# Microsoft Cloud PKI
{% hint style="info" %}
Supõe-se que o Microsoft Cloud PKI hospede tanto a CA raiz como a CA emissora. Para cenários que envolvam BYOCAs, consulte os recursos online da Microsoft ou a web.
{% endhint %}
{% stepper %}
{% step %}
### Implementar um Microsoft Cloud PKI
#### Criar uma CA raiz no centro de administração do Intune
Antes de poder emitir certificados para dispositivos geridos, é necessário criar uma CA raiz no seu tenant para atuar como âncora de confiança. Para criar uma CA raiz no centro de administração do Intune, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca)guia da Microsoft.
{% hint style="info" %}
Tenha em atenção o ponto de distribuição da CRL, pois vai precisar dele mais tarde em [Passo 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
#### Criar uma CA emissora no centro de administração do Intune
É necessária uma CA emissora para emitir certificados para dispositivos geridos pelo Intune. O Cloud PKI fornece automaticamente um serviço SCEP que atua como autoridade de registo de certificados. Este solicita certificados à CA emissora em nome dos dispositivos geridos pelo Intune, utilizando um perfil SCEP. Para criar uma CA emissora, siga [este ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)guia da Microsoft.
{% hint style="info" %}
Tenha em atenção o ponto de distribuição da CRL, pois vai precisar dele mais tarde em [Passo 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
CA raiz e CAs emissoras
{% endstep %}
{% step %}
### Estabelecer confiança entre o RADIUSaaS e o Microsoft Cloud PKI
Configure o RADIUSaaS para confiar em certificados de autenticação de cliente emitidos pelo Microsoft Cloud PKI. Como o PKI na cloud requer uma estrutura de CA em camadas, tem de carregar tanto a CA raiz como a CA emissora (ou seja, a cadeia de confiança completa). Para tal, siga os passos abaixo:
1. Navegue para [Certificados confiáveis](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots).
2. [Carregar](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add) o Contoso Cloud PKI **CA raiz,** selecionando **Autenticação de cliente** no processo de carregamento.
3. Como método de verificação, selecione **CRL** juntamente com **DER** codificação.
4. Use o URL copiado do ponto de distribuição da CRL da CA raiz no campo de introdução de URL de **Pontos de Distribuição da CRL** .\
5. Carregue o Contoso Cloud PKI **CA emissora,** selecionando **Autenticação de cliente** no processo de carregamento.
6. Novamente, selecione **CRL** como método de verificação juntamente com **DER** codificação.
7. Use o URL copiado do ponto de distribuição da CRL da CA emissora no **Pontos de Distribuição da CRL** .\
{% endstep %}
{% step %}
### Configurar o certificado do servidor RADIUS
Para estabelecer a confiança do servidor entre os seus dispositivos finais e o RADIUSaaS, siga [estas instruções](https://docs.radiusaas.com/pt/configuracao/generic-guide#step-3-radius-server-certificate-configuration).
{% endstep %}
{% step %}
### Configurar o seu equipamento de rede
Para configurar o seu equipamento de rede (pontos de acesso Wi-Fi, switches ou gateways VPN), siga [estes passos](https://docs.radiusaas.com/pt/configuracao/generic-guide#step-4-network-equipment-configuration).
Após a conclusão bem-sucedida dos Passos 2 - 4, a **Certificados confiáveis** página da sua instância RADIUSaaS ficará semelhante à mostrada abaixo. Observe que, em nosso exemplo, usamos um [MikroTik](https://docs.radiusaas.com/pt/configuracao/access-point-setup/radsec-available/mikrotik) ponto de acesso.
Vista geral dos certificados de confiança necessária para o Microsoft Cloud PKI.
