Conectores de certificado para o Microsoft Intune

  • Artigo

Importante

A partir de 29 de julho de 2021, o Conector de Certificados para o Microsoft Intune substituiu o uso do Conector de Certificados PFX para o Microsoft Intune e o Conector do Microsoft Intune. O novo conector inclui a funcionalidade dos dois conectores anteriores. O suporte para os conectores anteriores termina em 22/9/2021 com o lançamento da versão 6.2109.51.0 do Conector de Certificado para Microsoft.

Caso precise instalar um novo conector de certificado ou reinstalar um conector, instale o mais recente Certificate Connector para Microsoft Intune. Para obter mais informações, confira Certificate Connector para Microsoft Intune.

Para dar suporte ao uso de certificados para autenticação e a assinatura e a criptografia de email usando S/MIME, o Intune exibe o uso de um conector de certificado. Um conector de certificado é um software que você instala em um servidor local. O conector permite que dispositivos gerenciados na nuvem provisionem certificados da infraestrutura local, como uma autoridade de certificação emissora.

Conectores disponíveis

Há dois conectores de certificado para o Intune. Cada um deles tem os próprios usos e requisitos.

Conector do Certificado PFX do Microsoft Intune

O Conector de Certificado PFX dá suporte à implantação de certificados para solicitações de certificado PKCS nº 12 e processa as solicitações de arquivos PFX importados para o Intune para a criptografia de email S/MIME de um usuário específico.

Dica

Antes da atualização de agosto para esse conector, (versão 6.2008.60.607), as solicitações de certificado PKCS nº 12 eram processadas pelo Conector de Certificado do Intune. Com a atualização de agosto, a funcionalidade de todas as solicitações de certificado PKCS foi consolidada no Conector de Certificado do PFX, que dá suporte à atualização automática do conector para novas versões e exige o uso do .NET Framework versão 4.7.2.

Esse conector também dá suporte às três plataformas abaixo, que não têm suporte por meio do Conector do Microsoft Intune:

  • Android Enterprise – Totalmente gerenciado
  • Android Enterprise – Dedicado
  • Android Enterprise – Perfil de Trabalho de Propriedade Corporativa

A funcionalidade do Conector do Microsoft Intune não está preterida e você pode continuar usando-a com perfis de certificado PKCS para algumas plataformas. No entanto, se você não usar o SCEP ou exigir o uso de NDES de outra forma, poderá alternar para o conector de certificado PFX e remover o NDES dos servidores.

O Conector de Certificado PFX:

  • dá suporte a várias instâncias desse conector para cada locatário do Intune. Cada instância do conector deve ser instalada em um Windows Server e ter acesso à chave privada usada para criptografar as senhas dos arquivos PFX carregados.

    Observação

    Todos os conectores precisam ter as mesmas permissões e a capacidade de se conectar com todas as autoridades de certificação definidas posteriormente nos perfis PKCS.

    Qualquer instância desse conector pode recuperar solicitações PKCS pendentes da fila do Serviço do Intune, pois não é possível definir qual conector processa cada solicitação.

    O mesmo se aplica à revogação de certificado.

  • Ele pode ser instalado no mesmo servidor que hospeda uma instância do Conector do Microsoft Intune.

  • Ele dá suporte para até 100 instâncias desse conector por locatário, com cada instância em um servidor Windows separado. Quando você usa vários conectores:

    • Todas as instâncias do Conector do Certificado PFX no ambiente devem estar na mesma versão.
    • Sua infraestrutura dá suporte à redundância e ao balanceamento de carga, uma vez que qualquer instância de conector disponível pode processar suas solicitações de certificado.

  • Dá suporte a atualizações automáticas para novas versões. Para instalar novas versões automaticamente, o computador que hospeda o conector deve entrar em contato com autoupdate.msappproxy.net na porta 443. Se a atualização automática do conector falhar, você poderá atualizá-lo manualmente.

  • Dá suporte à revogação de certificado (requer a versão de execução do conector 6.2008.60.607 ou posterior)

  • Tem os mesmos requisitos de rede que dispositivos gerenciados

    Para obter mais informações, confira Pontos de extremidade de rede do Microsoft Intune e Requisitos e largura de banda da configuração da rede do Intune.

O Windows Server no qual o conector é instalado:

  • Deve executar o Windows Server 2012 R2 ou posterior.
  • Executa o .NET 4.7.2 Framework.

Para instalar o Conector de Certificado do PFX:

para diretrizes de instalação desse conector, confira Baixar, instalar e configurar o Conector de Certificado do PFX.

