Certificate Connector para Microsoft Intune
Para que o Microsoft Intune dê suporte ao uso de certificados para autenticação, bem como para a assinatura e a criptografia de email com o S/MIME, use o Certificate Connector para Microsoft Intune. O Certificate Connector é o software que você instala em um servidor local para ajudar a fornecer e gerenciar certificados para seus dispositivos gerenciados pelo Intune.
Este artigo apresenta o Certificate Connector para Microsoft Intune, o ciclo de vida dele e como mantê-lo atualizado.
Dica
A partir de 29 de julho de 2021, o Conector de Certificados para o Microsoft Intune substituiu o uso do Conector de Certificados PFX para o Microsoft Intune e o Conector do Microsoft Intune. O novo conector inclui a funcionalidade dos dois conectores anteriores. Com o lançamento da versão 6.2109.51.0 do Conector de Certificado para Microsoft, os conectores anteriores não têm mais suporte.
Visão geral do conector
Para utilizar o conector de certificados, primeiro irá transferir software a partir do Microsoft Intune centro de administração, que irá instalar num Windows Server.
Durante a instalação, você pode instalar um ou mais recursos do conector, incluindo o suporte para:
- Certificados de par de chaves pública e privada (PKCS)
- Certificados PKCS importados
- Protocolo SCEP
- Revogação de certificado
Você também atribuirá uma conta de serviço para executar o conector. Essa conta é usada para todas as interações com a sua autoridade de certificação e para emissão de certificados, revogação e renovação. As opções com suporte na conta de serviço incluem a conta SISTEMA de servidores do conector ou uma conta de domínio.
Após a instalação do conector, você pode executar a configuração do conector novamente a qualquer momento para atualizá-la ou alterar os recursos instalados. Depois de instalado e configurado, o conector pode instalar automaticamente as atualizações futuras para manter seus conectores atualizados com a versão mais recente.
O Intune dá suporte à instalação de várias instâncias do conector em um locatário, e cada instância pode dar suporte a diferentes recursos. Se você usar vários conectores que dão suporte a diferentes recursos, as solicitações de certificado serão sempre encaminhadas para um conector relevante. Por exemplo, se você instalar dois conectores que dão suporte ao PKCS e instalar mais dois que dão suporte ao PKCS e ao SCEP, as tarefas de certificado do PKCS poderão ser gerenciadas por um dos quatro conectores, mas as tarefas do SCEP serão direcionadas apenas para os dois conectores que dão suporte ao SCEP.
Cada instância do conector de certificado tem os mesmos requisitos de rede dos dispositivos gerenciados pelo Intune. Para obter mais informações, confira Pontos de extremidade de rede do Microsoft Intune e Requisitos e largura de banda da configuração da rede do Intune.
Funcionalidades do conector de certificado
O Certificate Connector para Microsoft Intune dá suporte ao seguinte:
Solicitações de certificado PKCS nº 12.
Certificados PKCS importados (arquivo PFX) para a criptografia de email S/MIME de um usuário específico.
Emissão de certificados do protocolo SCEP. Ao usar uma AC (autoridade de certificação) dos Serviços de Certificados do Active Directory, também chamada de AC da Microsoft, você também precisa configurar o NDES (Serviço de Registro de Dispositivo de Rede) no servidor que hospeda o conector.
O uso do SCEP com uma autoridade de certificação de terceiros não exige o uso do Certificate Connector para Microsoft Intune.
Revogação de certificado.
Atualizações automáticas para novas versões. Quando os servidores que hospedam o conector de certificado podem acessar a Internet, eles instalam automaticamente novas atualizações para se manterem atualizados. Quando a atualização automática de um conector falhar, você poderá atualizá-lo manualmente.
Instalação de até 100 instâncias do conector por locatário do Intune, com cada instância em um Windows Server separado. Quando você usa vários conectores:
Cada instância do conector precisa ter acesso à chave privada usada para criptografar as senhas de cada arquivo PFX carregado.
