Conectores de certificado para Microsoft Intune

Importante

A partir de 29 de julho de 2021, o Conector certificado da Microsoft Intune substitui a utilização do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Connector. O novo conector inclui a funcionalidade de ambos os conectores anteriores. Apesar de os conectores anteriores se manterem no suporte, já não estão disponíveis para download e não serão desenvolvidos mais.

Se precisar de instalar um novo conector de certificado ou reinstalar um conector, instale o conector de certificado mais recente para Microsoft Intune. Para obter mais informações, consulte o Conector certificado para Microsoft Intune.

Para apoiar a utilização de certificados para autenticação e a assinatura e encriptação de e-mail utilizando s/MIME, a Intune requer a utilização de um conector de certificado. Um conector de certificado é o software que instala num servidor no local. O conector permite que dispositivos geridos pela nuvem provisões de certificados a partir de infraestruturas no local, como uma Autoridade de Certificados de Emissão.

Este artigo descreve os conectores disponíveis, o seu ciclo de vida, pré-requisitos para utilização e como mantê-los atualizados.

Conectores disponíveis

Há dois conectores de certificado para o Intune. Cada um tem os seus próprios usos e requisitos.

PFX Certificate Connector for Microsoft Intune

O Conector de Certificado PFX suporta a implementação de certificados para pkCs #12 pedidos de certificados e trata de pedidos de ficheiros PFX importados para Intune para encriptação de e-mail S/MIME para um utilizador específico.

Dica

Antes da atualização de agosto para este conector (versão 6.2008.60.607), PKCS #12 pedidos de certificado foram tratados pelo Conector de Certificado Intune. Com a atualização de agosto, a funcionalidade para todos os pedidos de certificados PKCS foi consolidada no Conector de Certificado PFX, que suporta a atualização automática do conector para novas versões, e requer a utilização de .NET Framework versão 4.7.2.

Este conector também suporta as seguintes três plataformas, que não são suportadas através do conector Microsoft Intune:

• Android Enterprise - Totalmente Gerido
• Android Enterprise – Dedicado
• Android Enterprise – perfil de trabalho Corporate-Owned

A funcionalidade do Microsoft Intune Connector não está depreciada e pode continuar a usá-la com perfis de certificadoS PKCS para algumas plataformas. No entanto, se não utilizar o SCEP ou necessitar de utilização de NDES, pode mudar para o Conector de Certificado PFX e remover NDES dos seus servidores.

O Conector de Certificado PFX:

• Suporta múltiplas instâncias deste conector para cada inquilino Intune. Cada instância do conector deve ser instalada num Windows Server e ter acesso à chave privada utilizada para encriptar as palavras-passe dos ficheiros PFX carregados.

  Nota

  Todos os conectores precisam de ter as mesmas permissões e poder conectar-se com todas as autoridades de certificação definidas posteriormente nos perfis do PKCS.

  Qualquer instância deste conector pode recuperar pedidos PKCS pendentes da fila do Serviço Intune, uma vez que não é possível definir qual o conector que lida com cada pedido.

  O mesmo se aplica à revogação do certificado.

• Pode instalar no mesmo servidor que acolhe uma instância do conector Microsoft Intune.

• Suporta até 100 casos deste conector por inquilino, com cada instância num servidor Windows separado. Quando utiliza vários conectores:

  • Todas as instâncias do Conector de Certificado PFX no seu ambiente devem estar na mesma versão.
  • A sua infraestrutura suporta redundância e equilíbrio de carga, uma vez que qualquer instância de conector disponível pode processar os seus pedidos de certificado.

• Suporta atualizações automáticas para novas versões. Para instalar automaticamente novas versões, o computador que acolhe o conector deve contactar autoupdate.msappproxy.net na porta 443. Se o conector não atualizar automaticamente, pode atualizar manualmente o conector.

• Suporta a revogação do certificado (requer a versão de execução do conector 6.2008.60.607 ou posterior)

• Tem os mesmos requisitos de rede que os dispositivos geridos

  Para obter mais informações, consulte os pontos finais da Rede para Microsoft Intune,e os requisitos de configuração da rede Intune e largura de banda.

O servidor Windows onde o conector instala:

• Deve correr Windows Server 2012 R2 ou mais tarde.
• Executar o quadro .NET 4.7.2.

Para instalar o conector do Certificado PFX:

Para obter a instalação de orientação deste conector, consulte Download, instalar e configurar o Conector de Certificado PFX.

Microsoft Intune Conector

O conector Microsoft Intune é por vezes referido como o conector de certificado Microsoft Intune. Este conector suporta a implementação de certificados quando utiliza o Protocolo de Inscrição de Certificados Simples (SCEP) e dispõe de uma Autoridade de Certificação de Serviços de Certificados de Diretório Ativo (CA). Este tipo de CA também é referido como um Microsoft CA.

