Configure e utilize certificados PKCS importados com Intune

  • Artigo

Microsoft Intune suporta a utilização de certificados de par chave público importado (PKCS), comumente utilizados para encriptação S/MIME com perfis de e-mail. Certos perfis de e-mail no Intune suportam uma opção para ativar S/MIME onde pode definir um certificado de assinatura S/MIME e cert de encriptação S/MIME.

A encriptação S/MIME é desafiante porque o e-mail é encriptado com um certificado específico:

  • Deve ter a chave privada do certificado que encriptou o e-mail no dispositivo onde está a ler o e-mail para que possa ser desencriptado.
  • Antes de expirar um certificado num dispositivo, deverá importar um novo certificado para que os dispositivos possam continuar a desencriptar novo e-mail. A renovação destes certificados não é apoiada.
  • Os certificados de encriptação são renovados regularmente, o que significa que pode querer manter o certificado passado nos seus dispositivos, para garantir que o e-mail mais antigo pode continuar a ser desencriptado.

Uma vez que o mesmo certificado precisa de ser utilizado em dispositivos, não é possível utilizar perfis de certificado SCEP ou PKCS para o efeito, uma vez que esses mecanismos de entrega de certificados fornecem certificados únicos por dispositivo.

Para obter mais informações sobre a utilização de S/MIME com Intune, Utilize S/MIME para encriptar o e-mail.

Plataformas suportadas

A Intune suporta a importação de certificados PFX para as seguintes plataformas:

  • Android device administrator (Administrador de dispositivos Android)
  • Android Enterprise:
    • Totalmente gerido
    • Perfil de trabalho Corporate-Owned
    • Perfil de trabalho Personally-Owned
  • iOS/iPadOS
  • macOS
  • Windows 10

Requisitos

Para utilizar certificados PKCS importados com o Intune, necessitará da seguinte infraestrutura:

  • Conector de certificado para Microsoft Intune:

    O conector de certificado trata dos pedidos de ficheiros PFX importados para o Intune para encriptação de e-mail S/MIME para um utilizador específico. Certifique-se de que cada conector que instalou tem acesso à chave privada que é usada para encriptar as palavras-passe dos ficheiros PFX carregados.

    Para obter informações sobre o conector do certificado, consulte:

    Dica

    A partir de 29 de julho de 2021, o Conector certificado da Microsoft Intune substitui a utilização do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Connector. O novo conector inclui a funcionalidade de ambos os conectores anteriores. Apesar de os conectores anteriores se manterem no suporte,já não estão disponíveis para download. Se precisar de instalar um novo conector ou reinstalar um conector, instale o conector de certificado mais recente para Microsoft Intune.

  • Windows Servidor:

    O conector de certificado instala-se num servidor Windows que satisfaz os pré-requisitosdos conectores .

  • Visual Studio 2015 ou superior (opcional):

    Utiliza-se Visual Studio para construir o módulo Helper PowerShell com cmdlets para importar certificados PFX para Microsoft Intune. Para obter os cmdlets PowerShell do ajudante, consulte a PFXImport PowerShell Project em GitHub.

Como funciona

Quando utiliza o Intune para implantar um certificado PFX importado para um utilizador, existem dois componentes em jogo para além do dispositivo:

  • Serviço Intune: Armazena os certificados PFX em estado encriptado e trata da colocação do certificado no dispositivo do utilizador. As palavras-passe que protegem as chaves privadas dos certificados são encriptadas antes de serem carregadas usando um módulo de segurança de hardware (HSM) ou Windows Cryptography, garantindo que a Intune não pode aceder à chave privada a qualquer momento.

  • Conector de certificado para Microsoft Intune: Quando um dispositivo solicita um certificado PFX que foi importado para o Intune, a palavra-passe encriptada, o certificado e a chave pública do dispositivo são enviados para o conector. O conector desencripta a palavra-passe utilizando a chave privada no local e, em seguida, reencripta a palavra-passe (e quaisquer perfis de lista se utilizar o iOS) com a chave do dispositivo antes de enviar o certificado de volta para o Intune. A Intune entrega então o certificado ao dispositivo e o dispositivo desencripta-o com a chave privada do dispositivo e instala o certificado.

Importar Certificados PFX para Intune

Utiliza o Microsoft Graph para importar os certificados PFX dos seus utilizadores para o Intune. O helper PFXImport PowerShell Project em GitHub fornece-lhe cmdlets para fazer as operações com facilidade.

Se preferir utilizar a sua própria solução personalizada utilizando Graph, utilize o tipo de recurso userPFXCertificate.

Construir cmdlets 'PFXImport PowerShell Project'

Para utilizar os cmdlets PowerShell, você mesmo constrói o projeto usando Visual Studio. O processo é simples e, embora possa ser executado no servidor, recomendamos que o execute na sua estação de trabalho.

  1. Vá até à raiz do repositório Intune-Resource-Access no GitHub e, em seguida, faça o download ou clone do repositório com Git para a sua máquina.

    botão de descarregamento de GitHub

  2. .\Intune-Resource-Access-develop\src\PFXImportPowershell\ e abra o projeto com Visual Studio usando o ficheiro PFXImportPS.sln.

  3. Em cima, mude de Debug para Release.

  4. Vá para construir e selecione Build PFXImportPS. Em alguns momentos, verá que a confirmação conseguida da Build aparece na parte inferior esquerda da Visual Studio.

    Visual Studio Opção de construção

  5. O processo de construção cria uma nova pasta com o Módulo PowerShell em .\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release .

    Utilizará esta pasta de desbloqueio para os próximos passos.

Criar a chave pública de encriptação

Importa certificados PFX e as chaves privadas da Intune. A palavra-passe que protege a chave privada é encriptada com uma chave pública que é armazenada no local. Você pode usar Windows criptografia, um módulo de segurança de hardware, ou outro tipo de criptografia para gerar e armazenar os pares de chaves público/privado. Dependendo do tipo de criptografia utilizada, o par de chaves público/privado pode ser exportado num formato de ficheiro para fins de backup.

O módulo PowerShell fornece métodos para criar uma chave utilizando Windows criptografia. Também pode utilizar outras ferramentas para criar uma chave.

Para criar a chave de encriptação usando Windows criptografia

  1. Copie a pasta De desbloqueio criada por Visual Studio para o servidor onde instalou o Conector certificado durante Microsoft Intune. Esta pasta contém o módulo PowerShell.

  2. No servidor, abra o PowerShell como administrador e, em seguida, navegue para a pasta de desbloqueio que contém o módulo PowerShell.

  3. Para importar o módulo, corra Import-Module .\IntunePfxImport.psd1 para importar o módulo.

  4. Em seguida, corra Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"

    Dica

    O fornecedor que utiliza deve ser novamente selecionado quando importa certificados PFX. Pode utilizar o Microsoft Software Key Armazenamento Provider, embora seja suportado para utilizar um fornecedor diferente. O nome chave também é fornecido como um exemplo, e você pode usar um nome chave diferente da sua escolha.

    Se pretender importar o certificado da sua estação de trabalho, pode exportar esta chave para um ficheiro com o seguinte comando: Export-IntunePublicKey -ProviderName "<ProviderName>" -KeyName "<KeyName>" -FilePath "<File path\Filename.PFX>"

    A chave privada deve ser importada em cada servidor que hospeda o Conector certificado para Microsoft Intune para que os certificados PFX importados possam ser processados com sucesso.

Para utilizar um módulo de segurança de hardware (HSM)

Pode utilizar um módulo de segurança de hardware (HSM) para gerar e armazenar o par de chaves público/privado. Para mais informações, consulte a documentação do fornecedor de HSM.

Certificados PFX de Importação

O processo que se segue utiliza os cmdlets PowerShell como um exemplo de como importar os certificados PFX. Pode escolher diferentes opções dependendo dos seus requisitos.

As opções incluem:

  • Finalidade (certificados de grupos em conjunto com base numa etiqueta):

    • não atribuído
    • smimeEncryption
    • smimeSigning

  • Regime de enchimento:

    • oaepSha256
    • oaepSha384
    • oaepSha512

Selecione o Fornecedor Armazenamento chave que corresponde ao fornecedor utilizado para criar a chave.

Importar o certificado PFX

  1. Exportar os certificados de qualquer Autoridade de Certificação (CA) seguindo a documentação do fornecedor. Para os Serviços de Certificado de Diretório Ativo da Microsoft, pode utilizar este script de amostra.

  2. No servidor, abra o PowerShell como administrador e, em seguida, navegue para a pasta de desbloqueio que contém o módulo PowerShell IntunePfxImport.psd1.

    Nota

    Devem ser efetuadas as seguintes alterações para os inquilinos GCC High e DoD antes de executaremIntunePfxImport.psd1.

    Utilize um editor de texto ou PowerShell ISE para editar o ficheiro, que atualiza os pontos finais do serviço para o ambiente GCC Elevado. Note que estas atualizações mudam os URIs de .com para sufixos .us. Existem um total de duas atualizações dentro deIntunePfxImport.psd1. Um para a AuthURI e o segundo para GraphURI:

    PrivateData = @{
    AuthURI = "login.microsoftonline.us"
    GraphURI = "https://graph.microsoft.us"
    SchemaVersion = "beta"
    }

    Depois de guardar as alterações, reinicie o PowerShell.

