Microsoft Cloud PKI

Implantar um Microsoft Cloud PKI

Criar uma CA Raiz no centro de administração do Intune

Antes de poder emitir certificados para dispositivos gerenciados, você precisa criar uma CA raiz no seu locatário para atuar como âncora de confiança. Para criar uma CA raiz no centro de administração do Intune, siga isto Guia da Microsoft.

Criar uma CA Emissora no centro de administração do Intune

Uma CA emissora é necessária para emitir certificados para dispositivos gerenciados pelo Intune. O Cloud PKI fornece automaticamente um serviço SCEP que atua como autoridade de registro de certificados. Ele solicita certificados da CA emissora em nome dos dispositivos gerenciados pelo Intune usando um perfil SCEP. Para criar uma CA emissora, siga isto Guia da Microsoft.

Estabelecer confiança entre o RADIUSaaS e o Microsoft Cloud PKI

Configure o RADIUSaaS para confiar em certificados de autenticação de cliente emitidos pelo Microsoft Cloud PKI. Como o cloud PKI requer uma estrutura de CA em camadas, você deve fazer upload tanto da CA Raiz quanto da CA Emissora (ou seja, a cadeia completa de confiança). Para isso, siga os passos abaixo:

1. Navegue até Certificados Confiáveis.

2. Carregar o Contoso Cloud PKI CA Raiz selecionando Autenticação de Cliente no processo de upload.

3. Como método de verificação selecione CRL junto com DER codificação.

4. Use a URL do ponto de distribuição CRL copiada da CA Raiz no campo de entrada Pontos de Distribuição CRL URL.

5. Carregar o Contoso Cloud PKI CA Emissora selecionando Autenticação de Cliente no processo de upload.

6. Novamente, selecione CRL como método de verificação junto com DER codificação.

7. Use a URL do ponto de distribuição CRL copiada da CA Emissora no Pontos de Distribuição CRL URL.

Configurar o Certificado do Servidor RADIUS

Para estabelecer a confiança do servidor entre seus dispositivos endpoint e o RADIUSaaS, siga estas instruções.

Configurar seu Equipamento de Rede

Para configurar seu equipamento de rede (pontos de acesso WiFi, switches ou gateways VPN), siga estes passos.

Após a conclusão bem-sucedida dos Passos 2 - 4, a Certificados Confiáveis página da sua instância do RADIUSaaS ficará similar à abaixo. Observe que em nosso exemplo usamos um ponto de acesso MikroTik ponto de acesso.

Configure Perfis do Intune

Para configurar autenticação WiFi baseada em certificado, precisamos criar vários perfis e implantá-los via Intune. Esses perfis são:

Perfis de certificado confiável

Microsoft Cloud PKI

Distribua os certificados da CA raiz e da CA emissora criados em Etapa 1 via um certificado confiável perfil para seus dispositivos navegando até o centro de administração do Intune e então para Início > Dispositivos > Windows > Perfis de configuração > Criar > Nova Política com os seguintes parâmetros:

• Plataforma = Windows 10 e posterior

• Tipo de perfil = Modelo

• Nome do modelo = Certificado confiável.

Carregue o arquivo de certificado relevante (*.cer) no respectivo perfil:

• Certificado da CA Raiz criado aqui

• Certificado da CA Emissora criado aqui

Isto deve ser repetido para cada plataforma de dispositivo que deverá usar o serviço (por exemplo, Windows, macOS, ...).

Confiança do Servidor RADIUS

Em seguida, envie o certificado da CA raiz que emitiu seu Certificado de Servidor RADIUS conforme descrito aqui:

Perfil de Certificado SCEP

Para criar um certificado SCEP perfil no centro de administração do Intune, primeiro copie a URI SCEP de Início > Administrador do locatário > Cloud PKI > CA Emissora Contoso > Propriedades > URI SCEP.

Em seguida, vá para Início > Dispositivos > Windows > Perfis de configuração > Criar > Nova Política com os seguintes parâmetros:

• Plataforma = Windows 10 e posterior

• Tipo de perfil = Modelo

• Nome do modelo = certificado SCEP

Em seguida, configure o modelo de acordo com a captura de tela abaixo, certificando-se de que você anexou o Certificado Raiz Contoso criado anteriormente na etapa 1 e o URI SCEP que você copiou acima.

Isto deve ser repetido para cada plataforma de dispositivo que deverá usar o serviço (por exemplo, Windows, macOS, ...).

Perfil Wi‑Fi

Implante as configurações do adaptador WiFi em seus dispositivos seguindo este artigo:

Permissões e Contatos Técnicos

Regras

Se você desejar configurar regras adicionais, por exemplo para atribuir IDs de VLAN ou limitar solicitações de autenticação a certas CAs confiáveis ou pontos de acesso Wi‑Fi, confira o RADIUSaaS Rule Engine.