Adicionar autoridade de certificação de parceiro no Intune usando o SCEP

Importante

Para dar suporte aos requisitos do Windows para um mapeamento forte de certificados SCEP que foram introduzidos e anunciados em KB5014754 a partir de 10 de maio de 2022, fizemos alterações no Intune emissão de certificado SCEP para certificados SCEP novos e renovados. Com essas alterações, certificados SCEP novos ou renovados de Intune para iOS/iPadOS, macOS e Windows agora incluem a seguinte marca no campo Nome Alternativo do Assunto (SAN) do certificado:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Essa marca é usada por um mapeamento forte para vincular um certificado a um dispositivo específico ou SID de usuário da ID de Entra. Com essa alteração e o requisito para mapear um SID da ID de Entra:

• Há suporte para certificados de dispositivo para dispositivos com junção híbrida do Windows quando esse dispositivo tem um SID na ID de entra que foi sincronizado de um Active Directory local.
• Os certificados de usuário usam o SID do usuário da ID de Entra, sincronizado de Active Directory local.

As autoridades de certificação (CAs) que não dão suporte à marca de URL na SAN podem não emitir certificados. Os servidores do Microsoft Active Directory Certificate Services que instalaram a atualização de KB5014754 dão suporte ao uso dessa marca. Se você usar uma AC de terceiros, marcar com seu provedor de AC para garantir que eles dêem suporte a esse formato ou como e quando esse suporte será adicionado.

Para obter mais informações, confira Dica de suporte: implementando um mapeamento forte em certificados Microsoft Intune – Microsoft Community Hub.

Use ACs (autoridades de certificação) de terceiros com o Intune. As ACs de terceiros podem provisionar dispositivos móveis com certificados novos ou renovados usando o protocolo SCEP e podem dar suporte a dispositivos Windows, iOS/iPadOS, Android e macOS.

Há duas partes para o uso desse recurso: API de software livre e as tarefas de administrador do Intune.

Parte 1 – Usar uma API de software livre
A Microsoft criou uma API que é integrada ao Intune. Com essa API, é possível validar certificados, enviar notificações de sucesso ou falha e usar o SSL, especificamente o alocador de soquete do SSL, para se comunicar com o Intune.

A API está disponível no repositório GitHub público de API do SCEP no Intune para que você possa baixá-la e usá-la em suas soluções. Use essa API com servidores do SCEP de terceiros para executar uma validação de desafio personalizada no Intune antes do SCEP fornecer um certificado para um dispositivo.

Integrar a solução de gerenciamento do SCEP no Intune fornece mais detalhes sobre como usar a API, seus métodos e o teste da solução criada.

Parte 2 – Criar o aplicativo e o perfil
Usando um aplicativo Microsoft Entra, você pode delegar direitos a Intune para lidar com solicitações SCEP provenientes de dispositivos. O aplicativo Microsoft Entra inclui valores de chave de ID e autenticação do aplicativo que são usados na solução de API que o desenvolvedor cria. Em seguida, os administradores criam e implantam perfis de certificados SCEP usando o Intune e podem exibir relatórios sobre o status da implantação nos dispositivos.

Este artigo fornece uma visão geral desse recurso de uma perspectiva de administrador, incluindo a criação do aplicativo Microsoft Entra.

Visão Geral

As seguintes etapas fornecem uma visão geral do uso do SCEP para certificados no Intune:

1. No Intune, um administrador cria um perfil de certificado SCEP e, em seguida, direciona o perfil a usuários ou dispositivos.
2. O dispositivo faz check-in no Intune.
3. O Intune cria um desafio exclusivo do SCEP. Ele também adiciona outras informações de verificação de integridade, como a estimativa da entidade e da SAN esperadas.
4. O Intune criptografa e assina as informações de desafio e de verificação de integridade e, em seguida, envia essas informações para o dispositivo com a solicitação do SCEP.
5. O dispositivo gera um CSR (solicitação de autenticação de certificado) e o par de chaves pública/privada no dispositivo com base no perfil de certificado SCEP enviado por push do Intune.
6. O CSR e o desafio criptografado/autenticado são enviados ao ponto de extremidade do servidor SCEP de terceiros.
7. O servidor SCEP envia o CSR e o desafio para o Intune. Em seguida, o Intune valida a assinatura, descriptografa o conteúdo e compara o CSR com as informações de verificação de integridade.
8. O Intune envia uma resposta de volta ao servidor do SCEP e informa se a validação de desafio foi bem-sucedida ou não.
9. Se o desafio for verificado com êxito, o servidor do SCEP emitirá o certificado para o dispositivo.

O seguinte diagrama mostra um fluxo detalhado da integração do SCEP de terceiros com o Intune:

Configurar a integração de AC de terceiros

Validar a autoridade de certificação de terceiros

Antes de integrar as autoridades de certificação de terceiros ao Intune, confirme se a AC que você está usando dá suporte ao Intune. Parceiros de AC de terceiros (neste artigo) inclui uma lista. Verifique também as diretrizes da autoridade de certificação para obter mais informações. A AC pode incluir instruções de instalação específicas à sua implementação.

