Criar e atribuir perfis de Certificado SCEP no Intune

  • Artigo

Importante

Para dar suporte aos requisitos do Windows para um mapeamento forte de certificados SCEP que foram introduzidos e anunciados em KB5014754 a partir de 10 de maio de 2022, fizemos alterações no Intune emissão de certificado SCEP para certificados SCEP novos e renovados. Com essas alterações, certificados SCEP novos ou renovados de Intune para iOS/iPadOS, macOS e Windows agora incluem a seguinte marca no campo Nome Alternativo do Assunto (SAN) do certificado:URL=tag:microsoft.com,2022-09-14:sid:<value>

Essa marca é usada por um mapeamento forte para vincular um certificado a um dispositivo específico ou SID de usuário da ID de Entra. Com essa alteração e o requisito para mapear um SID da ID de Entra:

  • Há suporte para certificados de dispositivo para dispositivos com junção híbrida do Windows quando esse dispositivo tem um SID na ID de entra que foi sincronizado de um Active Directory local.
  • Os certificados de usuário usam o SID do usuário da ID de Entra, sincronizado de Active Directory local.

As autoridades de certificação (CAs) que não dão suporte à marca de URL na SAN podem não emitir certificados. Os servidores do Microsoft Active Directory Certificate Services que instalaram a atualização de KB5014754 dão suporte ao uso dessa marca. Se você usar uma AC de terceiros, marcar com seu provedor de AC para garantir que eles dêem suporte a esse formato ou como e quando esse suporte será adicionado.

Para obter mais informações, confira Dica de suporte: implementando um mapeamento forte em certificados Microsoft Intune – Microsoft Community Hub.

Depois de configurar a infraestrutura para dar suporte a certificados do protocolo SCEP, você poderá criar e, em seguida, atribuir perfis de certificado do protocolo SCEP a usuários e dispositivos no Intune.

Para que os dispositivos usem um perfil de Certificado SCEP, eles precisam confiar na AC (Autoridade de Certificação) raiz confiável. A confiança na AC raiz é mais bem estabelecida com a implantação de um perfil de certificado confiável no mesmo grupo que recebe o perfil de certificado SCEP. Os perfis de certificado confiável provisionam o certificado de AC Raiz Confiável.

Dispositivos que executam o Android Enterprise podem exigir um PIN para que o SCEP possa provisioná-los com um certificado. Para obter mais informações, confira os Requisitos de PIN do Android Enterprise.

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento do Android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Observação

Do Android 11 em diante, os perfis de certificado confiável não podem mais instalar o certificado raiz confiável em dispositivos registrados como administrador do dispositivo Android. Essa limitação não se aplica ao Samsung Knox.

Para obter mais informações sobre essa limitação, confira Perfis de certificado confiável para o administrador do dispositivo Android.

Importante

Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

Dica

Os perfis de certificado SCEP têm suporte em Áreas de trabalho remotas multissessão do Windows Enterprise.

Criar um perfil de certificado SCEP

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione e vá para CriarConfiguração> de Dispositivos>.

  3. Insira as seguintes propriedades:

    • Plataforma: Escolha a plataforma de seus dispositivos.

    • Perfil: Selecione certificado SCEP. Ou selecione Modelos>Certificado SCEP.

      Para Android Enterprise, o Tipo de perfil é dividido em duas categorias, Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa e Perfil de Trabalho de Propriedade Pessoal. Certifique-se de selecionar o perfil de certificado SCEP correto para os dispositivos que você gerencia.

      Os perfis de certificado SCEP do Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa têm as seguintes limitações:

      1. Em Monitoramento, o relatório de certificado não está disponível para perfis de certificado SCEP do Proprietário do Dispositivo .
      2. Você não pode usar Intune para revogar certificados provisionados por perfis de certificado SCEP para Proprietário do Dispositivo. Você pode gerenciar a revogação por meio de um processo externo ou diretamente com a autoridade de certificação.
      3. Para dispositivos Android Enterprise dedicados, os perfis de certificado SCEP têm suporte para autenticação, VPN e configuração de rede Wi-Fi. Os perfis de certificado SCEP em dispositivos Android Enterprise dedicados não têm suporte para autenticação de aplicativo.