Cada instância do conector deve ter a mesma versão. Como o conector dá suporte a atualizações automáticas para a versão mais recente, as atualizações podem ser gerenciadas para você pelo Intune.
Sua infraestrutura dá suporte à redundância e ao balanceamento de carga, pois qualquer instância do conector disponível que dê suporte aos mesmos recursos do conector pode processar suas solicitações de certificado.
Você pode configurar um proxy para permitir que o conector se comunique com o Intune.
O Certificate Connector não deve ser instalado no mesmo servidor que Intune Conector do Active Directory.
Observação
Qualquer instância do conector que dê suporte ao PKCS pode ser usada para recuperar as solicitações PKCS pendentes da fila de serviço do Intune, processar os certificados importados e processar as solicitações de revogação. Não é possível definir qual conector processará cada solicitação.
Por conseguinte, cada conector que suporte PKCS tem de ter as mesmas permissões e conseguir ligar-se a todas as autoridades de certificação definidas posteriormente nos perfis PKCS.
Ciclo de vida
Periodicamente, são lançadas atualizações ao conector de certificados. Os comunicados de novas atualizações do conector, incluindo a versão e a data de lançamento de cada atualização, aparecem na seção Novidades do Certificate Connector deste artigo.
Cada nova versão do conector:
É suportado durante seis meses após o lançamento de uma nova versão. Durante esse período, as atualizações automáticas instalarão uma versão mais recente do conector. As versões atualizadas do conector incluem, mas não estão limitadas a correções de bugs e melhorias de desempenho e de recursos.
Se um conector sem suporte falhar, será preciso atualizar para a versão mais recente com suporte.
Se bloquear a atualização automática do conector, planeje atualizar manualmente o conector dentro de seis meses, antes que o suporte para a versão instalada termine. Após o término do suporte, atualize o conector para uma versão que permanece com suporte para receber suporte para problemas com o conector.
Os conectores sem suporte continuarão a funcionar até 18 meses após o lançamento de uma nova versão. Após 18 meses, uma funcionalidade de conectores poderá falhar devido a melhorias no nível do serviço, atualizações ou ao lidar com vulnerabilidades comuns de segurança que poderão surgir no futuro.
Por exemplo, quando a versão 6.2203.12.0 do conector lançada a 4 de maio de 2022, a versão anterior do conector 6.2202.38.0 será retirada do suporte a 4 de novembro de 2022. A versão anterior do conector deve continuar a funcionar (embora não seja suportada) até novembro de 2023. Após novembro de 2023, a versão anterior do conector poderá deixar de comunicar com Intune.
Atualização automática
O Intune pode atualizar automaticamente o conector para a última versão logo depois que a versão do conector é liberada.
Para atualizar automaticamente, o servidor que hospeda o conector deve acessar o serviço de atualização do Azure:
- Porta: 443
- Ponto de extremidade: autoupdate.msappproxy.net
Quando firewalls, infraestrutura ou configurações de rede limitam o acesso à atualização automática, resolva os problemas de bloqueio ou atualize manualmente o conector para a nova versão.
Atualização Manual
O processo para atualizar manualmente um conector de certificado é igual ao processo para reinstalar um conector.
Você pode atualizar manualmente um conector de certificado mesmo quando ele dá suporte a atualizações automáticas. Por exemplo, você poderá atualizar manualmente o conector quando sua configuração de rede bloquear uma atualização automática.
Reinstalar um conector de certificado
No Windows Server que hospeda o conector, execute o programa de instalação do conector para desinstalar o conector.
Para instalar a nova versão, use o procedimento para instalar uma nova versão do conector. Verifique se há pré-requisitos novos ou atualizados ao instalar uma versão mais recente de um conector.
Status do conector
No centro de administração do Microsoft Intune, pode selecionar um conector de certificados para ver informações sobre o respetivo status:
Iniciar sessão no centro de administração do Microsoft Intune
Acesse Administração de locatários>Conectores e tokens>Conectores de certificado.