Observação

Para dar suporte aos seguintes dispositivos, a AC deve dar suporte ao uso de uma URL HTTPS ao configurar uma URL HTTPS ao configurar URLs do SERVIDOR SCEP para o perfil do certificado SCEP:

• Administrador de dispositivo Android
• Proprietário do dispositivo Android Enterprise
• Perfil de trabalho de propriedade corporativa do Android Enterprise
• Perfil de trabalho do Android Enterprise de propriedade pessoal

Autorizar a comunicação entre a AC e o Intune

Para permitir que um servidor SCEP de terceiros execute a validação de desafio personalizado com Intune, crie um aplicativo no Microsoft Entra ID. Esse aplicativo concede direitos delegados para o Intune para validar solicitações do SCEP.

Certifique-se de ter as permissões necessárias para registrar um aplicativo Microsoft Entra. Consulte Permissões necessárias, na documentação Microsoft Entra.

Create um aplicativo no Microsoft Entra ID

1. No portal do Azure, vá para Microsoft Entra ID>App Registrations e selecione Novo registro.

2. Na página Registrar um aplicativo, especifique os detalhes a seguir:

   • Na seção Nome, digite um nome significativo para o aplicativo.
   • Na seção Tipos de conta com suporte, escolha Contas em qualquer diretório organizacional.
   • Para a URI de redirecionamento, deixe o valor padrão da Web e especifique a URL de logon para o servidor SCEP de terceiros.

3. Escolha Registrar para criar o aplicativo e abrir a página de visão geral para o novo aplicativo.

4. Na página Visão geral do aplicativo, copie o valor de ID Cliente do aplicativo e registre-o para uso posterior. Você precisará desse valor mais tarde.

5. No painel de navegação para o aplicativo, acesse Certificados e segredos em Gerenciar. Selecione o botão Novo segredo do cliente. Insira um valor em Descrição, escolha uma opção para Expira e escolha Adicionar para gerar um valor para o segredo do cliente.

   Importante

   Antes de sair desta página, copie o valor do segredo do cliente e registre-o para ser usado posteriormente durante a implementação da CA de terceiros. Esse valor não é mostrado novamente. Lembre-se de examinar as diretrizes da CA terceirizada sobre como ela deseja configurar a ID do aplicativo, a chave de autenticação e a ID de locatário.

6. Registre sua ID de Locatário. A ID de locatário é o texto do domínio após o sinal @ na conta. Por exemplo, se sua conta for admin@name.onmicrosoft.com, sua ID de locatário será name.onmicrosoft.com.

7. No painel de navegação do aplicativo, acesse Permissões de API, que está em Gerenciar. Você adicionará duas permissões de aplicativo separadas:

   1. Selecione Adicionar uma permissão:

      1. Na página Solicitar permissões de API, escolha Intune e depois Permissões do Aplicativo.
      2. Marque a caixa de seleção scep_challenge_provider (validação de desafio do protocolo SCEP).
      3. Escolha Adicionar permissões para salvar esta configuração.

   2. Clique em Adicionar uma permissão novamente.

      1. Na página Solicitar permissões de API, selecione Microsoft Graph>Permissões de aplicativo.
      2. Expanda Aplicativo e marque a caixa de seleção Application.Read.All (Ler todos os aplicativos).
      3. Escolha Adicionar permissões para salvar esta configuração.

8. Permaneça na página permissões de API e selecione Conceder consentimento de administrador para<seu locatário> e selecione Sim.

   O processo de registro do aplicativo no Microsoft Entra ID está concluído.

Configurar e implantar um perfil de certificado SCEP

Como administrador, crie um perfil de certificado SCEP a ser direcionado a usuários ou dispositivos. Em seguida, atribua o perfil.

• Criar um perfil de certificado SCEP

• Atribuir o perfil de certificado

Removendo certificados

Quando você cancela o registro ou apaga o dispositivo, os certificados são removidos. Os certificados não são revogados.

Parceiros de autoridade de certificação de terceiros

As seguintes autoridades de certificação de terceiros dão suporte ao Intune:

• Grupo Cogito
• DigiCert
• EasyScep
• EJBCA
• Entrust
• EverTrust
• GlobalSign
• HID Global
• IDnomic
• Comando Keyfactor
• KeyTalk
• Keytos
• Gerenciador de Certificados Nexus
• SCEPman
• Sectigo
• SecureW2
• Splashtop
• Venafi

Caso você tenha uma AC de terceiros interessada em integrar seu produto ao Intune, examine as diretrizes da API:

• Repositório GitHub da API do SCEP para o Intune
• Diretrizes da API do SCEP para o Intune para ACs de terceiros

Confira também

• Configurar perfis de certificado
• Repositório GitHub da API do SCEP para o Intune
• Diretrizes da API do SCEP para o Intune para ACs de terceiros