Usar certificados para autenticação no Microsoft IntuneUse certificates for authentication in Microsoft Intune

Use certificados com o Intune para autenticar os usuários em aplicativos e recursos corporativos por meio de perfis de VPN, Wi-Fi ou email.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Quando você usa certificados para autenticar essas conexões, os usuários finais não precisam inserir nomes de usuário e senhas, o que pode tornar seu acesso contínuo.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which can make their access seamless. Os certificados também são usados para assinatura e criptografia de email usando S/MIME.Certificates are also used for signing and encryption of email using S/MIME.

Certificados e uso compatíveis com o IntuneIntune supported certificates and usage

TipoType AutenticaçãoAuthentication Autenticação S/MIMES/MIME Signing Criptografia S/MIMES/MIME encryption
Certificado PKCS (Public Key Cryptography Standards) importadoPublic Key Cryptography Standards (PKCS) imported certificate Com suporte Com suporte
PKCS#12 (ou PFX)PKCS#12 (or PFX) Com suporte Com suporte
Protocolo SCEPSimple Certificate Enrollment Protocol (SCEP) Com suporte Com suporte

Para implantar esses certificados, você criará e atribuirá perfis de certificado a dispositivos.To deploy these certificates, you’ll create and assign certificate profiles to devices.

Cada perfil de certificado individual criado dá suporte a uma única plataforma.Each individual certificate profile you create supports a single platform. Por exemplo, se você usar certificados PKCS, criará o perfil de certificado PKCS para o Android e um perfil de certificado PKCS separado para o iOS.For example, if you use PKCS certificates, you’ll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS. Se você também usar certificados SCEP para essas duas plataformas, criará um perfil de Certificado SCEP para o Android e outro para o iOS.If you also use SCEP certificates for those two platforms, you’ll create a SCEP certificate profile for Android, and another for iOS.

Considerações gerais ao usar uma Autoridade de Certificação MicrosoftGeneral considerations when you use a Microsoft Certification Authority

Quando usar uma Autoridade de Certificação da Microsoft (CA):When you use a Microsoft Certification Authority (CA):

Considerações gerais sobre o uso de uma Autoridade de Certificação de terceirosGeneral considerations when you use a third-party Certification Authority

Quando usar uma autoridade de certificação (CA) de terceiros (não Microsoft):When you use a third-party (non-Microsoft) Certification Authority (CA):

Perfis de certificado e plataformas compatíveisSupported platforms and certificate profiles

PlataformaPlatform Perfil de certificado confiávelTrusted certificate profile Perfil de Certificado PKCSPKCS certificate profile Perfil de Certificado SCEPSCEP certificate profile Perfil de certificado PKCS importadoPKCS imported certificate profile
Administrador do dispositivo AndroidAndroid device administrator Com suporte Com suporte Com suporte Com suporte
Android EnterpriseAndroid Enterprise
– Totalmente gerenciado (proprietário do dispositivo)- Fully Managed (Device Owner)
Com suporte Com suporte
Android EnterpriseAndroid Enterprise
– Dedicado (proprietário do dispositivo)- Dedicated (Device Owner)
Com suporte Com suporte
Android EnterpriseAndroid Enterprise
– Perfil de Trabalho- Work Profile
Com suporte Com suporte Com suporte Com suporte
iOSiOS Com suporte Com suporte Com suporte Com suporte
macOSmacOS Com suporte Com suporte Com suporte Com suporte
Windows Phone 8.1Windows Phone 8.1 Com suporte Com suporte Com suporte
Windows 8.1 e posteriorWindows 8.1 and later Com suporte Com suporte
Windows 10 e posteriorWindows 10 and later Com suporte Com suporte Com suporte Com suporte

Exportar o Certificado de Autoridade de Certificação raiz confiávelExport the trusted root CA certificate

Para usar certificados PKCS importados, SCEP e PKCS, os dispositivos precisam confiar na autoridade de certificação raiz.To use PKCS, SCEP, and PKCS imported certificates, devices must trust your root Certification Authority. Para estabelecer essa relação de confiança, exporte o Certificado de AC raiz confiável, bem como os certificados de autoridade de certificação intermediária ou emissora, como um certificado público (.cer).To establish trust, export the Trusted Root CA certificate, and any intermediate or issuing Certification Authority certificates, as a public certificate (.cer). Obtenha esses certificados da AC emissora ou de qualquer dispositivo que confie na AC emissora.You can get these certificates from the issuing CA, or from any device that trusts your issuing CA.