Quando utilizar o SCEP com um Microsoft CA, também deve configurar o Serviço de Inscrição de Dispositivos de Rede (NDES). Por esta razão, este conector é frequentemente referido como o Conector de Certificado NDES.

Se utilizar uma Autoridade de Certificação de terceiros,não precisa de utilizar este conector e o NDES não é necessário.

O Conector Microsoft Intune:

• Suporta a emissão de certificados SCEP

• Pode ser usado para emitir certificados PKCS para a maioria das plataformas de dispositivos, mas não todos. Este conector não suporta a emissão de certificados PKCS para:

  • Android Enterprise - Totalmente Gerido
  • Android Enterprise – Dedicado
  • Android Enterprise – perfil de trabalho Corporate-Owned

  Para suportar essas plataformas, utilize o Conector de Certificado PFX, que suporta a emissão de certificados PKCS para todas as plataformas do dispositivo. Se não utilizar o SCEP, pode desinstalar este conector e utilizar apenas o Conector de Certificado PFX.

  Nota

  Com o PKCS, todos os conectores precisam de ter as mesmas permissões e ser capazes de se conectar com todas as autoridades de certificação definidas mais tarde nos perfis de PKCS.

  Qualquer instância deste conector pode recuperar pedidos PKCS pendentes da fila do Serviço Intune, uma vez que não é possível definir qual o conector que lida com cada pedido.

  O mesmo se aplica à revogação do certificado.

• Instala-se num servidor Windows, que também pode acolher uma instância do Conector de Certificado PFX.

• Suporta até 100 casos deste conector por inquilino, com cada instância num servidor Windows separado. Quando utiliza vários conectores:

  • Todas as instâncias do conector Microsoft Intune no seu ambiente devem estar na mesma versão.
  • A sua infraestrutura suporta redundância e equilíbrio de carga, uma vez que qualquer instância de conector disponível pode processar os seus pedidos de certificado.

• Requer uma atualização manual para instalar a nova versão do conector. A atualização manual requer que desinstale o conector atual e, em seguida, instale a nova versão do conector. Não devem ser necessárias ações adicionais.

• Suporta o modo Federal de Processamento de Informação (FIPS). FIPS não é necessário. Quando o FIPS estiver ativado, pode emitir e revogar certificados.

• Tem os mesmos requisitos de rede que os dispositivos geridos.

  Para obter mais informações, consulte os pontos finais da Rede para Microsoft Intune,e os requisitos de configuração da rede Intune e largura de banda.

O servidor Windows onde o conector instala:

• Deve correr Windows Server 2012 R2 ou mais tarde.
• Executar o quadro .NET 4.5. Quando este conector instalar no mesmo servidor que o Conector de Certificado PFX, deve utilizar a estrutura .NET 4.7.2, que é exigida pelo conector PFX.
• Não pode ser o mesmo servidor que acolhe a Autoridade de Certificados de Emissão (CA).
• Quando utilizado para o SCEP com um Microsoft CA, requer acesso a um servidor que executa NDES. O NDES funciona num servidor Windows e pode funcionar no mesmo servidor que este conector.

Quando o NDES é necessário:

• A configuração de segurança melhorada do Internet Explorer deve ser desativada no servidor que acolhe o NDES e o servidor que acolhe o Conector Microsoft Intune.

• O conector requer configurações adicionais para comunicar com o NDES. Encontrará procedimentos para instalar e configurar o NDES com os procedimentos de instalação do conector Microsoft Intune.

  Para obter mais informações sobre o NDES, consulte a Orientação do Serviço de Inscrição de Dispositivos de Rede.

Para instalar o conector Microsoft Intune:

Para obter orientações sobre a instalação deste conector, consulte a infraestrutura Configure para apoiar o SCEP com a Intune.

Ciclo de vida do conector

Periodicamente, são lançadas versões atualizadas dos conectores de certificados. Os anúncios para novos lançamentos de conector aparecem no artigo What's New para Intune e na secção What's new for Connectors perto do final deste artigo.

Quando uma nova versão é lançada, o suporte para a versão anterior é depreciado com um período de carência limitado para a sua utilização continuada. Após o termo do período de carência, o suporte para a versão prectada termina e pode parar de funcionar a qualquer momento. O período de graça é de seis meses.

Planeie atualizar um conector para a versão mais recente na primeira oportunidade. Cada conector tem um caminho de atualização diferente:

• Conector de certificado PFX para Microsoft Intune - Suporta atualizações automáticas.
• Microsoft Intune Connector - Requer uma atualização manual.