      Para Android (AOSP), as seguintes limitações se aplicam:

      1. Em Monitoramento, o relatório de certificado não está disponível para perfis de certificado SCEP do Proprietário do Dispositivo .
      2. Você não pode usar Intune para revogar certificados provisionados por perfis de certificado SCEP para Proprietários de Dispositivos. Você pode gerenciar a revogação por meio de um processo externo ou diretamente com a autoridade de certificação.
      3. Há suporte para perfis de certificado SCEP para Wi-Fi configuração de rede. O suporte ao perfil de configuração de VPN não está disponível. Uma atualização futura pode incluir suporte para perfis de configuração de VPN.
      4. As três variáveis a seguir não estão disponíveis para uso em perfis de certificado SCEP (AOSP) do Android. O suporte para essas variáveis virá em uma atualização futura.
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • Departamento

      Observação

      O Proprietário do Dispositivo é equivalente a dispositivos de propriedade corporativa. Os seguintes são considerados proprietário do dispositivo:

      • Android Enterprise – Perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned
      • Android AOSP
        • Afinidade de usuário
        • Sem usuário

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil SCEP para toda a empresa.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  6. Selecione Avançar.

  7. Em Definições de configuração, conclua as seguintes configurações:

    • Tipo de certificado:

      (Aplica-se a: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 e Windows 10/11)

      Selecione um tipo, dependendo de como você usará o perfil de certificado:

      • Usuário: Certificados de usuário podem conter atributos de usuário e dispositivo no assunto e no SAN do certificado.

      • Dispositivo: os certificados de dispositivo só podem conter atributos de dispositivo no assunto e SAN do certificado.

        Use Dispositivo para cenários como dispositivos sem usuário (como quiosques) ou para dispositivos Windows. Em dispositivos Windows, o certificado é colocado no repositório de certificados do computador local.

      Observação

      Armazenamento de certificados provisionados pelo SCEP:

      • macOS - Os certificados provisionados com o SCEP sempre são colocados no conjunto de chaves do sistema (repositório do sistema) do dispositivo.

      • Android: os dispositivos têm um repositório de certificados VPN e aplicativos e um repositório de certificados WiFi. O Intune sempre armazena certificados SCEP na loja de aplicativos e VPN de um dispositivo. O uso da VPN e da loja de aplicativos torna o certificado disponível para uso por qualquer outro aplicativo.

        Contudo, quando um certificado SCEP também está associado a um perfil de Wi-Fi, o Intune também instala o certificado no repositório de Wi-Fi.

        Quando configurado para aplicativos VPN, o usuário será solicitado a selecionar o certificado correto. Não há suporte para aprovação de certificado silencioso para cenários totalmente gerenciados (ou BYOD). Se tudo estiver configurado corretamente, o certificado correto já deverá ser pré-selecionado na caixa de diálogo.

    • Formato de nome de entidade:

      Insira texto para informar ao Intune como criar automaticamente o nome da entidade na solicitação de certificado. As opções para o formato de nome da entidade dependem do Tipo de certificado selecionado, Usuário ou Dispositivo.

      Dica

      Se o comprimento do nome da entidade exceder 64 caracteres, talvez seja necessário desabilitar a imposição do comprimento do nome em sua autoridade de certificação interna. Para obter mais informações, consulte Desabilitar a imposição de comprimento DN

      Observação

      Há um problema conhecido por usar o SCEP para obter certificados quando o nome da entidade na CSR (Solicitação de Assinatura de Certificado) resultante inclui um dos caracteres a seguir como um caractere escapado (procedido por um backslash \):

      • +
      • ;
      • ,
      • =

      Observação

      A partir do Android 12, o Android não dá mais suporte ao uso dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal :

      • Número de série
      • IMEI
      • MEID

      Intune perfis de certificado para dispositivos de perfil de trabalho de propriedade pessoal que dependem dessas variáveis no nome da entidade ou SAN não fornecerão um certificado em dispositivos que executam o Android 12 ou posterior no momento em que o dispositivo registrado com Intune. Os dispositivos que se registraram antes da atualização para o Android 12 ainda podem receber certificados desde que o Intune obteve anteriormente os identificadores de hardware dos dispositivos.

