Incluindo um gerenciador de dispositivos Intune

Editar online

Configure o Microsoft™ Intune como seu gerenciador de dispositivos.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.
Observação: cada locatário que exija autenticação d mTLS deve ter
  • Foi configurado um nome de host fictício. Consulte “Como obter um nome de host personalizado ”.
  • Os certificados CA raiz e intermediários do locatário foram enviados para a infraestrutura de borda (Akamai) para o nome de host personalizado.
Os dispositivos se autenticam diretamente no nome de host personalizado do locatário usando seus certificados de cliente. São utilizados os seguintes pontos de extremidade.
  • Autenticação: https://{vanity-hostname}/v1.0/mdm/mtls
  • Operações do SCEP: https://{vanity-hostname}/v1.0/mdm/scep

Sobre esta tarefa

Sistemas operacionais suportados
  • Windows 8.1 e mais recente
  • MacOS 10.13 e mais recente
Modelo de confiança
O Verify atua como uma Autoridade Certificadora (CA) SCEP e emite certificados de cliente para os dispositivos cadastrados. O certificado raiz, o certificado intermediário e os perfis de certificado SCEP que você configura permitem esse processo de emissão de certificados.

Na autenticação mútua TLS ( mTLS ), quando um dispositivo tenta se autenticar, ele apresenta seu certificado de cliente ao Verify. O certificado é validado pela CA Verify para estabelecer confiança criptográfica e verificar a identidade do dispositivo.

Após a validação bem-sucedida do certificado, o Verify utiliza as permissões configuradas para consultar a API do Microsoft Graph e recuperar informações em tempo real sobre o estado e a conformidade do dispositivo a partir do Intune. Essas informações essenciais sobre conformidade incluem:
  • Status de conformidade do dispositivo (em conformidade/não em conformidade/desconhecido). Quando um dispositivo deixa de estar em conformidade no Intune, o certificado em si não é revogado automaticamente. Após cada expiração do tempo de espera do cache para informações do usuário e do dispositivo, o serviço de gerenciamento de dispositivos ( IBM Verify ) consulta a API do Microsoft Graph para recuperar o estado atual de conformidade do dispositivo do Intune. Se o locatário utilizar o controle de acesso baseado em políticas, o complianceState atributo (e outros atributos do dispositivo) será avaliado em relação às políticas de acesso configuradas no IBM Verify Essas políticas determinam se
    • Permitir acesso (se a política permitir dispositivos não compatíveis).
    • Exigir autenticação adicional (autenticação reforçada).
    • Negar acesso (se a política exigir apenas dispositivos em conformidade).
    Os aplicativos podem ser configurados com políticas de acesso que definem os requisitos de conformidade. Os atributos do dispositivo, incluindo o endereço IP ( complianceState ), são recuperados pelo Verify e armazenados após o registro bem-sucedido. Os atributos do dispositivo ficam armazenados em cache por um período limitado, especificado pelo tempo de expiração do cache, e são recuperados novamente do Intune após a expiração do cache.
    Observação: Se for necessário bloquear permanentemente um dispositivo não compatível, exclua-o de IBM Verify, o que também revogará seu certificado. Isso não remove automaticamente o certificado revogado do dispositivo cliente gerenciado.
  • Status do gerenciamento do dispositivo (gerenciado/não gerenciado) Os seguintes atributos do dispositivo estão disponíveis para avaliação da política de acesso.
    • Novo dispositivo
    • Plataforma do dispositivo
    • Conformidade do dispositivo
Todos esses atributos estão disponíveis para serem utilizados nas decisões relativas às políticas de acesso. Consulte "Gerenciamento de políticas de acesso ".
Observação: Se um dispositivo for comprometido, exclua-o do site IBM Verify, o que acionará imediatamente o processo de revogação do certificado. Todos os certificados associados ao dispositivo são revogados imediatamente. O dispositivo não consegue mais se autenticar, mesmo que ainda possua o arquivo do certificado.
Requisitos do servidor SCEP

