Certificate Connector para Microsoft Intune

  • Artigo

Para que o Microsoft Intune dê suporte ao uso de certificados para autenticação, bem como para a assinatura e a criptografia de email com o S/MIME, use o Certificate Connector para Microsoft Intune. O Certificate Connector é o software que você instala em um servidor local para ajudar a fornecer e gerenciar certificados para seus dispositivos gerenciados pelo Intune.

Este artigo apresenta o Certificate Connector para Microsoft Intune, o ciclo de vida dele e como mantê-lo atualizado.

Dica

A partir de 29 de julho de 2021, o Conector de Certificados para o Microsoft Intune substituiu o uso do Conector de Certificados PFX para o Microsoft Intune e o Conector do Microsoft Intune. O novo conector inclui a funcionalidade dos dois conectores anteriores. Com o lançamento da versão 6.2109.51.0 do Conector de Certificado para Microsoft, os conectores anteriores não têm mais suporte.

Visão geral do conector

Para usar o conector de certificado, primeiro você baixará o software de dentro do centro de administração Microsoft Intune, que você instalará em um Windows Server.

Durante a instalação, você pode instalar um ou mais recursos do conector, incluindo o suporte para:

  • Certificados de par de chaves pública e privada (PKCS)
  • Certificados PKCS importados
  • Protocolo SCEP
  • Revogação de certificado

Você também atribuirá uma conta de serviço para executar o conector. Essa conta é usada para todas as interações com a sua autoridade de certificação e para emissão de certificados, revogação e renovação. As opções com suporte na conta de serviço incluem a conta SISTEMA de servidores do conector ou uma conta de domínio.

Após a instalação do conector, você pode executar a configuração do conector novamente a qualquer momento para atualizá-la ou alterar os recursos instalados. Depois de instalado e configurado, o conector pode instalar automaticamente as atualizações futuras para manter seus conectores atualizados com a versão mais recente.

O Intune dá suporte à instalação de várias instâncias do conector em um locatário, e cada instância pode dar suporte a diferentes recursos. Se você usar vários conectores que dão suporte a diferentes recursos, as solicitações de certificado serão sempre encaminhadas para um conector relevante. Por exemplo, se você instalar dois conectores que dão suporte ao PKCS e instalar mais dois que dão suporte ao PKCS e ao SCEP, as tarefas de certificado do PKCS poderão ser gerenciadas por um dos quatro conectores, mas as tarefas do SCEP serão direcionadas apenas para os dois conectores que dão suporte ao SCEP.

Cada instância do conector de certificado tem os mesmos requisitos de rede dos dispositivos gerenciados pelo Intune. Para obter mais informações, confira Pontos de extremidade de rede do Microsoft Intune e Requisitos e largura de banda da configuração da rede do Intune.

Funcionalidades do conector de certificado

O Certificate Connector para Microsoft Intune dá suporte ao seguinte:

  • Solicitações de certificado PKCS nº 12.

  • Certificados PKCS importados (arquivo PFX) para a criptografia de email S/MIME de um usuário específico.

  • Emissão de certificados do protocolo SCEP. Ao usar uma AC (autoridade de certificação) dos Serviços de Certificados do Active Directory, também chamada de AC da Microsoft, você também precisa configurar o NDES (Serviço de Registro de Dispositivo de Rede) no servidor que hospeda o conector.

    O uso do SCEP com uma autoridade de certificação de terceiros não exige o uso do Certificate Connector para Microsoft Intune.

  • Revogação de certificado.

  • Atualizações automáticas para novas versões. Quando os servidores que hospedam o conector de certificado podem acessar a Internet, eles instalam automaticamente novas atualizações para se manterem atualizados. Quando a atualização automática de um conector falhar, você poderá atualizá-lo manualmente.

  • Instalação de até 100 instâncias do conector por locatário do Intune, com cada instância em um Windows Server separado. Quando você usa vários conectores:

    • Cada instância do conector precisa ter acesso à chave privada usada para criptografar as senhas de cada arquivo PFX carregado.

