Remover certificados SCEP e PKCS no Microsoft Intune
Em Microsoft Intune, pode utilizar o Protocolo de Inscrição de Certificados Simples (SCEP) e os perfis de certificados de criptografia de chaves públicas (PKCS) para adicionar certificados aos dispositivos.
Estes certificados podem ser removidos quando limpar ou retirar o dispositivo. Há também cenários em que os certificados são automaticamente removidos, e cenários onde os certificados permanecem no dispositivo. Este artigo enumera alguns cenários comuns e o seu efeito nos certificados de PKCS e SCEP.
Nota
Para remover e revogar certificados para um utilizador que está a ser removido do Ative Directy ou Azure Ative Directory (Azure AD), siga estes passos por ordem:
- Limpe ou retire o dispositivo do utilizador.
- Remova o utilizador do Diretório Ativo ou Azure AD.
Certificados eliminados manualmente
A eliminação manual de um certificado é um cenário que se aplica em todas as plataformas e certificados previstos pelos perfis de certificados SCEP ou PKCS. Por exemplo, um utilizador pode eliminar um certificado de um dispositivo, quando o dispositivo continua a ser alvo de uma política de certificados.
Neste cenário, após a apagou o certificado, da próxima vez que o dispositivo entrar no Intune, encontra-se fora de conformidade, uma vez que não cumpre o certificado esperado. Intune emite então um novo certificado para restaurar o dispositivo ao cumprimento. Não são necessárias outras medidas para restaurar o certificado.
Dispositivos Windows
Certificados SCEP
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
- O dispositivo é removido de um grupo AZure AD.
- Um perfil de certificado é removido da atribuição do grupo.
Um certificado SCEP é revogado quando:
- Um administrador altera ou atualiza o perfil SCEP.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
Certificados PKCS
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Um certificado PKCS é removido quando:
- O perfil de certificado PKCS já não se destina ao dispositivo ou ao utilizador.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
- Um administrador altera ou atualiza o perfil PKCS.
Dispositivos iOS
Certificados SCEP
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
- O dispositivo é removido do grupo Azure AD.
- Um perfil de certificado é removido da atribuição do grupo.
Um certificado SCEP é revogado quando:
- Um administrador altera ou atualiza o perfil SCEP.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
Certificados PKCS
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Um certificado PKCS é removido quando:
- Um perfil de certificado é removido da atribuição do grupo.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
- Um administrador altera ou atualiza o perfil PKCS.
Dispositivos Android KNOX
Certificados SCEP
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
Um certificado SCEP é revogado quando:
- Um administrador dirige a ação de aposentadoria.
- O dispositivo é removido de um grupo AZure AD.
- Um perfil de certificado é removido da atribuição do grupo.
- Um administrador remove o utilizador ou grupo do Azure AD.
- Um administrador altera ou atualiza o perfil SCEP.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
Certificados PKCS
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador executa a ação de limpeza.
- Um administrador dirige a ação de aposentadoria.
Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
- Um administrador altera ou atualiza o perfil PKCS.
- Um perfil de certificado é removido da atribuição do grupo.
Nota
Os dispositivos Android for Work não são validados para os cenários anteriores. Os dispositivos legados Android (quaisquer dispositivos de perfil não-Samsung, não-trabalho) não estão habilitados para a remoção de certificados.
Certificados macOS
Certificados SCEP
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador dirige uma ação de reforma.
- O dispositivo é removido de um grupo AZure AD.
- Um perfil de certificado é removido da atribuição do grupo.
Um certificado SCEP é revogado quando:
- Um administrador altera ou atualiza o perfil SCEP.
Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um administrador remove o utilizador ou grupo do Azure AD.
Nota
A utilização da ação de eliminação para efetuar a reposição de fábrica de dispositivos macOS não é suportada.
Certificados PKCS
Um certificado SCEP é revogado e removido quando:
- Um utilizador desenrola-se.
- Um administrador dirige a ação de aposentadoria.
Um certificado de raiz é removido quando:
- Um utilizador desenrola-se.
- Um administrador dirige a ação de aposentadoria.
Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:
- Um utilizador perde a licença Intune.
- Um administrador retira a licença intune.
- Um perfil de certificado é removido da atribuição do grupo. (O perfil é removido.)
- Um administrador remove o utilizador ou grupo do Azure AD.
- Um administrador altera ou atualiza o perfil PKCS.