Perfis de certificado raiz confiável para Microsoft Intune

Ao usar o Intune para provisionar dispositivos com certificados para acessar os seus recursos e rede corporativos, use um perfil de certificado confiável para implantar o certificado raiz confiável nesses dispositivos. Certificados raiz confiáveis estabelecem uma relação de confiança do dispositivo com a AC raiz ou intermediária (emissora) da qual os outros certificados são emitidos.

Você implementa o perfil de certificado confiável aos mesmos dispositivos e usuários que recebem os perfis de certificado d0o Protocolo de Inscrição de Certificado Simples (SCEP), Padrões de Criptografia de Chave Pública (PKCS) e PKCS importados.

Dica

Os perfis de Certificado Confiável são compatíveis com as Áreas de trabalho remotas de várias sessões do Windows Enterprise.

Exporte o Certificado de Autoridade de Certificação raiz confiável

Para utilizar certificados importados PKCS, SCEP e PKCS, os dispositivos têm de confiar na sua Autoridade de Certificação de raiz. Para estabelecer confiança, exporte o certificado da AC de Raiz Fidedigna e quaisquer certificados de Autoridade de Certificação intermédios ou emissores, como um certificado público (.cer). Obtenha esses certificados de AC emissora ou de dispositivos que confiam na AC emissora.

Para exportar o certificado, consulte a documentação da autoridade de certificação. Tem de exportar o certificado público como um ficheiro codificado .cer com DER. Não exporte a chave privada, um .pfx ficheiro.

Utilize este .cer ficheiro quando criar perfis de certificado fidedignos para implementar esse certificado nos seus dispositivos.

Crie os perfis do certificado confiável

Antes de criar um perfil de certificado importado scep, PKCS ou PKCS, crie e implemente um perfil de certificado fidedigno. Implemente o perfil de certificado fidedigno nos mesmos grupos que recebem os outros tipos de perfil de certificado. Este passo garante que cada dispositivo consegue reconhecer a legitimidade da sua AC, incluindo perfis VPN, Wi-Fi e perfis de e-mail.

Os perfis de Certificado SCEP referenciam de forma direta um perfil de certificado confiável. Os perfis de Certificado PKCS não referenciam diretamente o perfil de certificado confiável, mas sim o servidor que hospeda a AC. Os perfis de certificados PKCS importados não referenciam diretamente o perfil de certificado confiável, mas podem usá-lo no dispositivo. Implantar um perfil de certificado confiável nos dispositivos garante que essa relação de confiança seja estabelecida. Quando um dispositivo não confia na AC de raiz, a política de perfil de certificado SCEP ou PKCS falha.

Crie um perfil de certificado fidedigno separado para cada plataforma de dispositivo que pretende suportar, tal como faz para perfis de certificados importados scEP, PKCS e PKCS.

Importante

Os perfis de raiz fidedignos que cria para a plataforma Windows 10 e posterior, são apresentados no centro de administração do Microsoft Intune como perfis para a plataforma Windows 8.1 e posterior.

Esse é um problema conhecido com a apresentação da plataforma dos perfis de certificado confiáveis. Embora o perfil exiba uma plataforma do Windows 8.1 e posterior, ele é funcional para o Windows 10/11.

Observação

O perfil Certificado Confiável no Intune pode ser usado apenas para fornecer certificados raiz ou intermediários. A finalidade de implantar esses certificados é estabelecer uma cadeia de confiança. O uso do perfil de certificado confiável para fornecer certificados diferentes dos certificados raiz ou intermediário não possuem suporte da Microsoft. Poderá ser impedido de importar certificados que não são considerados certificados de raiz ou intermédios ao selecionar o perfil de certificado fidedigno no centro de administração do Microsoft Intune. Mesmo que você consiga importar e implantar um certificado que não seja raiz ou intermediário usando esse tipo de perfil, você provavelmente terá resultados inesperados em diferentes plataformas, como iOS e Android.

