Usar credenciais derivadas com o Microsoft Intune

Este artigo se aplica ao:

  • Dispositivos do Android Enterprise totalmente gerenciados que são executados na versão 7.0 e posterior
  • iOS/iPadOS
  • Windows 10/11

Em um ambiente em que cartões inteligentes são necessários para autenticação ou criptografia e assinatura, você pode usar o Intune para provisionar dispositivos móveis com um certificado derivado do cartão inteligente de um usuário. Esse certificado é chamado de credencial derivada. O Intune dá suporte a vários emissores de credenciais derivadas, embora você possa usar apenas um único emissor por locatário por vez.

As credenciais derivadas são uma implementação das diretrizes do NIST (National Institute of Standards and Technology) para as credenciais de PIV (Verificação de Identidade Pessoal Derivada) como parte da Publicação Especial (SP) 800-157.

Com a implementação do Intune:

  • O administrador do Intune configura seu locatário para trabalhar com um emissor de credencial derivada com suporte. Você não precisa definir nenhuma configuração específica do Intune no sistema do emissor de credenciais derivadas.

  • O administrador do Intune especifica a Credencial derivada como o método de autenticação para os seguintes objetos:

    Para dispositivos Android Enterprise totalmente gerenciados:

    • Tipos de perfil comuns, como de Wi-Fi e de VPN
    • Autenticação de aplicativo

    Para iOS/iPadOS:

    • Tipos de perfil comuns como Wi-Fi, VPN e Email, que inclui o aplicativo de email nativo do iOS/iPadOS
    • Autenticação de aplicativo
    • Criptografia e assinatura S/MIME

    Para Windows:

    • tipos de perfil comuns, como Wi-Fi e de VPN
  • Para Android e iOS/iPadOS, os usuários obtêm uma credencial derivada usando seu cartão inteligente e um computador para autenticar-se no emissor de credenciais derivadas. O emissor emite para o dispositivo móvel um certificado derivado de seu cartão inteligente. Para Windows, os usuários instalam o aplicativo do provedor de credenciais derivadas, que instala o certificado para o dispositivo para uso posterior.

  • Depois que o dispositivo recebe a credencial derivada, ela é usada para autenticação para assinatura e criptografia S/MIME quando os perfis de acesso de aplicativos ou de um recurso exigem a credencial derivada.

Pré-requisitos

Examine as seguintes informações antes de configurar seu locatário para usar credenciais derivadas.

Plataformas compatíveis

O Intune dá suporte a credenciais derivadas nas seguintes plataformas:

  • iOS/iPadOS
  • Android Enterprise:
    • Dispositivos totalmente gerenciados (versão 7.0 e posterior)
    • Perfil de Trabalho de Propriedade Corporativa
  • Windows 10/11

Emissores com suporte

O Intune dá suporte a um único emissor de credenciais derivadas por locatário. Você pode configurar o Intune para trabalhar com os seguintes emissores:

Para obter detalhes importantes sobre o uso de diferentes emissores, confira as diretrizes para cada emissor. Para obter mais informações, confira Planejar credenciais derivadas neste artigo.

Importante

Se você excluir um emissor de credenciais derivadas do seu locatário, as credenciais derivadas configuradas por meio desse emissor não funcionarão mais.

Confira Alterar o emissor de credenciais derivadas posteriormente neste artigo.

Aplicativos necessários

Planeje implantar o aplicativo relevante voltado para o usuário em dispositivos que serão registrados em uma credencial derivada. Os usuários do dispositivo usam o aplicativo para iniciar o processo de registro de credenciais.

Planejar credenciais derivadas

Entenda as considerações a seguir antes de configurar um emissor de credenciais derivadas para Android e iOS/iPadOS.

Para dispositivos Windows, confira Credenciais derivadas para Windows mais adiante neste artigo.

1) Examine a documentação do emissor de credenciais derivadas escolhido

Antes de configurar um emissor, examine a documentação dele para entender como o sistema entrega credenciais derivadas a dispositivos.

