Share via

Configurar e utilizar certificados PKCS com o Intune

  • Artigo

Microsoft Intune apoia a utilização de certificados de pares chave privados e públicos (PKCS). Para ajudá-lo a usar certificados PKCS, este artigo revê o que é necessário e pode ajudá-lo a exportar um certificado PKCS e, em seguida, adicionar o certificado a um perfil de configuração do dispositivo Intune.

Microsoft Intune inclui configurações incorporadas para usar certificados PKCS para acesso e autenticação aos recursos das suas organizações. Os certificados autenticam e asseguram o acesso aos seus recursos corporativos, como uma VPN ou uma rede WiFi. Implementa estas definições em dispositivos utilizando perfis de configuração do dispositivo no Intune.

Para obter informações sobre a utilização de certificados de PKCS importados, consulte os certificados PFX importados.

Dica

Os perfis de certificados PKCS são suportados para Windows 10 Enterprise ambientes de trabalho remotos com múltiplas sessões.

Requisitos

Para utilizar certificados PKCS com Intune, você precisará da seguinte infraestrutura:

  • Domínio do Diretório Ativo:
    Todos os servidores listados nesta secção devem ser associados ao seu domínio Ative Directory.

    Para obter mais informações sobre a instalação e configuração dos Serviços de Domínio do Diretório Ativo (DS AD), consulte O DS DS Design e Planeamento da AD.

  • Autoridade de Certificação:
    Uma Autoridade de Certificação Empresarial (CA).

    Para obter informações sobre a instalação e configuração dos Serviços de Certificados de Diretório Ativo (AD CS), consulte o Guia passo a passo dos Serviços de Certificados de Diretório Ativo.

    Aviso

    O Intune requer a execução do AD CS com uma Autoridade de Certificação (AC) Empresarial e não uma AC Autónoma.

  • Um cliente:
    Para ligar à Enterprise CA.

  • Certificado de raiz:
    Uma cópia exportada do certificado de raiz da AC Empresarial.

  • Conector de certificado para Microsoft Intune:

    Para obter informações sobre o conector do certificado, consulte:

    Dica

    A partir de 29 de julho de 2021, o Conector certificado da Microsoft Intune substitui a utilização do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Connector. O novo conector inclui a funcionalidade de ambos os conectores anteriores. Apesar de os conectores anteriores se manterem no suporte,já não estão disponíveis para download. Se precisar de instalar um novo conector ou reinstalar um conector, instale o conector de certificado mais recente para Microsoft Intune.

Exportar o certificado de raiz da AC Empresarial

Para autenticar um dispositivo com VPN, Wi-Fi ou outros recursos, um dispositivo necessita de um certificado de CA raiz ou intermédio. Os passos seguintes explicam como obter o certificado necessário a partir da AC Empresarial.

Utilize uma linha de comando:

  1. Inicie sessão no servidor da Autoridade de Certificação De Raiz com Conta de Administrador.

  2. Vá para iniciar > a execução e, em seguida, insira o Comandante para abrir o pedido de comando.

  3. Especifique o certutil -ca.cert ca_name.cer para exportar o certificado Root como um ficheiro denominado ca_name.cer.

Configurar os modelos de certificados na AC

  1. Inicie sessão na AC Empresarial com uma conta que tenha privilégios administrativos.

  2. Abra a consola Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.

  3. Encontre o modelo de certificado do utilizador, clique com o botão direito e escolha o Modelo Duplicado para abrir propriedades de novo modelo.

    Nota

    Para cenários de encriptação e assinaturas de e-mail com S/MIME, muitos administradores utilizam certificados separados para assinar e encriptar. Se estiver a utilizar os Serviços de Certificados do Microsoft Active Directory, pode utilizar o modelo Apenas Assinatura do Exchange para certificados de assinaturas de e-mail S/MIME e o modelo Utilizador do Exchange para certificados de encriptação S/MIME. Se estiver a usar uma autoridade de certificação de terceiros, é sugerido rever as suas orientações para configurar modelos de assinatura e encriptação.

  4. No separador Compatibilidade:

    • Defina Autoridade de Certificação como Windows Server 2008 R2
    • Defina Destinatário do certificado como Windows 7/Server 2008 R2

  5. No separador Geral, defina o Nome a apresentar do modelo para algo que seja relevante para si.

    Aviso

    Por predefinição, o Nome do modelo é igual ao Nome a apresentar do modelosem espaços. Anote o nome do modelo, irá precisar dele mais tarde.

  6. Em Processamento de Pedidos, selecione Permitir que a chave privada seja exportada.

    Nota

    Ao contrário do SCEP, com PKCS a chave privada do certificado é gerada no servidor onde o conector de certificado está instalado e não no dispositivo. O modelo de certificado deve permitir a exportação da chave privada para que o conector possa exportar o certificado PFX e enviá-lo para o dispositivo.