      Para obter mais informações sobre isso e outras alterações introduzidas com o Android 12, consulte a postagem no blog Suporte do Android Day Zero para Microsoft Endpoint Manager.

      • Tipo de certificado de usuário

        Use a caixa de texto para inserir um formato de nome de entidade personalizado, incluindo texto estático e variáveis. Há suporte para duas opções de variável: Nome Comum (CN) e Email (E).

        Email (E) normalmente seria definido com a variável {{EmailAddress}}. Por exemplo: E={{EmailAddress}}

        Nome Comum (CN) pode ser definido para qualquer uma das seguintes variáveis:

        • CN={{UserName}}: O nome de usuário do usuário, como janedoe.
        • CN={{UserPrincipalName}}: o nome da entidade de usuário, como janedoe@contoso.com.
        • CN={{AAD_Device_ID}}: uma ID atribuída ao registrar um dispositivo no Microsoft Entra ID. Essa ID normalmente é usada para autenticar com Microsoft Entra ID.
        • CN={{DeviceId}}: uma ID atribuída quando você registra um dispositivo no Intune.

        Observação

        Evite usar {{DeviceId}} para o nome do assunto em dispositivos Windows. Em determinadas instâncias, o certificado gerado com esse nome de assunto faz com que a sincronização com Intune falhe.

        • CN = {{SERIALNUMBER}}: o SN (número de série) exclusivo normalmente usado pelo fabricante para identificar um dispositivo

        • CN = {{IMEINumber}}: o número exclusivo do IMEI (Identidade Internacional de Equipamento Móvel) usado para identificar um dispositivo móvel.

        • CN={{OnPrem_Distinguished_Name}}: Uma sequência de nomes diferenciados relativos separados por vírgula, como CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

          Para usar a variável {{OnPrem_Distinguished_Name}}:

          • Certifique-se de sincronizar o atributo de usuário onpremisesdistinguishuishedname usando Microsoft Entra Conectar ao seu Microsoft Entra ID.
          • Se o valor CN contiver uma vírgula, o formato de nome da entidade deverá estar entre aspas. Por exemplo: CN="{{OnPrem_Distinguished_Name}}"

        • CN={{OnPremisesSamAccountName}}: os administradores podem sincronizar o atributo samAccountName do Active Directory para Microsoft Entra ID usando Microsoft Entra Conectar em um atributo chamado onPremisesSamAccountName. O Intune pode substituir essa variável como parte de uma solicitação de emissão de certificados na entidade de um certificado. O atributo samAccountName é o nome de entrada do usuário usado para dar suporte a clientes e servidores de uma versão anterior do Windows (pré-Windows 2000). O formato de nome de login do usuário é: DomainName\testUserou somente testUser.

          Para usar a variável {{OnPremisesSamAccountName}} , sincronize o atributo de usuário OnPremisesSamAccountName usando Microsoft Entra Conectar ao seu Microsoft Entra ID.

        Todas as variáveis de dispositivo listadas na seção Tipo de certificado de dispositivo a seguir também podem ser usadas em nomes de entidades de certificado do usuário.

        Usando uma combinação de uma ou diversas dessas variáveis e cadeias de caracteres estáticas, você pode criar um formato de nome de entidade personalizado, como: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        Este exemplo inclui um formato de nome de entidade que usa as variáveis CN e E, além de cadeias de caracteres para os valores Unidade Organizacional, Organização, Localização, Estado e País. Função CertStrToName descreve essa função e suas cadeias de caracteres compatíveis.

        Não há suporte para atributos de usuário em dispositivos que não têm associações de usuário, como dispositivos registrados como dedicados ao Android Enterprise. Por exemplo, um perfil que usa CN = {{UserPrincipalName}} no assunto ou SAN não poderá obter o nome UPN quando não houver nenhum usuário no dispositivo.