Dependendo do emissor escolhido, talvez seja necessário que a equipe esteja disponível no momento do registro para ajudar os usuários a concluir o processo. Examine também suas configurações atuais do Intune para garantir que elas não bloqueiem o acesso necessário para dispositivos ou usuários concluírem a solicitação de credencial.

Por exemplo, você pode usar o acesso condicional para bloquear o acesso a email para dispositivos sem conformidade. Se você depender de notificações por email para informar o usuário para iniciar o processo de registro de credenciais derivadas, seus usuários poderão não receber essas instruções até que estejam em conformidade com a política.

Da mesma forma, alguns fluxos de trabalho de solicitação de credenciais derivadas exigem o uso da câmera do dispositivo para digitalizar um código QR na tela. Esse código vincula esse dispositivo à solicitação de autenticação que ocorreu no emissor de credenciais derivadas com as credenciais de cartão inteligente do usuário. Se as políticas de configuração do dispositivo bloquearem o uso da câmera, o usuário não poderá concluir a solicitação de registro de credenciais derivadas.

Informações gerais:

  • Você pode configurar apenas um único emissor por locatário por vez. Esse emissor está disponível para todos os usuários e dispositivos com suporte em seu locatário.

  • Os usuários não são notificados de que devem se registrar para credenciais derivadas até que você os direcione com uma política que requeira credenciais derivadas.

  • A notificação pode ser feita por meio de notificação de aplicativo para o Portal da Empresa, por email ou ambos. Se você optar por usar notificações por email e usar o acesso condicional habilitado, os usuários poderão não receber a notificação por email se seu dispositivo não estiver em conformidade.

    Importante

    Para garantir que as notificações relacionadas às credenciais do dispositivo sejam recebidas com êxito pelos usuários finais, você deve habilitar notificações de aplicativo para o Portal da Empresa, notificações por email ou ambos.

2) Examine o fluxo de trabalho de usuário final para o emissor escolhido

A seguir estão as principais considerações de cada parceiro com suporte. Familiarize-se com essas informações para poder garantir que suas políticas e configurações do Intune não impeçam que usuários e dispositivos concluam com êxito o registro para uma credencial derivada desse emissor.

DISA Purebred

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • Use o Intune para implantar o aplicativo DISA Purebred em dispositivos que serão registrados para uma credencial derivada. Esse aplicativo deve ser implantado pelo Intune para que ele seja gerenciado e possa trabalhar com o aplicativo Portal da Empresa do Intune ou o Aplicativo Intune, que os usuários do dispositivo usam para concluir a solicitação de credencial derivada.

  • Para recuperar uma credencial derivada do aplicativo Purebred, o dispositivo deve ter acesso à rede local. O acesso pode ser por meio de Wi-Fi corporativo ou VPN.

  • Os usuários do dispositivo devem trabalhar com um agente em tempo real durante o processo de registro. Durante o registro, são fornecidas senhas avulsos por tempo limitado ao usuário conforme ele avança no processo de registro.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi, os usuários do iOS e do iPadOS são notificados para abrir o aplicativo Portal da Empresa.

  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • O Microsoft Endpoint Manager notifica o usuário por e-mail ou por uma notificação de aplicativo para iniciar o Portal da Empresa.
    • O usuário inicia o Portal da Empresa e toca na notificação de credencial derivada, e os certificados de credencial derivados são copiados para o dispositivo

Para obter informações sobre como baixar e configurar o aplicativo DISA Purebred, confira Implantar o aplicativo DISA Purebred mais adiante neste artigo.

Entrust

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • O uso de uma câmera de dispositivo para digitalizar um código QR que vincula a solicitação de autenticação à solicitação de credencial derivada do dispositivo móvel.

  • Os usuários recebem um aviso pelo aplicativo Portal da Empresa ou por email para se registrarem para credenciais derivadas.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi:

    • iOS e iPadOS – Os usuários são notificados para abrir o aplicativo Portal da Empresa.
    • Android Enterprise Perfil de Trabalho de Propriedade Corporativa ou Dispositivos totalmente gerenciados - O aplicativo do Portal da Empresa não precisa ser aberto.
  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • O Microsoft Endpoint Manager notifica o usuário por e-mail ou por uma notificação de aplicativo para iniciar o Portal da Empresa.
    • O usuário inicia o Portal da Empresa e toca na notificação de credencial derivada, e os certificados de credencial derivados são copiados para o dispositivo

Intercede

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • O uso de uma câmera de dispositivo para digitalizar um código QR que vincula a solicitação de autenticação à solicitação de credencial derivada do dispositivo móvel.

  • Os usuários recebem um aviso pelo aplicativo Portal da Empresa ou por email para se registrarem para credenciais derivadas.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi:

    • iOS e iPadOS – Os usuários são notificados para abrir o aplicativo Portal da Empresa.
    • Android Enterprise Perfil de Trabalho de Propriedade Corporativa ou Dispositivos totalmente gerenciados - O aplicativo do Portal da Empresa não precisa ser aberto.
  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • O Microsoft Endpoint Manager notifica o usuário por e-mail ou por uma notificação de aplicativo para iniciar o Portal da Empresa.
    • O usuário inicia o Portal da Empresa e toca na notificação de credencial derivada, e os certificados de credencial derivados são copiados para o dispositivo

3) Implantar um certificado raiz confiável em dispositivos

Um certificado raiz confiável é usado com credenciais derivadas para verificar se a cadeia de certificados de credencial derivada é válida e confiável. Mesmo quando não for diretamente referenciado por uma política, um certificado raiz confiável será necessário. Confira Configurar um perfil de certificado para seus dispositivos no Microsoft Intune.

4) Fornecer instruções do usuário final sobre como obter a credencial derivada

Crie e forneça diretrizes para seus usuários sobre como iniciar o processo de registro de credenciais derivadas e navegar você pelo fluxo de trabalho de registro de credenciais derivadas para seu emissor escolhido.

Recomendamos que você forneça uma URL que hospedará suas diretrizes. Especifique esta URL quando você configurar o emissor de credenciais derivadas do seu locatário e se ela for disponibilizada de dentro do aplicativo Portal da Empresa. Se você não especificar sua própria URL, o Intune fornecerá um link para detalhes genéricos. Esses detalhes não podem abranger todos os cenários e podem não estar corretos para seu ambiente.

5) Implantar políticas do Intune que exigem credenciais derivadas

Crie políticas ou edite políticas existentes para usar credenciais derivadas. As credenciais derivadas substituem outros métodos de autenticação para os seguintes objetos:

  • Autenticação de aplicativo
  • Wi-Fi
  • VPN
  • E-mail (Somente iOS)
  • Assinatura e criptografia S/MIME, incluindo o Outlook (somente iOS)

Evite exigir o uso de uma credencial derivada para acessar um processo que você usará como parte do processo de obter a credencial derivada, pois isso pode impedir usuários de concluir a solicitação.

Configurar um emissor de credenciais derivadas

Antes de criar políticas que exijam o uso de uma credencial derivada, configure um emissor de credenciais no console do Intune. Um emissor de credenciais derivadas é uma configuração de todo o locatário. Os locatários dão suporte apenas a um único emissor por vez.

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Escolha Administração de locatários > Conectores e tokens > Credenciais Derivadas.

    Configurar credenciais derivadas no console

  3. Especifique um Nome de exibição amigável para a política do emissor de credenciais derivadas. Esse nome não é mostrado para os usuários do seu dispositivo.

  4. Para o Emissor de credenciais derivadas, selecione o emissor de credenciais derivadas que você escolheu para seu locatário:

    • DISA Purebred (somente iOS)
    • Entrust
    • Intercede
  5. Especifique uma URL de ajuda de credencial derivada para fornecer um link para uma localização que inclui instruções personalizadas para ajudar os usuários a obterem credenciais derivadas para sua organização. As instruções devem ser específicas da sua organização e do fluxo de trabalho necessário para obter uma credencial do seu emissor escolhido. O link é exibido no aplicativo Portal da Empresa e deve ser acessível do dispositivo.