Perfis de certificado confiável para o administrador do dispositivo Android

Importante

Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Esse recurso aplica-se a:

  • Android 10 e anterior em dispositivos não KNOX
  • Android 12 e anterior em dispositivos Samsung KNOX

Como os perfis de certificado SCEP exigem que o certificado raiz confiável seja instalado em um dispositivo e faça referência a um perfil de certificado confiável que, por sua vez, faz referência a esse certificado, use as seguintes etapas para contornar essa limitação:

  1. Provisione manualmente o dispositivo com o certificado raiz confiável. Para obter diretrizes de exemplo, confira a seção a seguir.

  2. Implemente no dispositivo um perfil de certificado de raiz fidedigna que referencia o certificado de raiz fidedigna que instalou no dispositivo.

  3. Implante um perfil de certificado SCEP no dispositivo que faz referência ao perfil de certificado raiz confiável.

Este problema não está limitado a perfis de certificado SCEP. Portanto, planeje instalar manualmente o certificado raiz confiável nos dispositivos aplicáveis caso seu uso de modelos de certificado PKCS, ou modelos de certificado PKCS Importado o exija.

Saiba mais sobre as alterações no suporte para o administrador de dispositivos Android em techcommunity.microsoft.com.

Provisionar manualmente um dispositivo com o certificado raiz confiável

As diretrizes a seguir podem ajudar você a provisionar dispositivos manualmente com um certificado raiz confiável.

  1. Baixe ou transfira o certificado raiz confiável para o dispositivo Android. Por exemplo, você pode usar um email para distribuir o certificado para os usuários do dispositivo ou solicitar que eles o baixem de um local seguro. Quando o certificado estiver no dispositivo, ele deverá ser aberto, nomeado e salvo. Salvar o certificado o adiciona ao repositório de certificados do Usuário no dispositivo.

    1. Para abrir o certificado no dispositivo, um usuário precisa localizar e tocar (abrir) nele. Por exemplo, após enviar o certificado por email, um usuário do dispositivo pode tocar ou abrir o anexo do certificado.
    2. Quando o certificado é aberto, o usuário precisa informar seu PIN ou autenticar-se no dispositivo para gerenciar o certificado.
  2. Após a autenticação, o certificado é aberto e precisa ser nomeado para que possa ser salvo no repositório de certificados dos Usuários. O nome do certificado tem de corresponder ao nome do certificado que está no perfil de Certificado de Raiz Fidedigna que é enviado para o dispositivo. Depois de atribuir o nome ao certificado, este pode ser guardado.

  3. Depois de guardado, o certificado está pronto para ser utilizado. Para confirmar se o certificado está no local correto no dispositivo:

    1. Abra Configurações>Segurança>Credenciais confiáveis. O caminho real para Credenciais confiáveis pode variar por dispositivo.
    2. Abra a guia Usuário e localize o certificado.
    3. Se estiver presente na lista de certificados do Usuário, o certificado terá sido instalado corretamente.
  4. Com um certificado raiz instalado em um dispositivo, você ainda precisa implantar o seguinte para provisionar os certificados SCEP ou PKCS:

    • Um perfil de Certificado Confiável que faz referência a esse certificado
    • O perfil SCEP ou PKCS que faz referência ao perfil de certificado para provisionar os certificados SCEP ou PKCS.

Para criar um perfil de certificado confiável

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione e aceda a Dispositivos>Gerir dispositivos>Configuração>Criar.

    Navegue até o Intune e crie um perfil para um certificado confiável

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos dispositivos que devem receber este perfil.
    • Perfil: dependendo da plataforma escolhida, selecione Certificado fidedigno ou selecione Modelos>Certificado fidedigno.

    Importante

    Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

    Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de certificado confiável para a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, especifique o .cer ficheiro para o Certificado de AC de Raiz fidedigno que exportou anteriormente.

    Quanto aos dispositivos Windows 8.1 e Windows 10/11, selecione Repositório de destino no certificado confiável em:

    • Repositório de certificados do computador – Raiz
    • Repositório de certificados do computador – Intermediário
    • Repositório de certificados do usuário – Intermediário

    Crie um perfil e carregue um certificado confiável

  8. Selecione Avançar.

  9. Em Atribuições, selecione o utilizador ou grupos que devem receber o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  10. (Aplica-se apenas ao Windows 10/11) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

    Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Próximas etapas

Criar perfis de certificado: