Usar credenciais derivadas com o Microsoft Intune

As credenciais derivadas são uma implementação das diretrizes do National Institute of Standards and Technology (NIST) para credenciais de Verificação de Identidade Pessoal Derivada (PIV) como parte da Publicação Especial (SP) 800-157(Link abre um ficheiro de .pdf no nvlpubs.nist.gov).

Este artigo se aplica ao:

  • Dispositivos do Android Enterprise totalmente gerenciados que são executados na versão 7.0 e posterior
  • iOS/iPadOS
  • Windows 10
  • Windows 11

As organizações que exigem a utilização de smart cards para autenticação ou encriptação e assinatura podem utilizar Intune para aprovisionar dispositivos móveis com um certificado derivado da card inteligente de um utilizador. Esse certificado é chamado de credencial derivada. Intune suporta vários emissores de credenciais derivados, mas utiliza apenas um emissor por inquilino.

Acerca da implementação do Intune

Para utilizar Intune credenciais derivadas, um administrador Intune tem de configurar o inquilino para trabalhar com um emissor de credenciais derivado suportado. Você não precisa definir nenhuma configuração específica do Intune no sistema do emissor de credenciais derivadas.

  • O administrador do Intune especifica a Credencial derivada como o método de autenticação para os seguintes objetos:

    Para dispositivos Android Enterprise totalmente gerenciados:

    • Tipos de perfil comuns, como Wi-Fi
    • Autenticação de aplicativo

    Para iOS/iPadOS:

    • Tipos de perfil comuns como Wi-Fi, VPN e Email, que inclui o aplicativo de email nativo do iOS/iPadOS
    • Autenticação de aplicativo
    • Criptografia e assinatura S/MIME

    Para Windows:

    • tipos de perfil comuns, como Wi-Fi e de VPN

    Observação

    Atualmente, as credenciais derivadas como um método de autenticação para perfis VPN não estão a funcionar conforme esperado em dispositivos Windows. Este comportamento afeta apenas os perfis VPN em dispositivos Windows e será corrigido numa versão futura (sem ETA).

  • Para Android e iOS/iPadOS, os usuários obtêm uma credencial derivada usando seu cartão inteligente e um computador para autenticar-se no emissor de credenciais derivadas. O emissor emite para o dispositivo móvel um certificado derivado de seu cartão inteligente. Para o Windows, os utilizadores instalam uma aplicação a partir do fornecedor de credenciais derivado que instala o certificado no dispositivo para utilização posterior. a

  • Depois de um dispositivo receber a credencial derivada, a credencial é utilizada para autenticação e para assinatura e encriptação S/MIME quando as aplicações ou perfis de acesso a recursos são configurados para exigir a credencial derivada.

Pré-requisitos

Examine as seguintes informações antes de configurar seu locatário para usar credenciais derivadas.

Plataformas compatíveis

O Intune dá suporte a credenciais derivadas nas seguintes plataformas:

  • iOS/iPadOS
  • Android Enterprise:
    • Dispositivos totalmente gerenciados (versão 7.0 e posterior)
    • Perfil de Trabalho de Propriedade Corporativa
  • Windows 10
  • Windows 11

Emissores com suporte

O Intune dá suporte a um único emissor de credenciais derivadas por locatário. São suportados os seguintes emissores:

Para obter detalhes importantes sobre o uso de diferentes emissores, confira as diretrizes para cada emissor. Para obter mais informações, confira Planejar credenciais derivadas neste artigo.

Importante

Se você excluir um emissor de credenciais derivadas do seu locatário, as credenciais derivadas configuradas por meio desse emissor não funcionarão mais.

Confira Alterar o emissor de credenciais derivadas posteriormente neste artigo.

Aplicativos necessários

Planeie implementar a aplicação destinada ao utilizador relevante em dispositivos que se inscrevem para obter uma credencial derivada. Os usuários do dispositivo usam o aplicativo para iniciar o processo de registro de credenciais.

Planejar credenciais derivadas

Entenda as considerações a seguir antes de configurar um emissor de credenciais derivadas para Android e iOS/iPadOS.

Para dispositivos Windows, confira Credenciais derivadas para Windows mais adiante neste artigo.

1 - Reveja a documentação do emissor de credenciais derivado escolhido

Antes de configurar um emissor, examine a documentação dele para entender como o sistema entrega credenciais derivadas a dispositivos.

Dependendo do emissor escolhido, talvez seja necessário que a equipe esteja disponível no momento do registro para ajudar os usuários a concluir o processo. Examine também suas configurações atuais do Intune para garantir que elas não bloqueiem o acesso necessário para dispositivos ou usuários concluírem a solicitação de credencial.

