Share via

Use credenciais derivadas em Microsoft Intune

  • Artigo

Este artigo aplica-se ao iOS/iPadOS, android Enterprise dispositivos totalmente geridos que executam a versão 7.0 ou acima, e dispositivos que funcionam Windows

Num ambiente em que são necessários cartões inteligentes para autenticação ou encriptação e assinatura, pode utilizar o Intune para a provisionar dispositivos móveis com um certificado derivado do cartão inteligente de um utilizador. Este certificado chama-se credencial derivada. Intune suporta vários emitentes credenciais derivados,embora você possa usar apenas um único emitente por inquilino de cada vez.

As credenciais derivadas são uma implementação das diretrizes do Instituto Nacional de Normalização e Tecnologia (NIST) para credenciais derivadas de verificação de identidade pessoal (PIV) como parte da Publicação Especial (SP) 800-157.

Com a implementação da Intune:

  • O administrador intune configura o seu inquilino para trabalhar com um emitente de credencial derivado apoiado. Não é necessário configurar nenhuma configuração específica do Intune no sistema do emitente de credencial derivado.

  • O administrador Intune especifica a credencial derivada como o método de autenticação para os seguintes objetos:

    Para dispositivos Android Enterprise totalmente geridos:

    • Tipos de perfis comuns como Wi-Fi e VPN
    • Autenticação de aplicativos

    Para iOS/iPadOS:

    • Tipos de perfis comuns como Wi-Fi, VPN e Email, que inclui a aplicação de correio nativo iOS/iPadOS
    • Autenticação de aplicativos
    • S/MIME assinando e encriptando

    Para Windows:

    • Tipos de perfis comuns como Wi-Fi e VPN

  • No caso do Android e iOS/iPadOS, os utilizadores obtêm uma credencial derivada utilizando o seu cartão inteligente num computador para autenticar o emitente credencial derivado. O emitente emite então para o dispositivo móvel um certificado derivado do seu cartão inteligente. Para Windows, os utilizadores instalam a aplicação a partir do fornecedor de credenciais derivados, que instala o certificado no dispositivo para posterior utilização.

  • Depois de o dispositivo receber a credencial derivada, é utilizado para a autenticação e para a assinatura e encriptação S/MIME quando apps ou perfis de acesso a recursos requerem a credencial derivada.

Pré-requisitos

Reveja as seguintes informações antes de configurar o seu inquilino para usar credenciais derivadas.

Plataformas suportadas

A Intune suporta credenciais derivadas nas seguintes plataformas:

  • iOS/iPadOS
  • Android Enterprise:
    • Dispositivos totalmente geridos (versão 7.0 e superior)
    • Perfil de trabalho Corporate-Owned
  • Windows 10 e posterior

Emitentes apoiados

Intune suporta um único emitente de credencial derivado por inquilino. Pode configurar Intune para trabalhar com os seguintes emitentes:

Para detalhes importantes sobre a utilização dos diferentes emitentes, reveja as orientações para esse emitente. Para mais informações, consulte Plano para credenciais derivadas neste artigo.

Importante

Se eliminar um emitente de credencial derivado do seu inquilino, as credenciais derivadas que foram criadas através desse emitente deixarão de funcionar.

Consulte Alterar o emitente credencial derivado mais tarde neste artigo.

Required apps

Planeie implementar a aplicação de face do utilizador relevante para dispositivos que se matricularão para uma credencial derivada. Os utilizadores do dispositivo usam a aplicação para iniciar o processo de inscrição de credenciais.

Plano para credenciais derivadas

Compreenda as seguintes considerações antes de configurar um emitente credencial derivado para Android e iOS/iPadOS.

Para Windows dispositivos, consulte credenciais derivadas para Windows, mais tarde neste artigo.

1) Reveja a documentação para o seu emitente de credencial derivado escolhido

Antes de configurar um emitente, reveja a documentação do emitente para entender como o seu sistema fornece credenciais derivadas aos dispositivos.

Dependendo do emitente que escolher, poderá precisar de pessoal disponível no momento da inscrição para ajudar os utilizadores a concluir o processo. Reveja também as configurações atuais do Intune para garantir que não bloqueiam o acesso necessário para que dispositivos ou utilizadores completem o pedido de credencial.

Por exemplo, pode utilizar o acesso condicional para bloquear o acesso a e-mails para dispositivos não conformes. Se confiar em notificações de e-mail para informar o utilizador para iniciar o processo de inscrição de credenciais derivadas, os seus utilizadores poderão não receber essas instruções até que estejam em conformidade com a política.

Da mesma forma, alguns fluxos de trabalho de pedidos de credenciais derivados requerem a utilização da câmara do dispositivo para digitalizar um código QR no ecrã. Este código liga esse dispositivo ao pedido de autenticação que ocorreu contra o emitente credencial derivado com as credenciais do cartão inteligente do utilizador. Se a configuração do dispositivo bloquear a utilização da câmara, o utilizador não pode completar o pedido de inscrição de credencial derivada.

Informações gerais:

  • Você só pode configurar um único emitente por inquilino de cada vez, e esse emitente está disponível para todos os utilizadores e dispositivos suportados no seu inquilino.

  • Os utilizadores não serão notificados de que devem inscrever-se para credenciais derivadas até que os direcione com uma política que exija credenciais derivadas.

  • A notificação pode ser através da notificação de apps para o Portal da Empresa, através de e-mail, ou ambos. Se optar por utilizar notificações de email e utilizar acesso condicional ativado, os utilizadores poderão não receber a notificação de e-mail se o seu dispositivo não estiver em conformidade.

2) Reveja o fluxo de trabalho do utilizador final para o seu emitente escolhido

Seguem-se considerações fundamentais para cada parceiro apoiado. Familiarize-se com esta informação para garantir que as suas políticas e configurações Intune não bloqueiam utilizadores e dispositivos de completar com sucesso a inscrição para uma credencial derivada desse emitente.

DISA Purebred

Reveja o fluxo de trabalho do utilizador específico da plataforma para os dispositivos que irá utilizar com credenciais derivadas.

Os requisitos-chave incluem:

  • Os utilizadores precisam de acesso a um computador ou KIOSK onde podem usar o seu cartão inteligente para autenticar o emitente.
  • Os dispositivos que se matricularão numa credencial derivada devem instalar a aplicação Portal da Empresa do Intune.
  • Utilize o Intune para implementar a app DISA Purebred em dispositivos que se inscrevam para uma credencial derivada. Esta aplicação deve ser implementada através do Intune para que seja gerida, podendo depois trabalhar com a aplicação Portal da Empresa do Intune. Esta aplicação é utilizada pelos utilizadores do dispositivo para completar o pedido de credencial derivado.
  • A aplicação DISA Purebred requer uma VPN por aplicação para garantir que a app pode aceder ao DISA Purebred durante a inscrição para a credencial derivada.
  • Os utilizadores do dispositivo devem trabalhar com um agente vivo durante o processo de inscrição. Durante a inscrição, códigos de acesso únicos limitados pelo tempo são fornecidos ao utilizador à medida que prosseguem durante o processo de inscrição.
  • Quando são feitas alterações a uma política que utiliza credenciais derivadas, como a criação de um novo perfil Wi-Fi, os utilizadores de iOS e iPadOS são notificados para abrir a aplicação Portal da Empresa.
  • Os utilizadores são notificados para abrir a aplicação Portal da Empresa quando precisam de renovar a sua credencial derivada.

Para obter informações e configurar a app DISA Purebred, consulte implementar a aplicação DISA Purebred mais tarde neste artigo.

Confiança

Reveja o fluxo de trabalho do utilizador específico da plataforma para os dispositivos que irá utilizar com credenciais derivadas.

Os requisitos-chave incluem:

  • Os utilizadores precisam de acesso a um computador ou KIOSK onde podem usar o seu cartão inteligente para autenticar o emitente.
  • Os dispositivos que se matricularão numa credencial derivada devem instalar a aplicação Portal da Empresa do Intune.
  • Utilização de uma câmara de dispositivo para digitalizar um código QR que liga o pedido de autenticação ao pedido de credencial derivado do dispositivo móvel.
  • Os utilizadores são solicitados pela aplicação Portal da Empresa ou através de e-mail para se inscreverem para credenciais derivadas.
  • Quando são feitas alterações a uma política que utiliza credenciais derivadas, como a criação de um novo perfil Wi-Fi:
    • iOS e iPadOS - Os utilizadores são notificados para abrir a aplicação Portal da Empresa.
    • Android Enterprise Corporate-Owned Work Profile ou dispositivos totalmente geridos - A aplicação Portal da Empresa não precisa de ser aberta.
  • Os utilizadores são notificados para abrir a aplicação Portal da Empresa quando precisarem de renovar a sua credencial derivada.

Intercede

Reveja o fluxo de trabalho do utilizador específico da plataforma para os dispositivos que irá utilizar com credenciais derivadas.

Os requisitos-chave incluem:

  • Os utilizadores precisam de acesso a um computador ou KIOSK onde podem usar o seu cartão inteligente para autenticar o emitente.
  • Os dispositivos que se inscrevam para uma credencial derivada devem instalar a aplicação Portal da Empresa Intune.
  • Utilização de uma câmara de dispositivo para digitalizar um código QR que liga o pedido de autenticação ao pedido de credencial derivado do dispositivo móvel.
  • Os utilizadores são solicitados pela aplicação Portal da Empresa ou por e-mail para se inscreverem para credenciais derivadas.
  • Quando são feitas alterações a uma política que utiliza credenciais derivadas, como a criação de um novo perfil Wi-Fi:
    • iOS e iPadOS - Os utilizadores são notificados para abrir a aplicação Portal da Empresa.
    • Android Enterprise Corporate-Owned Work Profile ou dispositivos totalmente geridos - a aplicação Do Portal da Empresa não precisa de ser aberta.
  • Os utilizadores são notificados para abrir a aplicação Portal da Empresa quando precisarem de renovar a sua credencial derivada.

3) Implementar um certificado de raiz fidedigno para dispositivos

Um certificado de raiz fidedigno é utilizado com credenciais derivadas para verificar se a cadeia de certificados credenciais derivadas é válida e fidedigna. Mesmo quando não é referenciado diretamente por política, é necessário um certificado de raiz fidedigno. Consulte o perfil de certificado para os seus dispositivos no Microsoft Intune.

4) Fornecer instruções ao utilizador final sobre como obter a credencial derivada

Crie e forneça orientação aos seus utilizadores sobre como iniciar o processo de inscrição de credenciais derivadas e navegar por si o fluxo de trabalho de inscrição credencial derivada para o seu emitente escolhido.

Recomendamos que forneça um URL que irá acolher a sua orientação. Você especifica este URL quando configurar o emitente credencial derivado para o seu inquilino, e esse URL é disponibilizado a partir da aplicação Portal da Empresa. Se não especificar o seu próprio URL, o Intune fornece um link para detalhes genéricos. Estes detalhes não podem cobrir todos os cenários e podem não ser precisos para o seu ambiente.

5) Implementar políticas intunes que exijam credenciais derivadas

Crie novas políticas ou edite as políticas existentes para usar credenciais derivadas. As credenciais derivadas substituem outros métodos de autenticação para os seguintes objetos:

  • Autenticação de aplicativos
  • Wi-Fi
  • VPN
  • e-mail (apenas iOS)
  • S/MIME assinando e encriptando, incluindo Outlook (apenas iOS)

Evite exigir o uso de uma credencial derivada para aceder a um processo que utilizará como parte do processo para obter a credencial derivada, uma vez que pode impedir os utilizadores de completarem o pedido.

Criar um emitente de credencial derivado

Antes de criar políticas que exijam o uso de uma credencial derivada, crie um emitente credencial na consola Intune. Um emitente de credencial derivado é um cenário de inquilino em todo o mundo. Os inquilinos só apoiam um único emitente de cada vez.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione > Conectores e fichas de administração > de inquilinos Credenciais Derivadas.

    Configurar credenciais derivadas na consola

  3. Especifique um nome de exibição amigável para a política de emitente de credencial derivada. Este nome não é mostrado aos utilizadores do seu dispositivo.

