à internet, instalam automaticamente novas atualizações para se manterem atualizados. Quando um conector não atualizar automaticamente, pode atualizar manualmente o conector.

  • Instalação de até 100 instâncias do conector por inquilino Intune, com cada instância em um servidor Windows separado. Quando utiliza vários conectores:

    • Cada instância do conector deve ter acesso à chave privada utilizada para encriptar as palavras-passe de cada ficheiro PFX carregado.

    • Cada instância do conector deve estar na mesma versão. Como o conector suporta atualizações automáticas para a versão mais recente, as atualizações podem ser geridas por Intune.

    • A sua infraestrutura suporta redundância e equilíbrio de carga, uma vez que qualquer instância de conector disponível que suporte as mesmas funcionalidades do conector pode processar os seus pedidos de certificado.

    • Pode configurar um representante para permitir que o conector se comunique com o Intune.

      Nota

      Qualquer instância do conector que suporte PKCS pode ser usada para recuperar pedidos de PKCS pendentes da fila do Serviço Intune, processar certificados importados e lidar com pedidos de revogação. Não é possível definir que conector lida com cada pedido.

      Por conseguinte, cada conector que suporte PKCS deve ter as mesmas permissões e poder conectar-se com todas as autoridades de certificação definidas posteriormente nos perfis do PKCS.

Ciclo de vida

Periodicamente, são divulgadas atualizações ao conector do certificado. Os anúncios para novas atualizações aparecem no artigo What's New para Intune, e no Que há de novo para a secção De Conector de Certificados neste artigo.

Quando uma nova versão é lançada, o suporte para a versão anterior é depreciado com um período de carência limitado para a sua utilização continuada. Após o termo do período de carência, o suporte para a versão prectada termina e pode parar de funcionar a qualquer momento. O período de graça é de seis meses.

Se não permitir que o conector atualize automaticamente, planeie atualizá-lo manualmente para a versão mais recente na primeira oportunidade.

Atualização automática

O Intune pode atualizar automaticamente o conector para a versão mais recente pouco depois de a versão do conector ser lançada.

Para atualizar automaticamente, o servidor que acolhe o conector deve aceder ao serviço de atualização Azure:

  • Porto: 443
  • Ponto final: autoupdate.msappproxy.net

Quando as firewalls, infraestruturas ou configurações de rede limitam o acesso para atualização automática, resolva os problemas de bloqueio ou actualiu manualmente o conector para a nova versão.

Atualização manual

O processo de atualização manual de um conector de certificado é o mesmo para reinstalar um conector.

Pode atualizar manualmente um conector de certificado mesmo quando suporta atualizações automáticas. Por exemplo, pode atualizar manualmente o conector quando a configuração da rede bloqueia uma atualização automática.

Reinstalar um conector de certificado

  1. No Windows Server que acolhe o conector, execute o programa de instalação do conector para desinstalar o conector.

  2. Para instalar a nova versão, utilize o procedimento para instalar uma nova versão do conector. Certifique-se de que existem pré-requisitos novos ou atualizados ao instalar uma versão mais recente de um conector.

Estado do conector

No centro de administração Microsoft Endpoint Manager, pode selecionar um conector de certificado para visualizar informações sobre o seu estado:

  1. Inscreva-se no centro de administração Microsoft Endpoint Manager

  2. Aceda aos conectores de certificados da administração do > arrendatário. >

  3. Selecione um conector para visualizar o seu estado.

Ao visualizar o estado do conector:

  • Os conectores preprecados mostram um Aviso. Após o período de carência de seis meses, o aviso muda para um Erro.
  • Os conectores que estão para além do período de graça mostram um Erro. Estes conectores já não são suportados e podem deixar de funcionar a qualquer momento.

Registo

Os registos do Conector de Certificado para Microsoft Intune estão disponíveis como registos de eventos no servidor onde o conector está instalado:

  • Espectador de eventos > Registos de aplicação e serviço > Microsoft > Intune > Conectores de certificados

Os seguintes registos estão disponíveis e predefinidos a 50 MB, e têm arquivamento automático habilitado:

  • Log Admin - Este registo contém um evento de registo por pedido ao conector. Os eventos incluem um sucesso com informações sobre o pedido, ou um erro com informações sobre o pedido e o erro.
  • Registo Operacional - Este registo apresenta informações adicionais às encontradas no registo de Admin, e pode ser útil em problemas de depurar. Este registo também apresenta operações em curso em vez de eventos individuais.

Além do nível de registo predefinido, pode permitir a depuração de cada registo para obter detalhes adicionais.

