Incluindo um gerenciador de dispositivos Intune

Editar online

Configure o Microsoft™ Intune como seu gerenciador de dispositivos.

Antes de começar

Nota: os locatários globais do mtlsidaas para gerenciadores de dispositivos agora foram descontinuados e serão removidos após março de 2024 Acesse Obtenção de um nome de host personalizado para solicitar um domínio personalizado. Para obter mais informações, consulte Adicionar um gerenciador de dispositivos.
  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console de administração IBM Verify como um Administrador.

Sobre esta tarefa

Sistemas operacionais suportados
  • Windows 8.1 e mais recente
  • MacOS 10.13 e mais recente
Nota: se você estiver usando o MacOS Safari, poderá encontrar um problema no qual não será solicitado os certificados de cliente que são emitidos pelo gerenciador de dispositivos Intune. Para resolver o problema, deve-se configurar a preferência de identidade do MacOS Keychain.
  1. Em seu sistema Mac, acesse Acesso ao Keychain
  2. Inclua uma Preferência de identidade para o certificado de cliente.
  3. Configure o local de preferência de identidade para URL de autenticação do locatário + (espaço) + (com.apple.Safari). Por exemplo, https://{mtls_enabled_tenant_name}/usc.
A preferência de identidade agora se encontra em Acesso ao Chaveiro > login > Todos os itens e a solicitação de certificado funciona corretamente.