Selecione um conector para exibir o status.
Ao ver o status do conector:
- Os conectores preteridos mostram um aviso. Após o período de carência de seis meses, o aviso muda para Erro.
- Os conectores que estão além do período de carência mostram um Erro. Esses conectores não têm mais suporte e podem parar de funcionar a qualquer momento.
Registrar em log
Os logs do Certificate Connector para Microsoft Intune estão disponíveis como logs de eventos no servidor em que o conector está instalado:
- Visualizador de Eventos>Logs de Aplicativo e Serviço>Microsoft>Intune>Conectores de Certificado
Os seguintes logs estão disponíveis com o tamanho padrão de 50 MB e têm o arquivamento automático habilitado:
- Log de Administrador – esse log contém um evento de log por solicitação para o conector. Os eventos incluem sucesso, com informações sobre a solicitação, ou erro, com informações sobre a solicitação e o erro.
- Log Operacional: esse log exibe informações adicionais além daquelas encontradas no log do Administrador e pode ser usado na depuração de problemas. Esse log também exibe as operações em andamento em vez de eventos únicos.
Além do nível de log padrão, você pode habilitar o log de depuração para cada log para obter mais detalhes.
IDs de evento
Todos os eventos têm uma das seguintes IDs:
- 0001-0999 – não associado a nenhum cenário específico
- 1000-1999 – PKCS
- 2000-2999 – Importação de PKCS
- 3000-3999 – Revogar
- 4000-4999 – SCEP
- 5000-5999 – Integridade do Conector
Categorias de Tarefa
Todos os eventos são marcados com uma Categoria de Tarefa para auxiliar na filtragem. As categorias de tarefas incluem, entre outras:
PKCS
Admin
Event ID: 1000 - PkcsRequestSuccess
Êxito ao carregar uma Solicitação PKCS no Intune.Event ID: 1001 - PkcsRequestFailure
Falha ao atender ou carregar uma Solicitação PKCS no Intune.Event ID: 1200 - PkcsRecryptRequestSuccess
Êxito ao processar a solicitação de Nova Criptografia PKCS.Event ID: 1201 - PkcsRecryptRequestFailure
Falha ao processar a solicitação de Nova Criptografia PKCS.
Operacional
Event ID: 1002 - PkcsDownloadSuccess
Êxito ao baixar solicitações PKCS do Intune.Event ID: 1003 - PkcsDownloadFailure
Falha ao baixar solicitações PKCS do Intune.Event ID: 1020 - PkcsDownloadedRequest
Êxito ao baixar solicitação PKCS do Intune.Event ID: 1032 - PkcsDigiCertRequest
Êxito ao baixar solicitação PKCS para DigiCert CA do Intune.Event ID: 1050 - PkcsIssuedSuccess
Êxito ao emitir um certificado PKCS.Event ID: 1051 - PkcsIssuedFailedAttempt
Falha ao emitir um certificado PKCS. Será feita uma nova tentativa.Event ID: 1052 - PkcsIssuedFailure
Falha ao emitir um certificado PKCS.Event ID: 1100 - PkcsUploadSuccess
Êxito ao carregar resultados de solicitação PKCS no Intune.Event ID: 1101 - PkcsUploadFailure
Falha ao carregar resultados de solicitação PKCS no Intune.Event ID: 1102 - PkcsUploadedRequest
Êxito ao carregar solicitação PKCS no Intune.Event ID: 1202 - PkcsRecryptDownloadSuccess
Êxito ao baixar solicitações de Nova Criptografia PKCS.Event ID: 1203 - PkcsRecryptDownloadFailure
Falha ao baixar solicitações de Nova Criptografia PKCS.Event ID: 1220 - PkcsRecryptDownloadedRequest
Êxito ao baixar uma solicitação de Nova Criptografia PKCS.Event ID: 1250 - PkcsRecryptReencryptSuccess
Êxito ao criptografar novamente o conteúdo de certificado PKCS.Event ID: 1251 - PkcsRecryptDecryptSuccess
Êxito ao descriptografar o conteúdo de certificado PKCS.Event ID: 1252 - PkcsRecryptDecryptFailure
Falha ao descriptografar o conteúdo do certificado PKCS.Event ID: 1253 - PkcsRecryptReencryptFailure
Falha ao criptografar novamente o conteúdo do certificado PKCS.Event ID: 1300 - PkcsRecryptUploadSuccess
Êxito ao carregar resultados de solicitação de Nova Criptografia PKCS no Intune.Event ID: 1301 - PkcsRecryptUploadFailure
Falha ao carregar resultados de solicitação de Nova Criptografia PKCS no Intune.Event ID: 1302 - PkcsRecryptUploadedRequest
Êxito ao carregar solicitação de Nova Criptografia PKCS no Intune.
