Configurar e usar certificados PKCS com o Intune

O Microsoft Intune dá suporte ao uso de certificados de par de chaves pública e privada (PKCS). Este artigo revisa o que é necessário para usar certificados PKCS com Intune, incluindo a exportação de um certificado PKCS e, em seguida, adicionando-o a um perfil de configuração de dispositivo do Intune.

O Microsoft Intune inclui configurações internas de uso de certificados PKCS para acesso e autenticação nos recursos de sua organização. Os certificados autenticam e protegem o acesso aos recursos corporativos como uma VPN ou uma rede WiFi. Implante essas configurações em dispositivos usando perfis de configuração do dispositivo no Intune.

Para obter informações sobre como usar certificados PKCS importados, consulte Certificados PFX Importados.

Dica

Os perfis de certificado PKCS têm suporte em Áreas de trabalho remotas multissessão do Windows Enterprise.

Requisitos

Para usar certificados PKCS com o Intune, será necessária a seguinte infraestrutura:

• Domínio do Active Directory:
  Todos os servidores listados nesta seção precisam ser ingressados no domínio do Active Directory.

  Para saber mais sobre como instalar e configurar o AD DS (Active Directory Domain Services), confira Planejamento e Design do AD DS.

• Autoridade de Certificação:
  uma AC (autoridade de certificação corporativa).

  Para saber mais sobre como instalar e configurar o AD CS (Serviços de Certificados do Active Directory), confira Guia passo a passo dos Serviços de Certificados do Active Directory.

  Aviso

  O Intune exige que você execute o AD CS com uma AC (Autoridade de Certificação) Corporativa, não com uma AC Autônoma.

• Um cliente:
  para se conectar à AC corporativa.

• Certificado raiz:
  Uma cópia exportada de certificado raiz de sua AC Corporativa.

• Certificate Connector para Microsoft Intune:

  Para obter informações sobre o conector de certificado, confira:

  • Visão geral do Certificate Connector para Microsoft Intune.
  • Pré-requisitos.
  • Instalação e configuração.

Exportar o certificado raiz da AC Corporativa

Para autenticar um dispositivo com VPN, WiFi ou outros recursos, um dispositivo precisa de um certificado de Autoridade de Certificação raiz ou intermediário. As etapas a seguir explicam como obter o certificado necessário de sua AC Corporativa.

Usar uma linha de comando:

1. Faça logon no servidor da Autoridade de Certificação Raiz com a Conta de Administrador.

2. Acesse Iniciar>Executar e, em seguida, insira Cmd para abrir o prompt de comando.

3. Especifique certutil -ca.cert ca_name.cer para exportar o certificado raiz como um arquivo chamado ca_name.cer.

Configurar modelos de certificado na AC

1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.

2. Abra o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.

3. Localize o modelo de certificado do Usuário, clique nele com o botão direito do mouse e escolha Duplicar Modelo para abrir as Propriedades do Novo Modelo.

   Observação

   Para os cenários de autenticação e criptografia de email S/MIME, muitos administradores usam certificados separados para autenticação e criptografia. Caso esteja usando os Serviços de Certificados do Microsoft Active Directory, use o modelo Trocar Somente Assinatura para certificados de autenticação de email S/MIME e o modelo Trocar Usuário para certificados de criptografia S/MIME. Caso esteja usando uma autoridade de certificação de terceiros, é recomendável examinar suas diretrizes para configurar modelos de autenticação e de criptografia.

4. Na guia Compatibilidade:

   • Defina Autoridade de Certificação como Windows Server 2008 R2
   • Defina Destinatário do certificado como Windows 7/Server 2008 R2

5. Na guia Geral:

   • definir o nome de exibição de modelo como algo significativo para você.
   • Desmarque a opção Publicar certificado no Active Directory.

   Aviso

   Nome do modelo é, por padrão, o mesmo que o Nome de exibição do modelosem espaços. Observe o nome do modelo, pois será necessário mais tarde.

6. Em Tratamento de Solicitação, selecione Permitir que a chave privada seja exportada.

   Observação

   Ao contrário do SCEP, com o PKCS, a chave privada do certificado é gerada no servidor em que o conector de certificado está instalado, não no dispositivo. O modelo de certificado precisa permitir que a chave privada seja exportada para que o conector de certificado possa exportar o certificado PFX e enviá-lo ao dispositivo.

   Quando os certificados são instalados no próprio dispositivo, a chave privada é marcada como não exportável.

7. Em Criptografia, confirme se o Tamanho mínimo da chave está definido como 2048.

   Dispositivos Windows e Android dão suporte ao uso do tamanho da chave de 4096 bits com um perfil de certificado PKCS. Para usar esse tamanho de chave, especifique 4096 como o tamanho mínimo da chave.