Procedimento

  1. Selecione Autenticação > Gerenciadores de dispositivos.
  2. Selecione Adicionar gerenciador de dispositivos.
  3. Selecione o Tipo de gerenciador de dispositivos que você deseja configurar.
  4. Selecione Próximo.
  5. Na página Configurações gerais , forneça as informações a seguir.
    • Insira o Nome do Gerenciador de Dispositivos no campo fornecido
    • Selecione o Provedor de identidade no menu.
    • Selecione o Tipo de confiança no menu. Para a seleção de Confiança no dispositivo, os usuários precisam fazer login com o mecanismo de autenticação de primeiro fator configurado. A confiança no dispositivo apenas confirma se a autenticação é feita a partir do dispositivo gerenciado ou não.
      Observação: O recurso Device trust CI-114829 pode ser ativado mediante solicitação. Para solicitar esse recurso, entre em contato com o seu representante de vendas IBM ou com o contato IBM e indique o seu interesse em ativar esse recurso. Crie um tíquete de suporte se você tiver permissão. IBM Verify as assinaturas de avaliação não podem criar tíquetes de suporte.
    • Selecione se o fornecimento JIT (just-in-time) deve ser ativado para contas do usuário.
      Observação:O provisionamento Just-in-Time (JIT) para contas de usuário só é aplicável em caso de confiança do usuário e do dispositivo seleção.
    • Selecione o Período de validade do certificado do cliente. Por padrão, a seleção é de 3 anos.
    • Especifique o número máximo de certificados para cada dispositivo.
    • Especifique quantos minutos as informações do usuário e do dispositivo são mantidas.
  6. Selecione Próximo.
  7. Na página Credenciamento de API , insira os detalhes da API de sua aplicação em Azure Active Directory.
    • Se você já tiver o aplicativo, selecione Apenas formulário.
      1. Forneça o ID do aplicativo, o segredo e o nome do locatário.
      2. Selecione Unique user identifier em uma lista predefinida de atributos ou selecione Regra Customizada para especificar mapeamentos de atributos. Se você selecionar para usar uma regra customizada, poderá incluir atributos customizados e uma regra. Digite a regra para calcular o valor de atributo. Por exemplo,
        requestContext.email[0].split('@')[0]
        Observação: A seleção da regra personalizada não se aplica à confiança do dispositivo. No entanto, você pode inserir o atributo apropriado no campo fornecido.
      3. Selecione Credenciais de teste para verificar suas credenciais.
      4. Selecione Próximo.
    • Se você estiver criando um aplicativo, selecione Mostrar com etapas e siga as instruções.
      1. No portal Azure, vá para AzureActive Directory > Registros de aplicativos e selecione Novo registro.
      2. Na página Registrar um aplicativo, especifique os detalhes a seguir.
        Nome
        Digite um nome de aplicativo significativo, por exemplo IBM Verify.
        Tipos de conta suportados
        Selecione Contas em qualquer diretório organizacional.
        URI de redirecionamento
        Saia da seção padrão da Web e, em seguida, especifique a URL de conexão para o servidor SCEP de terceiros.
      3. Selecione Registo.
      4. Na página de visão geral do aplicativo, copie o valor do ID do aplicativo (cliente) e cole-o no campo Inserir o ID do aplicativo.
      5. Na página de navegação do app, em Gerenciar, selecione Certificados e segredos e selecione Novo segredo do cliente.
      6. Insira uma descrição, selecione qualquer opção para Expira e, em seguida, clique em Incluir.
      7. Cole o segredo do cliente no campo Inserir o segredo do aplicativo.
      8. Copie o ID do locatário, que é o texto de domínio após o sinal @ em sua conta e cole-o no campo Nome do locatário.
      9. Selecione ou digite um atributo identificador de usuário exclusivo.
      10. Na página de navegação do aplicativo, em Gerenciar, selecione Permissões de APIe selecione Incluir uma permissão.
      11. Selecione Intune e, em seguida, selecione permissões de aplicativos. Marque a caixa de seleção para o scep_challenge-provider.
      12. Selecione Incluir permissões.
      13. Na área de janela de navegação para o app, em Gerenciar, selecione Permissões de APIe selecione Incluir uma permissão.
      14. Selecione Microsoft Graph e, em seguida, selecione Permissões de aplicativo. .
      15. Marque a caixa de seleção de DeviceManagementManageDevices.Read.All, User.Read.All e Application.Read.All.
      16. Selecione Incluir permissões.
      17. Selecione Conceder consentimento de administrador para a Microsoft e, em seguida, selecione Sim.
      18. Selecione Credenciais de teste para verificar suas credenciais.
      19. Selecione Próximo.
  8. Na página Propriedades do usuário (abre em caso de seleção de confiança do usuário e do dispositivo) ou Propriedades do dispositivo (abre em caso de seleção de confiança do dispositivo), mapeie os atributos do gerenciador de dispositivos para IBM Verify atributos.
    Nota: Nomes de atributos são casos-insensitivos e atributos duplicados não são permitidos.
    1. Selecione o atributo de gerenciador de dispositivos,
    2. Opcional: Selecione uma transformação no menu.
    3. Obrigatório: selecione o Verify atributo ao qual deseja mapear o atributo.
    4. Selecione como você deseja armazenar o atributo no perfil do usuário.
  9. Opcional: Clique em Adicionar atributos.
    Se você selecionar para usar uma regra customizada, será possível incluir atributos customizados um por vez e uma regra. Digite a regra para calcular o valor de atributo. Por exemplo,
    idsuser.email[0].split('@')[0]
    Clique em Executar teste para assegurar que a regra funcione.
  10. Selecione Salvar e continuar.
    O gerenciador de dispositivos é salvo.
  11. Crie o perfil de certificado raiz.
    Siga as instruções fornecidas.
    1. Baixe os seguintes arquivos de certificados raiz e de perfil .zip que são fornecidos.
    2. Faça login no Microsoft Endpoint Manager e abra Dispositivos > Perfis de configuração.
    3. Para criar um perfil de certificado raiz, selecione Criar perfil e escolha as configurações a seguir:
      Plataforma
      Selecione a plataforma apropriada.
      Perfil
      Certificado confiável.
    4. Selecione Criar.
    5. Nome o perfil do certificado raiz, por exemplo WIN10_RootCA_Cert, e selecione Next.
    6. Faça O Upload do perfil do certificado raiz que você baixou na Etapa 1, configure a loja de destino para Loja de certificados de computador-Roote selecione Next.
    7. Configure Assign to para os usuários ou grupos que você deseja testar com e selecione Next.
    8. Selecione Criar.
    9. Repita as etapas de 2 a 8 para o certificado intermediário.
  12. Selecione Próximo.
  13. Na página Perfil do certificado SCEP , insira os detalhes da API de sua aplicação em Azure Active Directory.
    • Se você já tiver um perfil de certificado do SCEP, selecione Apenas valores.
      1. Forneça o assunto e a URL do SCEP.
      2. Selecione Próximo.
    • Se você estiver criando um perfil de certificado do SCEP, selecione Mostrar com etapas e siga as instruções.
      1. Para criar um perfil de certificado SCEP, selecione Criar perfil e escolha as configurações a seguir:
        Plataforma
        Selecione a plataforma apropriada.
        Perfil
        TrustedSCEP certificado.
      2. Selecione Criar.
      3. Nomeia o perfil do certificado raiz, por exemplo, WIN10_RootCA_Cert, e selecione Avançar.
      4. Use as seguintes definições de configuração:
        Tipo de certificado
        Usuário.
        Formato do nome do assunto
        Customizado.
        Customizado
        CN gerado automaticamente.
        Nome alternativo do assunto
        Nome do principal do usuário (UPN).
        Período de validade do certificado
        1 ano.
        Provedor de armazenamento de chaves (KSP)
        Se disponível, inscreva-se em Trusted Platform Module (TPM) KSP, caso contrário, inscreva-se em Software KSP.
        Uso da chave
        Codificação da chave, assinatura digital.
        Tamanho da chave (bits)
        2048.
        Algoritmo hash
        SHA-2.
        Certificado raiz
        Selecione o perfil do certificado raiz criado e nomeado na etapa 11.
        Uso estendido da chave
        Selecione Autenticação do Cliente a partir do menu Valores Predefinidos .
        Limite de renovação
        20.
        URLs do servidor SCEP
        URL gerada automaticamente.
      5. Selecione Avançar e designe qualquer usuário ou grupo com o qual você deseja testar a conexão.
      6. Selecione Criar.
      7. Selecione Próximo.
  14. Configure os escopos do MDM.
    Siga as instruções.
    1. No centro de administração do Microsoft Endpoint Manager, selecione Todos os serviços > M365AzureActive Directory > AzureActive Directory > Mobilidade (MDM e MAM).
    2. Selecione Intune Microsoft para configurar o Intune.
    3. Selecione Alguns no escopo de usuários MDM para usar o cadastro automático MDM para gerenciar os dados corporativos nos dispositivos Windows™ dos seus funcionários.
      Os registros automáticos do MDM são configurados para dispositivos associados ao AAD e trazem seus próprios cenários de dispositivo
    4. Selecione Selecionar grupos > Grupos/usuários selecionados > Selecionar como grupo atribuído.
    5. Selecione Alguns a partir do escopo do MAM Usuários para gerenciar dados em dispositivos de sua força de trabalho.
    6. Selecione Selecionar grupos > Selecionar grupos/Usuários > Selecionar como o grupo atribuído.
    7. Use os valores padrão para os valores de configuração restantes.
    8. Selecione Salvar.
  15. Selecione Próximo.
  16. Teste a configuração.
    Siga as instruções.
  17. Selecione Configuração Completa.
    1. Revise suas configurações.
    2. Selecione Salvar mudanças.