Importação de PKCS
Admin
Event ID: 2000 - PkcsImportRequestSuccess
Êxito ao baixar solicitações de Importação PKCS do Intune.Event ID: 2001 - PkcsImportRequestFailure
Falha ao processar uma solicitação de Importação PKCS do Intune.
Operacional
Event ID: 2202 - PkcsImportDownloadSuccess
Êxito ao baixar solicitações de Importação PKCS do Intune.Event ID: 2203 - PkcsImportDownloadFailure
Falha ao baixar solicitações de Importação PKCS do Intune.Event ID: 2020 - PkcsImportDownloadedRequest
Êxito ao baixar uma solicitação de Importação PKCS do Intune.Event ID: 2050 - PkcsImportReencryptSuccess
Êxito ao criptografar novamente o certificado de Importação PKCS.Event ID: 2051 - PkcsImportReencryptFailedAttempt
Falha ao criptografar novamente um certificado de Importação PKCS. Será feita uma nova tentativa.Event ID: 2052 - PkcsImportReencryptFailure
Falha ao criptografar novamente um certificado importado.Event ID: 2100 - PkcsImportUploadSuccess
Êxito ao carregar resultados de solicitação de Importação PKCS no Intune.Event ID: 2101 - PkcsImportUploadFailure
Falha ao carregar resultados de solicitação PKCS no Intune.Event ID: 2102 - PkcsImportUploadedRequest
Êxito ao carregar solicitação de Importação PKCS no Intune.
Revogação
Admin
Event ID: 3000 - RevokeRequestSuccess
Êxito ao baixar solicitações de Revogação do Intune.Event ID: 3001 - RevokeRequestFailure
Ocorreu uma falha ao baixar solicitações de Revogação do Intune.
Operacional
Event ID: 3002 - RevokeDownloadSuccess
Êxito ao baixar solicitações de Revogação do Intune.Event ID: 3003 - RevokeDownloadFailure
Ocorreu uma falha ao baixar solicitações de Revogação do Intune.Event ID: 3020 - RevokeDownloadedRequest
Detalhes de uma solicitação baixada do IntuneID do Evento: 3032 - RevokeDigicertRequest
Solicitação de revogação recebida do Intune e solicitação de encaminhamento para Digicert para cumprimento da solicitação.Event ID: 3050 - RevokeSuccess
Certificado revogado com êxito.Event ID: 3051 - RevokeFailure
Ocorreu uma falha ao revogar um certificado.Event ID: 3052 - RevokeFailedAttempt
Falha ao revogar um certificado. Será feita uma nova tentativa.Event ID: 3100 - RevokeUploadSuccess
Resultados de solicitação de Revogação carregados com êxito no Intune.Event ID: 3101 - RevokeUploadFailure
Falha ao carregar resultados de solicitação de Revogação no Intune.Event ID: 3102 - RevokeUploadedRequest
Êxito ao carregar solicitação de Revogação no Intune.
