card image

Utilizando Microsoft Cloud PKI

O Microsoft Cloud PKI é um novo serviço projetado para simplificar e automatizar o gerenciamento do ciclo de vida do certificado para dispositivos gerenciados pelo Intune. Este serviço baseado em nuvem oferece uma infraestrutura PKI dedicada para cada cliente, eliminando a necessidade de servidores, conectores ou hardware locais. Utilizamos o Cloud PKI para gerenciar com eficiência a emissão, renovação e revogação de certificados em todas as plataformas com suporte do Intune, incluindo Windows, Android, iOS e MacOS.

Configurando Microsoft Cloud PKI

O Cloud PKI permite estabelecer vários PKIs (autoridades de certificação emissoras de raiz de 2 camadas) em um único locatário do Intune. A CA raiz e as CAs emissoras são privadas do locatário da "Contoso" e não são autoridades de certificação públicas. Uma CA intermediária/emissora emitirá certificados para os dispositivos da "Contoso" de acordo com os perfis de certificado que criarmos.

Vamos estabelecer uma Autoridade de Certificação Raiz no locatário da "Contoso" para servir como âncora de confiança.

Insira um nome para a sua CA e clique em "Next":

Vamos iniciar as configurações da nossa CA. Alternativamente, um EKU personalizado pode ser configurado especificando um nome e um identificador de objeto.

NOTA : As restrições EKU/OID da CA raiz abrangem aquelas da CA emissora. Ao criar uma CA emissora, somente as EKUs definidas para a CA raiz podem ser selecionadas. Não é possível adicionar uma EKU à CA emissora que ainda não esteja definida na CA raiz.

O tamanho da chave e o algoritmo determinam o limite superior para o tamanho da chave e o algoritmo de hash que podem ser empregados ao configurar um perfil de certificado SCEP de configuração de dispositivo no Intune.

Mantenha a parte de tags como padrão e clique em "Next":

Analise o resumo fornecido. Depois de criar a CA raiz, ela não poderá ser editada em suas propriedades. Selecione "Create":

O Cloud PKI oferece automaticamente um serviço SCEP que funciona como uma autoridade de registro de certificados. Este serviço solicitará certificados da CA emissora em nome de dispositivos gerenciados pelo Intune usando um perfil SCEP.

Vamos criá-lo agora. Selecione "Create" para continuar. Insira um nome e clique em "Next":

Preencha os campos conforme imagens abaixo:

Deixe o escopo como padrão e clique em "Next":

Revise as configurações e clique em "Create":

Já podemos distribuir o certificado CA Raiz e a CA Emissora aos dispositivos e partes confiáveis ​​da "Contoso", como pontos de acesso Wi-Fi, servidores VPN, RADIUS, servidores Web, etc., que exigem confiança nos certificados SCEP emitidos pelo Cloud PKI. Selecione Baixar para baixar a chave pública confiável da CA.

Agora você poderá utilizar as regras de perfil (Templates) para configurar os certificados para todos os seus dispositivos. 

Esperamos que essa pequena dica ajude a todos os administradores que utilizam os serviços online da Microsoft.

 

Confira nossos artigos

Confira abaixo alguns de nossos artigos

Restaurando PC em nuvem no Windows 365

O Microsoft Defender oferece recursos como verificação em tempo real, atualizações automáticas de definições de vírus e uma variedade de configurações de segurança para ajudar a proteger seu computador. Ele é uma opção sólida para a proteção contra ameaças de segurança e é uma escolha conveniente para muitos usuários, pois já está incluído no sistema operacional Windows e não requer instalação de software adicional.

Nossos artigos

Aprimorando detecção de ameaças no Sentinel

Aprimorar a visibilidade da rede e a detecção de ameaças por meio da integração de segurança de rede do Azure com o Microsoft Sentinel envolve a configuração e o uso adequado das ferramentas e recursos disponíveis. Aqui estão os passos gerais que você pode seguir para realizar essa integração.

Nossos artigos