    • Cada instância do conector deve ter a mesma versão. Como o conector dá suporte a atualizações automáticas para a versão mais recente, as atualizações podem ser gerenciadas para você pelo Intune.

    • Sua infraestrutura dá suporte à redundância e ao balanceamento de carga, pois qualquer instância do conector disponível que dê suporte aos mesmos recursos do conector pode processar suas solicitações de certificado.

    • Você pode configurar um proxy para permitir que o conector se comunique com o Intune.

      Observação

      Qualquer instância do conector que dê suporte ao PKCS pode ser usada para recuperar as solicitações PKCS pendentes da fila de serviço do Intune, processar os certificados importados e processar as solicitações de revogação. Não é possível definir qual conector processará cada solicitação.

      Portanto, cada conector que dá suporte ao PKCS deve ter as mesmas permissões e ser capaz de se conectar com todas as autoridades de certificação definidas posteriormente nos perfis PKCS.

Ciclo de vida

Periodicamente, as atualizações para o conector de certificado são liberadas. Os comunicados de novas atualizações do conector, incluindo a versão e a data de lançamento de cada atualização, aparecem na seção Novidades do Certificate Connector deste artigo.

Cada nova versão do conector:

  • Há suporte para seis meses após o lançamento de uma nova versão. Durante esse período, as atualizações automáticas instalarão uma versão mais recente do conector. As versões atualizadas do conector incluem, mas não estão limitadas a correções de bugs e melhorias de desempenho e de recursos.

  • Se um conector sem suporte falhar, será preciso atualizar para a versão mais recente com suporte.

  • Se bloquear a atualização automática do conector, planeje atualizar manualmente o conector dentro de seis meses, antes que o suporte para a versão instalada termine. Após o término do suporte, atualize o conector para uma versão que permanece com suporte para receber suporte para problemas com o conector.

  • Os conectores que estão sem suporte continuarão funcionando por até 18 meses após o lançamento de uma nova versão. Após 18 meses, uma funcionalidade de conectores poderá falhar devido a melhorias no nível do serviço, atualizações ou ao lidar com vulnerabilidades comuns de segurança que poderão surgir no futuro.

Por exemplo, quando o conector versão 6.2203.12.0 lançado em 4 de maio de 2022, o conector versão anterior 6.2202.38.0 sairá do suporte em 4 de novembro de 2022. A versão anterior do conector deve continuar funcionando (embora não tenha suporte) até novembro de 2023. Após novembro de 2023, a versão anterior do conector poderá parar de se comunicar com Intune.

Atualização automática

O Intune pode atualizar automaticamente o conector para a última versão logo depois que a versão do conector é liberada.

Para atualizar automaticamente, o servidor que hospeda o conector deve acessar o serviço de atualização do Azure:

  • Porta: 443
  • Ponto de extremidade: autoupdate.msappproxy.net

Quando firewalls, infraestrutura ou configurações de rede limitam o acesso à atualização automática, resolva os problemas de bloqueio ou atualize manualmente o conector para a nova versão.

Atualização Manual

O processo para atualizar manualmente um conector de certificado é igual ao processo para reinstalar um conector.

Você pode atualizar manualmente um conector de certificado mesmo quando ele dá suporte a atualizações automáticas. Por exemplo, você poderá atualizar manualmente o conector quando sua configuração de rede bloquear uma atualização automática.

Reinstalar um conector de certificado

  1. No Windows Server que hospeda o conector, execute o programa de instalação do conector para desinstalar o conector.

  2. Para instalar a nova versão, use o procedimento para instalar uma nova versão do conector. Verifique se há pré-requisitos novos ou atualizados ao instalar uma versão mais recente de um conector.

Status do conector

No centro de administração Microsoft Intune, você pode selecionar um conector de certificado para exibir informações sobre seu status:

  1. Entre no centro de administração do Microsoft Intune

  2. Acesse Administração de locatários>Conectores e tokens>Conectores de certificado.

  3. Selecione um conector para exibir o status.

Ao ver o status do conector:

  • Os conectores preteridos mostram um aviso. Após o período de carência de seis meses, o aviso muda para Erro.
  • Os conectores que estão além do período de carência mostram um Erro. Esses conectores não têm mais suporte e podem parar de funcionar a qualquer momento.

