# Microsoft Cloud PKI
{% hint style="info" %}
Supõe-se que o Microsoft Cloud PKI hospede tanto a CA raiz como a CA emissora. Para cenários que envolvam BYOCAs, consulte os recursos online da Microsoft ou a web.
{% endhint %}
{% stepper %}
{% step %}
### Implementar um Microsoft Cloud PKI
#### Criar uma CA raiz no centro de administração do Intune
Antes de poder emitir certificados para dispositivos geridos, é necessário criar uma CA raiz no seu tenant para atuar como âncora de confiança. Para criar uma CA raiz no centro de administração do Intune, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca)guia da Microsoft.
{% hint style="info" %}
Tenha em atenção o ponto de distribuição da CRL, pois vai precisar dele mais tarde em [Passo 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
#### Criar uma CA emissora no centro de administração do Intune
É necessária uma CA emissora para emitir certificados para dispositivos geridos pelo Intune. O Cloud PKI fornece automaticamente um serviço SCEP que atua como autoridade de registo de certificados. Este solicita certificados à CA emissora em nome dos dispositivos geridos pelo Intune, utilizando um perfil SCEP. Para criar uma CA emissora, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)guia da Microsoft.
{% hint style="info" %}
Tenha em atenção o ponto de distribuição da CRL, pois vai precisar dele mais tarde em [Passo 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
CA raiz e CAs emissoras
{% endstep %}
{% step %}
### Estabelecer confiança entre o RADIUSaaS e o Microsoft Cloud PKI
Configure o RADIUSaaS para confiar em certificados de autenticação de cliente emitidos pelo Microsoft Cloud PKI. Como o PKI na cloud requer uma estrutura de CA em camadas, tem de carregar tanto a CA raiz como a CA emissora (ou seja, a cadeia de confiança completa). Para tal, siga os passos abaixo:
1. Navegue para [Certificados confiáveis](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots).
2. [Carregar](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add) o Contoso Cloud PKI **CA raiz,** selecionando **Autenticação de cliente** no processo de carregamento.
3. Como método de verificação, selecione **CRL** juntamente com **DER** codificação.
4. Use o URL copiado do ponto de distribuição da CRL da CA raiz no campo de introdução de URL de **Pontos de Distribuição da CRL** .\
5. Carregue o Contoso Cloud PKI **CA emissora,** selecionando **Autenticação de cliente** no processo de carregamento.
6. Novamente, selecione **CRL** como método de verificação juntamente com **DER** codificação.
7. Use o URL copiado do ponto de distribuição da CRL da CA emissora no **Pontos de Distribuição da CRL** .\
{% endstep %}
{% step %}
### Configurar o certificado do servidor RADIUS
Para estabelecer a confiança do servidor entre os seus dispositivos finais e o RADIUSaaS, siga [estas instruções](https://docs.radiusaas.com/pt/configuracao/generic-guide#step-3-radius-server-certificate-configuration).
{% endstep %}
{% step %}
### Configurar o seu equipamento de rede
Para configurar o seu equipamento de rede (pontos de acesso Wi-Fi, switches ou gateways VPN), siga [estes passos](https://docs.radiusaas.com/pt/configuracao/generic-guide#step-4-network-equipment-configuration).
Após a conclusão bem-sucedida dos Passos 2 - 4, a **Certificados confiáveis** página da sua instância RADIUSaaS ficará semelhante à mostrada abaixo. Observe que, em nosso exemplo, usamos um [MikroTik](https://docs.radiusaas.com/pt/configuracao/access-point-setup/radsec-available/mikrotik) ponto de acesso.
Vista geral dos certificados de confiança necessária para o Microsoft Cloud PKI.
{% endstep %}
{% step %}
### Configurar perfis do Intune
Para configurar a autenticação Wi‑Fi baseada em certificados, precisamos de criar vários perfis e implementá-los através do Intune. Estes perfis são:
| Tipo de perfil | Finalidade |
| --------------------- | --------------------------------------------------------------------------------- |
| Certificado confiável | Implementar o certificado da CA raiz. |
| Certificado confiável | Implementar o certificado da CA emissora. |
| Certificado confiável | Implementar o certificado da CA raiz que emitiu o certificado do servidor RADIUS. |
| Certificado SCEP | Inscrever o certificado de autenticação de cliente. |
| Wi-Fi | Implantar as definições do adaptador de rede sem fio. |
Perfis relevantes do Intune
#### Perfis de certificados de confiança
**Microsoft Cloud PKI**
Implementar os certificados da CA raiz e da CA emissora criados em [Passo 1](#step-1.-deploy-a-microsoft-cloud-pki) através de um **Certificado confiável** perfil nos seus dispositivos, navegando para o **centro de administração do Intune** e depois para **Início** > **Dispositivos** > **Windows** > **Perfis de configuração > Criar** > **Nova política** com os seguintes parâmetros:
* Plataforma = Windows 10 e posterior
* Tipo de perfil = Modelo
* Nome do modelo = Certificado de confiança.
Carregue o ficheiro de certificado relevante (\*.cer) no respetivo perfil:
* Certificado da CA raiz criado [aqui](#step-1-create-root-ca-in-admin-center)
* Certificado da CA emissora criado [aqui](#step-1-create-root-ca-in-admin-center-1)
{% hint style="info" %}
Note que tem de usar o mesmo grupo para atribuir os perfis de certificado de confiança e SCEP. Caso contrário, a implementação do Intune pode falhar.
{% endhint %}
Isto tem de ser repetido para cada plataforma de dispositivo que irá utilizar o serviço (por exemplo, Windows, macOS, ... )
**Confiança do servidor RADIUS**
A seguir, envie o certificado da CA raiz que emitiu o seu Certificado do Servidor RADIUS, conforme descrito aqui:
{% content-ref url="../../../implementacao-de-perfil/microsoft-intune/trusted-root" %}
[trusted-root](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/trusted-root)
{% endcontent-ref %}
#### Perfil de certificado SCEP
Para criar um **Certificado SCEP** perfil no centro de administração do Intune, primeiro faça uma cópia do URI SCEP de **Início** > **Administrador do tenant** > **Cloud PKI** > **Contoso Issuing CA** > **Propriedades** > **URI SCEP.**
Em seguida, vá para **Início** > **Dispositivos** > **Windows** > **Perfis de configuração > Criar** > **Nova política** com os seguintes parâmetros:
* Plataforma = Windows 10 e posterior
* Tipo de perfil = Modelo
* Nome do modelo = Certificado SCEP
Em seguida, configure o modelo de acordo com a captura de ecrã abaixo, certificando-se de que anexou o **Certificado Raiz Contoso** criado anteriormente no passo 1 e o **URI SCEP** do qual fez uma cópia acima.
Configuração do certificado do dispositivo SCEP
Isto tem de ser repetido para cada plataforma de dispositivo que irá utilizar o serviço (por exemplo, Windows, macOS, ... )
#### Perfil de Wi‑Fi
Implemente as definições do adaptador Wi‑Fi nos seus dispositivos seguindo este artigo:
{% content-ref url="../../../implementacao-de-perfil/microsoft-intune/wifi-profile" %}
[wifi-profile](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/wifi-profile)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Permissões e Contatos Técnicos
{% endstep %}
{% step %}
### Regras
{% hint style="info" %}
Este é um **passo** opcional.
{% endhint %}
Se você gostaria de configurar regras adicionais, por exemplo, para atribuir IDs de VLAN ou limitar solicitações de autenticação a determinadas CAs confiáveis ou pontos de acesso Wi-Fi, consulte o RADIUSaaS Rule Engine.
{% content-ref url="../../../portal-de-administracao/settings/rules" %}
[rules](https://docs.radiusaas.com/pt/portal-de-administracao/settings/rules)
{% endcontent-ref %}
{% endstep %}
{% endstepper %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/pt/configuracao/get-started/scenario-based-guides/microsoft-cloud-pki.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
