Usar certificados de autenticação no Microsoft Intune
Use os certificados com o Intune para autenticar seus usuários em aplicativos e recursos corporativos pelos perfis de VPN, Wi-Fi ou e-mail. Quando você usa certificados para autenticar essas conexões, seus usuários finais não precisam inserir nomes de usuário e senhas, o que pode tornar seu acesso contínuo. Os certificados também são usados para assinatura e criptografia de e-mail usando S/MIME.
Introdução aos certificados com o Intune
Os certificados fornecem acesso autenticado sem atraso nas duas fases a seguir:
- Fase de autenticação: a autenticidade do usuário é verificada para confirmar se o usuário é quem ele diz ser.
- Fase de autorização: o usuário está sujeito às condições em que uma determinação é feita sobre se o usuário deve receber acesso.
Os cenários de uso típicos para certificados incluem:
- Autenticação de rede (por exemplo, 802.1x) com certificados de dispositivo ou de usuário
- Autenticação com servidores VPN usando certificados de dispositivo ou de usuário
- Assinatura de email com base em certificados de usuário
O Intune dá suporte ao protocolo SCEP, aos PKCS (Padrões de Criptografia por Chave Pública) e aos certificados PKCS importados como métodos para provisionar certificados em dispositivos. Os diferentes métodos de provisionamento têm requisitos e resultados diferentes. Por exemplo:
- O SCEP provisiona certificados exclusivos para cada solicitação do certificado.
- O PKCS provisiona cada dispositivo com um certificado exclusivo.
- Com o PKCS Importado, você pode implantar o mesmo certificado que exportou de uma fonte, como um servidor de e-mail para vários destinatários. Esse certificado compartilhado é útil para garantir que todos os usuários ou dispositivos possam descriptografar emails que foram criptografados por esse certificado.
Para provisionar um usuário ou dispositivo com um tipo específico de certificado, o Intune usa um perfil de certificado.
Além dos três tipos de certificado e métodos de provisionamento, você precisa de um certificado raiz confiável de uma AUTORIDADE de Certificação confiável (AC). A AC pode ser uma Autoridade de Certificação local da Microsoft ou uma Autoridade de Certificação de terceiros. O certificado raiz confiável estabelece uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos. Para implantar esse certificado, use o perfil de certificado confiável e implante-o nos mesmos dispositivos e usuários que recebem os perfis de certificado para SCEP, PKCS e PKCS importados.
Dica
O Intune também dá suporte ao uso de Credenciais derivadas para ambientes que exigem o uso de cartões inteligentes.
O que é necessário para usar certificados
- Uma Autoridade de Certificação. Sua AC é a fonte de confiança que os certificados referenciam para autenticação. Você pode usar uma AC da Microsoft ou uma AC de terceiros.
- Infraestrutura local. A infraestrutura necessária depende dos tipos de certificado que você usa:
- Um certificado raiz confiável. Antes de implantar perfis de certificado SCEP ou PKCS, implante o certificado raiz confiável de sua AC usando um perfil de certificado confiável. Esse perfil ajuda a estabelecer a confiança do dispositivo de volta para a AC e é exigida pelos outros perfis de certificado.
Com um certificado raiz confiável implantado, você está pronto para implantar perfis de certificado para provisionar usuários e dispositivos com certificados para autenticação.
Qual perfil de certificado usar
As comparações a seguir não são abrangentes, mas se destinam a ajudar a distinguir o uso dos diferentes tipos de perfil de certificado.
| Tipo de perfil | Detalhes |
|---|---|
| Certificado confiável | Use para implantar a chave pública (certificado) de uma AC raiz ou AC intermediária em usuários e dispositivos a fim de estabelecer uma relação de confiança de volta com a AC de origem. Outros perfis de certificado exigem o perfil de certificado confiável e o certificado raiz dele. |
| Certificado SCEP | Exibe um modelo para uma solicitação de certificado para usuários e dispositivos. Cada certificado provisionado usando o SCEP é exclusivo e vinculado ao usuário ou ao dispositivo que solicita o certificado. Com o SCEP, você pode implantar certificados em dispositivos que não têm afinidade de usuário, incluindo o uso do SCEP para provisionar um certificado no KIOSK ou dispositivo sem usuário. |
| Certificado PKCS | Implanta um modelo para uma solicitação de certificado que especifica um tipo de certificado de usuário ou de dispositivo. – Solicitações para um tipo de certificado de usuário sempre exigem afinidade do usuário. Quando implantado em um usuário, cada um dos dispositivos do usuário recebe um certificado exclusivo. Quando implantado em um dispositivo com um usuário, esse usuário é associado ao certificado desse dispositivo. Quando implantado em um dispositivo sem usuário, nenhum certificado é provisionado. – Modelos com um tipo de certificado de dispositivo não exigem afinidade do usuário para provisionar um certificado. A implantação em um dispositivo provisiona o dispositivo. A implantação em um usuário provisiona o dispositivo ao qual o usuário está conectado com um certificado. |
| Certificado importado PKCS | Implanta um certificado em vários dispositivos e usuários, que dá suporte a cenários como assinatura e criptografia S/MIME. Por exemplo, implantando o mesmo certificado em cada dispositivo, cada dispositivo pode descriptografar emails recebidos desse mesmo servidor de email. Outros métodos de implantação de certificado são insuficientes para esse cenário, pois o SCEP cria um certificado exclusivo para cada solicitação e o PKCS associa um certificado diferente para cada usuário, com diferentes usuários recebendo certificados diferentes. |
Certificados e uso compatíveis com o Intune
| Tipo | Autenticação | Autenticação S/MIME | Criptografia S/MIME |
|---|---|---|---|
| Certificado PKCS (Public Key Cryptography Standards) importado |  |
|
|
| PKCS#12 (ou PFX) | |
|
|
| Protocolo SCEP | |
|
Para implantar esses certificados, crie e atribua perfis de certificado a dispositivos.
