Configurar e usar certificados PKCS com o Intune

O Microsoft Intune dá suporte ao uso de certificados de par de chaves pública e privada (PKCS). Para ajudar você a usar certificados PKCS, este artigo examina o que é necessário e pode ajudar você a exportar um certificado PKCS e a adicioná-lo a um perfil de configuração de dispositivo do Intune.

O Microsoft Intune inclui configurações internas de uso de certificados PKCS para acesso e autenticação nos recursos de sua organização. Os certificados autenticam e protegem o acesso aos recursos corporativos como uma VPN ou uma rede WiFi. Implante essas configurações em dispositivos usando perfis de configuração do dispositivo no Intune.

Para obter informações sobre como usar certificados PKCS importados, confira Certificados PFX Importados.

Dica

Os perfis de certificado PKCS têm suporte em Áreas de trabalho remotas multissessão do Windows 10 Enterprise.

Requisitos

Para usar certificados PKCS com o Intune, será necessária a seguinte infraestrutura:

  • Domínio do Active Directory:
    Todos os servidores listados nesta seção precisam ser ingressados no domínio do Active Directory.

    Para saber mais sobre como instalar e configurar o AD DS (Active Directory Domain Services), confira Planejamento e Design do AD DS.

  • Autoridade de certificação:
    uma AC (autoridade de certificação corporativa).

    Para saber mais sobre como instalar e configurar o AD CS (Serviços de Certificados do Active Directory), confira Guia passo a passo dos Serviços de Certificados do Active Directory.

    Aviso

    O Intune exige que você execute o AD CS com uma AC (Autoridade de Certificação) Corporativa, não com uma AC Autônoma.

  • Um cliente:
    para se conectar à AC corporativa.

  • Certificado raiz:
    Uma cópia exportada de seu certificado raiz de sua AC Corporativa.

  • Certificate Connector para Microsoft Intune:

    Para obter informações sobre o conector de certificado, confira:

    Dica

    Desde 29 de julho de 2021, o Certificate Connector para Microsoft Intune substituiu o uso do Conector de Certificado PFX para Microsoft Intune e do Conector do Microsoft Intune. O novo conector inclui a funcionalidade dos dois conectores anteriores. Embora os conectores anteriores continuem tendo suporte, eles não estão mais disponíveis para download. Caso precise instalar um novo conector ou reinstalar um conector, instale o mais recente Certificate Connector para Microsoft Intune.

Exportar o certificado raiz da AC Corporativa

Para autenticar um dispositivo com VPN, WiFi ou outros recursos, um dispositivo precisa de um certificado de Autoridade de Certificação raiz ou intermediário. As etapas a seguir explicam como obter o certificado necessário de sua AC Corporativa.

Usar uma linha de comando:

  1. faça logon no servidor da Autoridade de Certificação Raiz com a Conta Administrador.

  2. Acesse Iniciar > Executar e, em seguida, insira Cmd para abrir o prompt de comando.

  3. Especifique certutil -ca.cert ca_name.cer para exportar o certificado raiz como um arquivo chamado ca_name.cer.

Configurar modelos de certificado na AC

  1. Entre na sua AC corporativa com uma conta que tenha privilégios administrativos.

  2. Abra o console da Autoridade de Certificação, clicar com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.

  3. Localize o modelo de certificado do Usuário, clique nele com o botão direito do mouse e escolha Duplicar Modelo para abrir as Propriedades do Novo Modelo.

    Observação

    Para os cenários de autenticação e criptografia de email S/MIME, muitos administradores usam certificados separados para autenticação e criptografia. Caso esteja usando os Serviços de Certificados do Microsoft Active Directory, use o modelo Trocar Somente Assinatura para certificados de autenticação de email S/MIME e o modelo Trocar Usuário para certificados de criptografia S/MIME. Caso esteja usando uma autoridade de certificação de terceiros, é recomendável examinar suas diretrizes para configurar modelos de autenticação e de criptografia.

  4. Na guia Compatibilidade:

    • Defina Autoridade de Certificação como Windows Server 2008 R2
    • Defina Destinatário do certificado como Windows 7/Server 2008 R2
  5. Na guia Geral, defina Nome de exibição do modelo como algo significativo para você.

