Compartilhar via


Usar certificados de autenticação no Microsoft Intune

Use os certificados com o Intune para autenticar seus usuários em aplicativos e recursos corporativos pelos perfis de VPN, Wi-Fi ou e-mail. Quando utiliza certificados para autenticar estas ligações, os utilizadores finais não precisam de introduzir nomes de utilizador e palavras-passe, o que pode tornar o acesso totalmente integrado. Os certificados também são usados para assinatura e criptografia de e-mail usando S/MIME.

Introdução aos certificados com o Intune

Os certificados fornecem acesso autenticado sem atraso nas duas fases a seguir:

  • Fase de autenticação: a autenticidade do usuário é verificada para confirmar se o usuário é quem ele diz ser.
  • Fase de autorização: o usuário está sujeito às condições em que uma determinação é feita sobre se o usuário deve receber acesso.

Os cenários de uso típicos para certificados incluem:

  • Autenticação de rede (por exemplo, 802.1x) com certificados de dispositivo ou de usuário
  • Autenticação com servidores VPN usando certificados de dispositivo ou de usuário
  • Assinatura de email com base em certificados de usuário

O Intune dá suporte ao protocolo SCEP, aos PKCS (Padrões de Criptografia por Chave Pública) e aos certificados PKCS importados como métodos para provisionar certificados em dispositivos. Os diferentes métodos de provisionamento têm requisitos e resultados diferentes. Por exemplo:

  • O SCEP provisiona certificados exclusivos para cada solicitação do certificado.
  • O PKCS provisiona cada dispositivo com um certificado exclusivo.
  • Com o PKCS Importado, você pode implantar o mesmo certificado que exportou de uma fonte, como um servidor de e-mail para vários destinatários. Esse certificado compartilhado é útil para garantir que todos os usuários ou dispositivos possam descriptografar emails que foram criptografados por esse certificado.

Para provisionar um usuário ou dispositivo com um tipo específico de certificado, o Intune usa um perfil de certificado.

Além dos três tipos de certificado e métodos de aprovisionamento, precisa de um certificado de raiz fidedigna de uma Autoridade de Certificação (AC) fidedigna. A AC pode ser uma Autoridade de Certificação local da Microsoft ou uma Autoridade de Certificação de terceiros. O certificado raiz confiável estabelece uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos. Para implementar este certificado, utilize o perfil de certificado fidedigno e implemente-o nos mesmos dispositivos e utilizadores que recebem os perfis de certificado para SCEP, PKCS e PKCS importados.

Dica

O Intune também dá suporte ao uso de Credenciais derivadas para ambientes que exigem o uso de cartões inteligentes.

O que é necessário para usar certificados

  • Uma Autoridade de Certificação. Sua AC é a fonte de confiança que os certificados referenciam para autenticação. Você pode usar uma AC da Microsoft ou uma AC de terceiros.
  • Infraestrutura local. A infraestrutura necessária depende dos tipos de certificado que utiliza:
  • Um certificado raiz confiável. Antes de implantar perfis de certificado SCEP ou PKCS, implante o certificado raiz confiável de sua AC usando um perfil de certificado confiável. Esse perfil ajuda a estabelecer a confiança do dispositivo de volta para a AC e é exigida pelos outros perfis de certificado.

Com um certificado de raiz fidedigna implementado, está pronto para implementar perfis de certificado para aprovisionar utilizadores e dispositivos com certificados para autenticação.

Qual perfil de certificado usar

As comparações a seguir não são abrangentes, mas se destinam a ajudar a distinguir o uso dos diferentes tipos de perfil de certificado.

Tipo de perfil Detalhes
Certificado confiável Use para implantar a chave pública (certificado) de uma AC raiz ou AC intermediária em usuários e dispositivos a fim de estabelecer uma relação de confiança de volta com a AC de origem. Outros perfis de certificado exigem o perfil de certificado confiável e o certificado raiz dele.
Certificado SCEP Exibe um modelo para uma solicitação de certificado para usuários e dispositivos. Cada certificado provisionado usando o SCEP é exclusivo e vinculado ao usuário ou ao dispositivo que solicita o certificado.

Com o SCEP, pode implementar certificados em dispositivos sem uma afinidade de utilizador, incluindo a utilização do SCEP para aprovisionar um certificado em QUIOSK ou dispositivo sem utilizador.
Certificado PKCS Implanta um modelo para uma solicitação de certificado que especifica um tipo de certificado de usuário ou de dispositivo.