Não é necessária nenhuma infraestrutura SCEP externa. A funcionalidade do servidor SCEP está integrada ao serviço mdm-broker e lida com todas as operações padrão do SCEP:

  • GetCACaps - Retorna os recursos do CA
  • GetCACert - Retorna a cadeia de certificados da CA
  • PKIOperation - Processa pedidos de emissão e renovação de certificados

IBM Verify oferece um servidor SCEP integrado e uma Autoridade Certificadora (CA). Os dispositivos gerenciados enviam solicitações de assinatura de certificado (CSRs) aos terminais do Verify SCEP por meio do protocolo SCEP padrão (PKIOperation). O Verify atua tanto como servidor SCEP quanto como CA de assinatura, processando essas solicitações e emitindo certificados de cliente assinados de acordo com o perfil SCEP configurado.

Todo o ciclo de vida do certificado SCEP — incluindo geração, assinatura, armazenamento e renovação — é gerenciado internamente pela Verify.

Observação: Se você estiver usando o Safari d MacOS, poderá ocorrer um problema em que não será solicitado que você forneça os certificados de cliente emitidos pelo gerenciador de dispositivos do Intune. Para resolver o problema, deve-se configurar a preferência de identidade do MacOS Keychain.
  1. No seu Mac, acesse o Acesso ao Chaveiro.
  2. Inclua uma Preferência de identidade para o certificado de cliente.
  3. Configure o local de preferência de identidade para URL de autenticação do locatário + (espaço) + (com.apple.Safari). Por exemplo, https://{tenant_vanity_hostname}/usc.
A preferência de identidade agora se encontra em Acesso ao Chaveiro > Login > Todos os itens, e o prompt do certificado funciona corretamente.