Para exportar o certificado, confira a documentação da autoridade de certificação.To export the certificate, refer to the documentation for your Certification Authority. Você precisará exportar o certificado público como um arquivo .cer.You’ll need to export the public certificate as a .cer file. Não exporte a chave privada, um arquivo .pfx.Don't export the private key, a .pfx file.

Você usará esse arquivo .cer ao criar perfis de certificado confiável para implantar esse certificado em seus dispositivos.You’ll use this .cer file when you create trusted certificate profiles to deploy that certificate to your devices.

Criar perfis de certificado confiávelCreate trusted certificate profiles

Crie um perfil de certificado confiável antes de criar um perfil de certificado PKCS importado, SCEP ou PKCS.Create a trusted certificate profile before you can create a SCEP, PKCS, or PKCS imported certificate profile. A implantação de um perfil de certificado confiável garante que cada dispositivo reconheça a legitimidade da AC.Deploying a trusted certificate profile ensures each device recognizes the legitimacy of your CA. Os perfis de Certificado SCEP referenciam diretamente um perfil de certificado confiável.SCEP certificate profiles directly reference a trusted certificate profile. Os perfis de Certificado PKCS não referenciam diretamente o perfil de certificado confiável, mas sim o servidor que hospeda a AC.PKCS certificate profiles don’t directly reference the trusted certificate profile but do directly reference the server that hosts your CA. Os perfis de certificados PKCS importados não referenciam diretamente o perfil de certificado confiável, mas podem usá-lo no dispositivo.PKCS imported certificate profiles don't directly reference the trusted certificate profile but can use it on the device. A implantação de um perfil de certificado confiável em dispositivos garante que essa relação de confiança seja estabelecida.Deploying a trusted certificate profile to devices ensures this trust is established. Quando um dispositivo não confiar na AC raiz, a política de perfil de Certificado SCEP ou PKCS falhará.When a device doesn’t trust the root CA, the SCEP or PKCS certificate profile policy will fail.

Crie um perfil de certificado confiável separado para cada plataforma de dispositivo à qual deseja dar suporte, assim como você fará para os perfis de certificados PKCS importados, SCEP e PKCS.Create a separate trusted certificate profile for each device platform you want to support, just as you'll do for SCEP, PKCS, and PKCS imported certificate profiles.

Para criar um perfil de certificado confiávelTo create a trusted certificate profile

  1. Entre no Centro de Administração do Gerenciador de Ponto de Extremidade da Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.Select Devices > Configuration profiles > Create profile.

    Navegue até o Intune e crie um perfil para um certificado confiável

  3. Insira as seguintes propriedades:Enter the following properties:

    • Nome do perfilName for the profile
    • Opcionalmente defina uma DescriçãoOptionally set a Description
    • Plataforma na qual implantar o perfilPlatform to deploy the profile to
    • Defina o Tipo de perfil como Certificado confiávelSet Profile type to Trusted certificate
  4. Selecione Configurações, procure o arquivo .cer do certificado de Autoridade de Certificação raiz confiável que você exportou para uso com esse perfil de certificado e selecione OK.Select Settings, and then browse to the trusted root CA certificate .cer file you exported for use with this certificate profile, and then select OK.

  5. Somente para dispositivos Windows 8.1 e Windows 10, selecione o Repositório de Destino para o certificado confiável de:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Repositório de certificados do computador – RaizComputer certificate store - Root
    • Repositório de certificados do computador – IntermediárioComputer certificate store - Intermediate
    • Repositório de certificados do usuário – IntermediárioUser certificate store - Intermediate
  6. Quando terminar, selecione OK, volte para o painel Criar perfil e escolha Criar.When you're done, choose OK, go back to the Create profile pane, and select Create.

O perfil é exibido na lista de perfis da janela Dispositivos – Perfis de configuração, com o tipo de perfil Certificado confiável.The profile appears in the list of profiles on the Devices - Configuration profiles window, with a profile type of Trusted certificate. Lembre-se de atribuir esse perfil aos dispositivos que usarão Certificados SCEP ou PKCS.Be sure to assign this profile to devices that will use SCEP or PKCS certificates. Para atribuir o perfil a grupos, confira Atribuir perfis de dispositivo.To assign the profile to groups, see assign device profiles.

Observação

Os dispositivos Android podem exibir uma mensagem informando que um terceiro instalou um certificado confiável.Android devices might display a message that a third party has installed a trusted certificate.

Recursos adicionaisAdditional resources

Próximas etapasNext steps

Criar perfis de certificado PKCS importado, SCEP ou PKCS para cada plataforma que deseja usar.Create SCEP, PKCS, or PKCS imported certificate profiles for each platform you want to use. Para continuar, confira os seguintes artigos:To continue, see the following articles: