Introdução aos perfis de certificado no Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Importante

A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.

Os perfis de certificado funcionam com os Serviços de Certificado do Active Directory e a função NDES (Serviço de Registro de Dispositivo de Rede). Crie e implante certificados de autenticação para dispositivos gerenciados para que os usuários possam acessar facilmente recursos organizacionais. Por exemplo, você pode criar e implantar perfis de certificado para fornecer os certificados necessários para que os usuários se conectem a conexões VPN e sem fio.

Os perfis de certificado podem configurar automaticamente dispositivos de usuário para acesso a recursos organizacionais, como redes Wi-Fi e servidores VPN. Os usuários podem acessar esses recursos sem instalar manualmente certificados ou usar um processo fora de banda. Os perfis de certificado ajudam a proteger recursos porque você pode usar configurações mais seguras com suporte por sua PKI (infraestrutura de chave pública). Por exemplo, exija autenticação de servidor para todas as conexões Wi-Fi e VPN porque você implantou os certificados necessários nos dispositivos gerenciados.

Os perfis de certificado fornecem os seguintes recursos de gerenciamento:

  • Registro e renovação de certificado de uma autoridade de certificação (AC) para dispositivos que executam diferentes tipos e versões do sistema operacional. Esses certificados podem então ser usados para conexões Wi-Fi e VPN.

  • Implantação de certificados de AC raiz confiáveis e certificados de AC intermediários. Esses certificados configuram uma cadeia de confiança em dispositivos para conexões VPN e Wi-Fi quando a autenticação do servidor é necessária.

  • Monitore e reporte sobre os certificados instalados.

Exemplo 1: todos os funcionários precisam se conectar a Wi-Fi hotspots em vários locais do escritório. Para habilitar a conexão fácil do usuário, primeiro implante os certificados necessários para se conectar ao Wi-Fi. Em seguida, implante Wi-Fi perfis que fazem referência ao certificado.

Exemplo 2: você tem um PKI no local. Você deseja migrar para um método mais flexível e seguro de implantação de certificados. Os usuários precisam acessar recursos organizacionais de seus dispositivos pessoais sem comprometer a segurança. Configure perfis de certificado com configurações e protocolos com suporte para a plataforma de dispositivo específica. Em seguida, os dispositivos podem solicitar automaticamente esses certificados de um servidor de registro voltado para a Internet. Em seguida, configure perfis VPN para usar esses certificados para que o dispositivo possa acessar recursos organizacionais.

Tipos

Há três tipos de perfis de certificado:

  • Certificado de AC confiável: implantar uma AC raiz confiável ou um certificado de AC intermediário. Esses certificados formam uma cadeia de confiança quando o dispositivo deve autenticar um servidor.

  • Protocolo de Registro de Certificado Simples (SCEP): solicite um certificado para um dispositivo ou usuário usando o protocolo SCEP. Esse tipo requer a função NDES (Serviço de Registro de Dispositivo de Rede) em um servidor que executa Windows Server 2012 R2 ou posterior.

    Para criar um perfil de certificado SCEP (Protocolo de Registro de Certificado Simples), primeiro crie um perfil de certificado de AC confiável .

  • Troca de informações pessoais (.pfx): solicite um certificado .pfx (também conhecido como PKCS #12) para um dispositivo ou usuário. Há dois métodos para criar perfis de certificado PFX:

    Observação

    Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, confira Habilitar recursos opcionais de atualizações.

    Você pode usar Microsoft ou Confiar como autoridades de certificado para certificados de troca de informações pessoais (.pfx).

Requisitos

Para implantar perfis de certificado que usam SCEP, instale o ponto de registro de certificado em um servidor do sistema de sites. Instale também um módulo de política para NDES, o Módulo de Política Configuration Manager, em um servidor que executa Windows Server 2012 R2 ou posterior. Esse servidor requer a função Serviços de Certificado do Active Directory. Ele também requer um NDES de trabalho acessível aos dispositivos que exigem os certificados. Se seus dispositivos precisarem se inscrever para obter certificados da Internet, o servidor do NDES deverá estar acessível pela Internet. Por exemplo, para habilitar o tráfego com segurança para o servidor NDES da Internet, você pode usar Aplicativo Azure Proxy.