- Os pedidos para um tipo de certificado de utilizador requerem sempre afinidade de utilizador. Quando implantado em um usuário, cada um dos dispositivos do usuário recebe um certificado exclusivo. Quando implantado em um dispositivo com um usuário, esse usuário é associado ao certificado desse dispositivo. Quando implantado em um dispositivo sem usuário, nenhum certificado é provisionado.
- Os modelos com um tipo de certificado de dispositivo não necessitam de afinidade de utilizador para aprovisionar um certificado. A implantação em um dispositivo provisiona o dispositivo. A implantação em um usuário provisiona o dispositivo ao qual o usuário está conectado com um certificado.
Certificado importado PKCS Implanta um certificado em vários dispositivos e usuários, que dá suporte a cenários como assinatura e criptografia S/MIME. Por exemplo, implantando o mesmo certificado em cada dispositivo, cada dispositivo pode descriptografar emails recebidos desse mesmo servidor de email.

Outros métodos de implementação de certificados são insuficientes para este cenário, uma vez que o SCEP cria um certificado exclusivo para cada pedido e o PKCS associa um certificado diferente para cada utilizador, com diferentes utilizadores a receberem certificados diferentes.

Certificados e uso compatíveis com o Intune

Tipo Autenticação Autenticação S/MIME Criptografia S/MIME
Certificado PKCS (Public Key Cryptography Standards) importado Com suporte Com suporte
PKCS#12 (ou PFX) Com suporte Com suporte
Protocolo SCEP Com suporte Com suporte

Para implementar estes certificados, crie e atribua perfis de certificado a dispositivos.

Cada perfil de certificado individual que você criou oferece suporte a uma única plataforma. Por exemplo, se utilizar certificados PKCS, crie um perfil de certificado PKCS para Android e um perfil de certificado PKCS separado para iOS/iPadOS. Se também utilizar certificados SCEP para essas duas plataformas, crie um perfil de certificado SCEP para Android e outro para iOS/iPadOS.

Considerações gerais quando você usa uma Autoridade de Certificação da Microsoft

Quando você usa uma Autoridade de Certificação da Microsoft (CA):

Considerações gerais sobre o uso de uma Autoridade de Certificação de terceiros

Quando usar uma autoridade de certificação (CA) de terceiros (não Microsoft):

  • Os perfis de certificado SCEP não requerem a utilização do Microsoft Intune Certificate Connector. Em vez disso, a AC de terceiros processa diretamente a emissão e a gestão do certificado. Para utilizar perfis de certificado SCEP sem o Intune Certificate Connector:

    Para obter mais informações, veja Configurar a integração de AC de terceiros

  • Os certificados importados PKCS requerem a utilização do Microsoft Intune Certificate Connector. Veja Instalar o Certificate Connector para Microsoft Intune.

  • Implante certificados usando os seguintes mecanismos:

    • Perfis de certificado confiáveis para implantar o certificado de AC de raiz confiável por meio de sua AC raiz ou intermediária (emissora) nos dispositivos
    • Perfis de certificado SCEP
    • Perfis de certificado PKCS (com suporte apenas da Digicert PKI Platform)
    • Perfis de certificado PKCS importados

Perfis de certificado e plataformas compatíveis

Plataforma Perfil de certificado confiável Perfil de Certificado PKCS Perfil de Certificado SCEP Perfil de certificado PKCS importado
Administrador de dispositivo Android
Suportado(consulte Nota 1)
Com suporte Com suporte Com suporte
Android Enterprise
– Totalmente Gerido (Proprietário do Dispositivo)
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
- Dedicado (Proprietário do Dispositivo)
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
- Perfil de Trabalho do Corporate-Owned
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
- Perfil de Trabalho do Personally-Owned
Com suporte Com suporte Com suporte Com suporte
Android (AOSP) Com suporte Com suporte Com suporte
iOS/iPadOS Com suporte Com suporte Com suporte Com suporte
macOS Com suporte Com suporte Com suporte Com suporte
Windows 8.1 e posterior Com suporte Com suporte
Windows 10/11
Suportado(consulte Nota 2)

Suportado(consulte Nota 2)

Suportado(consulte Nota 2)
Com suporte

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Importante

Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Mais recursos:

Crie os perfis de certificado:

Saiba mais sobre o Certificate Connector para Microsoft Intune