Procedimento

  1. Selecione Autenticação > Gerenciadores de dispositivos.
  2. Selecione “Adicionar gerenciador de dispositivos ”.
  3. Selecione o tipo de gerenciador de dispositivos que você deseja configurar.
  4. Selecione “Avançar ”.
  5. Na página Configurações gerais, forneça as seguintes informações.
    • Digite o nome do Gerenciador de Dispositivos no campo fornecido.
    • Selecione o provedor de identidade no menu.
    • Selecione o tipo de trust no menu. Para a seleção da confiança do dispositivo, os usuários precisam fazer login usando o mecanismo de autenticação de primeiro fator configurado. A confiança do dispositivo fornece atributos gerenciados do dispositivo a uma sessão de autenticação existente.
      Observação: O recurso “Separação entre dispositivo e autenticação do usuário” CI-114829 pode ser ativado mediante solicitação. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com o contato da IBM e indique seu interesse em habilitar essa funcionalidade. Crie um ticket de suporte, caso tenha permissão para isso. IBM Verify Os usuários com assinaturas de teste não podem criar tickets de suporte.
    • Selecione se o fornecimento JIT (just-in-time) deve ser ativado para contas do usuário.
      Observação: O provisionamento Just-in-Time (JIT) para contas de usuário só é aplicável no caso da seleção de confiança do usuário e do dispositivo.
    • Selecione o período de validade do certificado do cliente. Um gerenciador de dispositivos pode ser configurado para emitir certificados com validade de 90, 180, 365 dias ou 3 anos. Por padrão, o período selecionado é de 3 anos. As organizações podem selecionar o período de validade que esteja de acordo com suas políticas de segurança e requisitos de conformidade. Períodos de validade mais curtos reduzem o tempo de exposição caso um certificado seja comprometido, enquanto períodos mais longos diminuem a frequência das operações de renovação.
    • Especifique o número máximo de certificados para cada dispositivo. A renovação do certificado é realizada automaticamente pelo dispositivo quando o tempo de validade restante do certificado fica abaixo do limite de renovação configurado no perfil SCEP. O dispositivo inicia automaticamente uma solicitação de renovação. O processo de renovação é transparente para o usuário final e não requer nenhuma intervenção manual. Após uma renovação bem-sucedida, o certificado antigo é automaticamente revogado.
      O Verify implementa uma revogação abrangente de certificados em diversos cenários.
      • Renovação de Certificado
      • Exclusão de dispositivos do Verify
      • Exclusão de usuário do Verify
      • Expiração do certificado
    • Especifique quantos minutos as informações do usuário e do dispositivo são mantidas.
  6. Selecione “Avançar ”.
  7. Na página de credenciais da API, insira os detalhes da API do seu aplicativo em Azure Active Directory.
    • Se você já tiver o aplicativo, selecione Apenas formulário.
      1. Forneça o ID do aplicativo, o segredo e o nome do locatário.
      2. Selecione Unique user identifier a partir de uma lista predefinida de atributos ou selecione “Regra personalizada ” para especificar os mapeamentos de atributos. Se você optar por usar uma regra personalizada, poderá adicionar atributos personalizados e uma regra. Digite a regra para calcular o valor do atributo. Por exemplo,
        requestContext.email[0].split('@')[0]
        Observação: a seleção de regras personalizadas não se aplica à confiança do dispositivo. No entanto, você pode inserir o atributo adequado no campo fornecido.
      3. Selecione Credenciais de teste para verificar suas credenciais.
      4. Selecione “Avançar ”.
    • Se você estiver criando um aplicativo, selecione Mostrar com etapas e siga as instruções.
      1. No portal Azure, acesse Azure Active Directory > Registros de aplicativos e selecione Novo registro.
      2. Na página Registrar um aplicativo, especifique os detalhes a seguir.
        Nome
        Digite um nome significativo para o aplicativo, por exemplo, “ IBM Verify ”.
        Tipos de conta suportados
        Selecione Contas em qualquer diretório organizacional.
        URI de redirecionamento
        Observação: o URI de redirecionamento durante a configuração do registro do aplicativo pode ser deixado em branco.
      3. Selecione Registo.
      4. Na página de visão geral do aplicativo, copie o valor do ID do aplicativo (cliente) e cole-o no campo Inserir o ID do aplicativo.
      5. Na página de navegação do aplicativo, na seção Gerenciar, selecione Certificados e segredos e, em seguida, selecione Novo segredo de cliente.
      6. Insira uma descrição, selecione qualquer opção para Expira e, em seguida, clique em Incluir.
      7. Cole o segredo do cliente no campo Inserir o segredo do aplicativo.
      8. No campo “Nome do locatário”, insira o nome do seu locatário do Microsoft Entra ID.
      9. Selecione ou digite um atributo de identificação de usuário exclusivo.
      10. Na página de navegação do aplicativo, na seção “Gerenciar”, selecione “Permissões da API ” e, em seguida, selecione “Adicionar uma permissão”.
      11. Selecione Intune e, em seguida, selecione Permissões de aplicativos. Marque a caixa de seleção para o scep_challenge-provider.
      12. Selecione Incluir permissões.
      13. Na área de janela de navegação para o app, em Gerenciar, selecione Permissões de APIe selecione Incluir uma permissão.
      14. Selecione Microsoft Graph e, em seguida, selecione Permissões do aplicativo.
      15. Marque a caixa de seleção “ DeviceManagementManagedDevices ”. Read.All, User.Read.All e Application.Read.All.
      16. Selecione Incluir permissões.
      17. Selecione Conceder consentimento de administrador para a Microsoft e, em seguida, selecione Sim.
      18. Selecione Credenciais de teste para verificar suas credenciais.
        O botão "Testar credenciais" verifica se
        • As credenciais estão formatadas corretamente.
        • O ID do cliente e o segredo do cliente são válidos.
        • É possível acessar o Microsoft Entra ID.
        • É possível obter um token de acesso do OAuth junto à Microsoft.
        Não testa:
        • Permissões da API (por exemplo, DeviceManagementManagedDevices.Read.All)
        • Capacidade de ler informações de identificação de usuário ( /dev ) do Microsoft Graph
        • Conectividade de rede com pontos de extremidade da API do Microsoft Graph
        • Integralidade da configuração do locatário
        Testes aprovados:
        • OAuth Token de acesso obtido com sucesso por https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
        Observação: um teste de credenciais bem-sucedido NÃO garante que a integração funcione. O teste verifica apenas a autenticação, e não as permissões da API nem o acesso aos dados. A validação completa requer testes reais de registro do dispositivo.
        Falhas no teste:
        • HTTP É retornada uma resposta 400 com o erro:Connection to MicrosoftIntune failed.
        • As causas mais comuns são ID ou segredo do cliente inválidos, nome de locatário incorreto, problemas de rede ou credenciais expiradas.
        Resolução de problemas
        • Verificação HTTP Resposta : Em caso de sucesso, retorna os URLs do SCEP; em caso de falha, retorna uma mensagem de erro.
        • Verifique a configuração do Azure : verifique o ID do cliente, o segredo e o nome do locatário no portal Azure.
        • Confirmar permissões da API : Certifique-se de que as permissões necessárias do Microsoft Graph sejam concedidas com o consentimento do administrador.
        • Teste de ponta a ponta : tente realizar o cadastro de um dispositivo real para validar a integração completa.
      19. Selecione “Avançar ”.
  8. Na página Propriedades do usuário (aberta ao selecionar a confiança do usuário e do dispositivo) ou Propriedades do dispositivo (aberta ao selecionar a confiança do dispositivo), mapeie os atributos do gerenciador de dispositivos para IBM Verify os atributos.
    Observação: os nomes dos atributos não diferenciam maiúsculas de minúsculas e não é permitido ter atributos duplicados.
    1. Selecione o atributo do gerenciador de dispositivos.
      Os atributos do gerenciador de dispositivos do Intune disponíveis para mapeamento são aqueles retornados pelos pontos de extremidade da API do Microsoft Graph:
      • /deviceManagement/managedDevices
      • /users/{userId}
      • Os atributos de usuário do Intune estão documentados pela Microsoft na seção " Tipo de recurso de usuário ". Selecione "Propriedades" no menu " Neste artigo ".
      • Os atributos dos dispositivos do Intune estão documentados pela Microsoft em managedDevice resouce-type. Selecione "Propriedades" no menu " Neste artigo ".
      Observação: Para mapear um atributo do dispositivo para o Verify, é necessário adicionar o prefixo “ mdmDevice:: ” à string. Por exemplo, se você quisesse mapear o atributo complianceState do dispositivo para "Verificar", precisaria escrever da seguinte forma:
      mdmDevice::complianceState