    Quando os certificados são instalados no próprio dispositivo, a chave privada é marcada como não exportável.

  7. Em Criptografia, confirme se o Tamanho mínimo da chave está definido como 2048.

  8. Em Nome do Requerente, selecione Fornecer no pedido.

  9. Em Extensões, confirme se vê o Sistema de Encriptação de Ficheiros, Proteger o E-mail e Autenticação de Cliente em Políticas de Aplicações.

    Importante

    Para os modelos de certificados iOS/iPadOS, aceda ao separador Extensões, atualize o Uso da Chave e confirme que signature is proof of origin is não is selected.

  10. Em Segurança, adicione a Conta de Computador para o servidor onde instala o Conector certificado para Microsoft Intune. Conceda a esta conta as permissões Ler e Inscrever.

  11. Selecione Apply > OK para guardar o modelo de certificado. Feche a consola de modelos de certificado.

  12. Na consola Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado > Novo > Modelo de Certificado a Emitir. Selecione o modelo criado nos passos anteriores. Selecione OK.

  13. Para que o servidor gere certificados para dispositivos e utilizadores inscritos, utilize os seguintes passos:

    1. Clique com o botão direito do rato na Autoridade de Certificação e escolha Propriedades.
    2. No separador de segurança, adicione a conta de Computador do servidor onde executou o conector.
    3. Conceda as permissões Emitir e Gerir Certificados e Pedir Certificados à conta de computador.

  14. Termine a sessão na AC Empresarial.

Faça o download, instale e configuure o Conector certificado para Microsoft Intune

Para obter orientações, consulte instalar e configurar o Conector certificado para Microsoft Intune.

Criar um perfil de certificado fidedigno

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione e vá para perfis de configuração de > dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos dispositivos que receberão este perfil.
      • Android device administrator (Administrador de dispositivos Android)
      • Android Enterprise:
        • Totalmente gerido
        • Dedicada
        • Perfil de trabalho Corporate-Owned
        • Perfil de trabalho Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
    • Perfil: Selecione Certificado de Confiança. Ou, selecione o certificado de confiança dos modelos. >

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é perfil de certificado fidedigno para toda a empresa.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Selecione Seguinte.

  7. Nas definições de Configuração, especifique o .cer ficheiro Root CA Certificate que exportava anteriormente.

    Nota

    Consoante a plataforma que selecionou no Passo 3, poderá ter ou não uma opção para escolher o Arquivo de destino do certificado.

    Criar um perfil e carregar um certificado fidedigno

  8. Selecione Seguinte.

  9. Nas etiquetas Scope (opcional), atribua uma etiqueta para filtrar o perfil a grupos de TI específicos, tais como US-NC IT Team ou JohnGlenn_ITDepartment . Para obter mais informações sobre etiquetas de âmbito, consulte Use RBAC e etiquetas de âmbito para TI distribuídos.

    Selecione Seguinte.

  10. Em Atribuições, selecione o utilizador ou grupos que receberão o seu perfil. Planeie implantar este perfil de certificado para os mesmos grupos que recebem o perfil de certificado PKCS. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

  11. (Aplica-se apenas a Windows 10) Nas Regras de Aplicabilidade, especifique as regras de aplicabilidade para aperfeiçoar a atribuição deste perfil. Pode optar por atribuir ou não atribuir o perfil com base na edição de SISTEMA ou versão de um dispositivo.

    Para obter mais informações, consulte as regras de aplicabilidade na Criação de um perfil do dispositivo em Microsoft Intune.

  12. Em Rever + criar, rever as suas definições. Quando seleciona Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Criar um perfil de certificado PKCS

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione e vá para perfis de configuração de > dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos seus dispositivos. As opções são:
      • Android device administrator (Administrador de dispositivos Android)
      • Android Enterprise:
        • Totalmente gerido
        • Dedicada
        • Perfil de trabalho Corporate-Owned
        • Perfil de trabalho Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
    • Perfil: Selecione certificado PKCS. Ou, selecione o certificado > PKCS de modelos.

    Nota

    Em dispositivos com perfil Android Enterprise, os certificados instalados com um perfil de certificado PKCS não são visíveis no dispositivo. Para confirmar a implementação bem sucedida do certificado, verifique o estado do perfil na consola Intune.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é o perfil PKCS para toda a empresa.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Selecione Seguinte.

  7. Nas definições de Configuração, dependendo da plataforma que escolheu, as definições que pode configurar são diferentes. Selecione a sua plataforma para configurações detalhadas:

    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10
    Definições Plataforma Detalhes
    Limiar de renovação (%)
    • Todos
    		 Recomendado é 20%
    Período de validade do certificado
    • Todos
    		 Se não alterou o modelo de certificado, esta opção pode ser definida para um ano.