{% endstep %}
{% step %}
### Configurar perfis do Intune
Para configurar a autenticação Wi‑Fi baseada em certificados, precisamos de criar vários perfis e implementá-los através do Intune. Estes perfis são:
| Tipo de perfil | Finalidade |
| --------------------- | --------------------------------------------------------------------------------- |
| Certificado confiável | Implementar o certificado da CA raiz. |
| Certificado confiável | Implementar o certificado da CA emissora. |
| Certificado confiável | Implementar o certificado da CA raiz que emitiu o certificado do servidor RADIUS. |
| Certificado SCEP | Inscrever o certificado de autenticação de cliente. |
| Wi-Fi | Implantar as definições do adaptador de rede sem fio. |
Perfis relevantes do Intune
#### Perfis de certificados de confiança
**Microsoft Cloud PKI**
Implementar os certificados da CA raiz e da CA emissora criados em [Passo 1](#step-1.-deploy-a-microsoft-cloud-pki) através de um **Certificado confiável** perfil nos seus dispositivos, navegando para o **centro de administração do Intune** e depois para **Início** > **Dispositivos** > **Windows** > **Perfis de configuração > Criar** > **Nova política** com os seguintes parâmetros:
* Plataforma = Windows 10 e posterior
* Tipo de perfil = Modelo
* Nome do modelo = Certificado de confiança.
Carregue o ficheiro de certificado relevante (\*.cer) no respetivo perfil:
* Certificado da CA raiz criado [aqui](#step-1-create-root-ca-in-admin-center)
* Certificado da CA emissora criado [aqui](#step-1-create-root-ca-in-admin-center-1)
{% hint style="info" %}
Note que tem de usar o mesmo grupo para atribuir os perfis de certificado de confiança e SCEP. Caso contrário, a implementação do Intune pode falhar.
{% endhint %}
Isto tem de ser repetido para cada plataforma de dispositivo que irá utilizar o serviço (por exemplo, Windows, macOS, ... )
**Confiança do servidor RADIUS**
A seguir, envie o certificado da CA raiz que emitiu o seu Certificado do Servidor RADIUS, conforme descrito aqui:
{% content-ref url="../../../implementacao-de-perfil/microsoft-intune/trusted-root" %}
[trusted-root](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/trusted-root)
{% endcontent-ref %}
#### Perfil de certificado SCEP
Para criar um **Certificado SCEP** perfil no centro de administração do Intune, primeiro faça uma cópia do URI SCEP de **Início** > **Administrador do tenant** > **Cloud PKI** > **Contoso Issuing CA** > **Propriedades** > **URI SCEP.**
Em seguida, vá para **Início** > **Dispositivos** > **Windows** > **Perfis de configuração > Criar** > **Nova política** com os seguintes parâmetros:
* Plataforma = Windows 10 e posterior
* Tipo de perfil = Modelo
* Nome do modelo = Certificado SCEP
Em seguida, configure o modelo de acordo com a captura de ecrã abaixo, certificando-se de que anexou o **Certificado Raiz Contoso** criado anteriormente no passo 1 e o **URI SCEP** do qual fez uma cópia acima.
Configuração do certificado do dispositivo SCEP
Isto tem de ser repetido para cada plataforma de dispositivo que irá utilizar o serviço (por exemplo, Windows, macOS, ... )
#### Perfil de Wi‑Fi
Implemente as definições do adaptador Wi‑Fi nos seus dispositivos seguindo este artigo:
{% content-ref url="../../../implementacao-de-perfil/microsoft-intune/wifi-profile" %}
[wifi-profile](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/wifi-profile)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Permissões e Contatos Técnicos
{% endstep %}
{% step %}
### Regras
{% hint style="info" %}
Este é um **passo** opcional.
{% endhint %}
Se você gostaria de configurar regras adicionais, por exemplo, para atribuir IDs de VLAN ou limitar solicitações de autenticação a determinadas CAs confiáveis ou pontos de acesso Wi-Fi, consulte o RADIUSaaS Rule Engine.
{% content-ref url="../../../portal-de-administracao/settings/rules" %}
[rules](https://docs.radiusaas.com/pt/portal-de-administracao/settings/rules)
{% endcontent-ref %}
{% endstep %}
{% endstepper %}