Registrar em log

Os logs do Certificate Connector para Microsoft Intune estão disponíveis como logs de eventos no servidor em que o conector está instalado:

  • Visualizador de Eventos>Logs de Aplicativo e Serviço>Microsoft>Intune>Conectores de Certificado

Os seguintes logs estão disponíveis com o tamanho padrão de 50 MB e têm o arquivamento automático habilitado:

  • Log de Administrador – esse log contém um evento de log por solicitação para o conector. Os eventos incluem sucesso, com informações sobre a solicitação, ou erro, com informações sobre a solicitação e o erro.
  • Log Operacional: esse log exibe informações adicionais além daquelas encontradas no log do Administrador e pode ser usado na depuração de problemas. Esse log também exibe as operações em andamento em vez de eventos únicos.

Além do nível de log padrão, você pode habilitar o log de depuração para cada log para obter mais detalhes.

IDs de evento

Todos os eventos têm uma das seguintes IDs:

  • 0001-0999 – não associado a nenhum cenário específico
  • 1000-1999 – PKCS
  • 2000-2999 – Importação de PKCS
  • 3000-3999 – Revogar
  • 4000-4999 – SCEP
  • 5000-5999 – Integridade do Conector

Categorias de Tarefa

Todos os eventos são marcados com uma Categoria de Tarefa para auxiliar na filtragem. As categorias de tarefas incluem, entre outras:

PKCS

  • Admin

    • Event ID: 1000 - PkcsRequestSuccess
      Êxito ao carregar uma Solicitação PKCS no Intune.

    • Event ID: 1001 - PkcsRequestFailure
      Falha ao atender ou carregar uma Solicitação PKCS no Intune.

    • Event ID: 1200 - PkcsRecryptRequestSuccess
      Êxito ao processar a solicitação de Nova Criptografia PKCS.

    • Event ID: 1201 - PkcsRecryptRequestFailure
      Falha ao processar a solicitação de Nova Criptografia PKCS.

  • Operacional

    • Event ID: 1002 - PkcsDownloadSuccess
      Êxito ao baixar solicitações PKCS do Intune.

    • Event ID: 1003 - PkcsDownloadFailure
      Falha ao baixar solicitações PKCS do Intune.

    • Event ID: 1020 - PkcsDownloadedRequest
      Êxito ao baixar solicitação PKCS do Intune.

    • Event ID: 1032 - PkcsDigiCertRequest
      Êxito ao baixar solicitação PKCS para DigiCert CA do Intune.

    • Event ID: 1050 - PkcsIssuedSuccess
      Êxito ao emitir um certificado PKCS.

    • Event ID: 1051 - PkcsIssuedFailedAttempt
      Falha ao emitir um certificado PKCS. Será feita uma nova tentativa.

    • Event ID: 1052 - PkcsIssuedFailure
      Falha ao emitir um certificado PKCS.

    • Event ID: 1100 - PkcsUploadSuccess
      Êxito ao carregar resultados de solicitação PKCS no Intune.

    • Event ID: 1101 - PkcsUploadFailure
      Falha ao carregar resultados de solicitação PKCS no Intune.

    • Event ID: 1102 - PkcsUploadedRequest
      Êxito ao carregar solicitação PKCS no Intune.

    • Event ID: 1202 - PkcsRecryptDownloadSuccess
      Êxito ao baixar solicitações de Nova Criptografia PKCS.

    • Event ID: 1203 - PkcsRecryptDownloadFailure
      Falha ao baixar solicitações de Nova Criptografia PKCS.

    • Event ID: 1220 - PkcsRecryptDownloadedRequest
      Êxito ao baixar uma solicitação de Nova Criptografia PKCS.

    • Event ID: 1250 - PkcsRecryptReencryptSuccess
      Êxito ao criptografar novamente o conteúdo de certificado PKCS.