Conector do Microsoft Intune

O Conector do Microsoft Intune às vezes é chamado de Conector de Certificado do Microsoft Intune. Esse conector dá suporte à implantação de certificado quando você usa o protocolo SCEP e tem uma AC (autoridade de certificação) de Serviços de Certificados do Active Directory. Esse tipo de AC também é conhecido como AC da Microsoft.

Ao usar o SCEP com uma AC da Microsoft, você também deve configurar o NDES (Serviço de Registro de Dispositivo de Rede). Por esse motivo, esse conector muitas vezes é chamado de Conector de Certificado NDES.

Se você usar uma Autoridade de Certificação de terceiros, não precisará usar esse conector e o NDES não será necessário.

O Conector do Microsoft Intune:

  • Dá suporte à emissão de certificados SCEP

  • Pode ser usado para emitir certificados PKCS para a maioria das plataformas de dispositivo, mas não todas. Esse conector não dá suporte à emissão de certificados PKCS para:

    • Android Enterprise – Totalmente gerenciado
    • Android Enterprise – Dedicado
    • Android Enterprise – Perfil de Trabalho de Propriedade Corporativa

    Para dar suporte a essas plataformas, use o Conector de Certificado PFX, que dá suporte à emissão de certificados PKCS para todas as plataformas de dispositivo. Se você não usar o SCEP, poderá desinstalar esse conector e usar apenas o Conector de Certificado PFX.

    Observação

    Com PKCS, todos os conectores precisam ter as mesmas permissões e a capacidade de se conectar com todas as autoridades de certificação definidas posteriormente nos perfis PKCS.

    Qualquer instância desse conector pode recuperar solicitações PKCS pendentes da fila do Serviço do Intune, pois não é possível definir qual conector processa cada solicitação.

    O mesmo se aplica à revogação de certificado.

  • É instalado em um Windows Server, que também pode hospedar uma instância do Conector de Certificado do PFX.

  • Ele dá suporte para até 100 instâncias desse conector por locatário, com cada instância em um servidor Windows separado. Quando você usa vários conectores:

    • Todas as instâncias do Conector do Microsoft Intune no ambiente devem estar na mesma versão.
    • Sua infraestrutura dá suporte à redundância e ao balanceamento de carga, uma vez que qualquer instância de conector disponível pode processar suas solicitações de certificado.

  • Requer uma atualização manual para instalar a nova versão do conector. A atualização manual exige que você desinstale o conector atual e, em seguida, instale a nova versão do conector. Ações adicionais não devem ser necessárias.

  • Dá suporte ao modo do padrão FIPS. O FIPS não é necessário. Quando o FIPS está habilitado, você pode emitir e revogar certificados.

  • Tem os mesmos requisitos de rede que dispositivos gerenciados.

    Para obter mais informações, confira Pontos de extremidade de rede do Microsoft Intune e Requisitos e largura de banda da configuração da rede do Intune.

O Windows Server no qual o conector é instalado:

  • Deve executar o Windows Server 2012 R2 ou posterior.
  • Executa o .NET 4.5 Framework. Quando esse conector é instalado no mesmo servidor que o Conector de Certificado do PFX, você deve usar o .NET 4.7.2 Framework, que é exigido pelo conector do PFX.
  • Não pode ser o mesmo servidor que hospeda sua AC (autoridade de certificação) emissora.
  • Quando usado para SCEP com uma AC da Microsoft, requer acesso a um servidor que executa o NDES. O NDES é executado em um servidor Windows e pode ser executado no mesmo servidor que esse conector.

Quando o NDES é necessário:

Para instalar o Conector do Microsoft Intune:

Para obter diretrizes sobre a instalação desse conector, confira Configurar a infraestrutura para dar suporte ao SCEP com o Intune.

Ciclo de vida do conector

Importante

A partir de 29 de julho de 2021, o Conector de Certificados para Microsoft Intune substitui o uso do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Conector. O novo conector inclui a funcionalidade dos dois conectores anteriores.

Periodicamente, são lançadas versões atualizadas dos conectores de certificado. Os anúncios de novas versões do conector aparecem no artigo O que há de novo para o Intune e na seção O que há de novo para Conectores perto do final deste artigo.

Quando uma nova versão for liberada, o suporte para a versão anterior será preterido com um período de cortesia limitado para continuar sendo usado. Após o período de carência expirar, o suporte para a versão preterida terminará e ela poderá deixar de funcionar a qualquer momento. O período de carência é de seis meses.

Planeje atualizar um conector para a versão mais recente na primeira oportunidade. Cada conector tem um caminho de atualização diferente:

  • Conector de Certificado do PFX para Microsoft Intune – dá suporte a atualizações automáticas.
  • Conector do Microsoft Intune – requer atualização manual.