Por exemplo, pode utilizar o acesso condicional para bloquear o acesso ao e-mail para dispositivos não conformes. Se você depender de notificações por email para informar o usuário para iniciar o processo de registro de credenciais derivadas, seus usuários poderão não receber essas instruções até que estejam em conformidade com a política.

Da mesma forma, alguns fluxos de trabalho de solicitação de credenciais derivadas exigem o uso da câmera do dispositivo para digitalizar um código QR na tela. Esse código vincula esse dispositivo à solicitação de autenticação que ocorreu no emissor de credenciais derivadas com as credenciais de cartão inteligente do usuário. Se as políticas de configuração do dispositivo bloquearem a utilização da câmara, o utilizador não conseguirá concluir o pedido de inscrição de credenciais derivado.

Informações gerais:

  • Você pode configurar apenas um único emissor por locatário por vez. Esse emissor está disponível para todos os usuários e dispositivos com suporte em seu locatário.

  • Os usuários não são notificados de que devem se registrar para credenciais derivadas até que você os direcione com uma política que requeira credenciais derivadas.

  • A notificação pode ser feita por meio de notificação de aplicativo para o Portal da Empresa, por email ou ambos. Se você optar por usar notificações por email e usar o acesso condicional habilitado, os usuários poderão não receber a notificação por email se seu dispositivo não estiver em conformidade.

    Importante

    Para garantir que as notificações relacionadas às credenciais do dispositivo sejam recebidas com êxito pelos usuários finais, você deve habilitar notificações de aplicativo para o Portal da Empresa, notificações por email ou ambos.

2 - Reveja o fluxo de trabalho do utilizador final do emissor escolhido

A seguir estão as principais considerações de cada parceiro com suporte. Familiarize-se com essas informações para poder garantir que suas políticas e configurações do Intune não impeçam que usuários e dispositivos concluam com êxito o registro para uma credencial derivada desse emissor.

DISA Purebred

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • Use o Intune para implantar o aplicativo DISA Purebred em dispositivos que serão registrados para uma credencial derivada. Esse aplicativo deve ser implantado pelo Intune para que ele seja gerenciado e possa trabalhar com o aplicativo Portal da Empresa do Intune ou o Aplicativo Intune, que os usuários do dispositivo usam para concluir a solicitação de credencial derivada.

  • Para recuperar uma credencial derivada do aplicativo Purebred, o dispositivo deve ter acesso à rede local. O acesso pode ser por meio de Wi-Fi corporativo ou VPN.

  • Os usuários do dispositivo devem trabalhar com um agente em tempo real durante o processo de registro. Durante o registro, são fornecidas senhas avulsos por tempo limitado ao usuário conforme ele avança no processo de registro.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi, os usuários do iOS e do iPadOS são notificados para abrir o aplicativo Portal da Empresa.

  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • Microsoft Intune notifica o utilizador através de e-mail ou de uma notificação de aplicação para iniciar o Portal da Empresa.
    • O utilizador inicia a Portal da Empresa e toca na notificação de credencial derivada e, em seguida, os certificados de credenciais derivados são copiados para o dispositivo.

Para obter informações sobre como baixar e configurar o aplicativo DISA Purebred, confira Implantar o aplicativo DISA Purebred mais adiante neste artigo.

Entrust

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • O uso de uma câmera de dispositivo para digitalizar um código QR que vincula a solicitação de autenticação à solicitação de credencial derivada do dispositivo móvel.

  • Os usuários recebem um aviso pelo aplicativo Portal da Empresa ou por email para se registrarem para credenciais derivadas.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi:

    • iOS e iPadOS – Os usuários são notificados para abrir o aplicativo Portal da Empresa.
    • Android Enterprise Corporate-Owned Work Profile ou Dispositivos totalmente geridos – a aplicação Portal da Empresa não precisa de abrir.
  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • Microsoft Intune notifica o utilizador através de e-mail ou de uma notificação de aplicação para iniciar o Portal da Empresa.
    • O usuário inicia o Portal da Empresa e toca na notificação de credencial derivada, e os certificados de credencial derivados são copiados para o dispositivo

Intercede

Examine o fluxo de trabalho do usuário específico à plataforma para os dispositivos que você usará com credenciais derivadas.

Os requisitos principais incluem:

  • Os usuários precisam de acesso a um computador ou KIOSK em que eles podem usar seu cartão inteligente para se autenticar no emissor.