    • Event ID: 1251 - PkcsRecryptDecryptSuccess
      Êxito ao descriptografar o conteúdo de certificado PKCS.

    • Event ID: 1252 - PkcsRecryptDecryptFailure
      Falha ao descriptografar o conteúdo do certificado PKCS.

    • Event ID: 1253 - PkcsRecryptReencryptFailure
      Falha ao criptografar novamente o conteúdo do certificado PKCS.

    • Event ID: 1300 - PkcsRecryptUploadSuccess
      Êxito ao carregar resultados de solicitação de Nova Criptografia PKCS no Intune.

    • Event ID: 1301 - PkcsRecryptUploadFailure
      Falha ao carregar resultados de solicitação de Nova Criptografia PKCS no Intune.

    • Event ID: 1302 - PkcsRecryptUploadedRequest
      Êxito ao carregar solicitação de Nova Criptografia PKCS no Intune.

Importação de PKCS

  • Admin

    • Event ID: 2000 - PkcsImportRequestSuccess
      Êxito ao baixar solicitações de Importação PKCS do Intune.

    • Event ID: 2001 - PkcsImportRequestFailure
      Falha ao processar uma solicitação de Importação PKCS do Intune.

  • Operacional

    • Event ID: 2202 - PkcsImportDownloadSuccess
      Êxito ao baixar solicitações de Importação PKCS do Intune.

    • Event ID: 2203 - PkcsImportDownloadFailure
      Falha ao baixar solicitações de Importação PKCS do Intune.

    • Event ID: 2020 - PkcsImportDownloadedRequest
      Êxito ao baixar uma solicitação de Importação PKCS do Intune.

    • Event ID: 2050 - PkcsImportReencryptSuccess
      Êxito ao criptografar novamente o certificado de Importação PKCS.

    • Event ID: 2051 - PkcsImportReencryptFailedAttempt
      Falha ao criptografar novamente um certificado de Importação PKCS. Será feita uma nova tentativa.

    • Event ID: 2052 - PkcsImportReencryptFailure
      Falha ao criptografar novamente um certificado importado.

    • Event ID: 2100 - PkcsImportUploadSuccess
      Êxito ao carregar resultados de solicitação de Importação PKCS no Intune.

    • Event ID: 2101 - PkcsImportUploadFailure
      Falha ao carregar resultados de solicitação PKCS no Intune.

    • Event ID: 2102 - PkcsImportUploadedRequest
      Êxito ao carregar solicitação de Importação PKCS no Intune.

Revogação

  • Admin

    • Event ID: 3000 - RevokeRequestSuccess
      Êxito ao baixar solicitações de Revogação do Intune.

    • Event ID: 3001 - RevokeRequestFailure
      Ocorreu uma falha ao baixar solicitações de Revogação do Intune.

  • Operacional

    • Event ID: 3002 - RevokeDownloadSuccess
      Êxito ao baixar solicitações de Revogação do Intune.

    • Event ID: 3003 - RevokeDownloadFailure
      Ocorreu uma falha ao baixar solicitações de Revogação do Intune.

    • Event ID: 3020 - RevokeDownloadedRequest
      Detalhes de uma solicitação baixada do Intune

    • ID do evento: 3032 - RevokeDigicertRequest
      Solicitação de revogação recebida do Intune e solicitação de encaminhamento para Digicert para cumprimento da solicitação.

    • Event ID: 3050 - RevokeSuccess
      Certificado revogado com êxito.

    • Event ID: 3051 - RevokeFailure
      Ocorreu uma falha ao revogar um certificado.

    • Event ID: 3052 - RevokeFailedAttempt
      Falha ao revogar um certificado. Será feita uma nova tentativa.

    • Event ID: 3100 - RevokeUploadSuccess
      Resultados de solicitação de Revogação carregados com êxito no Intune.

    • Event ID: 3101 - RevokeUploadFailure
      Falha ao carregar resultados de solicitação de Revogação no Intune.

    • Event ID: 3102 - RevokeUploadedRequest
      Êxito ao carregar solicitação de Revogação no Intune.