Atualização automática

Quando houver suporte para o tipo de conector e seu ambiente, o Intune poderá atualizar automaticamente o conector para a versão mais recente logo depois que a versão do conector for liberada.

Para atualizar automaticamente, o servidor que hospeda o conector deve acessar o serviço de atualização do Azure:

  • Porta: 443
  • Ponto de extremidade: autoupdate.msappproxy.net

Quando firewalls, infraestrutura ou configurações de rede limitam o acesso à atualização automática, resolva os problemas de bloqueio ou atualize manualmente o conector para a nova versão.

Atualização Manual

O processo para atualizar manualmente um conector de certificado é igual ao processo para reinstalar um conector.

Você pode atualizar manualmente um conector de certificado mesmo quando ele dá suporte a atualizações automáticas. Por exemplo, você poderá atualizar manualmente o conector quando sua configuração de rede bloquear uma atualização automática.

Para reinstalar um conector de certificado

  1. No Windows Server que hospeda o conector, use Aplicativos e Recursos do Windows para desinstalar o conector.

  2. Para instalar a nova versão, use o procedimento para instalar uma nova versão do conector. Verifique se há pré-requisitos novos ou atualizados ao instalar uma versão mais recente de um conector:

Conector status

No centro de administração Microsoft Intune, você pode selecionar um conector de certificado para exibir informações sobre seu status:

  1. Entre no centro de administração do Microsoft Intune

  2. Acesse Administração de locatários>Conectores e tokens>Conectores de certificado.

  3. Selecione um conector para exibir o status.

Ao ver o status do conector:

  • Os conectores preteridos serão mostrados com um Aviso. Após o período de carência de seis meses, o aviso muda para Erro.
  • Os conectores que estão além do período de carência mostram um Erro. Esses conectores não têm mais suporte e podem parar de funcionar a qualquer momento.

Registrar em log

Os detalhes de registro em log a seguir estão disponíveis começando na versão 6.2101.13.0 do conector.

Os logs do Conector de Certificado PFX estão disponíveis como Logs de eventos no servidor onde o conector está instalado:

  • Visualizador de Eventos>Logs de Aplicativo e Serviço>Microsoft>Intune>Conectores de Certificado

Os seguintes logs estão disponíveis com o tamanho padrão de 50 MB, com o arquivamento automático habilitado:

  • Log de Administrador – esse log contém um evento de log por solicitação para o conector. Os eventos incluem sucesso, com informações sobre a solicitação, ou erro, com informações sobre a solicitação e o erro.
  • Log Operacional – esse log exibe informações adicionais além daquelas encontradas no Log de Administrador e pode ser usado na depuração de problemas. Ele também exibe operações em andamento para o conector do Certificado PFX, em vez de eventos únicos.

IDs de evento

Todos os eventos têm uma das seguintes IDs:

  • 0001-0999 – não associado a nenhum cenário específico
  • 1000-1999 – PKCS
  • 2000-2999 – Importação de PKCS
  • 3000-3999 – Revogar

Categorias de Tarefa

Todos os eventos são marcados com uma Categoria de Tarefa para auxiliar na filtragem. As categorias de tarefa incluem, sem limitações, a seguinte lista:

PKCS

  • Admin
    • PkcsRequestSuccess – êxito ao atender e carregar uma Solicitação de PKCS para o Intune.
    • PkcsRequestFailure – falha ao atender ou carregar uma Solicitação de PKCS para o Intune.
  • Operacional
    • PkcsDownloadSuccess – solicitações de PKCS baixadas com êxito do Intune
    • PkcsDownloadFailure – ocorreu uma falha ao baixar solicitações de PKCS do Intune
    • PkcsDownloadedRequest – detalhes de uma solicitação baixada do Intune
    • PkcsIssuedSuccess – foi emitido um certificado para uma solicitação
    • PkcsIssuedFailedAttempt – ocorreu uma falha ao emitir um certificado para uma solicitação
    • PkcsIssuedFailure – falha ao emitir um certificado para uma solicitação
    • PkcsUploadSuccess – detalhes da solicitação bem-sucedida que foi carregada no Intune
    • PkcsUploadFailure – Ocorreu uma falha ao carregar solicitações no Intune
    • PkcsUploadedRequest – detalhes de uma solicitação carregada para o Intune

