Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Utilize o Microsoft Cloud PKI para emitir certificados para dispositivos geridos por Intune. O Microsoft Cloud PKI é um serviço baseado na cloud que simplifica e automatiza a gestão do ciclo de vida dos certificados para dispositivos geridos Intune. Fornece uma infraestrutura de chaves públicas (PKI) dedicada para a sua organização, sem necessidade de servidores, conectores ou hardware no local. Processa a emissão, renovação e revogação de certificados para todas as Intune plataformas suportadas.
Este artigo fornece uma descrição geral do PKI do Microsoft Cloud para Intune, como funciona e a respetiva arquitetura.
O que é a PKI?
A PKI é um sistema que utiliza certificados digitais para autenticar e encriptar dados entre dispositivos e serviços. Os certificados PKI são essenciais para proteger vários cenários, como VPN, Wi-Fi, e-mail, Web e identidade do dispositivo. No entanto, a gestão de certificados PKI pode ser desafiante, dispendiosa e complexa, especialmente para organizações que têm um grande número de dispositivos e utilizadores. Pode utilizar o Microsoft Cloud PKI para melhorar a segurança e produtividade dos seus dispositivos e utilizadores e acelerar a sua transformação digital para um serviço PKI na cloud totalmente gerido. Além disso, pode utilizar o serviço Cloud PKI no para reduzir as cargas de trabalho dos Serviços de Certificados do Active Directory (ADCS) ou autoridades de certificação privadas no local.
Pré-requisitos
Requisitos de licenciamento
Esta funcionalidade requer uma subscrição para além de Microsoft Intune (plano 1) ou Plano 2. Para obter opções de licenciamento, consulte Microsoft Intune planos e preços e Planos Empresariais de Segurança do Microsoft 365.
Requisitos da plataforma de dispositivos
Pode utilizar o serviço Microsoft Cloud PKI com estas plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows
Os dispositivos têm de estar inscritos no Intune e a plataforma tem de suportar o perfil de certificado SCEP de configuração do dispositivo Intune.
Requisitos de funções
As seguintes permissões estão disponíveis para atribuir a funções de Intune personalizadas. Estas permissões permitem que os utilizadores vejam e giram as ACs no centro de administração.
- Ler ACs: qualquer utilizador com esta permissão atribuída pode ler as propriedades de uma AC.
- Criar autoridades de certificação: qualquer utilizador com esta permissão atribuída pode criar uma AC de raiz ou emissora.
- Revogar certificados de folha emitidos: qualquer utilizador que tenha atribuído esta permissão tem a capacidade de revogar manualmente um certificado emitido por uma AC emissora. Esta permissão também requer a permissão de AC de leitura .
Pode atribuir etiquetas de âmbito à raiz e emitir ACs. Para obter mais informações sobre como criar funções personalizadas e etiquetas de âmbito, veja Controlo de acesso baseado em funções com Microsoft Intune.
Gerir o Cloud PKI no centro de administração do Microsoft Intune
Os objetos PKI do Microsoft Cloud são criados e geridos no centro de administração do Microsoft Intune. A partir daí, pode:
- Configure e utilize o Microsoft Cloud PKI para a sua organização.
- Ative o Cloud PKI no seu inquilino.
- Criar e atribuir perfis de certificado a dispositivos.
- Monitorizar certificados emitidos.
Depois de criar uma AC emissora de PKI na Cloud, pode começar a emitir certificados em minutos.
Descrição geral das funcionalidades
A tabela seguinte lista as funcionalidades e cenários suportados com o Microsoft Cloud PKI e Microsoft Intune.