    Se você não especificar sua própria URL, o Intune fornecerá um link para detalhes genéricos que não podem abranger todos os cenários. Essas diretrizes genéricas podem não estar corretas para seu ambiente.

  6. Selecione uma ou mais opções para o Tipo de notificação. Os tipos de notificação são os métodos que você usa para informar os usuários sobre os seguintes cenários:

    • Registrar um dispositivo com um emissor para obter uma nova credencial derivada.
    • Obter uma nova credencial derivada quando a credencial atual estiver perto da expiração.
    • Use uma credencial derivada com um objeto compatível.
  7. Quando estiver pronto, selecione Salvar para concluir a configuração do emissor de credenciais derivadas.

Após salvar a configuração, você poderá fazer alterações em todos os campos, exceto pelo Emissor de credenciais derivadas. Para alterar o emissor, confira Alterar o emissor de credenciais derivadas.

Implantar o aplicativo DISA Purebred

Esta seção aplica-se apenas quando você usa o DISA Purebred.

Para usar o DISA Purebred como seu emissor de credenciais derivadas para o Intune, você deve obter o aplicativo DISA Purebred e usar o Intune para implantar o aplicativo em dispositivos. Em seguida, os usuários solicitam a credencial derivada do DISA Purebred usando o aplicativo Portal da Empresa em seu dispositivo iOS/iPadOS ou o aplicativo do Intune em seus dispositivos Android.

Além de implantar o aplicativo DISA Purebred com o Intune, o dispositivo deve ter acesso à rede local. Para fornecer esse acesso, considere usar uma VPN ou Wi-Fi corporativa.

Conclua as tarefas a seguir:

  1. Baixe o aplicativo DISA Purebred: https://cyber.mil/pki-pke/purebred/.

  2. Implantar o aplicativo DISA Purebred no Intune.

    Podem ser necessárias configurações adicionais para o aplicativo Purebred. Fale com o agente do Purebred para entender quais valores devem ser incluídos em suas política ou, se tiver um cartão de acesso comum (CAC) emitido por DoD, você poderá acessar a documentação online do Purebred em https: //cyber.mil/pki-pke/purebred/.

  3. Se você optar por usar uma VPN por aplicativo para o aplicativo DISA Purebred, consulte Criar uma VPN por aplicativo.

Usar credenciais derivadas para autenticação e assinatura e criptografia S/MIME

Você pode especificar uma Credencial derivada para os seguintes tipos de perfil e finalidades:

Usar credenciais derivadas para autenticação do aplicativo

Use credenciais derivadas para autenticação baseada em certificado para sites e aplicativos. Para oferecer uma credencial derivada para a autenticação do aplicativo:

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes configurações:

    Para iOS e iPadOS:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil seria Credencial derivada para o perfil de dispositivos iOS.
    • Descrição: Insira uma descrição que proporciona uma visão geral da configuração e demais detalhes importantes.
    • Plataforma: Selecione iOS/iPadOS.
    • Para Tipo de perfil, selecione Credencial derivada.

    Para Android Enterprise:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil seria Credencial derivada para o perfil de dispositivos Android Enterprise.
    • Descrição: Insira uma descrição que proporciona uma visão geral da configuração e demais detalhes importantes.
    • Plataforma: Selecione Android Enterprise.
    • Tipo de perfil: Em Perfil de trabalho totalmente gerenciado, Dedicado e de Propriedade Corporativa, selecione Credencial derivada.
  4. Selecione OK para salvar suas alterações.

  5. Quando terminar, escolha OK > Criar para criar o perfil do Intune. Após a conclusão, seu perfil será mostrado na lista Dispositivos – Perfis de configuração.

  6. Escolha seu novo perfil > Atribuições. Escolha os grupos que devem receber a política.

Os usuários recebem a notificação pelo aplicativo ou por email dependendo das configurações especificadas quando você configurou o emissor de credenciais derivadas. A notificação solicita que o usuário inicie o Portal da Empresa para que as políticas de credenciais derivadas possam ser processadas.