Importação de PKCS

  • Admin
    • PkcsImportRequestSuccess – solicitações de Importação de PKCS baixadas com êxito do Intune
    • PkcsImportRequestFailure – ocorreu uma falha ao baixar solicitações de Importação de PKCS do Intune
  • Operacional
    • PkcsImportDownloadSuccess – solicitações de Importação de PKCS baixadas com êxito do Intune
    • PkcsImportDownloadFailure – ocorreu uma falha ao baixar solicitações de Importação de PKCS do Intune
    • PkcsImportDownloadedRequest – detalhes de uma solicitação baixada do Intune
    • PkcsImportReencryptSuccess – um certificado importado foi criptografado novamente
    • PkcsImportReencryptFailedAttempt – ocorreu uma falha ao criptografar novamente um certificado importado
    • PkcsImportReencryptFailure – falha ao criptografar novamente um certificado importado
    • PkcsImportUploadFailure – ocorreu uma falha ao carregar solicitações no Intune
    • PkcsImportUploadedRequest – detalhes de uma solicitação carregada para o Intune

Revogação

  • Admin
    • RevokeRequestSuccess – solicitações de revogação baixadas com êxito do Intune
    • RevokeRequestFailure – ocorreu uma falha ao baixar solicitações de Revogação do Intune
  • Operacional
    • RevokeDownloadSuccess – solicitações de revogação baixadas com êxito do Intune
    • RevokeDownloadFailure – ocorreu uma falha ao baixar solicitações de Revogação do Intune
    • RevokeDownloadedRequest – detalhes de uma solicitação baixada do Intune
    • RevokeSuccess – certificado revogado com êxito
    • RevokeFailure – ocorreu uma falha ao revogar um certificado
    • RevokeFailedAttempt – falha ao revogar um certificado
    • RevokeUploadSuccess – detalhes da solicitação bem-sucedida que foi carregada no Intune
    • RevokeUploadFailure – ocorreu uma falha ao carregar solicitações no Intune
    • RevokeUploadedRequest – detalhes de uma solicitação carregada para o Intune

Novidades nos Conectores

São lançadas periodicamente atualizações para os dois conectores de certificado. Quando atualizamos um conector, é possível ler sobre as mudanças aqui.

Importante

A partir de abril de 2022, os conectores de certificado anteriores à versão6.2101.13.0 serão preteridos e mostrarão um status de Erro. Este status não afeta a funcionalidade. A partir de junho de 2022, esses conectores não poderão emitir certificados. Consulte a nota no início deste artigo para obter detalhes sobre como migrar para o novo Conector de Certificado para Microsoft.

Histórico de lançamentos do Conector de Certificado do PFX

O Conector de Certificado PFX para Microsoft Intunesupporta atualizações automáticas.

10 de março de 2021

Versão 6.2101.16.0. – Alterações desta versão:

  • Melhorias no fluxo de Criação de PFX para evitar a duplicação de arquivos de Solicitação de Certificado em servidores locais que hospedam o conector.

24 de fevereiro de 2021

Versão 6.2101.13.0. Essa nova versão do conector adiciona aprimoramentos do registro em log ao Conector PFX:

  • Novo local para Logs de Eventos, com logs divididos em Administrador, Operacional e Depuração
  • Os logs de Administrador e Operacionais têm, por padrão, 50 MB, com o arquivamento automático habilitado.
  • EventIDs para Importação de PKCS, Criação e Revogação de PKCS.

26 de janeiro de 2021

Versão 6.2009.2.0 – alterações nessa versão:

  • Melhora a atualização do Conector para manter as contas que executam os Serviços do Conector.

15 de janeiro de 2021

Versão 6.2009.1.9 – alterações nessa versão:

  • Traz melhorias para a renovação do certificado do conector.

2 de outubro de 2020

Versão 6.2008.60.612 – Alterações nessa versão:

  • Correção de um problema com a entrega de certificado PKCS para dispositivos Android Enterprise totalmente gerenciados. O problema exigia que o KSP (provedor de armazenamento de chaves) de criptografia fosse um provedor herdado. Agora é possível usar um provedor de armazenamento de chaves de CNG (Cryptography Next Generation) também.
  • Mudanças na guia Conta CA do Conector do Certificado PFX: O Nome de usuário e a senha (credenciais) que você especifica agora são usados para emitir certificados e revogar certificados. Anteriormente, essas credenciais eram usadas apenas para a revogação de certificados.

Histórico de lançamento do Conector do Microsoft Intune

2 de abril de 2019

Versão 6.1904.1.0 – Alterações a essa versão:

  • Correção de um problema em que o conector poderia não conseguir se registrar no Intune após se conectar ao conector com uma conta de administrador global.
  • Inclui correções de confiabilidade para revogação de certificado.
  • Inclui correções de desempenho para aumentar a rapidez com que as solicitações de certificados PKCS são processadas.

Próximas etapas

Criar perfis de certificado PKCS importado, SCEP ou PKCS para cada plataforma que deseja usar. Para continuar, confira os seguintes artigos: