Perfis de certificado raiz confiável para Microsoft Intune

Ao usar o Intune para provisionar dispositivos com certificados para acessar os seus recursos e rede corporativos, use um perfil de certificado confiável para implantar o certificado raiz confiável nesses dispositivos. Certificados raiz confiáveis estabelecem uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos.

Você implanta o perfil de certificado confiável nos mesmos dispositivos e usuários que recebem os perfis de certificado para protocolo SCEP, PKCS (Public Key Cryptography Standards) e PKCS importado.

Dica

Os perfis de certificado confiável são compatíveis com áreas de trabalho remotas multissessão do Windows 10 Enterprise.

Exportar o Certificado de Autoridade de Certificação raiz confiável

Para usar certificados PKCS importados, SCEP e PKCS, os dispositivos precisam confiar na autoridade de certificação raiz. Para estabelecer essa relação de confiança, exporte o Certificado de AC raiz confiável, bem como os certificados de autoridade de certificação intermediária ou emissora, como um certificado público (.cer). Obtenha esses certificados da AC emissora ou de qualquer dispositivo que confie na AC emissora.

Para exportar o certificado, confira a documentação da autoridade de certificação. Você precisará exportar o certificado público como um arquivo .cer. Não exporte a chave privada, um arquivo .pfx.

Você usará esse arquivo .cer ao criar perfis de certificado confiável para implantar esse certificado em seus dispositivos.

Criar perfis de certificado confiável

Crie e implemente um perfil de certificado confiável antes de criar um perfil de certificado PKCS importado, SCEP ou PKCS. Implantar um perfil de certificado confiável nos mesmos grupos que recebem os outros tipos de perfil de certificado garante que cada dispositivo possa reconhecer a legitimidade da sua Autoridade de Certificação. Isso inclui perfis como aqueles para VPN, Wi-Fi e email.

Os perfis de Certificado SCEP referenciam diretamente um perfil de certificado confiável. Os perfis de Certificado PKCS não referenciam diretamente o perfil de certificado confiável, mas sim o servidor que hospeda a AC. Os perfis de certificados PKCS importados não referenciam diretamente o perfil de certificado confiável, mas podem usá-lo no dispositivo. A implantação de um perfil de certificado confiável em dispositivos garante que essa relação de confiança seja estabelecida. Quando um dispositivo não confiar na AC raiz, a política de perfil de Certificado SCEP ou PKCS falhará.

Crie um perfil de certificado confiável separado para cada plataforma de dispositivo à qual deseja dar suporte, assim como você fará para os perfis de certificados PKCS importados, SCEP e PKCS.

Importante

Os perfis raiz confiáveis que você cria para a plataforma Windows 10 e posterior são exibidos no centro de administração do Microsoft Endpoint Manager como perfis para a plataforma Windows 8.1 e posterior.

Esse é um problema conhecido com a apresentação da plataforma para perfis de certificado confiáveis. Embora o perfil exiba uma plataforma do Windows 8.1 e posterior, ele é funcional para o Windows 10 e versões posteriores.

Observação

O perfil de Certificado Confiável no Intune pode ser usado apenas para fornecer certificados raiz ou intermediários. A finalidade de implantar esses certificados é estabelecer uma cadeia de confiança. O uso do perfil de certificado confiável para fornecer certificados diferentes dos certificados raiz ou intermediário não tem suporte da Microsoft. Você pode ser impedido de importar certificados que não são considerados raiz ou intermediários ao selecionar o perfil de certificado confiável no centro de administração do Microsoft Endpoint Manager. Mesmo que consiga importar e implantar um certificado que não é raiz ou intermediário usando esse tipo de perfil, você provavelmente terá resultados inesperados em diferentes plataformas, como iOS e Android.

Perfis de certificado confiável para o administrador do dispositivo Android

Desde o Android 11, você não pode mais usar um perfil de certificado confiável para implantar um certificado raiz confiável em dispositivos registrados como administrador do dispositivo Android. Essa limitação não se aplica ao Samsung Knox.

