Perfis de certificado raiz confiável para Microsoft Intune

Ao usar o Intune para provisionar dispositivos com certificados para acessar os seus recursos e rede corporativos, use um perfil de certificado confiável para implantar o certificado raiz confiável nesses dispositivos. Certificados raiz confiáveis estabelecem uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos.

Você implementa o perfil de certificado confiável aos mesmos dispositivos e usuários que recebem os perfis de certificado d0o Protocolo de Inscrição de Certificado Simples (SCEP), Padrões de Criptografia de Chave Pública (PKCS) e PKCS importados.

Dica

Os perfis de Certificado Confiável são compatíveis com as Áreas de trabalho remotas de várias sessões do Windows Enterprise.

Exporte o Certificado de Autoridade de Certificação raiz confiável

Para usar certificados importados PKCS, SCEP e PKCS, os dispositivos devem confiar na autoridade de certificação raiz. Para estabelecer essa relação de confiança, exporte o Certificado de AC raiz confiável, bem como os certificados de autoridade de certificação intermediária ou emissora, como um certificado público (.cer). Obtenha esses certificados de AC emissora ou de dispositivos que confiam na AC emissora.

Para exportar o certificado, consulte a documentação da autoridade de certificação. Você precisará exportar o certificado público como um arquivo .cer codificado em DER. Não exporte a chave privada, um arquivo .pfx.

Você usará esse arquivo .cer ao criar perfis de certificado confiável para implantar esse certificado em seus dispositivos.

Crie os perfis do certificado confiável

Crie e implemente um perfil de certificado confiável antes de criar um perfil de certificado PKCS importado, SCEP ou PKCS. Implantar um perfil de certificado confiável nos mesmos grupos que recebem os outros tipos de perfil de certificado garante que os dispositivos possam reconhecer a legitimidade da sua Autoridade de Certificação. Isso inclui perfis como aqueles para VPN, Wi-Fi e email.

Os perfis de Certificado SCEP referenciam de forma direta um perfil de certificado confiável. Os perfis de Certificado PKCS não referenciam diretamente o perfil de certificado confiável, mas sim o servidor que hospeda a AC. Os perfis de certificados PKCS importados não referenciam diretamente o perfil de certificado confiável, mas podem usá-lo no dispositivo. Implantar um perfil de certificado confiável nos dispositivos garante que essa relação de confiança seja estabelecida. Quando um dispositivo não confiar na AC raiz, a política de perfil de Certificado SCEP ou PKCS falhará.

Crie um perfil de certificado confiável separado de cada plataforma de dispositivo à qual você quer dar suporte, assim como você fará com os perfis de certificados PKCS, SCEP e PKCS importados.

Importante

Perfis raiz confiáveis que você cria para a plataforma Windows 10 e posteriores, exibem no centro de administração Microsoft Intune como perfis para a plataforma Windows 8.1 e posterior.

Esse é um problema conhecido com a apresentação da plataforma dos perfis de certificado confiáveis. Embora o perfil exiba uma plataforma do Windows 8.1 e posterior, ele é funcional para o Windows 10/11.

Observação

O perfil Certificado Confiável no Intune pode ser usado apenas para fornecer certificados raiz ou intermediários. A finalidade de implantar esses certificados é estabelecer uma cadeia de confiança. O uso do perfil de certificado confiável para fornecer certificados diferentes dos certificados raiz ou intermediário não possuem suporte da Microsoft. Você pode ser impedido de importar certificados que não são considerados certificados raiz ou intermediário ao selecionar o perfil de certificado confiável no centro de administração Microsoft Intune. Mesmo que você consiga importar e implantar um certificado que não seja raiz ou intermediário usando esse tipo de perfil, você provavelmente terá resultados inesperados em diferentes plataformas, como iOS e Android.

Perfis de certificado confiável para o administrador do dispositivo Android

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Desde o Android 11, você não pode mais usar um perfil de certificado confiável para implantar um certificado raiz confiável em dispositivos registrados como administrador do dispositivo Android. Essa limitação não se aplica ao Samsung Knox.