      • Tipo de certificado de dispositivo

        As opções de formato para o Formato de nome da entidade incluem as seguintes variáveis:

        • {{AAD_Device_ID}} ou {{AzureADDeviceId}} - Qualquer variável pode ser usada para identificar um dispositivo por sua Microsoft Entra ID.
        • {{DeviceId}} - A ID do dispositivo do Intune
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}}(Aplicável somente para dispositivos windows e ingressados no domínio)
        • {{MEID}}

        Você pode especificar essas variáveis e o texto estático na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}Device1.

        Importante

        • Ao especificar uma variável, coloque o nome dela entre chaves duplas {{ }}, como mostrado no exemplo, para evitar um erro.
        • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no nome da entidade de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.

    • Nome alternativo da entidade:
      Selecione como o Intune cria automaticamente o nome alternativo da entidade (SAN) na solicitação de certificado. Você pode especificar vários nomes alternativos de entidade. Para cada um, é possível selecionar entre quatro atributos de SAN e inserir um valor de texto para esse atributo. O valor de texto pode conter variáveis e texto estático.

      Observação

       Os seguintes perfis do Android Enterprise não dão suporte ao uso da variável {{UserName}} para a SAN:

      • Perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned

      Selecione um dos atributos de SAN disponíveis:

      • Endereço de email
      • Nome UPN
      • DNS
      • URI (Uniform Resource Identifier)

      As variáveis disponíveis para o valor de SAN dependem do Tipo de certificado selecionado: Usuário ou Dispositivo.

      Observação

      A partir do Android 12, o Android não dá mais suporte ao uso dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal :

      • Número de série
      • IMEI
      • MEID

      Intune perfis de certificado para dispositivos de perfil de trabalho de propriedade pessoal que dependem dessas variáveis no nome da entidade ou SAN não fornecerão um certificado em dispositivos que executam o Android 12 ou posterior no momento em que o dispositivo registrado com Intune. Os dispositivos que se registraram antes da atualização para o Android 12 ainda podem receber certificados desde que o Intune obteve anteriormente os identificadores de hardware dos dispositivos.

      Para obter mais informações sobre isso e outras alterações introduzidas com o Android 12, consulte a postagem no blog Suporte do Android Day Zero para Microsoft Endpoint Manager.

      • Tipo de certificado de usuário

        Com o tipo de certificado Usuário, você pode usar qualquer uma das variáveis de certificado de usuário ou dispositivo descritas acima na seção Nome da Entidade.

        Por exemplo, os tipos de certificado de usuário podem incluir o nome UPN no nome alternativo da entidade. Se um certificado do cliente for usado para se autenticar em um Servidor de Políticas de Rede, defina o nome alternativo da entidade como o UPN.

      • Tipo de certificado de dispositivo

        Com o tipo de certificado Dispositivo, você pode usar qualquer uma das variáveis descritas na seção Tipo de certificado Dispositivo para o Nome da Entidade.

        Para especificar um valor para um atributo, inclua o nome da variável com chaves, seguido pelo texto da variável. Por exemplo, um valor para o atributo DNS pode ser adicionado como {{AzureADDeviceId}}.domain.com, em que .domain.com é o texto. Para um usuário chamado User1, um endereço Email pode aparecer como {{FullyQualifiedDomainName}}User1@Contoso.com.

      Ao usar uma combinação de uma ou mais dessas variáveis e cadeias de caracteres de texto estático, é possível criar um formato de nome de entidade alternativo personalizado, como:

      • {{UserName}}-Home

        Importante

        • Ao usar uma variável de certificado do dispositivo, coloque o nome dela entre chaves duplas {{ }}.
        • Não use chaves { }, símbolos de barra vertical | nem ponto e vírgula ; no texto após a variável.
        • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no SAN de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.

    • Período de validade do certificado:

      Você pode inserir um valor inferior ao período de validade no modelo de certificado, mas não superior. Se você configurou o modelo de certificado para dar suporte a um valor personalizado que pode ser definido de dentro do centro de administração Intune, use essa configuração para especificar a quantidade de tempo restante antes que o certificado expire.

      O Intune dá suporte a um período de validade de até 24 meses.

      Por exemplo, se o período de validade do certificado em um modelo de certificado for de dois anos, você poderá inserir um valor de um ano, mas não de cinco anos. O valor também tem que ser inferior ao período de validade restante do certificado da AC emissora.

      Planeje o uso de um período de validade de cinco dias ou mais. Quando o período de validade é inferior a cinco dias, há uma grande probabilidade de o certificado entrar em um estado quase expirando ou expirado, o que pode fazer com que o agente do MDM nos dispositivos rejeite o certificado antes de ele ser instalado.

    • Provedor de armazenamento de chaves (KSP):

      (Aplica-se a: Windows 8.1 e Windows 10/11)

      Especifique o local de armazenamento da chave para o certificado. Escolha um dos seguintes valores:

      • Registrar no KSP do TPM (Trusted Platform Module) se existir; caso contrário, no KSP de Software
      • Registrar no KSP do TPM (Trusted Platform Module); caso contrário, falha
      • Inscrever-se no Windows Hello para Empresas, caso contrário, falhar (Windows 10 e posterior)
      • Registrar no Software KSP

    • Uso de chave:

      Selecione as opções de uso de chave para o certificado:

      • Assinatura digital: Permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.
      • Codificação de chave: Permitir a troca de chaves apenas quando a chave é criptografada.

    • Tamanho da chave (bits):

      Selecione o número de bits contidos na chave:

      • Não configurado

      • 1024

      • 2048

      • 4096 – Há suporte para um tamanho de chave 4096 para as seguintes plataformas:

        • Android (todos)
        • iOS/iPadOS 14 e posterior
        • macOS 11 e posterior
        • Windows (todos)

        Observação

        Para dispositivos Windows, o armazenamento de chaves de 4096 bits só tem suporte no KSP (Provedor de Armazenamento de Chaves de Software ). O seguinte não dá suporte ao armazenamento de chaves deste tamanho:

        • O TPM de hardware (Módulo de Plataforma Confiável). Como solução alternativa, você pode usar o KSP de software para armazenamento de chaves.
        • Windows Hello para Empresas. Não há solução alternativa para Windows Hello para Empresas no momento.

    • Algoritmo de hash:

      (Aplica-se ao Android, Android (AOSP), Android enterprise, Windows 8.1 e Windows 10/11)

      Selecione um dos tipos de algoritmo de hash disponíveis para uso com esse certificado. Selecione o nível mais alto de segurança que dá suporte aos dispositivos de conexão.

      OBSERVAÇÃO: os dispositivos Android AOSP e Android Enterprise selecionarão o algoritmo mais forte com suporte – o SHA-1 será ignorado e o SHA-2 será usado.

    • Certificado Raiz:

      Selecione o perfil de certificado confiável configurado anteriormente e atribuído aos usuários e dispositivos aplicáveis nesse perfil de Certificado SCEP. O perfil de certificado confiável é usado para provisionar usuários e dispositivos com o Certificado de Autoridade de Certificação raiz confiável. Para obter informações sobre o perfil de certificado confiável, confira Exportar o Certificado de Autoridade de Certificação raiz confiável e Criar perfis de certificado confiável em Usar certificados para autenticação no Intune.

      Observação

      Se você tiver um infraestrutura de PKI de vários níveis, como uma Autoridade de Certificação Raiz e uma Autoridade de Certificação Emissora, selecione o perfil certificado Raiz Confiável de nível superior que valida a Autoridade de Certificação Emissora.

    • Uso estendido de chave:

      Adicione valores para a finalidade desejada do certificado. Na maioria dos casos, o certificado exige a autenticação de cliente, de modo que o usuário ou o dispositivo possa se autenticar em um servidor. Adicione mais usos de chave, conforme necessário.

    • Limite de renovação (%):

      Insira o percentual do tempo de vida restante do certificado antes da renovação das solicitações de dispositivo do certificado. Por exemplo, se você inserir 20, haverá uma tentativa de renovação do certificado quando o certificado estiver 80% expirado. As tentativas de renovação continuarão até que a renovação seja bem-sucedida. A renovação gera um novo certificado, o que resulta em um novo par de chaves pública/privada.