Como os perfis de certificado SCEP exigem que o certificado raiz confiável seja instalado em um dispositivo e faça referência a um perfil de certificado confiável que, por sua vez, faz referência a esse certificado, use as seguintes etapas para contornar essa limitação:

  1. Provisione manualmente o dispositivo com o certificado raiz confiável. Para obter diretrizes de exemplo, confira a seção a seguir.

  2. Implante no dispositivo, um perfil de certificado raiz confiável que faz referência ao certificado raiz confiável que você instalou no dispositivo.

  3. Implante um perfil de certificado SCEP no dispositivo que faz referência ao perfil de certificado raiz confiável.

Esse problema não está limitado aos perfis de certificado SCEP. Portanto, planeje instalar manualmente o certificado raiz confiável nos dispositivos aplicáveis se o uso de perfis de certificado PKCS ou perfis de certificado PKCS importados exigir.

Saiba mais sobre as alterações no suporte para o administrador de dispositivos Android em techcommunity.microsoft.com.

Provisionar manualmente um dispositivo com o certificado raiz confiável

As diretrizes a seguir podem ajudar você a provisionar dispositivos manualmente com um certificado raiz confiável.

  1. Baixe ou transfira o certificado raiz confiável para o dispositivo Android. Por exemplo, você pode usar um email para distribuir o certificado para os usuários do dispositivo ou solicitar que eles o baixem de um local seguro. Quando o certificado estiver no dispositivo, ele deverá ser aberto, nomeado e salvo. Salvar o certificado o adiciona ao repositório de certificados do Usuário no dispositivo.

    1. Para abrir o certificado no dispositivo, um usuário precisa localizar e tocar (abrir) nele. Por exemplo, após enviar o certificado por email, um usuário do dispositivo pode tocar ou abrir o anexo do certificado.
    2. Quando o certificado é aberto, o usuário precisa informar seu PIN ou autenticar-se no dispositivo para gerenciar o certificado.
  2. Após a autenticação, o certificado é aberto e precisa ser nomeado para que possa ser salvo no repositório de certificados dos Usuários. O nome do certificado deve corresponder ao nome do certificado especificado no perfil de Certificado Raiz Confiável que será enviado ao dispositivo. Após ser nomeado, o certificado pode ser salvo.

  3. Depois de ser salvo, o certificado estará pronto para uso. Para confirmar se o certificado está no local correto no dispositivo:

    1. Abra Configurações > Segurança > Credenciais confiáveis. O caminho real para Credenciais confiáveis pode variar por dispositivo.
    2. Abra a guia Usuário e localize o certificado.
    3. Se estiver presente na lista de certificados do Usuário, o certificado terá sido instalado corretamente.
  4. Com um certificado raiz instalado em um dispositivo, você ainda precisa implantar o seguinte para provisionar os certificados SCEP ou PKCS:

    • Um perfil de Certificado Confiável que faz referência a esse certificado
    • O perfil SCEP ou PKCS que faz referência ao perfil de certificado para provisionar os certificados SCEP ou PKCS.

Para criar um perfil de certificado confiável

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione e vá a Dispositivos > Perfis de configuração > Criar perfil.

    Navegue até o Intune e crie um perfil para um certificado confiável

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos dispositivos que receberão esse perfil.
    • Perfil: Selecione Certificado confiável. Ou selecione Modelos > Certificado confiável.
  4. Selecione Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de certificado confiável para toda a empresa.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Selecione Definições de configuração e especifique o arquivo .cer do Certificado de Autoridade de Certificação Raiz confiável exportado anteriormente.

    Somente para dispositivos Windows 8.1 e Windows 10, selecione o Repositório de Destino para o certificado confiável de:

    • Repositório de certificados do computador – Raiz
    • Repositório de certificados do computador – Intermediário
    • Repositório de certificados do usuário – Intermediário

    Criar um perfil e carregar um certificado confiável

  8. Selecione Avançar.

  9. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  10. (Aplica-se somente ao Windows 10) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Próximas etapas

Criar perfis de certificado:

Saiba mais sobre os Conectores de certificado