   Observação

   Para dispositivos Windows, o armazenamento de chaves de 4096 bits só tem suporte no KSP (Provedor de Armazenamento de Chaves de Software ). O seguinte não dá suporte ao armazenamento de chaves deste tamanho:

   • O TPM de hardware (Módulo de Plataforma Confiável). Como solução alternativa, você pode usar o KSP de software para armazenamento de chaves.
   • Windows Hello para Empresas. Não há solução alternativa para Windows Hello para Empresas no momento.

8. Em Nome da Entidade, escolha Fornecer na solicitação.

9. Em Extensões, confirme a existência de Sistema de Arquivos com Criptografia, Email Seguro e Autenticação de Cliente em Políticas de Aplicativo.

   Importante

   Para modelos de certificado do iOS/iPadOS, na guia Extensões, atualize Uso da Chave e confirme se a opção A assinatura é uma prova de origem não está selecionada.

10. Em Segurança:

    1. (Obrigatório): Adicione a Conta de Computador para o servidor em que você instala o Conector de Certificado para Microsoft Intune. Atribua as permissões Leitura e Inscrição à essa conta.
    2. (Opcional, mas recomendado): remova o grupo Usuários de Domínio da lista de grupos ou nomes de usuário permitidos neste modelo selecionando o grupo Usuários de Domínio e selecione Remover. Examine as outras entradas em Grupos ou nomes de usuário para obter permissões e aplicabilidade ao seu ambiente.

11. Selecione Aplicar>OK para salvar o modelo de certificado. Feche o Console de Modelos de Certificado.

12. No console da Autoridade de Certificação, clique com o botão direito em Modelos de Certificados>Novo>Modelo de Certificado a ser Emitido. Escolha o modelo que você criou nas etapas anteriores. Selecione OK.

13. Para que o servidor gerencie certificados de usuários e dispositivos registrados, use as seguintes etapas:

    1. Clique com o botão direito na Autoridade de Certificação e escolha Propriedades.
    2. Na guia Segurança, adicione a Conta do computador do servidor em que o conector é executado.
    3. Conceda as permissões Emitir e Gerenciar Certificados e Solicitar Certificados à conta de computador.

14. Saia da AC Corporativa.

Baixar, instalar e configurar o Certificate Connector para Microsoft Intune

Para obter diretrizes, confira Instalar e configurar o Certificate Connector para Microsoft Intune.

Criar um perfil de certificado confiável

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione e vá para CriarConfiguração> de Dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma dos dispositivos que receberão esse perfil.
     • Administrador de dispositivo Android
     • Android Enterprise:
       • Totalmente gerenciado
       • Dedicado
       • Perfil de Trabalho de Propriedade Corporativa
       • Perfil de Trabalho de Propriedade Pessoal
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Perfil: Selecione Certificado confiável. Ou selecione Modelos>Certificado confiável.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de certificado confiável para a empresa.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Nas Definições de configuração, especifique o arquivo .cer para o Certificado de AC raiz que você exportou anteriormente.

   Observação

   Dependendo da plataforma escolhida na Etapa 3, você poderá ou não ter a opção de escolher o Armazenamento de destino do certificado.

   

8. Selecione Avançar.

9. Em Atribuições, selecione o usuário ou grupo de dispositivos aos quais o perfil será atribuído. Para obter maior granularidade, consulte Criar filtros no Microsoft Intune e os aplique selecionando Editar filtro.

   Planeje implantar esse perfil de certificado nos mesmos grupos que recebem o perfil de certificado PKCS e que recebam um perfil de configuração como um perfil Wi-Fi que faz uso do certificado. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

   Selecione Avançar.

10. (Aplica-se apenas ao Windows 10/11) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Criar um perfil de certificado PKCS

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione e vá para CriarConfiguração> de Dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma dos dispositivos. Suas opções:
     • Administrador de dispositivo Android
     • Android Enterprise:
       • Totalmente gerenciado
       • Dedicado
       • Perfil de Trabalho de Propriedade Corporativa
       • Perfil de Trabalho de Propriedade Pessoal
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Perfil: selecione certificado PKCS. Ou selecione Modelos>Certificado PKCS.