      Observação

      Comportamento de renovação no iOS/iPadOS e macOS: os certificados só podem ser renovados durante a fase de limite de renovação. Além disso, o dispositivo precisa ser desbloqueado durante a sincronização com Intune. Se a renovação não tiver sido bem-sucedida, o certificado expirado permanecerá no dispositivo e Intune não disparará mais uma renovação. Além disso, Intune não oferece uma opção para reimplantar certificados expirados. Os dispositivos afetados precisam ser excluídos do perfil SCEP temporariamente para remover o certificado expirado e solicitar um novo.

    • URLs de servidor SCEP:

      Insira uma ou mais URLs para os servidores NDES que emitem certificados por meio do protocolo SCEP. Por exemplo, insira algo como https://ndes.contoso.com/certsrv/mscep/mscep.dll.

      Para permitir que dispositivos na Internet obtenham certificados, você deve especificar a URL do NDES externa à sua rede corporativa. A URL pode ser HTTP ou HTTPS. No entanto, para dar suporte aos seguintes dispositivos, a URL do servidor SCEP deve usar HTTPS:

      • Administrador de dispositivo Android
      • Proprietário do dispositivo Android Enterprise
      • Perfil de trabalho de propriedade corporativa do Android Enterprise
      • Perfil de trabalho de propriedade pessoal do Android Enterprise

      Adicione outras URLs SCEP para balanceamento de carga, conforme necessário. Os dispositivos fazem três chamadas separadas ao servidor NDES. A primeira é para obter as funcionalidades dos servidores, a segunda é para obter uma chave pública e a última para enviar uma solicitação de assinatura. Quando você usa várias URLs, é possível que o balanceamento de carga possa resultar em uma URL diferente sendo usada para chamadas subsequentes para um servidor NDES. Se um servidor diferente for contatado para uma chamada seguinte durante a mesma solicitação, a solicitação falhará.

      O comportamento para gerenciar a URL do servidor NDES é específico para cada plataforma de dispositivo:

      • Android: O dispositivo faz uma escolha aleatória na lista de URLs recebidas na política SCEP e, em seguida, percorre a lista até que um servidor NDES acessível seja encontrado. Em seguida, o dispositivo continua usando essa mesma URL e esse mesmo servidor durante todo o processo. Se o dispositivo não puder acessar nenhum dos servidores NDES, o processo falhará.
      • iOS/iPadOS: O Intune escolhe aleatoriamente as URLs e fornece uma única URL para um dispositivo. Se o dispositivo não puder acessar o servidor NDES, a solicitação SCEP falhará.
      • Windows: A lista de URLs de NDES é aleatória e, em seguida, passada para o dispositivo Windows, que as tenta na ordem recebida, até que uma disponível seja encontrada. Se o dispositivo não puder acessar nenhum dos servidores NDES, o processo falhará.

      Se um dispositivo não conseguir acessar o mesmo servidor NDES com êxito durante uma das três chamadas ao servidor NDES, a solicitação SCEP falhará. Por exemplo, isso pode acontecer quando uma solução de balanceamento de carga fornece uma URL diferente na segunda ou na terceira chamada ao servidor NDES ou fornece outro servidor NDES com base em uma URL virtualizada para o NDES. Após uma solicitação com falha, um dispositivo tenta executar o processo novamente no próximo ciclo de política, começando com a lista aleatória de URLs do NDES (ou uma só URL para o iOS/iPadOS).

  8. Essa etapa se aplica apenas aos perfis de dispositivos Android Enterprise para Perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned.

    Em Aplicativos, configure o acesso ao Certificado para gerenciar como o acesso ao certificado é concedido aos aplicativos. Escolha entre:

    • Exigir aprovação do usuário para aplicativos(padrão) – os usuários devem aprovar o uso de um certificado por todos os aplicativos.
    • Conceda silenciosamente para aplicativos específicos (exigem aprovação do usuário para outros aplicativos) – Com essa opção, selecione Adicionar aplicativos e selecione um ou mais aplicativos que usarão silenciosamente o certificado sem interação do usuário.

