Partilhar via

Remover os certificados SCEP e PKCS no Microsoft Intune

  • Artigo

No Microsoft Intune, você pode usar os perfis de certificado SCEP (Simple Certificate Enrollment Protocol) e PKCS (Public Key Cryptography Standards) para adicionar certificados aos dispositivos.

Esses certificados poderão ser removidos quando você limpar ou desativar o dispositivo. Os certificados provisionados pelo Intune também são removidos quando o perfil que provisionou o certificado não se destina mais para o dispositivo ou o usuário. Também há outros cenários em que os certificados são removidos automaticamente e cenários em que os certificados permanecem no dispositivo. Este artigo lista alguns cenários comuns e seus efeitos nos certificados PKCS e SCEP.

Observação

Para remover e revogar certificados de um utilizador que está a ser removido do Active Directory no local ou do Microsoft Entra ID, siga estes passos pela ordem:

  1. Apague ou desative o dispositivo do usuário.
  2. Remova o utilizador do Active Directory no local ou do ID do Microsoft Entra.

A maior parte deste artigo se aplica aos perfis de certificados SCEP e PKCS, mas não aos certificados PKCS importados. Os certificados PKCS importados são removidos pelo Intune quando os dados da empresa são removidos do dispositivo ou quando um dispositivo for cancelado do gerenciamento.

Certificados excluídos manualmente

A exclusão manual de um certificado é um cenário que se aplica a diferentes plataformas e certificados fornecidos pelos perfis de certificado SCEP ou PKCS. Por exemplo, um usuário poderá excluir um certificado de um dispositivo quando o dispositivo permanecer direcionado por uma política de certificado.

Nesse cenário, depois que o certificado for excluído, na próxima vez em que o dispositivo fizer check-in no Intune, ele estará fora de conformidade devido à ausência do certificado esperado. O Intune emitirá um novo certificado para restaurar a conformidade do dispositivo. Nenhuma outra ação é necessária para restaurar o certificado.

Observação

Os certificados SCEP são removidos, mas não revogados ao utilizar uma autoridade de certificação de terceiros.

Dispositivos Windows

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • O dispositivo é removido de um grupo do Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • Um perfil de certificado é removido da atribuição de grupo.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado PKCS é removido quando:

  • O perfil de certificado PKCS não é mais destinado ao dispositivo ou ao usuário.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.
  • Um administrador altera ou atualiza o perfil PKCS.

Dispositivos iOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • O dispositivo é removido do grupo Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado PKCS é removido quando:

  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.
  • Um administrador altera ou atualiza o perfil PKCS.

Dispositivos Android KNOX

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.

Um certificado do SCEP é revogado quando:

  • Um administrador executa a ação desativar.
  • O dispositivo é removido de um grupo do Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.
  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.
  • Um administrador altera ou atualiza o perfil PKCS.
  • Um perfil de certificado é removido da atribuição de grupo.

Observação

Os dispositivos Android for Work não são validados para os cenários anteriores. Os dispositivos herdados Android (dispositivos de perfil que não sejam de trabalho ou da Samsung) não estão habilitados para remoção do certificado.

Certificados do macOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa uma ação desativar.
  • O dispositivo é removido de um grupo do Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.

Observação

Não há suporte para usar a ação apagar em uma redefinição de fábrica dos dispositivos macOS.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação desativar.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um perfil de certificado é removido da atribuição de grupo. (O perfil é removido.)
  • Um administrador remove o utilizador ou grupo do ID do Microsoft Entra.
  • Um administrador altera ou atualiza o perfil PKCS.

Próximas etapas

Utilizar certificados para autenticação