| Recurso | Visão Geral |
|---|---|
| Criar várias autoridades de certificação (AC) num inquilino Intune | Crie uma hierarquia PKI de duas camadas com a AC de raiz e de emissão na cloud. |
| Traga a sua própria AC (BYOCA) | Ancore uma AC emissora de Intune a uma AC privada através dos Serviços de Certificados do Active Directory ou de um serviço de certificados não Microsoft. Se tiver uma infraestrutura PKI existente, pode manter a mesma AC de raiz e criar uma AC emissora que se encoste à sua raiz externa. Esta opção inclui suporte para hierarquias de escalão N+ da AC privada externa. |
| Algoritmos de Assinatura e Encriptação | Intune suporta RSA, tamanhos de chave 2048, 3072 e 4096. |
| Algoritmos hash | Intune suporta SHA-256, SHA-384 e SHA-512. |
| Chaves HSM (assinatura e encriptação) | As chaves são aprovisionadas com Azure Módulo de Segurança de Hardware Gerido (Azure HSM Gerido). As ACs de PKI na Cloud utilizam chaves de encriptação e assinatura HSM. Não é necessária nenhuma subscrição Azure para Azure HSM. |
| Chaves de Software (assinatura e encriptação) | As ACs criadas durante um período de avaliação do Intune Suite ou do Cloud PKI autónomo utilizam chaves de encriptação e assinatura com suporte de software com System.Security.Cryptography.RSAo . |
| Autoridade de registo de certificados | Fornecer uma Autoridade de Registo de Certificados da Cloud que suporte o Protocolo SCEP (Simple Certificate Enrollment Protocol) para cada AC emissora de PKI na Cloud. |
| Pontos de distribuição da Lista de Revogação de Certificados (CRL) | Intune aloja o ponto de distribuição CRL (CDP) para cada AC. O período de validade da CRL é de sete dias. A publicação e a atualização ocorrem a cada 3,5 dias. A CRL é atualizada com cada revogação de certificados. |
| Pontos finais do Acesso a Informações de Autoridade (AIA) | Intune aloja o ponto final do AIA para cada AC emissora. O ponto final do AIA pode ser utilizado pelas entidades confiadoras para obter certificados principais. |
| Emissão de certificados de entidade final para utilizadores e dispositivos | Também referido como emissão de certificado de folha . O suporte destina-se ao protocolo SCEP (PKCS#7) e ao formato de certificação e aos dispositivos inscritos Intune-MDM que suportam o perfil SCEP. |
| Gestão do ciclo de vida do certificado | Emitir, renovar e revogar certificados de entidade final. |
| Dashboard de relatórios | Monitorize certificados ativos, expirados e revogados de um dashboard dedicado no centro de administração do Intune. Veja relatórios para certificados de folha emitidos e outros certificados e revogue certificados de folha. Os relatórios são atualizados a cada 24 horas. |
| Auditoria | Audite a atividade de administrador, como criar, revogar e pesquisar ações no centro de administração do Intune. |
| Permissões de controlo de acesso baseado em funções (RBAC) | Crie funções personalizadas com permissões de PKI do Microsoft Cloud. As permissões disponíveis permitem-lhe ler ACs, desativar e reativar ACs, revogar certificados de folha emitidos e criar autoridades de certificação. |
| Marcas de escopo | Adicione etiquetas de âmbito a qualquer AC que criar no centro de administração. As etiquetas de âmbito podem ser adicionadas, eliminadas e editadas. |
Arquitetura
O PKI do Microsoft Cloud é composto por vários componentes principais que trabalham em conjunto para simplificar a complexidade e a gestão de uma infraestrutura de chaves públicas. Inclui um serviço Cloud PKI para criar e alojar autoridades de certificação, combinado com uma autoridade de registo de certificados para atender automaticamente pedidos de certificado recebidos a partir de dispositivos inscritos Intune. A autoridade de registo suporta o Protocolo SCEP (Simple Certificate Enrollment Protocol).
* Veja Componentes para obter uma discriminação dos serviços.
Componentes:
A - Microsoft Intune
B - Serviços Microsoft Cloud PKI
- B1 - Serviço Microsoft Cloud PKI
- B2 - Serviço MICROSOFT Cloud PKI SCEP
- B3 - Microsoft Cloud PKI SCEP validation service (Serviço de validação SCEP do Microsoft Cloud PKI)
A autoridade de registo de certificados compõe B2 e B3 no diagrama.
Estes componentes substituem a necessidade de uma autoridade de certificação no local, o NDES e Intune o conector de certificados.
Ações:
Antes de o dispositivo dar entrada no serviço Intune, uma função de administrador Intune ou Intune com permissões para gerir o serviço Microsoft Cloud PKI tem de concluir as seguintes ações:
- Crie a autoridade de certificação cloud PKI necessária para as ACs de raiz e emissão no Microsoft Intune.