      Os atributos do usuário não exigem um prefixo.

      Atributos do dispositivo, como mdmDevice::complianceState o mapa, a partir de um único dispositivo registrado. Em cenários com vários dispositivos, esse valor pode apresentar inconsistências. Apenas mapeie os atributos do dispositivo para o Verify quando se prevê que os usuários estejam restritos a um único dispositivo.

    2. Opcional: Selecione uma transformação no menu.
    3. Obrigatório: Selecione o Verify atributo ao qual deseja mapear o atributo.
    4. Selecione como você deseja armazenar o atributo no perfil do usuário.
  9. Opcional: Clique em “Adicionar atributos ”.
    Se você optar por usar uma regra personalizada, poderá adicionar atributos personalizados, um de cada vez, a uma regra. Digite a regra para calcular o valor do atributo. Por exemplo,
    idsuser.email[0].split('@')[0]
    Clique em “Executar teste” para verificar se a regra funciona.
  10. Selecione “Salvar e continuar ”.
    O gerenciador de dispositivos é salvo.
  11. Crie o perfil de certificado raiz.
    Siga as instruções fornecidas.
    1. Baixe os arquivos de certificados .zip raiz e de perfil fornecidos a seguir.
    2. Faça login no Microsoft Endpoint Manager e abra Dispositivos > Perfis de configuração.
    3. Para criar um perfil de certificado raiz, selecione “Criar perfil” e escolha as seguintes configurações:
      Plataforma
      Selecione a plataforma apropriada.
      Perfil
      Certificado confiável.
    4. Selecione Criar.
    5. Dê um nome ao perfil do certificado raiz, por exemplo, “ WIN10_RootCA_Cert ”, e selecione “Avançar ”.
    6. Carregue o perfil do certificado raiz que você baixou na Etapa 1, defina o repositório de destino como “Repositório de certificados do computador - Raiz ” e selecione “Avançar ”.
    7. Defina a opção “Atribuir a” com os usuários ou grupos com os quais deseja realizar o teste e selecione “Avançar ”.
    8. Selecione Criar.
    9. Repita as etapas de 2 a 8 para o certificado intermediário.
  12. Selecione “Avançar ”.
  13. Na página do perfil de certificado do SCEP, insira os detalhes da API do seu aplicativo em Azure Active Directory.