  9. Selecione Avançar.

  10. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  11. (Aplica-se apenas ao Windows 10/11) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

  12. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Evitar solicitações de assinatura de certificado com caracteres especiais de escape

Há um problema conhecido em solicitações de certificado SCEP e PKCS que incluem um Nome de Entidade (CN) com um ou mais dos caracteres especiais a seguir como um caractere de escape. Os nomes de entidades que incluem um dos caracteres especiais como um caractere de escape resultam em um CSR com um nome de entidade incorreto. Um nome de entidade incorreto resulta em falha na validação do desafio SCEP do Intune e na não emissão do certificado.

Os caracteres especiais são:

  • +
  • ,
  • ;
  • =

Quando o nome da entidade incluir um dos caracteres especiais, use uma das seguintes opções para contornar essa limitação:

  • Encapsule com aspas o valor de CN que contém o caractere especial.
  • Remova o caractere especial do valor de CN.

Por exemplo, você tem um nome de entidade que aparece como Usuário de teste (TestCompany, LLC). Um CSR que inclui um CN que tem a vírgula entre TestCompany e LLC apresenta um problema. O problema pode ser evitado com o uso de aspas em todo o CN ou com a remoção da vírgula entre TestCompany e LLC:

  • Adicionar aspas: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Remover a vírgula: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

No entanto, as tentativas de retirar a vírgula usando um caractere de barra invertida falharão com um erro nos logs do CRP:

  • Vírgula escapada: CN=Usuário de Teste (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

O erro é semelhante ao seguinte:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Atribuir o perfil de certificado

Atribua perfis de Certificado SCEP da mesma maneira que você implanta perfis de dispositivo para outras finalidades.

Importante

Para usar um perfil de certificado SCEP, o dispositivo também deve ter recebido o perfil de certificado confiável que o provisiona com o certificado de AC raiz confiável. Recomendamos que você implante tanto o perfil de certificado raiz confiável quanto o perfil de certificado SCEP nos mesmos grupos.

Considere o seguinte antes de continuar:

  • Quando você atribui perfis de Certificado SCEP a grupos, o arquivo do Certificado de Autoridade de Certificação raiz confiável (conforme especificado no perfil do certificado confiável) é instalado no dispositivo. O dispositivo usa o perfil de Certificado SCEP para criar uma solicitação de certificado para esse Certificado de Autoridade de Certificação raiz confiável.

  • O perfil de Certificado SCEP é instalado somente em dispositivos que executam a plataforma especificada durante a criação do perfil de certificado.

  • Você pode atribuir perfis de certificado para coleções de usuários ou coleções de dispositivos.

  • Para publicar um certificado em um dispositivo rapidamente depois que o dispositivo for registrado, atribua o perfil de certificado a um grupo de usuários em vez de um grupo de dispositivos. Se você atribuir um grupo de dispositivos, um registro de dispositivo completo será necessário para que o dispositivo receba políticas.

  • Se você usar o cogerenciamento para o Intune e o Configuration Manager, no Configuration Manager, defina o controle deslizante da carga de trabalho para as Políticas de Acesso ao Recurso como Intune ou Intune Piloto. Essa configuração permite que os clientes do Windows 10/11 iniciem o processo de solicitar o certificado.

Observação

  • Em dispositivos iOS/iPadOS e macOS, quando um perfil de certificado SCEP ou um perfil de certificado PKCS está associado a um perfil adicional, como um perfil Wi-Fi ou VPN, o dispositivo recebe um certificado para cada um desses perfis adicionais. Isso resulta no dispositivo com vários certificados entregues pela solicitação de certificado SCEP ou PKCS.
  • Os certificados entregues pelo SCEP são exclusivos. Os certificados entregues pelo PKCS são o mesmo certificado, mas parecem diferentes, pois cada instância de perfil é representada por uma linha separada no perfil de gerenciamento.
  • No iOS 13 e no macOS 10.15, há requisitos de segurança adicionais documentados pela Apple para levar em consideração.

Próximas etapas

Atribuir perfis

Solucionar problemas de implantação de perfis de certificado SCEP