   Observação

   Em dispositivos com um perfil do Android Enterprise, os certificados instalados por meio de um perfil de certificado PKCS não ficam visíveis no dispositivo. Para confirmar a implantação bem-sucedida do certificado, marcar o status do perfil no centro de administração do Intune.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil PKCS para toda a empresa.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

   • Administrador de dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

   Setting	Plataforma	Detalhes
   Limite de renovação (%)	Tudo	O recomendado é 20%
   Período de validade do certificado	Tudo	Se você não alterou o modelo de certificado, essa opção pode ser definida como um ano. Use um período de validade de cinco dias ou até 24 meses. Quando o período de validade for menor que cinco dias, há uma grande probabilidade do certificado entrar em um estado quase expirado ou expirado, o que pode fazer com que o agente MDM em dispositivos rejeite o certificado antes de ser instalado.
   KSP (provedor de armazenamento de chaves)	Windows 10/11	Para o Windows, selecione o local em que as chaves serão armazenadas no dispositivo.
   Autoridade de certificação	Tudo	Exibe o FQDN (nome de domínio totalmente qualificado) interno da AC Corporativa.
   Nome da autoridade de certificação	Tudo	Lista o nome da AC Corporativa, como "Autoridade de Certificação da Contoso".
   Nome do modelo de certificado	Tudo	Lista o nome do seu modelo de certificado.
   Tipo de certificado	Android Enterprise (Perfil de Trabalho de Propriedade Corporativa e Pessoal) iOS macOS Windows 10/11	Selecione um tipo: Os certificados do Usuário podem conter atributos de usuário e de dispositivo na entidade e no SAN (nome alternativo da entidade) do certificado. Os certificados de Dispositivo podem conter somente os atributos do dispositivo na entidade e no SAN do certificado. Use Dispositivo para cenários como dispositivos sem usuário, como quiosques ou para dispositivos compartilhados. Essa seleção afeta o formato do nome da entidade.
   Formato de nome da entidade	Tudo	Para obter detalhes sobre como configurar o formato de nome da entidade, consulte Formato de nome da entidade mais adiante neste artigo. Para as plataformas a seguir, o formato de nome da Entidade é determinado pelo tipo de certificado: Android Enterprise (Perfil de Trabalho) iOS macOS Windows 10/11
   Nome alternativo da entidade	Tudo	Para Atributo, se não houver exigência de uma escolha diferente, selecione Nome UPN, configure um Valor correspondente e, em seguida, selecione Adicionar. Você pode usar variáveis ou texto estático para o SAN de ambos os tipos de certificado. O uso de uma variável não é obrigatório. Para obter mais informações, consulte Formato de nome da entidade mais adiante neste artigo.
   Uso estendido de chave	Administrador de dispositivo Android Android Enterprise (Proprietário do Dispositivo, Perfil de Trabalho de Propriedade Corporativa e Pessoal) Windows 10/11	Normalmente, os certificados exigirão Autenticação de Cliente para que o usuário ou dispositivo possa autenticar-se em um servidor.
   Permitir que todos os aplicativos acessem a chave privada	macOS	Configure como Habilitar para conceder acesso à chave privada do certificado PKCS aos aplicativos configurados para o dispositivo Mac associado. Para obter mais informações sobre essa configuração, confira AllowAllAppsAccess na seção de Conteúdo do Certificado da Referência do Perfil de Configuração na documentação do desenvolvedor da Apple.
   Certificado Raiz	Administrador de dispositivo Android Android Enterprise (Proprietário do Dispositivo, Perfil de Trabalho de Propriedade Corporativa e Pessoal)	Selecione um perfil de certificado de Autoridade de certificação raiz que foi atribuído anteriormente.

8. Essa etapa se aplica apenas aos perfis de dispositivos Android Enterprise para Perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned.

   Em Aplicativos, configure o acesso ao Certificado para gerenciar como o acesso ao certificado é concedido aos aplicativos. Escolha entre:

   • Exigir aprovação do usuário para aplicativos(padrão) – os usuários devem aprovar o uso de um certificado por todos os aplicativos.
   • Conceda silenciosamente para aplicativos específicos (exigem aprovação do usuário para outros aplicativos) – Com essa opção, selecione Adicionar aplicativos e selecione um ou mais aplicativos que usarão silenciosamente o certificado sem interação do usuário.

9. Selecione Avançar.

10. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Planeje implantar esse perfil de certificado nos mesmos grupos que recebem o perfil de certificado confiável e que recebem um perfil de configuração como um perfil de Wi-Fi que usa o certificado. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Formato de nome da entidade

Quando você cria um perfil de certificado PKCS para as plataformas a seguir, as opções para o formato de nome da entidade dependem do tipo de certificado escolhido, Usuário ou Dispositivo.