  3. Para importar o módulo, corra Import-Module .\IntunePfxImport.psd1

  4. Para autenticar para intune Graph, corraSet-IntuneAuthenticationToken -AdminUserName "<Admin-UPN>"

    Nota

    Como a autenticação é executada contra Graph, você deve fornecer permissões ao AppID. Se for a primeira vez que usas este utilitário, é necessário um administrador global. Os cmdlets PowerShell utilizam o mesmo AppID que o utilizado com amostras de intune PowerShell.

  5. Converta a palavra-passe de cada ficheiro PFX que está a importar para uma cadeia segura executando $SecureFilePassword = ConvertTo-SecureString -String "<PFXPassword>" -AsPlainText -Force .

  6. Para criar um objeto UserPFXCertificate, corra $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>"

    Por exemplo: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "C:\temp\userA.pfx" $SecureFilePassword "userA@contoso.com" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"

    Nota

    Quando importa o certificado de um sistema diferente do servidor onde o conector está instalado, deve utilizar o seguinte comando que inclui o caminho do ficheiro chave: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathToPFX>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>" "<PaddingScheme>" "<File path to public key file>"

    A VPN não é suportada como Pretendupose.

  7. Importar o objeto UserPFXCertificate para Intune executando Import-IntuneUserPfxCertificate -CertificateList $userPFXObject

  8. Para validar o certificado foi importado, corra Get-IntuneUserPfxCertificate -UserList "<UserUPN>"

  9. Como uma boa prática para limpar o cache de ficha ad Azure sem esperar que expire por si mesmo, corra Remove-IntuneAuthenticationToken

Para obter mais informações sobre outros comandos disponíveis, consulte o ficheiro readme na PFXImport PowerShell Project GitHub.

Criar um perfil de certificado PKCS importado

Após importar certificados para o Intune, crie um perfil de certificado PKCS importado e atribua-o a grupos do Azure Active Directory.

Nota

Depois de criar um perfil de certificado importado de PKCS, os valores do fornecedor de armazenamento de finalidade e chave (KSP) no perfil são apenas de leitura e não podem ser editados. Se precisar de um valor diferente para qualquer uma destas definições, crie e implemente um novo perfil.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione e vá para perfis de configuração de > dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos seus dispositivos.
    • Perfil: Selecione certificado importado de PKCS. Ou, selecione o certificado importado por > Modelos PKCS.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é o perfil de certificado importado do PKCS para toda a empresa.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Selecione Seguinte.

  7. Nas definições de configuração, introduza as seguintes propriedades:

    • Fim a que se destina: Especificar o objetivo dos certificados importados para este perfil. Os administradores podem importar certificados com diferentes finalidades (como a assinatura S/MIME ou a encriptação S/MIME). A finalidade selecionada no perfil do certificado corresponde ao perfil do certificado com os certificados importados adequados. O objetivo pretendido é uma etiqueta para agrupar os certificados importados em conjunto e não garante que os certificados importados com essa etiqueta satisfaçam o objetivo pretendido.

    • Fornecedor de armazenamento de chaves (KSP): para dispositivos com Windows, selecione onde armazenar as chaves no dispositivo.

  8. Selecione Seguinte.

  9. Em Atribuições, selecione o utilizador ou grupos que receberão o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

  10. (Aplica-se apenas a Windows 10) Nas Regras de Aplicabilidade, especifique as regras de aplicabilidade para aperfeiçoar a atribuição deste perfil. Pode optar por atribuir ou não atribuir o perfil com base na edição de SISTEMA ou versão de um dispositivo.

    Para obter mais informações, consulte as regras de aplicabilidade na Criação de um perfil do dispositivo em Microsoft Intune.

    Selecione Seguinte.

  11. Em Rever + criar, rever as suas definições. Quando seleciona Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Apoio a parceiros de terceiros

Os seguintes parceiros fornecem métodos ou ferramentas suportados que pode usar para importar certificados PFX para Intune.

DigiCert

Se utilizar o serviço plataforma DigiCert PKI, pode utilizar a Ferramenta de Importação DigiCert para Certificados Intune S/MIME para importar certificados PFX para Intune. A utilização desta ferramenta substitui a necessidade de seguir as instruções na secção Certificados PFX de Importação para Intune que é detalhado anteriormente neste artigo.

Para saber mais sobre a ferramenta DigiCert Import, incluindo como obter a ferramenta, consulte https://knowledge.digicert.com/tutorials/microsoft-intune.html na base de conhecimentos DigiCert.

KeyTalk

Se utilizar o serviço KeyTalk, pode configurar o seu serviço para importar certificados PFX para Intune. Depois de completar a integração, não precisará de seguir as instruções na secção Import PFX Certificates to Intune to Intune que é detalhado no início deste artigo.

Para saber mais sobre a integração do KeyTalk com o Intune, consulte https://keytalk.com/support a base de conhecimentos KeyTalk.

Passos seguintes

Utilizar SCEP para certificados