Remover os certificados SCEP e PKCS no Microsoft Intune

  • Artigo

No Microsoft Intune, você pode usar os perfis de certificado SCEP (Simple Certificate Enrollment Protocol) e PKCS (Public Key Cryptography Standards) para adicionar certificados aos dispositivos.

Esses certificados poderão ser removidos quando você limpar ou desativar o dispositivo. Os certificados provisionados pelo Intune também são removidos quando o perfil que provisionou o certificado não se destina mais para o dispositivo ou o usuário. Também há outros cenários em que os certificados são removidos automaticamente e cenários em que os certificados permanecem no dispositivo. Este artigo lista alguns cenários comuns e seus efeitos nos certificados PKCS e SCEP.

Observação

Para remover e revogar certificados para um usuário que está sendo removido do Active Directory local ou Microsoft Entra ID, siga estas etapas em ordem:

  1. Apague ou desative o dispositivo do usuário.
  2. Remova o usuário de Active Directory local ou Microsoft Entra ID.

A maior parte deste artigo se aplica aos perfis de certificados SCEP e PKCS, mas não aos certificados PKCS importados. Os certificados PKCS importados são removidos pelo Intune quando os dados da empresa são removidos do dispositivo ou quando um dispositivo for cancelado do gerenciamento.

Certificados excluídos manualmente

A exclusão manual de um certificado é um cenário que se aplica a diferentes plataformas e certificados fornecidos pelos perfis de certificado SCEP ou PKCS. Por exemplo, um usuário poderá excluir um certificado de um dispositivo quando o dispositivo permanecer direcionado por uma política de certificado.

Nesse cenário, depois que o certificado for excluído, na próxima vez em que o dispositivo fizer check-in no Intune, ele estará fora de conformidade devido à ausência do certificado esperado. O Intune emitirá um novo certificado para restaurar a conformidade do dispositivo. Nenhuma outra ação é necessária para restaurar o certificado.

Observação

Os certificados SCEP são removidos, mas não revogados ao usar uma autoridade de certificação de terceiros.

Dispositivos Windows

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • O dispositivo é removido de um grupo Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • Um perfil de certificado é removido da atribuição de grupo.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado PKCS é removido quando:

  • O perfil de certificado PKCS não é mais destinado ao dispositivo ou ao usuário.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.
  • Um administrador altera ou atualiza o perfil PKCS.

Dispositivos iOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.
  • O dispositivo é removido do grupo Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado PKCS é removido quando:

  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.
  • Um administrador altera ou atualiza o perfil PKCS.

Dispositivos Android KNOX

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.

Um certificado do SCEP é revogado quando:

  • Um administrador executa a ação desativar.
  • O dispositivo é removido de um grupo Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.
  • Um administrador altera ou atualiza o perfil SCEP.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação apagar.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.
  • Um administrador altera ou atualiza o perfil PKCS.
  • Um perfil de certificado é removido da atribuição de grupo.

Observação

Os dispositivos Android for Work não são validados para os cenários anteriores. Os dispositivos herdados Android (dispositivos de perfil que não sejam de trabalho ou da Samsung) não estão habilitados para remoção do certificado.

Certificados do macOS

Certificados SCEP

Um certificado SCEP é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa uma ação desativar.
  • O dispositivo é removido de um grupo Microsoft Entra.
  • Um perfil de certificado é removido da atribuição de grupo.

Um certificado do SCEP é revogado quando:

  • Um administrador altera ou atualiza o perfil SCEP.

Os certificados SCEP permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.

Observação

Não há suporte para usar a ação apagar em uma redefinição de fábrica dos dispositivos macOS.

Certificados PKCS

Um certificado PKCS é revogado e removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação desativar.

Um certificado raiz é removido quando:

  • Um usuário cancela o registro.
  • Um administrador executa a ação desativar.

Os certificados PKCS permanecem no dispositivo (não são revogados nem removidos) quando:

  • Um usuário perde a licença do Intune.
  • Um administrador retira a licença do Intune.
  • Um perfil de certificado é removido da atribuição de grupo. (O perfil é removido.)
  • Um administrador remove o usuário ou o grupo de Microsoft Entra ID.
  • Um administrador altera ou atualiza o perfil PKCS.

Próximas etapas

Usar certificados para autenticação