Certificados PFX também exigem um ponto de registro de certificado. Especifique também a autoridade de certificado (AC) para o certificado e as credenciais de acesso relevantes. Você pode especificar Microsoft ou Confiar como autoridades de certificado.

Para obter mais informações sobre como o NDES dá suporte a um módulo de política para que Configuration Manager possa implantar certificados, consulte Usando um módulo de política com o Serviço de Registro de Dispositivo de Rede.

Dependendo dos requisitos, Configuration Manager dá suporte à implantação de certificados em diferentes repositórios de certificados em vários tipos de dispositivo e sistemas operacionais. Há suporte para os seguintes dispositivos e sistemas operacionais:

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Observação

Use Configuration Manager MDM local para gerenciar Windows Phone 8.1 e Windows 10 Mobile. Para obter mais informações, consulte MDM local.

Um cenário típico para Configuration Manager é instalar certificados de AC raiz confiáveis para autenticar Wi-Fi e servidores VPN. As conexões típicas usam os seguintes protocolos:

  • Protocolos de autenticação: EAP-TLS, EAP-TTLS e PEAP
  • Protocolos de túnel VPN: IKEv2, L2TP/IPsec e Cisco IPsec

Um certificado de AC raiz da empresa deve ser instalado no dispositivo antes que o dispositivo possa solicitar certificados usando um perfil de certificado SCEP.

Você pode especificar configurações em um perfil de certificado SCEP para solicitar certificados personalizados para diferentes ambientes ou requisitos de conectividade. O Assistente para Criar Perfil de Certificado tem duas páginas para parâmetros de registro. O primeiro, Registro de SCEP, inclui configurações para a solicitação de registro e onde instalar o certificado. O segundo, Propriedades de Certificado, descreve o certificado solicitado em si.

Implantar

Quando você implanta um perfil de certificado SCEP, o cliente Configuration Manager processa a política. Em seguida, ele solicita uma senha de desafio SCEP do ponto de gerenciamento. O dispositivo cria um par de chaves público/privado e gera uma CSR (solicitação de assinatura de certificado). Ele envia essa solicitação para o servidor NDES. O servidor NDES encaminha a solicitação para o sistema de site de ponto de registro de certificado por meio do módulo de política do NDES. O ponto de registro do certificado valida a solicitação, verifica a senha do desafio SCEP e verifica se a solicitação não foi adulterada. Em seguida, aprova ou nega a solicitação. Se aprovado, o servidor NDES enviará a solicitação de assinatura à AUTORIDADE de certificado conectada (AC) para assinatura. A AC assina a solicitação e, em seguida, retorna o certificado para o dispositivo de solicitação.

Implantar perfis de certificado em coleções de usuários ou dispositivos. Você pode especificar o repositório de destino para cada certificado. As regras de aplicabilidade determinam se o dispositivo pode instalar o certificado.

Quando você implanta um perfil de certificado em uma coleção de usuários , a afinidade do dispositivo do usuário determina qual dos dispositivos dos usuários instala os certificados. Quando você implanta um perfil de certificado com um certificado de usuário em uma coleção de dispositivos, por padrão, cada um dos dispositivos primários dos usuários instala os certificados. Para instalar o certificado em qualquer um dos dispositivos dos usuários, altere esse comportamento na página Registro SCEP do Assistente criar perfil de certificado. Se os dispositivos estiverem em um grupo de trabalho, Configuration Manager não implantará certificados de usuário.

Monitorar

Você pode monitorar implantações de perfil de certificado exibindo resultados ou relatórios de conformidade. Para obter mais informações, consulte Como monitorar perfis de certificado.

Revogação automática

Configuration Manager revoga automaticamente certificados de usuário e computador que foram implantados usando perfis de certificado nas seguintes circunstâncias:

  • O dispositivo é retirado do gerenciamento de Configuration Manager.

  • O dispositivo está bloqueado da hierarquia de Configuration Manager.

Para revogar os certificados, o servidor do site envia um comando de revogação para a autoridade de certificação emissora. O motivo da revogação é o cessar da operação.

Observação

Para revogar corretamente um certificado, a conta de computador do site de nível superior na hierarquia precisa da permissão para emitir e gerenciar certificados na AC.

Para melhorar a segurança, você também pode restringir os gerentes de AC na AC. Em seguida, apenas forneça a essa conta permissões no modelo de certificado específico que você usa para os perfis SCEP no site.

Próximas etapas