Atualização automática

Quando suportado pelo tipo de conector e pelo seu ambiente, o Intune pode atualizar automaticamente o conector para a versão mais recente pouco depois de a versão do conector ser lançada.

Para atualizar automaticamente, o servidor que acolhe o conector deve aceder ao serviço de atualização Azure:

• Porto: 443
• Ponto final: autoupdate.msappproxy.net

Quando as firewalls, infraestruturas ou configurações de rede limitam o acesso para atualização automática, resolva os problemas de bloqueio ou actualiu manualmente o conector para a nova versão.

Atualização manual

O processo de atualização manual de um conector de certificado é o mesmo para reinstalar um conector.

Pode atualizar manualmente um conector de certificado mesmo quando suporta atualizações automáticas. Por exemplo, pode atualizar manualmente o conector quando a configuração da rede bloqueia uma atualização automática.

Para reinstalar um conector de certificado

1. No Windows servidor que acolhe o conector, utilize Windows aplicações e funcionalidades para desinstalar o conector.

2. Para instalar a nova versão, utilize o procedimento para instalar uma nova versão do conector. Certifique-se de que verifica quaisquer pré-requisitos novos ou atualizados ao instalar uma versão mais recente de um conector:

   • SCEP: Configure a infraestrutura de apoio ao SCEP com a Intune
   • PKCS: Descarregue, instale e configuure o Conector de Certificado PFX para Microsoft Intune

Estado do conector

No centro de administração Microsoft Endpoint Manager, pode selecionar um conector de certificado para visualizar informações sobre o seu estado:

1. Inscreva-se no centro de administração Microsoft Endpoint Manager

2. Aceda aos conectores de certificados da administração do > arrendatário. >

3. Selecione um conector para visualizar o seu estado.

Ao visualizar o estado do conector:

• Os conectores preprecados aparecerão com um Aviso. Após o período de carência de seis meses, o aviso muda para um Erro.
• Os conectores que estão para além do período de graça mostram um Erro. Estes conectores já não são suportados e podem deixar de funcionar a qualquer momento.

Registo

Os seguintes detalhes de registo estão disponíveis a partir da versão 6.2101.13.0 do conector.

Os registos do Conector de Certificado PFX estão disponíveis como registos de eventos no servidor onde o conector está instalado:

• Espectador de eventos > Registos de aplicação e serviço > Microsoft > Intune > Conectores de certificados

Os seguintes registos estão disponíveis e predefinidos a 50 MB, com arquivamento automático habilitado:

• Log Admin - Este registo contém um evento de registo por pedido ao conector. Os eventos incluem um sucesso com informações sobre o pedido, ou um erro com informações sobre o pedido e o erro.
• Registo Operacional - Este registo apresenta informações adicionais do que as encontradas no registo de Admin, e pode ser útil em problemas de depurar. Este registo também apresenta uma operação em curso para o conector PFX Certificate em vez de eventos individuais.

IDs do evento

Todos os eventos têm um dos seguintes IDs:

• 0001-0999 - Não associado a nenhum cenário específico
• 1000-1999 - PKCS
• 2000-2999 - Importação de PKCs
• 3000-3999 - Revogar

Categorias de Tarefas

Todos os eventos estão marcados com uma categoria de tarefa para ajudar na filtragem. As categorias de tarefas contêm, mas não se limitam à seguinte lista:

PKCS

• Administração
  • PkcsRequestSuccess - cumpriu e carregou com sucesso um Pedido de PKCS para Intune.
  • PkcsRequestFailure - Não cumpriu ou carregou um Pedido de PKCS para Intune.
• Operacional
  • PkcsDownloadSuccess - solicitou pkcs com sucesso da Intune
  • PkcsDownloadFailure - Ocorreu uma falha ao descarregar pedidos de PKCS da Intune
  • PkcsDownloadedRequest - Detalhes de um único pedido descarregado da Intune
  • PkcsIssuedSuccess - Emitiu um certificado para um pedido
  • PkcsIssuedFailedAttempt - Ocorreu uma falha durante a emissão de um certificado para um pedido
  • PkcsIssuedFailure - Não emitiu um certificado para um Pedido
  • PkcsUploadSuccess - Detalhes do pedido de sucesso que foi enviado para Intune
  • PkcsUploadFailure - Ocorreu uma falha ao enviar pedidos para o Intune
  • PkcsUploadedRequest - Detalhes de um pedido enviado à Intune