    • Se você já tiver um perfil de certificado do SCEP, selecione Apenas valores.
      1. Forneça o assunto e a URL do SCEP.
      2. Selecione “Avançar ”.
    • Se você estiver criando um perfil de certificado do SCEP, selecione Mostrar com etapas e siga as instruções.
      1. Para criar um perfil de certificado SCEP, selecione Criar perfil e escolha as configurações a seguir:
        Plataforma
        Selecione a plataforma apropriada.
        Perfil
        TrustedSCEP certificado.
      2. Selecione Criar.
      3. Nomeia o perfil do certificado raiz, por exemplo, WIN10_RootCA_Cert, e selecione Avançar.
      4. Use as seguintes definições de configuração:
        Tipo de certificado
        Usuário.
        Formato do nome do assunto
        Customizado.
        Customizado
        CN gerado automaticamente.
        Nome alternativo do assunto
        Nome do principal do usuário (UPN).
        Período de validade do certificado
        1 ano.
        Provedor de armazenamento de chaves (KSP)
        Se disponível, inscreva-se em Trusted Platform Module (TPM) KSP, caso contrário, inscreva-se em Software KSP.
        Uso da chave
        Codificação da chave, assinatura digital.
        Tamanho da chave (bits)
        2048.
        Algoritmo hash
        SHA-2.
        Certificado raiz
        Selecione o perfil de certificado raiz que você criou e nomeou na etapa 11.
        Uso estendido da chave
        Selecione “Autenticação do cliente” no menu “Valores predefinidos ”.
        Limite de renovação
        20.
        URLs do servidor SCEP
        URL gerada automaticamente.
      5. Selecione Avançar e designe qualquer usuário ou grupo com o qual você deseja testar a conexão.
      6. Selecione Criar.
      7. Selecione “Avançar ”.
  14. Configure os escopos do MDM.
    Siga as instruções.
    1. No Centro de Administração do Microsoft Endpoint Manager, selecione Todos os serviços > M365AzureActive Directory > AzureActive Directory > Mobilidade (MDM e MAM).
    2. Selecione Microsoft Intune para configurar o Intune.
    3. Selecione “Alguns” no escopo de usuários do MDM para usar o cadastro automático do MDM para gerenciar os dados corporativos nos dispositivos Windows™ dos seus funcionários.
      As inscrições automáticas do MDM estão configuradas para dispositivos integrados ao AAD e para cenários de “traga seu próprio dispositivo” (BYOD).
    4. Selecione “Grupos” > “Grupos/Usuários selecionados ” > “Selecionar como grupo atribuído ”.
    5. Selecione “Alguns” no escopo “Usuários do MAM” para gerenciar os dados nos dispositivos da sua equipe.
    6. Escolha “Selecionar grupos ” > “Selecionar grupos/Usuários ”> “Selecionar” como o grupo designado.
    7. Use os valores padrão para os valores de configuração restantes.
    8. Selecione Salvar.
  15. Selecione “Avançar ”.
  16. Teste a configuração.
    Siga as instruções.
  17. Selecione “Concluir a configuração ”.
    1. Revise suas configurações.
    2. Selecione “Salvar alterações ”.