  4. Para o emitente credencial Derivado, selecione o emitente credencial derivado que escolheu para o seu inquilino:

    • DISA Purebred (apenas iOS)
    • Confiança
    • Intercede

  5. Especifique um URL de ajuda de credencial derivado para fornecer um link para um local que inclua instruções personalizadas para ajudar os utilizadores a obter credenciais derivadas para a sua organização. As instruções devem ser específicas para a sua organização e para o fluxo de trabalho necessário para obter uma credencial do seu emitente escolhido. O link aparece na aplicação Portal da Empresa e deve estar acessível a partir do dispositivo.

    Se não especificar o seu próprio URL, o Intune fornece um link para detalhes genéricos que não podem cobrir todos os cenários. Esta orientação genérica pode não ser precisa para o seu ambiente.

  6. Selecione uma ou mais opções para o tipo de Notificação. Os tipos de notificações são os métodos utilizados para informar os utilizadores sobre os seguintes cenários:

    • Inscreva um dispositivo com um emitente para obter uma nova credencial derivada.
    • Obtenha uma nova credencial derivada quando a credencial atual estiver perto de expirar.
    • Utilize uma credencial derivada com um objeto suportado.

  7. Quando estiver pronto, selecione Guardar para completar a configuração do emitente credencial derivado.

Depois de guardar a configuração, pode escutar alterações em todos os campos, exceto no emitente credencial Derivado. Para alterar o emitente, consulte Alterar o emitente credencial derivado.

Implementar a app DISA Purebred

Esta secção só se aplica quando se utiliza o Disa Purebred.

Para utilizar o DISA Purebred como o seu emitente credencial derivado para o Intune, tem de obter a app DISA Purebred e depois usar o Intune para implementar a aplicação nos dispositivos. Os utilizadores do dispositivo usam a aplicação no seu dispositivo para solicitar a credencial derivada da DISA Purebred.

Além da implementação da app com o Intune, configurar uma VPN intune por aplicação para a aplicação DISA Purebred.

Complete as seguintes tarefas:

  1. Descarregue a aplicação DISA Purebred: https: / /cyber.mil/pki-pke/purebred/.

  2. Implementar a aplicação DISA Purebred no Intune.

    Podem ser necessárias definições adicionais para a aplicação Purebred. Fale com o seu agente Purebred para entender quais os valores que devem ser incluídos nas suas políticas, ou se tiver um Cartão de Acesso Comum (CAC) emitido pelo DoD, pode aceder online à documentação Purebred em https: / /cyber.mil/pki-pke/purebred/.

  3. Crie uma VPN por aplicação para a aplicação DISA Purebred.

Utilize credenciais derivadas para autenticação e assinatura e encriptação S/MIME

Pode especificar credencial derivada para os seguintes tipos e finalidades de perfil:

Use credenciais derivadas para autenticação de aplicações

Utilize credenciais derivadas para autenticação baseada em certificados para sites e aplicações. Para entregar uma credencial derivada para autenticação de aplicações:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione perfis > de configuração de dispositivos > Criar perfil.

  3. Introduza as seguintes definições:

    Para iOS e iPadOS:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é credencial derivada para o perfil de dispositivos iOS.
    • Descrição: introduza uma descrição que lhe permita obter uma descrição geral da definição e outros detalhes importantes.
    • Plataforma: Selecione iOS/iPadOS.
    • Tipo de perfil: Selecione Credencial Derivada.

    Para Android Enterprise:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é credencial derivada para perfil de dispositivos Android Enterprise.
    • Descrição: introduza uma descrição que lhe permita obter uma descrição geral da definição e outros detalhes importantes.
    • Plataforma: Selecione Android Enterprise.
    • Tipo de perfil: Em Perfil de Trabalho totalmente gerido, dedicado e Corporate-Owned, selecione Credencial Derivada.

  4. Selecione OK para guardar as alterações.

  5. Quando terminar, selecione OK > Criar para criar o perfil Intune. Quando concluído, o seu perfil é mostrado na lista de perfis de configuração dispositivos.

  6. Selecione o seu novo perfil > Atribuições. Selecione os grupos que devem receber a apólice.

Os utilizadores recebem a aplicação ou notificação por e-mail dependendo das definições especificadas quando configura o emitente credencial derivado. A notificação informa o utilizador para lançar o Portal da Empresa para que as políticas de credenciais derivadas possam ser processadas.

