Usar certificados para autenticação no Microsoft Intune

Use certificados com o Intune para autenticar os usuários em aplicativos e recursos corporativos por meio de perfis de VPN, Wi-Fi ou email. Quando você usa certificados para autenticar essas conexões, os usuários finais não precisam inserir nomes de usuário e senhas, o que pode tornar seu acesso contínuo. Os certificados também são usados para assinatura e criptografia de email usando S/MIME.

Introdução aos certificados com o Intune

Os certificados fornecem acesso autenticado sem atraso por meio das seguintes duas fases:

  • Fase de autenticação: A autenticidade do usuário é verificada para confirmar se o usuário é quem alega ser.
  • Fase de autorização: o usuário está sujeito a condições para as quais é feita uma determinação com base em se o usuário deve receber acesso.

Os cenários de uso típicos para certificados incluem:

  • Autenticação de rede (por exemplo, 802.1x) com certificados de dispositivo ou de usuário
  • Autenticação com servidores VPN usando certificados de dispositivo ou de usuário
  • Assinatura de email com base em certificados de usuário

O Intune dá suporte ao protocolo SCEP, aos PKCS (Padrões de Criptografia por Chave Pública) e aos certificados PKCS importados como métodos para provisionar certificados em dispositivos. Os diferentes métodos de provisionamento têm requisitos e resultados diferentes. Por exemplo:

  • O SCEP provisiona certificados exclusivos para cada solicitação do certificado.
  • O PKCS provisiona cada dispositivo com um certificado exclusivo.
  • Com o PKCS Importado, você pode implantar o mesmo certificado que exportou de uma fonte, como um servidor de email, para vários destinatários. Esse certificado compartilhado é útil para garantir que todos os usuários ou dispositivos possam descriptografar emails que foram criptografados por esse certificado.

Para provisionar um usuário ou dispositivo com um tipo específico de certificado, o Intune usa um perfil de certificado.

Além dos três tipos de certificado e métodos de provisionamento, você precisará de um certificado raiz confiável de uma AC (Autoridade de Certificação) confiável. A AC pode ser uma Autoridade de Certificação local da Microsoft ou uma Autoridade de Certificação de terceiros. O certificado raiz confiável estabelece uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos. Para implantar esse certificado, use o perfil de certificado confiável e implante-o nos mesmos dispositivos e usuários que receberão os perfis de certificado para SCEP, PKCS e PKCS importado.

Dica

O Intune também dá suporte ao uso de Credenciais derivadas para ambientes que exigem o uso de cartões inteligentes.

O que é necessário para usar certificados

  • Uma Autoridade de Certificação. Sua AC é a fonte de confiança que os certificados referenciam para autenticação. Você pode usar uma AC da Microsoft ou uma AC de terceiros.
  • Infraestrutura local. A infraestrutura de que você precisará depende dos tipos de certificado que você usará:
  • Um certificado raiz confiável. Antes de implantar perfis de certificado SCEP ou PKCS, implante o certificado raiz confiável de sua AC usando um perfil de certificado confiável. Esse perfil ajuda a estabelecer a confiança do dispositivo de volta para a AC e é exigida pelos outros perfis de certificado.

Com um certificado raiz confiável implantado, você estará pronto para implantar perfis de certificado para provisionar usuários e dispositivos com certificados para autenticação.

Qual perfil de certificado usar

As comparações a seguir não são abrangentes, mas se destinam a ajudar a distinguir o uso dos diferentes tipos de perfil de certificado.

Tipo de perfil Detalhes
Certificado confiável Use para implantar a chave pública (certificado) de uma AC raiz ou AC intermediária em usuários e dispositivos a fim de estabelecer uma relação de confiança de volta com a AC de origem. Outros perfis de certificado exigem o perfil de certificado confiável e o certificado raiz dele.
Certificado SCEP Exibe um modelo para uma solicitação de certificado para usuários e dispositivos. Cada certificado provisionado usando o SCEP é exclusivo e vinculado ao usuário ou ao dispositivo que solicita o certificado.

