Partilhar via

Eliminar a autoridade de certificação PKI do Microsoft Cloud

  • Artigo

Elimine uma autoridade de certificação (AC) de raiz e emissora do serviço Microsoft Cloud PKI no Microsoft Intune. Pode utilizar as seguintes ações no centro de administração do Microsoft Intune para gerir as autoridades de certificação (ACs) no seu inquilino:

  • Colocar a AC em pausa – coloque a AC em pausa para parar a sua utilização.
  • Revogar AC – revogue todos os certificados de folha ativos e, em seguida, revogue a AC.
  • Eliminar AC – elimine e remova a AC do Microsoft Intune.

Uma AC de raiz não pode ser eliminada até que todas as ACs emissoras ancoradas sejam eliminadas. Se mudar de ideias depois de colocar uma AC em pausa, pode despautilizá-la para retomar a utilização. No entanto, revogar e eliminar uma AC são ações permanentes e não podem ser anuladas.

Este artigo descreve como eliminar uma AC emissora e uma AC de raiz do Microsoft Intune com as ações disponíveis no centro de administração.

Requisitos de acesso baseado em funções

Estas funções de administrador podem eliminar ACs no centro de administração do Microsoft Intune:

  • Administrador do Intune, uma função incorporada do Microsoft Entra
  • Função personalizada do Intune, atribuída às seguintes permissões do Intune:
    • Ler ACs
    • Desativar e reativar as ACs
    • Revogar certificados de folha emitidos

Eliminar AC emissora

Remova permanentemente uma AC emissora do Microsoft Intune. Se estiver a tentar eliminar uma AC de raiz, conclua estes passos primeiro para eliminar a AC emissora ancorada na mesma.

  1. Aceda a Administração de inquilinos>cloud PKI.

  2. Selecione uma AC emissora ativa na lista de ACs disponíveis. Selecionar uma AC abre as ações disponíveis.

  3. Selecione Colocar em Pausa.

    Captura de ecrã de exemplo a realçar a ação Pausa para Cloud PKI.

  4. Selecione Colocar em Pausa novamente quando lhe for pedido para confirmar.

    Observação

    Depois de colocar uma AC emissora em pausa:

    • Não pode emitir certificados de folha.
    • Continua a responder aos pedidos da lista de revogação de certificados (CRL) e aos pedidos do AIA.

  5. Volte à sua lista de ACs e selecione Atualizar. Em seguida, procure na coluna Estado para confirmar que a AC emissora está em pausa.

    Captura de ecrã de exemplo a realçar a coluna Estado na tabela de ACs.

  6. Selecione a AC em pausa para abrir novamente todas as opções disponíveis. São apresentadas duas novas opções:

    • Retomar: esta opção aninha o estado de utilização da AC e torna-a novamente ativa.
    • Revogar: esta opção revoga a AC emissora.

  7. Selecione Revogar.

    Dica

    Para que esta ação funcione, todos os certificados de folha ativos pertencentes à AC já têm de ser revogados. Para obter mais informações e passos, veja Revogar certificados de folha ativos neste artigo.

    Captura de ecrã de exemplo a realçar a ação Revogar para a AC.

  8. Selecione Revogar novamente quando lhe for pedido para confirmar.

    Importante

    Esta ação não pode ser anulada.

    Observação

    Depois de revogar uma AC emissora:

    • Continua a responder a pedidos de CRL e AIA.
    • Já não é fidedigno para as entidades confiadoras que executam uma operação de cadeia de fidedignidade.
    • A CRL da AC de raiz mostra que o certificado de AC emissora foi revogado.
    • Todos os certificados de folha existentes emitidos pela AC deixam de ser autenticados.

  9. Volte à sua lista de ACs e selecione Atualizar. Em seguida, procure na coluna Estado para confirmar que a AC emissora foi revogada.

    Captura de ecrã de exemplo da lista de AC a realçar o estado revogado.

  10. Selecione a AC revogada para abrir novamente todas as opções disponíveis.

  11. A opção para eliminar a AC deve estar agora disponível. Selecione Eliminar para remover a AC do Microsoft Intune.

    Captura de ecrã de exemplo a realçar a ação de eliminação de uma AC emissora.

  12. Selecione Eliminar novamente quando lhe for pedido para confirmar.

    Importante

    Esta ação não pode ser anulada.

  13. Volte à sua lista de ACs e selecione Atualizar. Confirme que a AC emissora já não aparece na lista.

Eliminar AC de raiz

Remova permanentemente uma AC de raiz do Microsoft Intune.

Dica

Elimine todas as ACs emissoras ancoradas antes de eliminar a AC de raiz.

  1. Aceda a Administração de inquilinos>cloud PKI.

  2. Selecione uma AC de raiz na lista de ACs disponíveis. Selecionar uma AC abre as ações disponíveis.

    Captura de ecrã de exemplo da lista de AC a realçar uma AC de raiz.

  3. Selecione Eliminar para remover a AC do Microsoft Intune.

    Captura de ecrã de exemplo do centro de administração a realçar a ação de eliminação da AC de raiz.

  4. Selecione Eliminar novamente quando lhe for pedido para confirmar.

    Importante

    Esta ação não pode ser anulada.

  5. Volte à sua lista de ACs e selecione Atualizar. Confirme que a AC de raiz já não aparece na lista.

Revogar certificados de folha ativos

Ao tentar revogar uma AC emissora, é importante revogar primeiro todos os respetivos certificados de folha ativos. Pode revogar um certificado de folha de cada vez a partir de uma AC emissora ou pode revogar certificados de folha em massa.

Revogar um certificado de folha

  1. No centro de administração do Microsoft Intune, aceda a Administração> de inquilinoscloud PKI.
  2. Selecione uma AC emissora.
  3. Selecione Ver todos os certificados.
  4. Selecione um certificado de folha ativo e, em seguida, selecione Revogar. Repita este passo em todos os certificados de folha restantes.

Revogar todos os certificados de folha

Pode utilizar o script do PowerShell de exemplo nesta secção para revogar todos os certificados de folha pertencentes a uma AC. O script obtém informações do seu inquilino do Microsoft Intune sobre o Microsoft Cloud PKI e revoga certificados de folha para uma AC emissora no seu inquilino.

  • O script obtém todos os certificados de folha e executa a ação de revogação em cada um deles.
  • O script pede-lhe, enquanto administrador, que confirme que pretende revogar todos os certificados de folha.
  • O script tem uma configuração opcional que pode incluir que envia um pedido de confirmação para cada certificado. A secção no script é comentada no exemplo, por isso, adicione-a novamente se quiser executar essa parte.

Importante

Utilize este script com cuidado. Não pode anular a ação de revogação de nenhum dos certificados de folha.

  • Reveja o script de exemplo antes de o executar para compreender melhor como funciona e para considerar como afeta o seu inquilino.
  • Execute primeiro o script de exemplo numa conta de inquilino de não produção ou teste.

O script instala o módulo do PowerShell do Microsoft Graph, Microsoft.Graph. O dispositivo que está a executar o script tem de ter privilégios administrativos para instalar o módulo com êxito.

O Connect-MgGraph comando tem de ser emitido por um administrador que tenha permissão para revogar certificados de folha na AC emissora.

O ID da AC é necessário para executar o script. Para encontrar estas informações no centro de administração:

  1. Aceda a Administração de inquilinos>cloud PKI.

  2. Selecione uma AC emissora.

  3. Observe o URL do browser para encontrar o ID da AC. A cadeia alfanumérica hifenizada no final do URL é o ID da AC. Por exemplo, no SEGUINTE URL, o ID da AC é f12345-acf1-12ab-1b2a-1a1234567a89:

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Amostra de script

Execute o script do PowerShell de exemplo a partir de uma estação de trabalho administrativa. Para executá-lo, tem de ter as seguintes permissões do Intune:

  • Ler ACs
  • Revogar certificados de folha emitidos
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}