- Crie e atribua os perfis de certificado de fidedignidade necessários para as ACs de raiz e emissão.
- Crie e atribua os perfis de certificado SCEP específicos da plataforma necessários.
Estas ações requerem os componentes B1, B2 e B3.
Observação
É necessária uma Autoridade de Certificação emissora de PKI na Cloud para emitir certificados para Intune dispositivos geridos. O Cloud PKI fornece um serviço SCEP que funciona como uma Autoridade de Registo de Certificados. O serviço solicita certificados da AC emissora em nome de dispositivos geridos Intune através de um perfil SCEP.
O fluxo continua com as seguintes ações, mostradas no diagrama como A1 a A5:
A1. Um dispositivo dá entrada com o serviço Intune e recebe o certificado fidedigno e os perfis SCEP.
A2. Com base no perfil SCEP, o dispositivo cria um pedido de assinatura de certificado (CSR). A chave privada é criada no dispositivo e nunca sai do dispositivo. O CSR e o desafio SCEP são enviados para o serviço SCEP na cloud (propriedade URI do SCEP no perfil SCEP). O desafio SCEP é encriptado e assinado com as chaves de RA scep Intune.
A3. O serviço de validação SCEP verifica a CSR relativamente ao desafio scep. A validação garante que o pedido provém de um dispositivo inscrito e gerido. Também garante que o desafio não está ativado e que corresponde aos valores esperados do perfil SCEP. Se alguma destas verificações falhar, o pedido de certificado é rejeitado.
A4. Após a validação do CSR, o serviço de validação SCEP, também conhecido como autoridade de registo, pede que a AC emissora assine o CSR.
A5. O certificado assinado é entregue no Intune dispositivo inscrito na MDM.
Observação
O desafio SCEP é encriptado e assinado com as chaves de autoridade de registo do SCEP Intune.
Experimentar o PKI do Microsoft Cloud
Pode experimentar a funcionalidade PKI do Microsoft Cloud no centro de administração do Intune durante um período de avaliação. As avaliações disponíveis incluem:
Durante o período de avaliação, pode criar até seis ACs no seu inquilino. As ACs cloud PKI criadas durante a avaliação utilizam chaves suportadas por software e utilizam System.Security.Cryptography.RSA para gerar e assinar as chaves. Pode continuar a utilizar as ACs depois de comprar uma licença cloud PKI. No entanto, as chaves permanecem suportadas por software e não podem ser convertidas em chaves suportadas pelo HSM. As chaves de AC geridas do serviço Microsoft Intune. Não é necessária nenhuma subscrição Azure para Azure capacidades do HSM.
Exemplos de configuração de AC
A raiz cloud PKI de duas camadas & ACs emissoras e as ACs bring-your-own podem coexistir no Intune. Pode utilizar as seguintes configurações, fornecidas como exemplos, para criar ACs no Microsoft Cloud PKI:
- Uma AC de raiz com cinco ACs emissoras
- Três ACs de raiz com uma AC emissora cada
- Duas ACs de raiz com uma AC emissora cada e duas ACs bring-your-own
- Seis ACs bring-your-own
Limitações e problemas conhecidos
Para obter as alterações e adições mais recentes, consulte Novidades no Microsoft Intune.
- Pode criar até seis ACs num inquilino Intune.
- PKI de Cloud Licenciada – pode ser criado um total de 6 ACs com chaves Azure mHSM.
- PKI da Cloud de Avaliação – pode ser criado um total de 6 ACs durante uma avaliação do Intune Suite ou do Cloud PKI autónomo.
- Os seguintes tipos de AC contam para a capacidade de AC:
- AC de Raiz de PKI na Cloud
- AC Emissora de PKI na Cloud
- AC Emissora BYOCA
- No centro de administração, quando seleciona Ver todos os certificados de uma AC emissora, Intune mostra apenas os primeiros 1000 certificados emitidos. Estamos a trabalhar ativamente para resolver esta limitação. Como solução, aceda aMonitorde Dispositivos>. Em seguida, selecione Certificados para ver todos os certificados emitidos.
- Uma opção de residência dos dados não está atualmente disponível para clientes que utilizam o Cloud PKI.