  • Dispositivos iOS e iPadOS que se registrarão para uma credencial derivada devem instalar o Portal da Empresa do Intune aplicativo. Os dispositivos de Perfil de Trabalho de Propriedade Corporativa e Totalmente Gerenciado do Android devem instalar e usar o aplicativo do Intune.

  • O uso de uma câmera de dispositivo para digitalizar um código QR que vincula a solicitação de autenticação à solicitação de credencial derivada do dispositivo móvel.

  • Os usuários recebem um aviso pelo aplicativo Portal da Empresa ou por email para se registrarem para credenciais derivadas.

  • Quando são feitas alterações em uma política que usa credenciais derivadas, como a criação de um novo perfil de Wi-Fi:

    • iOS e iPadOS – Os usuários são notificados para abrir o aplicativo Portal da Empresa.
    • Android Enterprise Corporate-Owned Work Profile ou Dispositivos totalmente geridos – a aplicação Portal da Empresa não precisa de abrir.
  • Os usuários são notificados para abrir o aplicativo aplicável quando precisam renovar suas credenciais derivadas.

    O processo de renovação acontece assim:

    • O emissor de credenciais derivado precisa emitir certificados novos ou atualizados antes que os certificados anteriores sejam 80% do caminho pelo período de validade.
    • O dispositivo faz o check-in durante o período de renovação (os últimos 20% do período de validade).
    • Microsoft Intune notifica o utilizador através de e-mail ou de uma notificação de aplicação para iniciar o Portal da Empresa.
    • O usuário inicia o Portal da Empresa e toca na notificação de credencial derivada, e os certificados de credencial derivados são copiados para o dispositivo

3 - Implementar um certificado de raiz fidedigna em dispositivos

Um certificado raiz confiável é usado com credenciais derivadas para verificar se a cadeia de certificados de credencial derivada é válida e confiável. Mesmo quando não for diretamente referenciado por uma política, um certificado raiz confiável será necessário. Confira Configurar um perfil de certificado para seus dispositivos no Microsoft Intune.

4 - Forneça instruções ao utilizador final sobre como obter a credencial derivada

Crie e forneça diretrizes para seus usuários sobre como iniciar o processo de registro de credenciais derivadas e navegar você pelo fluxo de trabalho de registro de credenciais derivadas para seu emissor escolhido.

Recomendamos que forneça um URL que aloje a sua documentação de orientação. Especifique esta URL quando você configurar o emissor de credenciais derivadas do seu locatário e se ela for disponibilizada de dentro do aplicativo Portal da Empresa. Se você não especificar sua própria URL, o Intune fornecerá um link para detalhes genéricos. Esses detalhes não podem abranger todos os cenários e podem não estar corretos para seu ambiente.

5 - Implementar políticas de Intune que requerem credenciais derivadas

Crie políticas ou edite políticas existentes para usar credenciais derivadas. As credenciais derivadas substituem outros métodos de autenticação para os seguintes objetos:

  • Autenticação de aplicativo
  • Wi-Fi
  • VPN
  • E-mail (Somente iOS)
  • Assinatura e criptografia S/MIME, incluindo o Outlook (somente iOS)

Evite exigir o uso de uma credencial derivada para acessar um processo que você usará como parte do processo de obter a credencial derivada, pois isso pode impedir usuários de concluir a solicitação.

Configurar um emissor de credenciais derivadas

Antes de criar políticas que exijam a utilização de uma credencial derivada, configure um emissor de credenciais no centro de administração do Microsoft Intune. Um emissor de credenciais derivadas é uma configuração de todo o locatário. Os locatários dão suporte apenas a um único emissor por vez.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Escolha Administração de locatários>Conectores e tokens>Credenciais Derivadas.

    Configure as credenciais derivadas no centro de administração do Microsoft Intune.

  3. Especifique um Nome de exibição amigável para a política do emissor de credenciais derivadas. Esse nome não é mostrado para os usuários do seu dispositivo.

  4. Para o Emissor de credenciais derivadas, selecione o emissor de credenciais derivadas que você escolheu para seu locatário:

    • DISA Purebred (somente iOS)
    • Entrust
    • Intercede
  5. Especifique uma URL de ajuda de credencial derivada para fornecer um link para uma localização que inclui instruções personalizadas para ajudar os usuários a obterem credenciais derivadas para sua organização. As instruções devem ser específicas da sua organização e do fluxo de trabalho necessário para obter uma credencial do seu emissor escolhido. O link é exibido no aplicativo Portal da Empresa e deve ser acessível do dispositivo.

    Se você não especificar sua própria URL, o Intune fornecerá um link para detalhes genéricos que não podem abranger todos os cenários. Essas diretrizes genéricas podem não estar corretas para seu ambiente.

  6. Selecione uma ou mais opções para o Tipo de notificação. Os tipos de notificação são os métodos que você usa para informar os usuários sobre os seguintes cenários:

    • Registrar um dispositivo com um emissor para obter uma nova credencial derivada.
    • Obter uma nova credencial derivada quando a credencial atual estiver perto da expiração.
    • Use uma credencial derivada com um objeto compatível.
  7. Quando estiver pronto, selecione Salvar para concluir a configuração do emissor de credenciais derivadas.

Após salvar a configuração, você poderá fazer alterações em todos os campos, exceto pelo Emissor de credenciais derivadas. Para alterar o emissor, confira Alterar o emissor de credenciais derivadas.

Implantar o aplicativo DISA Purebred

Esta seção aplica-se apenas quando você usa o DISA Purebred.

Para usar o DISA Purebred como seu emissor de credenciais derivadas para o Intune, você deve obter o aplicativo DISA Purebred e usar o Intune para implantar o aplicativo em dispositivos. Em seguida, os usuários solicitam a credencial derivada do DISA Purebred usando o aplicativo Portal da Empresa em seu dispositivo iOS/iPadOS ou o aplicativo do Intune em seus dispositivos Android.

Além de implantar o aplicativo DISA Purebred com o Intune, o dispositivo deve ter acesso à rede local. Para fornecer esse acesso, considere usar uma VPN ou Wi-Fi corporativa.

Conclua as tarefas a seguir:

  1. Transfira a aplicação DISA Purebred: https://cyber.mil/pki-pke/purebred/.

  2. Implantar o aplicativo DISA Purebred no Intune.

    Podem ser necessárias definições adicionais para a aplicação Purebred. Fale com o seu agente Purebred para compreender que valores devem ser incluídos nas suas políticas ou se tiver um Cartão de Acesso Comum (CAC) emitido pelo DoD, pode aceder à documentação do Purebred online em https://cyber.mil/pki-pke/purebred/.

  3. Se optar por utilizar uma VPN por aplicação para a aplicação DISA Purebred, veja Criar uma VPN por aplicação.

Usar credenciais derivadas para autenticação e assinatura e criptografia S/MIME

Você pode especificar uma Credencial derivada para os seguintes tipos de perfil e finalidades:

Usar credenciais derivadas para autenticação do aplicativo

Use credenciais derivadas para autenticação baseada em certificado para sites e aplicativos. Para oferecer uma credencial derivada para a autenticação do aplicativo:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos> GerirConfiguração> deDispositivos> No separador Políticas, selecione + Criar.

  3. Use as seguintes configurações:

    Para iOS e iPadOS:

    • Para Plataforma. selecione iOS/iPadOS e, em seguida, para Tipo de perfil, selecione Modelos > Credenciais derivadas. Selecione Criar para continuar.
    • Em Nome, introduza um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil seria Credencial derivada para o perfil de dispositivos iOS.
    • Em Descrição, introduza uma descrição geral da definição e outros detalhes importantes.

    Para Android Enterprise:

    • Para Plataforma. selecione Android Enterprise e, em seguida, em Tipo de perfil, em Totalmente Gerido, Dedicado e Corporate-Owned Perfil de Trabalho, selecione Credencial derivada. Selecione Criar para continuar.
    • Em Nome, introduza um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil seria Credencial derivada para o perfil de dispositivos Android Enterprise.
    • Em Descrição, introduza uma descrição geral da definição e outros detalhes importantes.
    • Na página Aplicações , configure o Acesso ao certificado para gerir a forma como o acesso ao certificado é concedido às aplicações. Escolha entre:
      • Exigir a aprovação do utilizador para aplicações(predefinição) – os utilizadores têm de aprovar a utilização de um certificado por todas as aplicações.
      • Conceder automaticamente a aplicações específicas (exigir a aprovação do utilizador para outras aplicações) – com esta opção, selecione Adicionar aplicações e, em seguida, selecione uma ou mais aplicações que irão utilizar automaticamente o certificado sem interação do utilizador.
  4. Na página Atribuições , selecione os grupos que devem receber a política.

  5. Quando terminar, selecione Criar para criar o perfil de Intune. Após a conclusão, seu perfil será mostrado na lista Dispositivos – Perfis de configuração.

Os usuários recebem a notificação pelo aplicativo ou por email dependendo das configurações especificadas quando você configurou o emissor de credenciais derivadas. A notificação solicita que o usuário inicie o Portal da Empresa para que as políticas de credenciais derivadas possam ser processadas.

Credenciais derivadas para Windows

Você pode usar certificados derivados como um método de autenticação para perfis de Wi-Fi e VPN em dispositivos Windows. Os mesmos provedores com suporte de dispositivos Android e iOS/iPadOS têm suporte como provedores para o Windows:

  • DISA Purebred
  • Entrust
  • Intercede

Observação

Atualmente, as credenciais derivadas como um método de autenticação para perfis VPN não estão a funcionar conforme esperado em dispositivos Windows. Este comportamento só afeta perfis VPN em dispositivos Windows e será corrigido numa versão futura (sem ETA).

Para o Windows, os usuários não passam por um processo de registro de cartão inteligente para obter um certificado para uso como credencial derivada. Em vez disso, o usuário precisa instalar o aplicativo para Windows, que é obtido com o provedor de credenciais derivadas. Para usar credenciais derivadas com o Windows, conclua as seguintes configurações:

  1. Instalar o aplicativo dos provedores de Credenciais Derivadas no dispositivo Windows.

    Quando você instala o aplicativo Windows de um provedor de credenciais derivado em um dispositivo Windows, o certificado derivado é adicionado ao armazenamento de certificados Windows desse dispositivo. Após o certificado ser adicionado ao dispositivo, ele fica disponível para usar um método de autenticação de credencial derivada.

    Depois de obter o aplicativo do provedor de sua preferência, o aplicativo pode ser implantado em Usuários ou pode ser instalado diretamente pelo usuário do dispositivo.

  2. Configurar perfis Wi-Fi e VPN para usar credenciais derivadas como o método de autenticação.

    Ao configurar um perfil do Windows para Wi-Fi ou VPN, selecione Credencial derivada como o Método de Autenticação. Com essa configuração, o perfil usa o certificado instalado no dispositivo quando o aplicativo do provedor foi instalado.

Renovar uma credencial derivada

As credenciais derivadas para dispositivos Android ou iOS/iPadOS não podem ser estendidas nem renovadas. Em vez disso, os usuários devem usar o fluxo de trabalho de solicitação de credencial para solicitar uma nova credencial derivada para seu dispositivo. Para dispositivos Windows, consulte a documentação do aplicativo do provedor de credenciais derivadas.

Se você configurar um ou mais métodos para Tipo de notificação, o Intune notificará os usuários automaticamente quando a credencial derivada atual atingir 80% do seu tempo de vida útil. A notificação direciona os usuários a passar pelo processo de solicitação de credencial para obter uma nova credencial derivada.

Depois que um dispositivo recebe uma nova credencial derivada, as políticas que usam credenciais derivadas são reimplantadas nesse dispositivo.

Alterar o emissor de credenciais derivadas

No nível do locatário, você pode alterar seu emissor de credenciais, embora apenas um emissor tenha suporte de um locatário por vez.

Depois de alterar o emissor, os usuários devem obter uma nova credencial derivada do novo emissor. Eles devem fazer isso antes que possam usar uma credencial derivada para autenticação.

Alterar o emissor para seu locatário

Importante

Se você excluir um emissor e reconfigurar imediatamente esse mesmo emissor, você ainda deverá atualizar perfis e dispositivos para usar credenciais derivadas desse emissor. As credenciais derivadas que foram obtidas antes de você excluir o emissor não são mais válidas.

  1. Entre no Centro de administração do Microsoft Intune.
  2. Escolha Administração de locatários>Conectores e tokens>Credenciais Derivadas.
  3. Selecione Excluir para remover o emissor de credenciais derivadas atual.
  4. Configure um novo emissor.

Atualizar perfis que usam credenciais derivadas

Depois de excluir um emissor e adicionar um novo, edite cada perfil que usa credenciais derivadas. Essa regra será aplicável mesmo se você restaurar o emissor anterior. Qualquer edição do perfil aciona uma atualização, incluindo uma edição simples para a Descrição do perfil.

Atualizar credenciais derivadas em dispositivos

Depois de excluir um emissor e adicionar um novo, os usuários do dispositivo deverão solicitar uma nova credencial derivada. Essa regra é aplicável mesmo quando você adiciona o mesmo emissor que removeu. O processo de solicitar a nova credencial derivada é o mesmo para registrar um novo dispositivo ou renovar uma credencial existente.

Próximas etapas

Criar perfis de configuração de dispositivos