Plataformas:

• Android Enterprise (Perfil de Trabalho de Propriedade Corporativa e Pessoal)
• iOS
• macOS
• Windows 10/11

Observação

Há um problema conhecido por usar o PKCS para obter certificados que é o mesmo problema visto para SCEP quando o nome do assunto na CSR (Solicitação de Assinatura de Certificado) resultante inclui um dos caracteres a seguir como um caractere escapado (procedido por uma barra de fundo \):

• +
• ;
• ,
• =

Observação

A partir do Android 12, o Android não dá mais suporte ao uso dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal:

• Número de série
• IMEI
• MEID

Os perfis de certificado do Intune para dispositivos de perfil de trabalho de propriedade pessoal que dependem dessas variáveis no nome do assunto ou SAN não provisionarão um certificado em dispositivos que executem o Android 12 ou posterior no momento em que o dispositivo for inscrito no Intune. Os dispositivos que se registraram antes da atualização para o Android 12 ainda podem receber certificados desde que o Intune obteve anteriormente os identificadores de hardware dos dispositivos.

Para obter mais informações sobre isso e outras alterações introduzidas com o Android 12, consulte a postagem no blog Suporte do Android Day Zero para Microsoft Endpoint Manager.

• Tipo de certificado de usuário
  As opções de formato para o Formato de nome da entidade incluem duas variáveis: CN (Nome Comum ) e Email (E). O Email (E) normalmente seria definido com a variável {{EmailAddress}}. Por exemplo: E={{EmailAddress}}

  CN (Nome Comum) pode ser definido para qualquer uma das seguintes variáveis:

  • CN={{UserName}}: o nome de usuário do usuário, como Leila Gonçalves.

  • CN={{UserPrincipalName}}: o nome da entidade de usuário, como janedoe@contoso.com.

  • CN={{AAD_Device_ID}}: uma ID atribuída ao registrar um dispositivo no Microsoft Entra ID. Essa ID normalmente é usada para autenticar com Microsoft Entra ID.

  • CN={{DeviceId}}: uma ID atribuída quando você registra um dispositivo no Intune.

  • CN = {{SERIALNUMBER}}: o SN (número de série) exclusivo normalmente usado pelo fabricante para identificar um dispositivo

  • CN = {{IMEINumber}}: o número exclusivo do IMEI (Identidade Internacional de Equipamento Móvel) usado para identificar um dispositivo móvel.

  • CN={{OnPrem_Distinguished_Name}}: uma sequência de nomes diferenciados relativos separados por vírgula, como CN=Leila Dias,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    Para usar a variável {{OnPrem_Distinguished_Name}} , certifique-se de sincronizar o atributo de usuário onpremisesdistinguishuishname usando Microsoft Entra Conectar ao seu Microsoft Entra ID.

  • CN={{onPremisesSamAccountName}}: os administradores podem sincronizar o atributo samAccountName do Active Directory com Microsoft Entra ID usando Microsoft Entra Conectar em um atributo chamado onPremisesSamAccountName. O Intune pode substituir essa variável como parte de uma solicitação de emissão de certificados na entidade de um certificado. O atributo samAccountName é o nome de entrada do usuário usado para dar suporte a clientes e servidores de uma versão anterior do Windows (pré-Windows 2000). O formato de nome de login do usuário é: DomainName\testUserou somente testUser.

    Para usar a variável {{onPremisesSamAccountName}}, sincronize o atributo de usuário onPremisesSamAccountName usando Microsoft Entra Conectar ao seu Microsoft Entra ID.

  Todas as variáveis de dispositivo listadas na seção Tipo de certificado de dispositivo a seguir também podem ser usadas em nomes de entidades de certificado do usuário.

  Usando uma combinação de uma ou diversas dessas variáveis e cadeias de caracteres estáticas, você pode criar um formato de nome de entidade personalizado, como: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Este exemplo inclui um formato de nome de entidade que usa as variáveis CN e E, além de cadeias de caracteres para os valores Unidade Organizacional, Organização, Localização, Estado e País. Função CertStrToName descreve essa função e suas cadeias de caracteres compatíveis.

  Não há suporte para atributos de usuário em dispositivos que não têm associações de usuário, como dispositivos registrados como dedicados ao Android Enterprise. Por exemplo, um perfil que usa CN = {{UserPrincipalName}} no assunto ou SAN não poderá obter o nome UPN quando não houver nenhum usuário no dispositivo.

• Tipo de certificado de dispositivo
  As opções de formato para o Formato de nome da entidade incluem as seguintes variáveis:

  • {{AAD_Device_ID}}
  • {{DeviceId}} – é a ID do dispositivo do Intune
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Aplicável somente para dispositivos windows e ingressados no domínio)
  • {{MEID}}

  Especifique essas variáveis, seguidas pelo texto da variável, na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}Device1.

  Importante

  • Ao especificar uma variável, coloque o nome da variável entre chaves { }, como mostrado no exemplo, para evitar um erro.
  • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
  • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no nome da entidade de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.

Próximas etapas

• Usar o SCEP para certificados
• Emitir certificados PKCS em um serviço Web do Symantec PKI Manager.
• Solução de problemas de perfis do certificado PKCS