SCEP
Admin
Event ID: 4000 - ScrepRequestSuccess
Êxito ao processar uma solicitação SCEP e notificar o Intune.Event ID: 4001 - ScepRequestIssuedFailure
Falha ao processar uma solicitação SCEP e notificar o Intune.Event ID: 4002 - ScepRequestUploadFailure
Êxito ao processar a solicitação SCEP, mas falha ao notificar o Intune.
Operacional
Event ID: 4003 - ScepRequestReceived
Êxito ao receber uma solicitação SCEP de um dispositivo.Event ID: 4004 - ScepVerifySuccess
Êxito ao verificar uma solicitação SCEP com o Intune.Event ID: 4005 - ScepVerifyFailure
Falha ao verificar uma solicitação SCEP com o Intune.Event ID: 4006 - ScepIssuedSuccess
Êxito ao emitir certificado para uma solicitação SCEP.Event ID: 4007 - ScepIssuedFailure
Falha ao emitir certificado para solicitação SCEP.Event ID: 4008 - ScepNotifySuccess
Êxito ao notificar o Intune sobre o resultado de uma solicitação SCEP.Event ID: 4009 - ScepNotifyAttemptFailed
Falha ao notificar o Intune sobre o resultado de uma solicitação SCEP. Será feita uma nova tentativa.Event ID: 4010 - ScepNotifySaveToDiskFailed
Falha ao gravar notificação no disco e não foi possível notificar o Intune sobre o status da solicitação.
Integridade do Conector
Operacional
ID do Evento: 5000 - HealthMessageUploadSuccess As mensagens de estado de funcionamento foram carregadas com êxito para Intune.
ID do Evento: 5001 - HealthMessageUploadFailedAttempt Falha ao carregar mensagens de estado de funcionamento para Intune, tentará novamente.
ID do Evento: 5002 - HealthMessageUploadFailure Falha ao carregar mensagens de estado de funcionamento para Intune.
Novidades do Certificate Connector
As atualizações do Conector de Certificados para Microsoft Intune são lançadas periodicamente e, em seguida, têm suporte por seis meses. Quando atualizarmos o conector, você poderá ler sobre as alterações aqui.
Novas atualizações para o conector podem levar uma semana ou mais para ficarem disponíveis para cada locatário.
Importante
A partir de abril de 2022, os conectores de certificado anteriores à versão6.2101.13.0 serão preteridos e mostrarão um status de Erro. A partir de agosto de 2022, essas versões de conector não poderão revogar certificados. A partir de setembro de 2022, essas versões de conector não poderão emitir certificados. Isto inclui o PFX Certificate Connector para Microsoft Intune e o Conector Microsoft Intune, que em 29 de julho de 2021 foram substituídos pelo Certificate Connector para Microsoft Intune (conforme detalhado neste artigo).
19 de setembro de 2024
Versão 6.2406.0.1001 – Alterações nesta versão:
- Alterações aos requisitos de KB5014754 de suporte
- Registo de pipelines de importação PKCS melhorado
- Correções de bugs
- Melhorias de segurança
15 de fevereiro de 2023
Versão 6.2301.1.0 – Alterações nesta versão:
- Informações de registo para correlacionar com os registos do Serviço Intune
- Melhorias no registo no fluxo de emissão de Certificados PFX
21 de setembro de 2022
Versão 6.2206.122.0 – Alterações nesta versão:
- Telemetria melhorada para além de correções de erros e melhorias de desempenho
quinta-feira, 30 de junho de 2022
Versão 6.2205.201.0 – Alterações nesta versão:
- Canal de telemetria atualizado no Intune para permitir que o Administrador do Intune colete dados no portal
4 de maio de 2022
Versão 6.2203.12.0 - Alterações nesta versão:
- Dar suporte a provedores CNG para certificados de autenticação de cliente
- Suporte aprimorado para renovação automática de certificados de autenticação de cliente
10 de março de 2022
Versão 6.2202.38.0. Esta atualização inclui:
- Alterações no suporte ao TLS 1.2 para atualização automática
Próximas etapas
Examinar os pré-requisitos do Certificate Connector para Microsoft Intune