Utilize certificados para autenticação em Microsoft Intune
Utilize certificados com a Intune para autenticar os seus utilizadores em aplicações e recursos corporativos através de perfis de VPN, Wi-Fi ou e-mail. Quando utilizar certificados para autenticar estas ligações, os seus utilizadores finais não precisarão de introduzir nomes de utilizador e palavras-passe, o que pode tornar o seu acesso sem problemas. Os certificados também são usados para a assinatura e encriptação de e-mail usando S/MIME.
Introdução aos certificados com Intune
Os certificados proporcionam acesso autenticado sem demora durante as duas fases seguintes:
- Fase de autenticação: A autenticidade do utilizador é verificada para confirmar se o utilizador é quem afirma ser.
- Fase de autorização: O utilizador está sujeito a condições para as quais é determinada se o utilizador deve ou não ter acesso.
Os cenários típicos de utilização dos certificados incluem:
- Autenticação em rede (por exemplo, 802.1x) com certificados de dispositivo ou utilizador
- Autenticação com servidores VPN utilizando certificados de dispositivo ou utilizador
- Assinatura de e-mail com base em certificados de utilizador
A Intune suporta o Protocolo de Inscrição de Certificados Simples (SCEP), as Normas de Criptografia de Chaves Públicas (PKCS) e certificados de PKCS importados como métodos para a prestação de certificados em dispositivos. Os diferentes métodos de provisionamento têm requisitos e resultados diferentes. Por exemplo:
- SCEP prevê certificados exclusivos de cada pedido para o certificado.
- PKCS fornece cada dispositivo com um certificado único.
- Com pkcs importados, pode implementar o mesmo certificado que exportou de uma fonte, como um servidor de e-mail, para vários destinatários. Este certificado partilhado é útil para garantir que todos os seus utilizadores ou dispositivos podem então desencriptar e-mails que foram encriptados por esse certificado.
Para fornecer um utilizador ou dispositivo com um tipo específico de certificado, o Intune utiliza um perfil de certificado.
Além dos três tipos de certificados e métodos de provisionamento, você precisará de um certificado de raiz fidedigno de uma Autoridade de Certificação confiável (CA). A AC pode ser uma Autoridade de Certificação da Microsoft no local, ou uma Autoridade de Certificação de terceiros. O certificado raiz de confiança estabelece uma confiança do dispositivo para a sua raiz ou intermédia (emissão) CA a partir da qual os outros certificados são emitidos. Para implementar este certificado, utilize o perfil de certificado de confiança e implemente-o nos mesmos dispositivos e utilizadores que receberão os perfis de certificados para SCEP, PKCS e PKCS importados.
Dica
A Intune também apoia a utilização de credenciais derivadas para ambientes que requerem o uso de smartcards.
O que é necessário para usar certificados
- Uma Autoridade de Certificação. A sua AC é a fonte de confiança que os certificados referem para autenticação. Pode utilizar um Microsoft CA ou um CA de terceiros.
- Infraestrutura no local. A infraestrutura que necessitará depende dos tipos de certificados que utilizará:
- Um certificado de raiz de confiança. Antes de implementar perfis de certificado SCEP ou PKCS, implemente o certificado de raiz fidedigno a partir do seu CA utilizando um perfil de certificado de confiança. Este perfil ajuda a estabelecer a confiança do dispositivo de volta para a AC e é exigido pelos outros perfis de certificado.
Com um certificado de raiz fidedigno implantado, estará pronto para implementar perfis de certificados para a provisionar utilizadores e dispositivos com certificados de autenticação.
Que perfil de certificado usar
As seguintes comparações não são abrangentes, mas destinam-se a ajudar a distinguir a utilização dos diferentes tipos de perfis de certificado.
Tipo de perfil | Detalhes |
---|---|
Certificado fidedigno | Utilize para implantar a chave pública (certificado) de uma CA de raiz ou de um CA intermediário para utilizadores e dispositivos para estabelecer uma confiança de volta à origem CA. Outros perfis de certificado requerem o perfil de certificado fidedigno e o seu certificado de raiz. |
Certificado SCEP | Implementa um modelo para um pedido de certificado para utilizadores e dispositivos. Cada certificado que é a provisionado usando o SCEP é único e está ligado ao utilizador ou dispositivo que solicita o certificado. Com o SCEP, pode implementar certificados para dispositivos que não têm afinidade do utilizador, incluindo a utilização de SCEP para a disponibilização de um certificado no KIOSK ou dispositivo sem utilizador. |
Certificado PKCS | Implementa um modelo para um pedido de certificado que especifica um tipo de certificado de utilizador ou dispositivo. - Os pedidos de um tipo de certificado de utilizador requerem sempre afinidade do utilizador. Quando implantados num utilizador, cada um dos dispositivos do utilizador recebe um certificado único. Quando implantado num dispositivo com um utilizador, esse utilizador está associado ao certificado para esse dispositivo. Quando implantado num dispositivo sem utilizador, não é previsto qualquer certificado. - Os modelos com um tipo de dispositivo de certificado não requerem afinidade do utilizador para a disponibilização de um certificado. Implantação para um dispositivo fornece o dispositivo. Implantação para um utilizador disposições o dispositivo em que o utilizador é assinado com um certificado. |
Certificado PKCS importado | Implementa um único certificado para vários dispositivos e utilizadores, que suporta cenários como a assinatura e encriptação S/MIME. Por exemplo, ao implementar o mesmo certificado para cada dispositivo, cada dispositivo pode desencriptar o e-mail recebido desse mesmo servidor de e-mail. Outros métodos de implementação de certificados são insuficientes para este cenário, uma vez que o SCEP cria um certificado único para cada pedido, e o PKCS associa um certificado diferente para cada utilizador, com diferentes utilizadores a receberem diferentes certificados. |
Certificados e utilização suportados intune
Tipo | Autenticação | S/MIME Assinatura | Encriptação S/MIME |
---|---|---|---|
Certificado importado de Normas de Criptografia de Chaves Públicas (PKCS) | |||
PKCS#12 (ou PFX) | |||
Protocolo SCEP (Simple Certificate Enrollment Protocol) |
Para implementar estes certificados, irá criar e atribuir perfis de certificados aos dispositivos.
