Prepare certificados e perfis de rede da Área de trabalho gerenciada da Microsoft

A autenticação baseada em certificado é um requisito comum para clientes que usam Área de Trabalho Gerenciada da Microsoft. Você pode exigir que os certificados acessem Wi-Fi ou LAN, para se conectar a soluções VPN ou para acessar recursos internos em sua organização.

Como os dispositivos Área de Trabalho Gerenciada da Microsoft estão ingressados no Azure Active Directory (Azure AD) e são gerenciados pelo Microsoft Intune, você deve implantar esses certificados usando um SCEP (Simple Certificate Enrollment Protocol) ou uma infraestrutura de certificado PKCS (Public Key Cryptography Standard) integrada ao Intune.

Requisitos de Certificação

Certificados raiz são necessários para implantar certificados por meio de uma infraestrutura SCEP ou PKCS. Outros aplicativos e serviços em sua organização podem exigir certificados raiz para serem implantados em seus Área de Trabalho Gerenciada da Microsoft dispositivos.

Antes de implantar certificados SCEP ou PKCS Área de Trabalho Gerenciada da Microsoft, você deve reunir requisitos para cada serviço que exija um certificado de usuário ou dispositivo em sua organização. Para facilitar essa atividade, você pode usar um dos seguintes modelos de planejamento:

Wi-Fi de conectividade

Para permitir que um dispositivo seja fornecido automaticamente com a configuração de Wi-Fi necessária para sua rede corporativa, talvez seja necessário um perfil Wi-Fi configuração. Você pode configurar Área de Trabalho Gerenciada da Microsoft para implantar esses perfis em seus dispositivos. Se a segurança de sua rede exigir que os dispositivos façam parte do domínio local, você também precisará avaliar sua infraestrutura de rede Wi-Fi para garantir que seja compatível com dispositivos Área de Trabalho Gerenciada da Microsoft (os dispositivos Área de Trabalho Gerenciada da Microsoft são apenas ingressados no Azure AD).

Antes de implantar uma configuração Wi-Fi em dispositivos Área de Trabalho Gerenciada da Microsoft, será necessário reunir os requisitos da sua organização para cada rede Wi-Fi. Para facilitar essa atividade, você pode usar esse modelo de perfil WiFi.

Requisitos de conectividade com fio e autenticação 802.1x

Se você usar a autenticação 802.1x para proteger o acesso de dispositivos à sua rede de área local (LAN), você precisará empurrar os detalhes de configuração necessários para seus dispositivos Área de Trabalho Gerenciada da Microsoft. Área de Trabalho Gerenciada da Microsoft dispositivos que executam Windows 10, versão 1809 ou posteriores suportam a implantação de uma configuração 802.1x por meio do provedor de serviços de configuração (CSP) WiredNetwork. Para obter mais informações, consulte a documentação do CSP WiredNetwork.

Antes de implantar um perfil de configuração de rede com fio Área de Trabalho Gerenciada da Microsoft dispositivos, reúna os requisitos da sua organização para sua rede corporativa com fio. Para fazer isso, siga estas etapas:

  1. Entre em um dispositivo que tenha seu perfil 802.1x existente configurado e esteja conectado à rede LAN.
  2. Abra um prompt de comando com credenciais administrativas.
  3. Encontre o nome da interface lan executando a interface de exibição da interface netsh.
  4. Exporte o XML de perfil de LAN executando a pasta de perfil de exportação de lan netsh=. Interface="interface_name".
  5. Se você precisar testar seu perfil exportado em um dispositivo Área de Trabalho Gerenciada da Microsoft, execute netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

Implantar infraestrutura de certificado

Se você já tiver uma infraestrutura SCEP ou PKCS existente com o Intune e essa abordagem atender aos seus requisitos, você também poderá usá-la para Área de Trabalho Gerenciada da Microsoft. Se nenhuma infraestrutura scep ou PKCS já existir, você terá que preparar uma.

Para obter mais informações, consulte Configure a certificate profile for your devices in Microsoft Intune.

Implantar um perfil de LAN

Depois que seu perfil de LAN for exportado, você poderá preparar a política para Área de Trabalho Gerenciada da Microsoft seguindo estas etapas:

  1. Crie um perfil personalizado no Microsoft Intune para o perfil de LAN usando as configurações a seguir (consulte Usar configurações personalizadas para Windows 10 dispositivos no Intune). Em Custom OMA-URI Configurações, selecione Adicionar e insira os seguintes valores:
    • Nome: Perfil de LAN Workplace-Windows 10
    • Descrição: insira uma descrição que fornece uma visão geral da configuração e quaisquer outros detalhes importantes.
    • OMA-URI (sensível a minúsculas): Insira ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • Tipo de dados: selecione Cadeia de caracteres (arquivo XML).
    • XML personalizado: Upload arquivo XML exportado.
  2. Atribua o perfil personalizado ao grupo Dispositivos Modernos do Local de Trabalho – Teste.
  3. Faça qualquer teste que você acha necessário usando um dispositivo que está no grupo de implantação de teste. Se bem-sucedido, atribua o perfil personalizado aos Dispositivos Modernos do Local de Trabalho – Primeiro, Dispositivos Modernos do Local de Trabalho – Dispositivos De Trabalho Rápidos e Modernos – Grupos Amplos.

Implantar certificados e perfil de Wi-Fi/VPN

Para implantar certificados e perfis, siga estas etapas:

  1. Crie um perfil para cada um dos certificados Raiz e Intermediário (consulte Criar perfis de certificado confiáveis. Cada um desses perfis deve ter uma descrição que inclua uma data de expiração no formato DD/MM/YYYY. Os perfis de certificado devem ter uma data de expiração.
  2. Crie um perfil para cada certificado SCEP ou PKCS (consulte Create a SCEP certificate profile or Create a PKCS certificate profile) Cada um desses perfis deve ter uma descrição que inclua uma data de expiração no formato DD/MM/YYYY. Os perfis de certificado devem ter uma data de expiração.
  3. Crie um perfil para cada rede Wi-Fi corporativa (consulte Configurações de Wi-Fi para Windows 10 e dispositivos posteriores).
  4. Crie um perfil para cada VPN corporativa (consulte Windows 10 e Windows configurações de dispositivo holográfico para adicionar conexões VPN usando o Intune).
  5. Atribua os perfis ao grupo Dispositivos Modernos do Local de Trabalho – Teste.
  6. Faça qualquer teste que você acha necessário usando um dispositivo que está no grupo de implantação de teste. Se bem-sucedido, atribua o perfil personalizado aos Dispositivos Modernos do Local de Trabalho – Primeiro, Dispositivos Modernos do Local de Trabalho – Dispositivos De Trabalho Rápidos e Modernos – Grupos Amplos.

Etapas para se preparar para Área de Trabalho Gerenciada da Microsoft

  1. Revise pré-requisitos da Área de Trabalho Gerenciada da Microsoft.
  2. Execute as ferramentas de avaliação de preparação.
  3. Compre o Portal da Empresa.
  4. Revise os pré-requisitos para contas de convidado.
  5. Verifique a configuração de rede.
  6. Preparar certificados e perfis de rede (este artigo).
  7. Prepare o acesso de usuário a dados.
  8. Preparar aplicativos.
  9. Preparar unidades mapeadas.
  10. Prepare os recursos de impressão.
  11. Enderece os nomes de dispositivo.