Como os perfis de certificado SCEP exigem que o certificado raiz confiável seja instalado em um dispositivo e faça referência a um perfil de certificado confiável que, por sua vez, faz referência a esse certificado, use as seguintes etapas para contornar essa limitação:

1. Provisione manualmente o dispositivo com o certificado raiz confiável. Para obter diretrizes de exemplo, confira a seção a seguir.

2. Implante no dispositivo um perfil de certificado raiz confiável que faz referência ao certificado raiz confiável que você instalou no dispositivo.

3. Implante um perfil de certificado SCEP no dispositivo que faz referência ao perfil de certificado raiz confiável.

Esse problema não está limitado aos perfis de certificado SCEP. Portanto, planeje instalar manualmente o certificado raiz confiável nos dispositivos aplicáveis caso seu uso de modelos de certificado PKCS, ou modelos de certificado PKCS Importado o exija.

Saiba mais sobre as alterações no suporte para o administrador de dispositivos Android em techcommunity.microsoft.com.

Provisionar manualmente um dispositivo com o certificado raiz confiável

As diretrizes a seguir podem ajudar você a provisionar dispositivos manualmente com um certificado raiz confiável.

1. Baixe ou transfira o certificado raiz confiável para o dispositivo Android. Por exemplo, você pode usar um email para distribuir o certificado para os usuários do dispositivo ou solicitar que eles o baixem de um local seguro. Quando o certificado estiver no dispositivo, ele deverá ser aberto, nomeado e salvo. Salvar o certificado o adiciona ao repositório de certificados do Usuário no dispositivo.

   1. Para abrir o certificado no dispositivo, um usuário precisa localizar e tocar (abrir) nele. Por exemplo, após enviar o certificado por email, um usuário do dispositivo pode tocar ou abrir o anexo do certificado.
   2. Quando o certificado é aberto, o usuário precisa informar seu PIN ou autenticar-se no dispositivo para gerenciar o certificado.

2. Após a autenticação, o certificado é aberto e precisa ser nomeado para que possa ser salvo no repositório de certificados dos Usuários. O nome do certificado deve corresponder ao nome do certificado especificado no perfil de Certificado Raiz Confiável que será enviado ao dispositivo. Após ser nomeado, o certificado pode ser salvo.

3. Depois de ser salvo, o certificado estará pronto para uso. Para confirmar se o certificado está no local correto no dispositivo:

   1. Abra Configurações>Segurança>Credenciais confiáveis. O caminho real para Credenciais confiáveis pode variar por dispositivo.
   2. Abra a guia Usuário e localize o certificado.
   3. Se estiver presente na lista de certificados do Usuário, o certificado terá sido instalado corretamente.

4. Com um certificado raiz instalado em um dispositivo, você ainda precisa implantar o seguinte para provisionar os certificados SCEP ou PKCS:

   • Um perfil de Certificado Confiável que faz referência a esse certificado
   • O perfil SCEP ou PKCS que faz referência ao perfil de certificado para provisionar os certificados SCEP ou PKCS.

Para criar um perfil de certificado confiável

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione e vá para CriarConfiguração> de Dispositivos>.

   

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma dos dispositivos que receberão esse perfil.
   • Perfil: dependendo da plataforma escolhida, selecione Certificado confiável ou selecione Modelos Certificado confiável>.

   Importante

   Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

   Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de certificado confiável para a empresa.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições da configuração, especifique o arquivo .cer do Certificado de Autoridade de Certificação Raiz confiável exportado anteriormente.

   Quanto aos dispositivos Windows 8.1 e Windows 10/11, selecione Repositório de destino no certificado confiável em:

   • Repositório de certificados do computador – Raiz
   • Repositório de certificados do computador – Intermediário
   • Repositório de certificados do usuário – Intermediário

   

8. Selecione Avançar.

9. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Selecione Avançar.

10. (Aplica-se apenas ao Windows 10/11) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Próximas etapas

Criar perfis de certificado:

• Configurar a infraestrutura para dar suporte aos Certificados SCEP com o Intune
• Configurar e gerenciar certificados PKCS com o Intune
• Criar um perfil de certificado PKCS importado