Importação de PKCS

• Administração
  • PkcsImportRequestSuccess - Descarregou com sucesso pedidos de importação de PKCS da Intune
  • PkcsImportRequestFailure - Ocorreu uma falha ao descarregar pedidos de importação de PKCS da Intune
• Operacional
  • PkcsImportDownloadSuccess - descarregou com sucesso pedidos de importação de PKCS da Intune
  • PkcsImportDownloadFailure - Ocorreu uma falha ao descarregar pedidos de importação de PKCS da Intune
  • PkcsImportDownloadedRequest - Detalhes de um único pedido descarregado da Intune
  • PkcsImportReencryptSuccess - Reencriptado um certificado importado
  • PkcsImportReencryptFailedAttempt - Ocorreu uma falha ao reencrimar um certificado importado
  • PkcsImportReencryptFailure - Falhou em reencrimar um certificado importado
  • PkcsImportUploadFailure - Ocorreu uma falha ao enviar pedidos para o Intune
  • PkcsImportUploadedRequest - Detalhes de um pedido enviado à Intune

Revogação

• Administração
  • RevquestSuccess - Pedidos de revogação descarregados com sucesso da Intune
  • Revogar o ReeRequestFailure - Ocorreu uma falha ao descarregar pedidos de revogação da Intune
• Operacional
  • RevogarDownloadSuccess - Pedidos de revogação descarregados com sucesso da Intune
  • RevokeDownloadFailure - Ocorreu uma falha ao descarregar pedidos de revogação da Intune
  • Revesto de Recaída de Downloaded - Detalhes de um único pedido descarregado da Intune
  • Revogá-lo - Certificado revogado com sucesso
  • Revogar a Falha - Ocorreu uma falha ao revogar um certificado
  • RevokeFailedAttempt - Não revogou um certificado
  • RevutaUploadSuccess - Detalhes do pedido de sucesso que foi enviado para o Intune
  • Revogar o Trabalho- Ocorreu uma falha ao enviar pedidos para o Intune
  • Revesto Desprovido de Revogação - Detalhes de um pedido enviado à Intune

O que há de novo para os Conectores

As atualizações dos dois conectores de certificado são lançadas periodicamente. Quando atualizarmos um conector, pode ler sobre as alterações aqui.

Histórico de lançamento do conector de certificado PFX

O Conector de Certificado PFX para Microsoft Intune suporta atualizações automáticas.

10 de março de 2021

Versão 6.2101.16.0. - Alterações nesta versão:

• Melhorias ao fluxo PFX Criar para evitar a duplicação de ficheiros de Pedido de Certificado nos servidores do local que hospedam o conector.

24 de fevereiro de 2021

Versão 6.2101.13.0. Esta nova versão do conector adiciona melhorias para o início de sessão no Conector PFX:

• Nova localização para Registos de Eventos, com registos divididos em Administrador, & Operacional Debug
• Admin & Os registos operacionais predefinidos a 50 MB - com o arquivo automático ativado.
• EventIDs para PKCS Import, PKCS Create e Revocation.

26 de janeiro de 2021

Versão 6.2009.2.0 - Alterações nesta versão:

• Melhora o upgrade do Conector para persistir nas contas que executam os Serviços de Conector.

15 de janeiro de 2021

Versão 6.2009.1.9 - Alterações nesta versão:

• Melhorias na renovação do certificado de conector.

2 de outubro de 2020

Versão 6.2008.60.612 - Alterações nesta versão:

• Corrigi um problema com a entrega de certificados PKCS a dispositivos Android Enterprise Full Managed. A questão exigia que a chave de criptografia Armazenamento Provider (KSP) fosse um fornecedor legado. Agora também pode utilizar uma chave cryptográfica de próxima geração (CNG) Armazenamento Provider.
• Alterações no separador conta CA do Conector de Certificado PFX: O nome de utilizador e a palavra-passe (credenciais) que especifique são agora utilizados para emitir certificados e revogar certificados. Anteriormente, estas credenciais eram utilizadas apenas para revogação de certificados.

Microsoft Intune Histórico de libertação do conector

2 de abril de 2019

Versão 6.1904.1.0 - Alterações nesta versão:

• Corrigiu um problema em que o conector pode não se inscrever no Intune depois de iniciar sessão no conector com uma conta de administrador global.
• Inclui correções de fiabilidade à revogação do certificado.
• Inclui correções de desempenho para aumentar a rapidez com que os pedidos de certificados PKCS são processados.

Passos seguintes

Crie perfis de certificados importados scEP, PKCS ou PKCS para cada plataforma que pretende utilizar. Para continuar, consulte os seguintes artigos:

• Configure a infraestrutura de suporte a certificados SCEP com a Intune
• Configurar e gerir certificados PKCS com o Intune
• Criar um perfil de certificado PKCS importado
• Problemas de resolução de problemas para o conector Microsoft Intune