Cada perfil de certificado individual que cria suporta uma única plataforma. Por exemplo, se utilizar certificados PKCS, criará o perfil de certificado PKCS para Android e um perfil de certificado PKCS separado para iOS/iPadOS. Se também utilizar certificados SCEP para essas duas plataformas, criará um perfil de certificado SCEP para Android e outro para iOS/iPadOS.
Considerações gerais quando se utiliza uma Microsoft Certification Authority
Quando utilizar uma Microsoft Certification Authority (CA):
Para utilizar perfis de certificado SCEP:
Para utilizar perfis de certificados PKCS:
Utilizar certificados importados de PKCS:
- Instale o conector certificado para Microsoft Intune.
- Certificados de exportação da autoridade de certificação e, em seguida, importá-los para Microsoft Intune. Consulte o projeto PFXImport PowerShell.
Utilizar certificados utilizando os seguintes mecanismos:
- Perfis de certificado fidedignos para implantar o certificado De raiz fidedigna CA a partir da sua raiz ou intermédia (emissão) CA para dispositivos
- Perfis de certificado de SCEP
- Perfis de certificados PKCS
- Perfis de certificados importados de PKCS
Considerações gerais quando se utiliza uma Autoridade de Certificação de terceiros
Quando utiliza uma Autoridade de Certificação (não-Microsoft) (CA):
Para utilizar perfis de certificado SCEP:
- Configure a integração com uma AC de terceiros de um dos nossos parceiros apoiados. A configuração inclui seguir as instruções da AC de terceiros para completar a integração do seu CA com o Intune.
- Crie uma aplicação em Azure AD que delega direitos à Intune para fazer validação de concurso de certificado SCEP.
Os certificados importados de PKCS obrigam-no a instalar o conector de certificados durante Microsoft Intune.
Utilizar certificados utilizando os seguintes mecanismos:
- Perfis de certificado fidedignos para implantar o certificado De raiz fidedigna CA a partir da sua raiz ou intermédia (emissão) CA para dispositivos
- Perfis de certificado de SCEP
- Perfis de certificado PKCS (apenas suportados com a Plataforma Digicert PKI)
- Perfis de certificados importados de PKCS
Plataformas apoiadas e perfis de certificados
Plataforma | Perfil de certificado fidedigno | Perfil de certificado PKCS | Perfil de certificado SCEP | Perfil de certificado importado de PKCS |
---|---|---|---|---|
Android device administrator (Administrador de dispositivos Android) | (ver Nota 1) |
|||
Android Enterprise - Totalmente gerido (Proprietário do Dispositivo) |
||||
Android Enterprise - Dedicado (Proprietário do Dispositivo) |
||||
Android Enterprise - perfil de trabalho Corporate-Owned |
||||
Android Enterprise - perfil de trabalho Personally-Owned |
||||
iOS/iPadOS | ||||
macOS | ||||
Windows 8.1 e posterior | ||||
Windows 10 e posterior | (ver Nota 2) |
(ver Nota 2) |
(ver Nota 2) |
- Nota 1 _ - A partir do Android 11, os perfis de certificados fidedignos já não podem instalar o certificado de raiz fidedigno em dispositivos que estão inscritos como administrador _Android dispositivo. Esta limitação não se aplica à Samsung Knox. Para obter mais informações, consulte perfis de certificado fidedignos para administrador de dispositivos Android.
- Nota 2 - Este perfil é suportado para Windows 10 Enterprise ambientes de trabalho remotos com múltiplas sessões.
Recursos adicionais
- Use S/MIME to sign and encrypt emails (Utilizar S/MIME para assinar e encriptar e-mails)
- Utilizar autoridade de certificação de terceiros
Passos seguintes
Criar perfis de certificados:
- Configurar um perfil de certificado de confiança
- Configure a infraestrutura de suporte a certificados SCEP com a Intune
- Configurar e gerir certificados PKCS com o Intune
- Criar um perfil de certificado PKCS importado
Saiba mais sobre o Conector de Certificados para Microsoft Intune