Remover certificados SCEP e PKCS no Microsoft Intune

Em Microsoft Intune, pode utilizar o Protocolo de Inscrição de Certificados Simples (SCEP) e os perfis de certificados de criptografia de chaves públicas (PKCS) para adicionar certificados aos dispositivos.

Estes certificados podem ser removidos quando limpar ou retirar o dispositivo. Há também cenários em que os certificados são automaticamente removidos, e cenários onde os certificados permanecem no dispositivo. Este artigo enumera alguns cenários comuns e o seu efeito nos certificados de PKCS e SCEP.

Nota

Para remover e revogar certificados para um utilizador que está a ser removido do Ative Directy ou Azure Ative Directory (Azure AD), siga estes passos por ordem:

1. Limpe ou retire o dispositivo do utilizador.
2. Remova o utilizador do Diretório Ativo ou Azure AD.

Certificados eliminados manualmente

A eliminação manual de um certificado é um cenário que se aplica em todas as plataformas e certificados previstos pelos perfis de certificados SCEP ou PKCS. Por exemplo, um utilizador pode eliminar um certificado de um dispositivo, quando o dispositivo continua a ser alvo de uma política de certificados.

Neste cenário, após a apagou o certificado, da próxima vez que o dispositivo entrar no Intune, encontra-se fora de conformidade, uma vez que não cumpre o certificado esperado. Intune emite então um novo certificado para restaurar o dispositivo ao cumprimento. Não são necessárias outras medidas para restaurar o certificado.

Dispositivos Windows

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.
• O dispositivo é removido de um grupo AZure AD.
• Um perfil de certificado é removido da atribuição do grupo.

Um certificado SCEP é revogado quando:

• Um administrador altera ou atualiza o perfil SCEP.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.

Certificados PKCS

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Um certificado PKCS é removido quando:

• O perfil de certificado PKCS já não se destina ao dispositivo ou ao utilizador.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.
• Um administrador altera ou atualiza o perfil PKCS.

Dispositivos iOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.
• O dispositivo é removido do grupo Azure AD.
• Um perfil de certificado é removido da atribuição do grupo.

Um certificado SCEP é revogado quando:

• Um administrador altera ou atualiza o perfil SCEP.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.

Certificados PKCS

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Um certificado PKCS é removido quando:

• Um perfil de certificado é removido da atribuição do grupo.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.
• Um administrador altera ou atualiza o perfil PKCS.

Dispositivos Android KNOX

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.

Um certificado SCEP é revogado quando:

• Um administrador dirige a ação de aposentadoria.
• O dispositivo é removido de um grupo AZure AD.
• Um perfil de certificado é removido da atribuição do grupo.
• Um administrador remove o utilizador ou grupo do Azure AD.
• Um administrador altera ou atualiza o perfil SCEP.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.

Certificados PKCS

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador executa a ação de limpeza.
• Um administrador dirige a ação de aposentadoria.

Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.
• Um administrador altera ou atualiza o perfil PKCS.
• Um perfil de certificado é removido da atribuição do grupo.

Nota

Os dispositivos Android for Work não são validados para os cenários anteriores. Os dispositivos legados Android (quaisquer dispositivos de perfil não-Samsung, não-trabalho) não estão habilitados para a remoção de certificados.

Certificados macOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador dirige uma ação de reforma.
• O dispositivo é removido de um grupo AZure AD.
• Um perfil de certificado é removido da atribuição do grupo.

Um certificado SCEP é revogado quando:

• Um administrador altera ou atualiza o perfil SCEP.

Os certificados SCEP permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um administrador remove o utilizador ou grupo do Azure AD.

Nota

A utilização da ação de eliminação para efetuar a reposição de fábrica de dispositivos macOS não é suportada.

Certificados PKCS

Um certificado SCEP é revogado e removido quando:

• Um utilizador desenrola-se.
• Um administrador dirige a ação de aposentadoria.

Um certificado de raiz é removido quando:

• Um utilizador desenrola-se.
• Um administrador dirige a ação de aposentadoria.

Os certificados PKCS permanecem no dispositivo (os certificados não são revogados ou removidos) quando:

• Um utilizador perde a licença Intune.
• Um administrador retira a licença intune.
• Um perfil de certificado é removido da atribuição do grupo. (O perfil é removido.)
• Um administrador remove o utilizador ou grupo do Azure AD.
• Um administrador altera ou atualiza o perfil PKCS.

Passos seguintes

Utilizar certificados para autenticação