Com o SCEP, você pode implantar certificados em dispositivos que não têm afinidade de usuário, incluindo o uso do SCEP para provisionar um certificado em um dispositivo de quiosque ou sem usuário.
Certificado PKCS Implanta um modelo para uma solicitação de certificado que especifica um tipo de certificado de usuário ou de dispositivo.

– As solicitações para o tipo de certificado de usuário sempre exigem afinidade de usuário. Quando implantado em um usuário, cada um dos dispositivos do usuário recebe um certificado exclusivo. Quando implantado em um dispositivo com um usuário, esse usuário é associado ao certificado desse dispositivo. Quando implantado em um dispositivo sem usuário, nenhum certificado é provisionado.
– Modelos com o tipo de certificado de dispositivo não exigem afinidade de usuário para provisionar um certificado. A implantação em um dispositivo provisiona o dispositivo. A implantação em um usuário provisiona o dispositivo ao qual o usuário está conectado com um certificado.
Certificado importado PKCS Implanta um certificado em vários dispositivos e usuários, que dá suporte a cenários como assinatura e criptografia S/MIME. Por exemplo, implantando o mesmo certificado em cada dispositivo, cada dispositivo pode descriptografar emails recebidos desse mesmo servidor de email.

Outros métodos de implantação de certificado são insuficientes para esse cenário, pois o SCEP cria um certificado exclusivo para cada solicitação e o PKCS associa um certificado diferente para cada usuário, com usuários diferentes que recebem certificados diferentes.

Certificados e uso compatíveis com o Intune

Digite Autenticação Autenticação S/MIME Criptografia S/MIME
Certificado PKCS (Public Key Cryptography Standards) importado Com suporte Com suporte
PKCS#12 (ou PFX) Com suporte Com suporte
Protocolo SCEP Com suporte Com suporte

Para implantar esses certificados, você criará e atribuirá perfis de certificado a dispositivos.

Cada perfil de certificado individual criado dá suporte a uma única plataforma. Por exemplo, se você usar certificados PKCS, criará o perfil de certificado PKCS para o Android e um perfil de certificado PKCS separado para o iOS/iPadOS. Se você também usar certificados SCEP para essas duas plataformas, criará um perfil de Certificado SCEP para o Android e outro para o iOS/iPadOS.

Considerações gerais ao usar uma Autoridade de Certificação Microsoft

Quando usar uma Autoridade de Certificação da Microsoft (CA):

Considerações gerais sobre o uso de uma Autoridade de Certificação de terceiros

Quando usar uma autoridade de certificação (CA) de terceiros (não Microsoft):

Perfis de certificado e plataformas compatíveis

Plataforma Perfil de certificado confiável Perfil de Certificado PKCS Perfil de Certificado SCEP Perfil de certificado PKCS importado
Administrador do dispositivo Android Com suporte
(confira a Observação 1)
Com suporte Com suporte Com suporte
Android Enterprise
– Totalmente gerenciado (proprietário do dispositivo)
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
– Dedicado (proprietário do dispositivo)
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
– Perfil de Trabalho de Propriedade Corporativa
Com suporte Com suporte Com suporte Com suporte
Android Enterprise
– Perfil de Trabalho de Propriedade Pessoal
Com suporte Com suporte Com suporte Com suporte
iOS/iPadOS Com suporte Com suporte Com suporte Com suporte
macOS Com suporte Com suporte Com suporte Com suporte
Windows 8.1 e posterior Com suporte Com suporte
Windows 10 e posterior Com suporte
(confira a Observação 2)
Com suporte
(confira a Observação 2)
Com suporte
(confira a Observação 2)
Com suporte

Recursos adicionais

Próximas etapas

Criar perfis de certificado:

Saiba mais sobre o Certificate Connector para Microsoft Intune