Compartilhar via

Prepare certificados e perfis de rede da Área de trabalho gerenciada da Microsoft

  • Artigo

A autenticação baseada em certificado é um requisito comum para clientes que usam o Microsoft Managed Desktop. Você pode exigir certificados para:

  • Acesso Wi-Fi ou LAN
  • Conectar-se a soluções VPN
  • Acessar recursos internos em sua organização

Uma vez que os dispositivos do Microsoft Managed Desktop estão associados a Microsoft Entra ID e são geridos por Microsoft Intune, tem de implementar esses certificados com:

  • Protocolo SCEP (SCEP) ou
  • Infraestrutura de certificado PKCS (Public Key Cryptography Standard) integrada ao Intune.

Requisitos de Certificação

Os certificados raiz são necessários para implantar certificados por meio de uma infraestrutura SCEP ou PKCS. Outros aplicativos e serviços em sua organização podem exigir que certificados raiz sejam implantados em seus dispositivos do Microsoft Managed Desktop.

Antes de implantar certificados SCEP ou PKCS no Microsoft Managed Desktop, você deve reunir os requisitos para cada serviço que requer um certificado de usuário ou dispositivo em sua organização. Para facilitar essa atividade, você pode usar um dos seguintes modelos de planejamento:

Requisitos de conectividade Wi-Fi

Para permitir que um dispositivo seja fornecido automaticamente com a configuração de Wi-Fi necessária para sua rede corporativa, você pode precisar de um perfil de configuração de Wi-Fi.

Você pode configurar o Microsoft Managed Desktop para implantar esses perfis em seus dispositivos. Se a segurança de sua rede exigir que os dispositivos façam parte do domínio local, talvez seja necessário avaliar sua infraestrutura de rede Wi-Fi para garantir que ela seja compatível com os dispositivos do Microsoft Managed Desktop. Os dispositivos do Microsoft Managed Desktop são Microsoft Entra apenas associados.

Antes de implantar uma configuração de Wi-Fi em dispositivos do Microsoft Managed Desktop, você precisará reunir os requisitos de sua organização para cada rede Wi-Fi. Para facilitar essa atividade, você pode usar este modelo de perfil WiFi.

Requisitos de conectividade com fio e autenticação 802.1x

Se você usar a autenticação 802.1x para proteger o acesso de dispositivos à sua rede local (LAN), precisará enviar os detalhes de configuração necessários para seus dispositivos do Microsoft Managed Desktop.

Os dispositivos do Microsoft Managed Desktop que executam o Windows 10, versão 1809 ou posterior dão suporte à implantação de uma configuração 802.1x por meio do provedor de serviços de configuração WiredNetwork (CSP). Para obter mais informações, consulte a documentação do WiredNetwork CSP.

Antes de implantar um perfil de configuração de rede com fio em dispositivos do Microsoft Managed Desktop, reúna os requisitos da sua organização para sua rede corporativa com fio.

Para reunir os requisitos de rede corporativa com fio:

  1. Conecte-se a um dispositivo que tenha seu perfil 802.1x existente configurado e esteja conectado à rede LAN.
  2. Abra um prompt de comando com credenciais administrativas.
  3. Localize o nome da interface LAN executando netsh interface show interface.
  4. Exporte o XML do perfil de LAN executando netsh lan export profile folder=. Interface=”interface_name”.
  5. Se você precisar testar seu perfil exportado no dispositivo Microsoft Managed Desktop, execute netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

Implantar infraestrutura de certificados

Se você já tiver uma infraestrutura SCEP ou PKCS existente com o Intune e essa abordagem atender aos seus requisitos, também poderá usá-la para o Microsoft Managed Desktop.

Se já não existir nenhuma infraestrutura SCEP ou PKCS, você terá que preparar uma. Para obter mais informações, consulte Configurar um perfil de certificado para seus dispositivos no Microsoft Intune.

Implantar um perfil de LAN

Depois que seu perfil de LAN for exportado, você poderá preparar a política para o Microsoft Managed Desktop.

Para preparar a política para o Microsoft Managed Desktop:

  1. Crie um perfil personalizado no Microsoft Intune para o perfil de LAN usando as seguintes configurações (consulte Usar configurações personalizadas para dispositivos Windows 10 no Intune). Em Configurações Personalizadas de OMA-URI, selecione Adicionar e insira os seguintes valores:
    • Nome: Perfil de LAN do Modern Workplace-Windows 10
    • Descrição: Insira uma descrição que proporciona uma visão geral da configuração e demais detalhes importantes.
    • OMA-URI (diferencia maiúsculas de minúsculas): insira ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • Tipo de dados: selecione Cadeia de caracteres (arquivo XML).
    • XML personalizado: carregue o arquivo XML exportado.
  2. Atribua o perfil personalizado ao grupo Dispositivos do Modern Workplace - Teste.
  3. Faça qualquer teste que achar necessário usando um dispositivo que esteja no grupo de implantação de teste. Se for bem-sucedido, atribua o perfil personalizado aos seguintes grupos:
    • Dispositivos do Modern Workplace- Primeiro
    • Dispositivos do Modern Workplace - Rápidos
    • Dispositivos do Modern Workplace - Amplo

Implantar certificados e perfil Wi-Fi/VPN

Para implantar certificados e perfis:

  1. Crie um perfil para cada um dos certificados Raiz e Intermediário (consulte Criar perfis de certificados confiáveis. Cada um desses perfis deve ter uma descrição que inclua uma data de expiração no formato DD/MM/AAAA. Os perfis de certificado devem ter uma data de validade.
  2. Crie um perfil para cada certificado SCEP ou PKCS (consulte Criar um perfil de certificado SCEP ou Criar um perfil de certificado PKCS). Cada um desses perfis deve ter uma descrição que inclua uma data de expiração no formato DD/MM/AAAA. Os perfis de certificado devem ter uma data de validade.
  3. Crie um perfil para cada rede Wi-Fi corporativa (consulte Configurações de Wi-Fi para dispositivos Windows 10 e posteriores).
  4. Crie um perfil para cada VPN corporativa (consulte Configurações do dispositivo Windows 10 e Windows Holographic para adicionar conexões VPN usando o Intune).
  5. Atribua os perfis ao grupo Dispositivos do Modern Workplace - Teste.
  6. Faça qualquer teste que achar necessário usando um dispositivo que esteja no grupo de implantação de teste. Se for bem-sucedido, atribua o perfil personalizado aos seguintes grupos:
    • Dispositivos do Modern Workplace- Primeiro
    • Dispositivos do Modern Workplace - Rápidos
    • Dispositivos do Modern Workplace - Amplo