Credenciais derivadas para Windows

Pode utilizar certificados derivados como método de autenticação para perfis de Wi-Fi e VPN em dispositivos Windows. Os mesmos fornecedores que são suportados por dispositivos Android e iOS/iPadOS são suportados como fornecedores para Windows:

  • DISA Purebred
  • Confiança
  • Intercede

Para Windows, os utilizadores não trabalham através de um processo de registo de cartões inteligentes para obter um certificado para uso como credencial derivada. Em vez disso, o utilizador necessita de instalar a app para Windows, que é obtida a partir do fornecedor de credenciais derivados. Para utilizar credenciais derivadas com Windows, complete as seguintes configurações:

  1. Instale a aplicação a partir dos fornecedores de credenciais derivadas no dispositivo Windows.

    Quando instala a aplicação Windows de um fornecedor de credenciais derivado num dispositivo Windows, o certificado derivado é adicionado a esse dispositivo Windows loja de certificados. Após a adição do certificado ao dispositivo, fica disponível para utilização de um método de autenticação credencial derivado.

    Depois de obter a aplicação do seu fornecedor escolhido, a aplicação pode ser implementada para os Utilizadores, ou instalada diretamente pelo utilizador do dispositivo.

  2. Configure Wi-Fi e VPN para utilizar credenciais derivadas como método de autenticação.

    Ao configurar um perfil de Windows para Wi-Fi ou VPN, selecione Credencial Derivada para o Método de Autenticação. Com esta configuração, o perfil utiliza o certificado que instala no dispositivo quando a aplicação dos fornecedores foi instalada.

Renovar uma credencial derivada

As credenciais derivadas para dispositivos Android ou iOS/iPadOS não podem ser estendidas ou renovadas. Em vez disso, os utilizadores devem utilizar o fluxo de trabalho do pedido de credencial para solicitar uma nova credencial derivada para o seu dispositivo. Para Windows dispositivos, consulte a documentação da App do seu fornecedor de credenciais derivados.

Se configurar um ou mais métodos para o tipo de Notificação, o Intune notifica automaticamente os utilizadores quando a credencial derivada atual atinge 80% do seu tempo de vida. A notificação direciona os utilizadores a passarem pelo processo de pedido de credencial para obterem uma nova credencial derivada.

Depois de um dispositivo receber uma nova credencial derivada, as políticas que utilizam credenciais derivadas recolocarão para esse dispositivo.

Alterar o emitente credencial derivado

Ao nível do inquilino, pode alterar o seu emitente de credencial, embora apenas um emitente seja apoiado por um inquilino de cada vez.

Depois de alterar o emitente, os utilizadores são solicitados a obter uma nova credencial derivada do novo emitente. Devem fazê-lo antes de poderem utilizar uma credencial derivada para a autenticação.

Mude o emitente para o seu inquilino

Importante

Se eliminar um emitente e reconfigurar imediatamente o mesmo emitente, tem de atualizar perfis e dispositivos para utilizar credenciais derivadas desse emitente. As credenciais derivadas que foram obtidas antes de eliminar o emitente já não são válidas.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Selecione > Conectores e fichas de administração > de inquilinos Credenciais Derivadas.
  3. Selecione Eliminar para remover o emitente credencial derivado atual.
  4. Configure um novo emitente.

Atualizar perfis que usam credenciais derivadas

Depois de eliminar um emitente e, em seguida, adicionar um novo, edite cada perfil que utiliza credenciais derivadas. Esta regra aplica-se mesmo que restaure o emitente anterior. Qualquer edição do perfil irá desencadear uma atualização, incluindo uma simples edição para o perfil Descrição.

Atualizar credenciais derivadas em dispositivos

Depois de eliminar um emitente e depois adicionar um novo, os utilizadores do dispositivo devem solicitar uma nova credencial derivada. Esta regra aplica-se mesmo quando adiciona o mesmo emitente que removeu. O processo de pedido da nova credencial derivada é o mesmo que para a inscrição de um novo dispositivo ou para a renovação de uma credencial existente.

Passos seguintes

Criar perfis de configuração do dispositivo.