Cada perfil de certificado individual que você criou oferece suporte a uma única plataforma. Por exemplo, se você usar certificados PKCS, crie um perfil de certificado PKCS para Android e um perfil de certificado PKCS separado para iOS/iPadOS. Se você também usar certificados SCEP para essas duas plataformas, crie um perfil de certificado SCEP para Android e outro para iOS/iPadOS.
Considerações gerais quando você usa uma Autoridade de Certificação da Microsoft
Quando você usa uma Autoridade de Certificação da Microsoft (CA):
Para usar os perfis de certificado SCEP:
Para usar os perfis de certificado PKCS:
Para usar os certificados PKCS importados:
- Instale o Certificate Connector para Microsoft Intune.
- Exporte os certificados da autoridade de certificação e importe-os para o Microsoft Intune. Consulte o Projeto PFXImport do PowerShell.
Implante certificados usando os seguintes mecanismos:
- Perfis de certificado confiáveis para implantar o certificado de AC de raiz confiável por meio de sua AC raiz ou intermediária (emissora) nos dispositivos
- Perfis de certificado SCEP
- Perfis de certificado PKCS
- Perfis de certificado PKCS importados
Considerações gerais sobre o uso de uma Autoridade de Certificação de terceiros
Quando usar uma autoridade de certificação (CA) de terceiros (não Microsoft):
Para usar os perfis de certificado SCEP:
- Configure a integração com uma AC de terceiros de um de nossos parceiros com suporte. Para realizar a configuração, siga as instruções da AC de terceiros para concluir a integração da AC com o Intune.
- Crie um aplicativo no Microsoft Entra ID que delega os direitos ao Intune para fazer a validação do desafio de certificado SCEP.
Os certificados PKCS importados exigem que você instale o Certificate Connector para Microsoft Intune.
Implante certificados usando os seguintes mecanismos:
- Perfis de certificado confiáveis para implantar o certificado de AC de raiz confiável por meio de sua AC raiz ou intermediária (emissora) nos dispositivos
- Perfis de certificado SCEP
- Perfis de certificado PKCS (com suporte apenas da Digicert PKI Platform)
- Perfis de certificado PKCS importados
Perfis de certificado e plataformas compatíveis
| Plataforma | Perfil de certificado confiável | Perfil de Certificado PKCS | Perfil de Certificado SCEP | Perfil de certificado PKCS importado |
|---|---|---|---|---|
| Administrador de dispositivo Android | (consulte Observação 1) |
|
|
|
| Android Enterprise – Totalmente Gerenciado (Proprietário do Dispositivo) | |
|
|
|
| Android Enterprise – Dedicado (Proprietário do dispositivo) | |
|
|
|
| Android Enterprise – perfil de trabalho Corporate-Owned | |
|
|
|
| Android Enterprise – perfil de trabalho Personally-Owned | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 e posterior | |
|
||
| Windows 10/11 | (consulte Observação 2) |
(consulte Observação 2) |
(consulte Observação 2) |
|
- Observação 1 – A partir do Android 11, os perfis de certificado confiáveis não podem mais instalar o certificado raiz confiável em dispositivos registrados como administrador de dispositivos Android. Essa limitação não se aplica ao Samsung Knox. Para obter mais informações, consulte Perfis de certificado confiável do administrador do dispositivo Android.
- Observação 2 – Esse perfil tem suporte para áreas de trabalho remotas de várias sessões do Windows Enterprise.
Importante
Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.
Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.
Importante
Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.
Próximas etapas
Mais recursos:
Crie os perfis de certificado:
- Configurar um perfil de certificado confiável
- Configurar a infraestrutura para dar suporte aos Certificados SCEP com o Intune
- Configurar e gerenciar certificados PKCS com o Intune
- Criar um perfil de certificado PKCS importado
Saiba mais sobre o Certificate Connector para Microsoft Intune
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de