    Aviso

    Nome do modelo é, por padrão, o mesmo que o Nome de exibição do modelo sem espaços. Observe o nome do modelo, pois ele será necessário mais tarde.

  6. Em Tratamento de Solicitação, selecione Permitir que a chave privada seja exportada.

    Observação

    Ao contrário do SCEP, com o PKCS, a chave privada do certificado é gerada no servidor em que o conector de certificado está instalado, não no dispositivo. O modelo de certificado precisa permitir que a chave privada seja exportada para que o conector de certificado possa exportar o certificado PFX e enviá-lo ao dispositivo.

    Quando os certificados são instalados no próprio dispositivo, a chave privada é marcada como não exportável.

  7. Em Criptografia, confirme se o Tamanho mínimo da chave está definido como 2048.

  8. Em Nome da Entidade, escolha Fornecer na solicitação.

  9. Em Extensões, confirme a existência de Encrypting File System, Email Seguro e Autenticação de Cliente em Políticas de Aplicativo.

    Importante

    Para modelos de certificado do iOS/iPadOS, na guia Extensões, atualize Uso da Chave e confirme se a opção A assinatura é uma prova de origem não está selecionada.

  10. Em Segurança, adicione a Conta do Computador do servidor em que você instalou o Certificate Connector para Microsoft Intune. Atribua as permissões Leitura e Inscrição à essa conta.

  11. Selecione Aplicar > OK para salvar o modelo de certificado. Feche o Console de Modelos de Certificado.

  12. No console da Autoridade de Certificação, clique com o botão direito em Modelos de Certificados > Novo > Modelo de certificado a ser emitido. Escolha o modelo que você criou nas etapas anteriores. Selecione OK.

  13. Para que o servidor gerencie certificados de usuários e dispositivos registrados, use as seguintes etapas:

    1. Clique com o botão direito na Autoridade de Certificação e escolha Propriedades.
    2. Na guia Segurança, adicione a Conta do computador do servidor em que o conector é executado.
    3. Conceda as permissões Emitir e Gerenciar Certificados e Solicitar Certificados à conta de computador.
  14. Saia da AC corporativa.

Baixar, instalar e configurar o Certificate Connector para Microsoft Intune

Para obter diretrizes, confira Instalar e configurar o Certificate Connector para Microsoft Intune.

Criar um perfil de certificado confiável

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione e vá a Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos dispositivos que receberão esse perfil.
      • Administrador do dispositivo Android
      • Android Enterprise:
        • Totalmente gerenciado
        • Dedicado
        • Perfil de Trabalho de Propriedade Corporativa
        • Perfil de Trabalho de Propriedade Pessoal
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
    • Perfil: Selecione Certificado confiável. Ou selecione Modelos > Certificado confiável.
  4. Selecione Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de certificado confiável para toda a empresa.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, especifique o Certificado de AC Raiz do arquivo .cer exportado anteriormente.

    Observação

    Dependendo da plataforma escolhida na Etapa 3, você poderá ou não ter a opção de escolher o Armazenamento de destino do certificado.

    Criar um perfil e carregar um certificado confiável

  8. Selecione Avançar.

  9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

    Selecione Avançar.

  10. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Planeje implantar esse perfil de certificado nos mesmos grupos que recebem o perfil de certificado PKCS. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  11. (Aplica-se somente ao Windows 10) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

  12. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Criar um perfil de certificado PKCS

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione e vá a Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos dispositivos. Suas opções:
      • Administrador do dispositivo Android
      • Android Enterprise:
        • Totalmente gerenciado
        • Dedicado
        • Perfil de Trabalho de Propriedade Corporativa
        • Perfil de Trabalho de Propriedade Pessoal
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
    • Perfil: selecione Certificado PKCS. Ou selecione Modelos > Certificado PKCS.

    Observação

    Em dispositivos com um perfil do Android Enterprise, os certificados instalados por meio de um perfil de certificado PKCS não ficam visíveis no dispositivo. Para confirmar se o certificado foi implantado com êxito, verifique o status do perfil no console do Microsoft Intune.