SCEP

  • Admin

    • Event ID: 4000 - ScrepRequestSuccess
      Êxito ao processar uma solicitação SCEP e notificar o Intune.

    • Event ID: 4001 - ScepRequestIssuedFailure
      Falha ao processar uma solicitação SCEP e notificar o Intune.

    • Event ID: 4002 - ScepRequestUploadFailure
      Êxito ao processar a solicitação SCEP, mas falha ao notificar o Intune.

  • Operacional

    • Event ID: 4003 - ScepRequestReceived
      Êxito ao receber uma solicitação SCEP de um dispositivo.

    • Event ID: 4004 - ScepVerifySuccess
      Êxito ao verificar uma solicitação SCEP com o Intune.

    • Event ID: 4005 - ScepVerifyFailure
      Falha ao verificar uma solicitação SCEP com o Intune.

    • Event ID: 4006 - ScepIssuedSuccess
      Êxito ao emitir certificado para uma solicitação SCEP.

    • Event ID: 4007 - ScepIssuedFailure
      Falha ao emitir certificado para solicitação SCEP.

    • Event ID: 4008 - ScepNotifySuccess
      Êxito ao notificar o Intune sobre o resultado de uma solicitação SCEP.

    • Event ID: 4009 - ScepNotifyAttemptFailed
      Falha ao notificar o Intune sobre o resultado de uma solicitação SCEP. Será feita uma nova tentativa.

    • Event ID: 4010 - ScepNotifySaveToDiskFailed
      Falha ao gravar notificação no disco e não foi possível notificar o Intune sobre o status da solicitação.

Integridade do Conector

  • Operacional

    • ID do evento: 5000 - HealthMessageUploadSuccess Enviou mensagens de integridade com êxito para Intune.

    • ID do evento: 5001 - HealthMessageUploadFailedAttempt Falha ao carregar mensagens de integridade para Intune, tentará novamente.

    • ID do evento: 5002 - HealthMessageUploadFailure Falha ao carregar mensagens de integridade para Intune.

Novidades do Certificate Connector

As atualizações do Conector de Certificados para Microsoft Intune são lançadas periodicamente e, em seguida, têm suporte por seis meses. Quando atualizarmos o conector, você poderá ler sobre as alterações aqui.

Novas atualizações para o conector podem levar uma semana ou mais para ficarem disponíveis para cada locatário.

Importante

A partir de abril de 2022, os conectores de certificado anteriores à versão6.2101.13.0 serão preteridos e mostrarão um status de Erro. A partir de agosto de 2022, essas versões de conector não poderão revogar certificados. A partir de setembro de 2022, essas versões de conector não poderão emitir certificados. Isso inclui o Conector de Certificados PFX para Microsoft Intune e Microsoft Intune Connector, que em 29 de julho de 2021 foram substituídos pelo Conector de Certificado para Microsoft Intune (conforme detalhado neste artigo).

15 de fevereiro de 2023

Versão 6.2301.1.0 – Alterações nesta versão:

  • Registrar informações para correlacionar-se com logs do Serviço Intune
  • Melhorias no registro em log no fluxo de emissão de certificado PFX

21 de setembro de 2022

Versão 6.2206.122.0 – Alterações nesta versão:

  • Telemetria aprimorada, além de correções de bugs e melhorias de desempenho

quinta-feira, 30 de junho de 2022

Versão 6.2205.201.0 – Alterações nesta versão:

  • Canal de telemetria atualizado no Intune para permitir que o Administrador do Intune colete dados no portal

4 de maio de 2022

Versão 6.2203.12.0 - Alterações nesta versão:

  • Dar suporte a provedores CNG para certificados de autenticação de cliente
  • Suporte aprimorado para renovação automática de certificados de autenticação de cliente

10 de março de 2022

Versão 6.2202.38.0. Esta atualização inclui:

  • Alterações no suporte ao TLS 1.2 para atualização automática

Próximas etapas

Examinar os pré-requisitos do Certificate Connector para Microsoft Intune