Credenciais derivadas para Windows

Você pode usar certificados derivados como um método de autenticação para perfis de Wi-Fi e VPN em dispositivos Windows. Os mesmos provedores com suporte de dispositivos Android e iOS/iPadOS têm suporte como provedores para o Windows:

  • DISA Purebred
  • Entrust
  • Intercede

Para o Windows, os usuários não passam por um processo de registro de cartão inteligente para obter um certificado para uso como credencial derivada. Em vez disso, o usuário precisa instalar o aplicativo para Windows, que é obtido com o provedor de credenciais derivadas. Para usar credenciais derivadas com o Windows, conclua as seguintes configurações:

  1. Instalar o aplicativo dos provedores de Credenciais Derivadas no dispositivo Windows.

    Quando você instala o aplicativo Windows de um provedor de credenciais derivado em um dispositivo Windows, o certificado derivado é adicionado ao armazenamento de certificados Windows desse dispositivo. Após o certificado ser adicionado ao dispositivo, ele fica disponível para usar um método de autenticação de credencial derivada.

    Depois de obter o aplicativo do provedor de sua preferência, o aplicativo pode ser implantado em Usuários ou pode ser instalado diretamente pelo usuário do dispositivo.

  2. Configurar perfis Wi-Fi e VPN para usar credenciais derivadas como o método de autenticação.

    Ao configurar um perfil do Windows para Wi-Fi ou VPN, selecione Credencial derivada como o Método de Autenticação. Com essa configuração, o perfil usa o certificado instalado no dispositivo quando o aplicativo do provedor foi instalado.

Renovar uma credencial derivada

As credenciais derivadas para dispositivos Android ou iOS/iPadOS não podem ser estendidas nem renovadas. Em vez disso, os usuários devem usar o fluxo de trabalho de solicitação de credencial para solicitar uma nova credencial derivada para seu dispositivo. Para dispositivos Windows, consulte a documentação do aplicativo do provedor de credenciais derivadas.

Se você configurar um ou mais métodos para Tipo de notificação, o Intune notificará os usuários automaticamente quando a credencial derivada atual atingir 80% do seu tempo de vida útil. A notificação direciona os usuários a passar pelo processo de solicitação de credencial para obter uma nova credencial derivada.

Depois que um dispositivo recebe uma nova credencial derivada, as políticas que usam credenciais derivadas são reimplantadas nesse dispositivo.

Alterar o emissor de credenciais derivadas

No nível do locatário, você pode alterar seu emissor de credenciais, embora apenas um emissor tenha suporte de um locatário por vez.

Depois de alterar o emissor, os usuários devem obter uma nova credencial derivada do novo emissor. Eles devem fazer isso antes que possam usar uma credencial derivada para autenticação.

Alterar o emissor para seu locatário

Importante

Se você excluir um emissor e reconfigurar imediatamente esse mesmo emissor, você ainda deverá atualizar perfis e dispositivos para usar credenciais derivadas desse emissor. As credenciais derivadas que foram obtidas antes de você excluir o emissor não são mais válidas.

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.
  2. Escolha Administração de locatários > Conectores e tokens > Credenciais Derivadas.
  3. Selecione Excluir para remover o emissor de credenciais derivadas atual.
  4. Configure um novo emissor.

Atualizar perfis que usam credenciais derivadas

Depois de excluir um emissor e adicionar um novo, edite cada perfil que usa credenciais derivadas. Essa regra será aplicável mesmo se você restaurar o emissor anterior. Qualquer edição do perfil disparará uma atualização, incluindo uma edição simples no perfil Descrição.

Atualizar credenciais derivadas em dispositivos

Depois de excluir um emissor e adicionar um novo, os usuários do dispositivo deverão solicitar uma nova credencial derivada. Essa regra é aplicável mesmo quando você adiciona o mesmo emissor que removeu. O processo de solicitar a nova credencial derivada é o mesmo para registrar um novo dispositivo ou renovar uma credencial existente.

Próximas etapas

Criar perfis de configuração de dispositivo.