  4. Selecione Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil PKCS para toda a empresa.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

    • Administrador do dispositivo Android
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10
    Setting Plataforma Detalhes
    Limite de renovação (%)
    • Todos
    O recomendado é 20%
    Período de validade do certificado
    • Todos
    Se você não alterou o modelo de certificado, essa opção pode ser definida como um ano.

    Use um período de validade de cinco dias ou até 24 meses. Quando o período de validade é inferior a cinco dias, há uma grande probabilidade de o certificado entrar em um estado quase expirando ou expirado, o que pode fazer com que o agente do MDM nos dispositivos rejeite o certificado antes de ele ser instalado.
    KSP (provedor de armazenamento de chaves)
    • Windows 10
    Para o Windows, selecione o local em que as chaves serão armazenadas no dispositivo.
    Autoridade de certificação
    • Todos
    Exibe o FQDN (nome de domínio totalmente qualificado) interno da AC corporativa.
    Nome da autoridade de certificação
    • Todos
    Lista o nome da AC corporativa, como "Autoridade de Certificação da Contoso".
    Nome do modelo de certificado
    • Todos
    Lista o nome do seu modelo de certificado.
    Tipo de certificado
    • Android Enterprise (Perfil de Trabalho de Propriedade Corporativa e Pessoal)
    • iOS
    • macOS
    • Windows 10 e posterior
    Selecione um tipo:
    • Os certificados do Usuário podem conter atributos de usuário e de dispositivo na entidade e no SAN (nome alternativo da entidade) do certificado.
    • Certificados de dispositivo podem conter somente os atributos do dispositivo na entidade e no SAN do certificado. Use Dispositivo para cenários como dispositivos sem usuário, como quiosques, ou para dispositivos compartilhados.

      Essa seleção afeta o formato do nome da entidade.
    Formato de nome de entidade
    • Todos
    Para obter detalhes sobre como configurar o formato de nome da entidade, confira Formato de nome da entidade mais adiante neste artigo.

    Para as plataformas a seguir, o formato de nome da entidade é determinado pelo tipo de certificado:
    • Android Enterprise (Perfil de Trabalho)
    • iOS
    • macOS
    • Windows 10 e posterior

    Nome alternativo da entidade
    • Todos
    Para Atributo, se não houver exigência de uma escolha diferente, selecione Nome UPN, configure um Valor correspondente e, em seguida, selecione Adicionar.

    Você pode usar variáveis ou texto estático para o SAN de ambos os tipos de certificado. O uso de uma variável não é obrigatório.

    Para obter mais informações, confira Formato de nome da entidade mais adiante neste artigo.
    Uso estendido de chave
    • Administrador do dispositivo Android
    • Android Enterprise (Proprietário do Dispositivo, Perfil de Trabalho de Propriedade Corporativa e Pessoal)
    • Windows 10
    Normalmente, os certificados exigirão Autenticação de cliente para que o usuário ou dispositivo possa autenticar-se em um servidor.
    Permitir que todos os aplicativos acessem a chave privada
    • macOS
    Configure como Habilitar para dar aos aplicativos configurados para o dispositivo Mac associado acesso à chave privada dos certificados PKCS.

    Para obter mais informações sobre essa configuração, confira AllowAllAppsAccess na seção de Conteúdo do Certificado da Referência do Perfil de Configuração na documentação do desenvolvedor da Apple.
    Certificado raiz
    • Administrador do dispositivo Android
    • Android Enterprise (Proprietário do Dispositivo, Perfil de Trabalho de Propriedade Corporativa e Pessoal)
    Selecione um perfil de Certificado de Autoridade de Certificação raiz ‘que foi atribuído anteriormente.
  8. Selecione Avançar.

  9. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Planeje implantar o perfil de certificado nos mesmos grupos que recebem o perfil de certificado confiável. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  10. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Formato de nome de entidade

Quando você cria um perfil de certificado PKCS para as plataformas a seguir, as opções para o formato de nome da entidade dependem do tipo de certificado escolhido, Usuário ou Dispositivo.