    Utilize um período de validade de cinco dias ou até 24 meses. Quando o prazo de validade for inferior a cinco dias, existe uma alta probabilidade de o certificado entrar num estado de quase expiração ou expirado, o que pode fazer com que o agente MDM nos dispositivos rejeite o certificado antes de ser instalado.
    Fornecedor de armazenamento chave (KSP)
    • Windows 10
    		 Para Windows, selecione onde guardar as chaves no aparelho.
    Autoridade de certificação
    • Todos
    		 Exibe o nome de domínio interno totalmente qualificado (FQDN) da sua Enterprise CA.
    Nome da autoridade de certificação
    • Todos
    		 Lista o nome da sua Empresa CA, como "Autoridade de Certificação Contoso".
    Nome do modelo de certificado
    • Todos
    		 Lista o nome do seu modelo de certificado.
    Tipo de certificado
    • Android Enterprise (Perfil de Trabalho corporativo e Personally-Owned)
    • iOS
    • macOS
    • Windows 10 e posterior
    		 Selecione um tipo:
    • Os certificados de utilizador podem conter os atributos do utilizador e do dispositivo no assunto e o nome alternativo sujeito (SAN) do certificado.
    • Os certificados do dispositivo só podem conter atributos do dispositivo no sujeito e NA do certificado. Utilize o Dispositivo para cenários como dispositivos sem utilizador, como quiosques ou outros dispositivos partilhados.

      Esta seleção afeta o formato de nome subjetivo.
    Formato do nome do requerente
    • Todos
    		 Para obter mais informações sobre como configurar o formato do nome do assunto, consulte o formato do nome do sujeito mais tarde neste artigo.

    Para as seguintes plataformas, o formato nome sujeito é determinado pelo tipo de certificado:
    • Android Enterprise (Perfil de Trabalho)
    • iOS
    • macOS
    • Windows 10 e posterior
    Nome alternativo sujeito
    • Todos
    		 Para Atributo, selecione o nome principal do utilizador (UPN) salvo o contrário, configuure um valor correspondente e, em seguida, selecione Adicionar.

    Pode utilizar variáveis ou texto estático para a SAN de ambos os tipos de certificados. O uso de uma variável não é necessário.

    Para mais informações, consulte o formato do nome do assunto mais tarde neste artigo.
    Utilização alargada da chave
    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise (Proprietário de Dispositivos, Perfil de Trabalho corporativo e Personally-Owned)
    • Windows 10
    		 Os certificados normalmente requerem autenticação do Cliente para que o utilizador ou dispositivo possa autenticar-se num servidor.
    Permitir a todas as aplicações o acesso à chave privada
    • macOS
    		 Configurar para permitir que as aplicações configuradas para o dispositivo mac associado tenham acesso à chave privada de certificados PKCS.

    Para obter mais informações sobre esta definição, consulte AllowAllAppsAccess a secção de pagamento de certificado de Referência de Perfil de Configuração na documentação do desenvolvedor da Apple.
    Certificado de raiz
    • Android device administrator (Administrador de dispositivos Android)
    • Android Enterprise (Proprietário de Dispositivos, Perfil de Trabalho corporativo e Personally-Owned)
    		 Selecione um perfil de certificado de CA raiz que foi previamente atribuído.

  8. Selecione Seguinte.

  9. Em Atribuições, selecione o utilizador ou grupos que receberão o seu perfil. Planeie implantar este perfil de certificado para os mesmos grupos que recebem o perfil de certificado fidedigno. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

  10. Em Rever + criar, rever as suas definições. Quando seleciona Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Formato do nome do requerente

Quando cria um perfil de certificado PKCS para as seguintes plataformas, as opções para o formato de nome do sujeito dependem do tipo certificado que seleciona, utilizador ou dispositivo.

Plataformas:

  • Android Enterprise (Perfil de Trabalho corporativo e Personally-Owned)
  • iOS
  • macOS
  • Windows 10 e posterior

Nota

Existe um problema conhecido para a utilização de PKCS para obter certificados que é a mesma questão que se vê para o SCEP quando o nome do sujeito no pedido de assinatura de certificados resultante (CSR) inclui um dos seguintes caracteres como um personagem escapado (procededo por um backslash \ ):

  • +
  • ;
  • ,
  • =

Nota

Começando pelo Android 12, o Android já não suporta a utilização dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal:

  • Número de série
  • IMEI
  • MEID

Os perfis de certificados intune para dispositivos de perfil de trabalho de propriedade pessoal que dependem destas variáveis no nome do sujeito ou SAN não irão obter um certificado em dispositivos que executam o Android 12 ou mais tarde no momento em que o dispositivo se matriculou com o Intune. Os dispositivos que se inscreveram antes do upgrade para o Android 12 ainda podem receber certificados desde que a Intune tenha obtido previamente os identificadores de hardware dos dispositivos.