IDs do evento

Todos os eventos têm um dos seguintes IDs:

  • 0001-0999 - Não associado a nenhum cenário específico
  • 1000-1999 - PKCS
  • 2000-2999 - Importação de PKCs
  • 3000-3999 - Revogar
  • 4000-4999 - SCEP

Categorias de Tarefas

Todos os eventos estão marcados com uma categoria de tarefa para ajudar na filtragem. As categorias de tarefas contêm, mas não se limitam à seguinte lista:

PKCS

  • Administração
    • PkcsRequestSuccess - cumpriu e carregou com sucesso um Pedido de PKCS para Intune.
    • PkcsRequestFailure - Não cumpriu ou carregou um Pedido de PKCS para Intune.
  • Operacional
    • PkcsDownloadSuccess - solicitou pkcs com sucesso da Intune
    • PkcsDownloadFailure - Ocorreu uma falha ao descarregar pedidos de PKCS da Intune
    • PkcsDownloadedRequest - Detalhes de um único pedido descarregado da Intune
    • PkcsIssuedSuccess - Emitiu um certificado para um pedido
    • PkcsIssuedFailedAttempt - Ocorreu uma falha durante a emissão de um certificado para um pedido
    • PkcsIssuedFailure - Não emitiu um certificado para um Pedido
    • PkcsUploadSuccess - Detalhes do pedido de sucesso que foi enviado para Intune
    • PkcsUploadFailure - Ocorreu uma falha ao enviar pedidos para o Intune
    • PkcsUploadedRequest - Detalhes de um pedido enviado à Intune

Importação de PKCS

  • Administração
    • PkcsImportRequestSuccess - Descarregou com sucesso pedidos de importação de PKCS da Intune
    • PkcsImportRequestFailure - Ocorreu uma falha ao descarregar pedidos de importação de PKCS da Intune
  • Operacional
    • PkcsImportDownloadSuccess - descarregou com sucesso pedidos de importação de PKCS da Intune
    • PkcsImportDownloadFailure - Ocorreu uma falha ao descarregar pedidos de importação de PKCS da Intune
    • PkcsImportDownloadedRequest - Detalhes de um único pedido descarregado da Intune
    • PkcsImportReencryptSuccess - Reencriptado um certificado importado
    • PkcsImportReencryptFailedAttempt - Ocorreu uma falha ao reencrimar um certificado importado
    • PkcsImportReencryptFailure - Falhou em reencrimar um certificado importado
    • PkcsImportUploadFailure - Ocorreu uma falha ao enviar pedidos para o Intune
    • PkcsImportUploadedRequest - Detalhes de um pedido enviado à Intune

Revogação

  • Administração
    • RevquestSuccess - Pedidos de revogação descarregados com sucesso da Intune
    • Revogar o ReeRequestFailure - Ocorreu uma falha ao descarregar pedidos de revogação da Intune
  • Operacional
    • RevogarDownloadSuccess - Pedidos de revogação descarregados com sucesso da Intune
    • RevokeDownloadFailure - Ocorreu uma falha ao descarregar pedidos de revogação da Intune
    • Revesto de Recaída de Downloaded - Detalhes de um único pedido descarregado da Intune
    • Revogá-lo - Certificado revogado com sucesso
    • Revogar a Falha - Ocorreu uma falha ao revogar um certificado
    • RevokeFailedAttempt - Não revogou um certificado
    • RevutaUploadSuccess - Detalhes do pedido de sucesso que foi enviado para o Intune
    • Revogar o Trabalho- Ocorreu uma falha ao enviar pedidos para o Intune
    • Revesto Desprovido de Revogação - Detalhes de um pedido enviado à Intune

SCEP

  • Administração

    • ScrepRequestSuccess - Pedido SCEP recebido e processado com sucesso e notificado Intune
    • ScepRequestIssuedFailure - Falha na emissão de certificado para pedido scep
    • ScepRequestUploadFailure - Pedido SCEP processado com sucesso mas não notificou Intune

  • Operacional

    • ScepRequestReceived - Pedido recebido do dispositivo
    • ScepVerifySuccess - Pedido verificado com sucesso com Intune
    • ScepVerifyFailure - Verificação do pedido falhou
    • ScepIssuedSuccess - Certificado emitido com sucesso para pedido
    • ScepIssuedFailure - Falha na emissão de certificado de pedido
    • ScepNotifySuccess - Notificado com sucesso Intune do pedido
    • ScepNotifyAttemptFailed - Tentativa falhada de notificar Intune do estado do pedido.
    • ScepNotifySaveToDiskFailed - Não conseguiu escrever a notificação ao disco. Não poderá notificar Intune do estado do pedido.

Quais as novidades para o Conector de Certificados

As atualizações do Conector de Certificados para Microsoft Intune são lançadas periodicamente. Quando atualizarmos o conector, pode ler sobre as alterações aqui.

Novas atualizações para o conector podem demorar vários dias a ficar disponíveis para cada inquilino. Se ainda não houver uma atualização disponível para o seu inquilino, volte a fazê-lo dentro de um dia ou mais.

16 de agosto de 2021

Versão 6.2108.18.0. - Alterações nesta versão:

Esta atualização inclui:

  • Uma correção para visualizar corretamente o estado do conector atual no centro de administração Microsoft Endpoint Manager.
  • Uma correção para informar corretamente sobre falhas na entrega de certificados SCEP.

29 de julho de 2021

Versão 6.2107.45.0 - O Conector certificado para Microsoft Intune é lançado.

Este conector é um conector unificado na qual inclui as capacidades tanto do Conector de Certificado PFX para Microsoft Intune como Microsoft Intune Connector, que substitui. Com esta versão, os conectores anteriores permanecem suportados, mas já não estão desenvolvidos nem disponíveis para download. Planeie substituir as instalações existentes do indivíduo por instalações deste novo conector unificado.

Passos seguintes

Rever os pré-requisitos para o conector de certificados para Microsoft Intune