Plataformas:

  • Android Enterprise (Perfil de Trabalho de Propriedade Corporativa e Pessoal)
  • iOS
  • macOS
  • Windows 10 e posterior

Observação

Há um problema conhecido no uso do PKCS para obter certificados, que é o mesmo problema observado no uso do SCEP, quando o nome da entidade na CSR (Solicitação de Assinatura de Certificado) resultante inclui um dos seguintes caracteres como um caractere de escape (seguido por uma barra invertida \):

  • +
  • ;
  • ,
  • =
  • Tipo de certificado de usuário
    As opções de formato para o Formato de nome da entidade incluem duas variáveis: Nome Comum (NC) e Email (E) . Email (E) normalmente seria definido com a variável {{EmailAddress}}. Por exemplo: E={{EmailAddress}}

    CN (Nome Comum) pode ser definido para qualquer uma das seguintes variáveis:

    • CN={{UserName}} : o nome de usuário do usuário, como Leila Gonçalves.

    • CN={{UserPrincipalName}} : o nome UPN do usuário, como janedoe@contoso.com.

    • CN={{AAD_Device_ID}} : Uma ID atribuída ao registrar um dispositivo no Azure AD (Active Directory). Essa ID normalmente é usada para autenticar com o Azure AD.

    • CN={{DeviceId}} : uma ID atribuída quando você registra um dispositivo no Intune.

    • CN={{SERIALNUMBER}} : O SN (número de série) exclusivo normalmente usado pelo fabricante para identificar um dispositivo.

    • CN={{IMEINumber}} : O número exclusivo do IMEI (Identidade Internacional de Equipamento Móvel) usado para identificar um celular.

    • CN={{OnPrem_Distinguished_Name}} : Uma sequência de nomes diferenciados relativos separados por vírgula, como CN=Leila Dias,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      Para usar a variável {{OnPrem_Distinguished_Name}} , sincronize o atributo de usuário onpremisesdistinguishedname com o Azure AD usando o Azure AD Connect.

    • CN={{onPremisesSamAccountName}} : Os administradores podem sincronizar o atributo samAccountName do Active Directory para o Azure AD usando o Azure AD Connect em um atributo chamado onPremisesSamAccountName. O Intune pode substituir essa variável como parte de uma solicitação de emissão de certificados na entidade de um certificado. O atributo samAccountName é o nome de entrada do usuário usado para dar suporte a clientes e servidores de uma versão anterior do Windows (pré-Windows 2000). O formato do nome de entrada do usuário é: DomainName\testUser ou apenas testUser.

      Para usar a variável {{onPremisesSamAccountName}} , sincronize o atributo de usuário onPremisesSamAccountName com o Azure AD usando o Azure AD Connect.

    Todas as variáveis de dispositivo listadas na seção Tipo de certificado de dispositivo a seguir também podem ser usadas em nomes de entidades de certificado do usuário.

    Ao usar uma combinação de uma ou mais dessas variáveis e cadeias de caracteres de texto estático, é possível criar um formato de nome de entidade personalizado, como: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    Este exemplo inclui um formato de nome de entidade que usa as variáveis CN e E e cadeias de caracteres para os valores Unidade Organizacional, Organização, Localização, Estado e País. Função CertStrToName descreve essa função e suas cadeias de caracteres compatíveis.

    Não há suporte para atributos de usuário em dispositivos que não têm associações de usuário, como dispositivos registrados como dedicados ao Android Enterprise. Por exemplo, um perfil que usa CN = {{UserPrincipalName}} no assunto ou SAN não poderá obter o nome UPN quando não houver nenhum usuário no dispositivo.

  • Tipo de certificado de dispositivo
    As opções de formato para o Formato de nome da entidade incluem as seguintes variáveis:

    • {{AAD_Device_ID}}
    • {{DeviceId}} – é a ID do dispositivo do Intune
    • {{Device_Serial}}
    • {{Device_IMEI}}
    • {{SerialNumber}}
    • {{IMEINumber}}
    • {{AzureADDeviceId}}
    • {{WiFiMacAddress}}
    • {{IMEI}}
    • {{DeviceName}}
    • {{FullyQualifiedDomainName}} (Aplicável somente aos dispositivos Windows e ingressados no domínio)
    • {{MEID}}

    Especifique essas variáveis, seguidas pelo texto da variável, na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}Device1.

    Importante

    • Ao especificar uma variável, coloque o nome da variável entre chaves { }, como mostrado no exemplo, para evitar um erro.
    • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
    • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no nome da entidade de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.

Próximas etapas