Para mais informações sobre esta e outras alterações introduzidas com o Android 12, consulte o Android Day Zero Support para Microsoft Endpoint Manager publicação de blog.

  • Tipo de certificado Utilizador
    As opções de formato para o formato nome sujeito incluem duas variáveis: Nome Comum (CN) e E-mail (E). O e-mail (E) seria normalmente definido com a variável {{EmailAddress}} . Por exemplo: E={{EmailAddress}}

    O Nome Comum (CN) pode ser definido para qualquer uma das seguintes variáveis:

    • CN={{UserName}}: O nome de utilizador do utilizador, tal como a Desconhecida.

    • CN={{UserPrincipalName}}: O nome principal do utilizador do utilizador, tal como janedoe@contoso.com .

    • CN={{AAD_Device_ID}}: um ID atribuído ao registar um dispositivo no Azure Active Directory (AD). Este ID é normalmente utilizado na autenticação com o Azure AD.

    • CN={{DeviceId}}: Um ID atribuído quando se inscreve um dispositivo no Intune.

    • CN={{{SERIALNUMBER}}: O número de série único (SN) normalmente utilizado pelo fabricante para identificar um dispositivo.

    • CN={{IMEINumber}}: O número exclusivo da Identidade Internacional do Equipamento Móvel (IMEI) utilizado para identificar um telemóvel.

    • CN={{{OnPrem_Distinguished_Name}}: Sequência de nomes relativos distintos separados por vírgula, tais como CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      Para utilizar a variável {{OnPrem_Distinguished_Name}} certifique-se de sincronizar o atributo do utilizador onpremisesesdistinguished com o Ligação Azure para o seu AD Azure.

    • CN={{{onPremisesSamAccountName}}: Os administradores podem sincronizar o atributo samAccountName de Ative Directory a Azure AD utilizando a Azure AD ligar-se a um atributo chamado PremisesSamAccountName. A Intune pode substituir essa variável como parte de um pedido de emissão de certificados no objeto de um certificado. O atributo samAccountName é o nome de login do utilizador usado para suportar clientes e servidores a partir de uma versão anterior de Windows (pré-Windows 2000). O formato de nome de entrada do utilizador é: DomainName\testUser, ou apenas testUser.

      Para utilizar a variável {{onPremisesSamAccountName}} certifique-se de sincronizar o atributo do utilizador onPremisesSamAccountName utilizando o Ligação Azure AD ao seu AD Azure.

    Todas as variáveis do dispositivo listadas na seguinte secção de certificado de dispositivo também podem ser utilizadas em nomes de certificados de utilizador.

    Ao utilizar uma combinação de uma ou muitas destas variáveis e cordas de texto estáticas, pode criar um formato de nome de assunto personalizado, como: CN={{UserName}}},E={{emailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    Este exemplo inclui um formato de nome de sujeito que usa as variáveis CN e E, e cadeias para valores de Unidade Organizacional, Organização, Localização, Estado e País. O artigo função CertStrToName descreve esta função e as cadeias suportadas da mesma.

    Os atributos dos utilizadores não são suportados para dispositivos que não possuam associações de utilizadores, como dispositivos que estão inscritos como o Android Enterprise dedicado. Por exemplo, um perfil que utilize CN={{UserPrincipalName}} no assunto ou SAN não será capaz de obter o nome principal do utilizador quando não houver utilizador no dispositivo.

  • Tipo de certificado Dispositivo
    As opções de formato para o formato nome subject incluem as seguintes variáveis:

    • {{AAD_Device_ID}}
    • {{DeviceId}} - Este é o ID do dispositivo Intune
    • {{Device_Serial}}
    • {{Device_IMEI}}
    • {{SerialNumber}}
    • {{IMEINumber}}
    • {{AzureADDeviceId}}
    • {{WiFiMacAddress}}
    • {{IMEI}}
    • {{DeviceName}}
    • {{FullyQualifiedDomainName}} (Apenas aplicável para dispositivos Windows e união de domínios)
    • {{MEID}}

    Pode especificar estas variáveis, seguidas do texto para a variável, na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}} Device1.

    Importante

    • Quando especificar uma variável, enrôde o nome variável em suportes encaracolados { } como visto no exemplo, para evitar um erro.
    • As propriedades do dispositivo utilizadas no sujeito ou SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
    • Um dispositivo deve suportar todas as variáveis especificadas num perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for utilizado no nome do assunto de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não é instalado.

Passos seguintes