Compartilhar via

Planear permissões de modelos de certificado para perfis de certificado no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Importante

A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.

As seguintes informações podem ajudá-lo a planear como configurar permissões para os modelos de certificado que o Configuration Manager utiliza quando implementa perfis de certificado.

Considerações e Permissões de Segurança Predefinidas

As permissões de segurança predefinidas necessárias para os modelos de certificado que Configuration Manager utilizarão para pedir certificados para utilizadores e dispositivos são as seguintes:

  • Ler e Inscrever na conta que o conjunto aplicacional do Serviço de Inscrição de Dispositivos de Rede utiliza

  • Ler para a conta que executa a consola do Configuration Manager

    Para obter mais informações sobre estas permissões de segurança, veja Configurar a infraestrutura de certificados.

    Quando utiliza esta configuração predefinida, os utilizadores e os dispositivos não podem pedir diretamente certificados aos modelos de certificado e todos os pedidos têm de ser iniciados pelo Serviço de Inscrição de Dispositivos de Rede. Esta é uma restrição importante, porque estes modelos de certificado têm de ser configurados com a opção Fornecer no pedido para o Requerente do certificado, o que significa que existe um risco de representação se um utilizador não autorizado ou um dispositivo comprometido pedir um certificado. Na configuração predefinida, o Serviço de Inscrição de Dispositivos de Rede tem de iniciar esse pedido. No entanto, este risco de representação permanece se o serviço que executa o Serviço de Inscrição de Dispositivos de Rede estiver comprometido. Para ajudar a evitar este risco, siga todas as melhores práticas de segurança para o Serviço de Inscrição de Dispositivos de Rede e o computador que executa este serviço de função.

    Se as permissões de segurança predefinidas não cumprirem os seus requisitos empresariais, tem outra opção para configurar as permissões de segurança nos modelos de certificado: pode adicionar permissões de Leitura e Inscrição para utilizadores e computadores.

Adicionar Permissões de Leitura e Inscrição para Utilizadores e Computadores

Adicionar permissões de Leitura e Inscrição para utilizadores e computadores poderá ser apropriado se uma equipa separada gerir a equipa de infraestrutura da sua autoridade de certificação (AC) e essa equipa separada quiser que Configuration Manager verifique se os utilizadores têm uma conta Active Directory Domain Services válida antes de lhes enviar um perfil de certificado para pedir a um utilizador certificado. Para esta configuração, tem de especificar um ou mais grupos de segurança que contenham os utilizadores e, em seguida, conceder a esses grupos permissões de Leitura e Inscrição nos modelos de certificado. Neste cenário, o administrador da AC gere o controlo de segurança.

Da mesma forma, pode especificar um ou mais grupos de segurança que contêm contas de computador e conceder a estes grupos permissões de Leitura e Inscrição nos modelos de certificado. Se implementar um perfil de certificado de computador num computador que seja membro do domínio, a conta de computador desse computador tem de ter permissões de Leitura e Inscrição. Estas permissões não são necessárias se o computador não for um membro do domínio. Por exemplo, se for um computador de grupo de trabalho ou um dispositivo móvel pessoal.

Embora esta configuração utilize outro controlo de segurança, não a recomendamos como melhor prática. O motivo é que os utilizadores ou proprietários especificados dos dispositivos podem pedir certificados independentemente do Configuration Manager e fornecer valores para o Requerente do certificado que pode ser utilizado para representar outro utilizador ou dispositivo.

Além disso, se especificar contas que não podem ser autenticadas no momento em que o pedido de certificado ocorre, o pedido de certificado falhará por predefinição. Por exemplo, o pedido de certificado falhará se o servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede estiver numa floresta do Active Directory que não é fidedigna pela floresta que contém o servidor do sistema de sites do ponto de registo de certificados. Pode configurar o ponto de registo de certificados para continuar se uma conta não puder ser autenticada porque não há resposta de um controlador de domínio. No entanto, esta não é uma melhor prática de segurança.

Se o ponto de registo de certificados estiver configurado para marcar para permissões de conta e um controlador de domínio estiver disponível e rejeitar o pedido de autenticação (por exemplo, a conta está bloqueada ou foi eliminada), o pedido de inscrição de certificados falhará.

Para marcar para permissões de Leitura e Inscrição para utilizadores e computadores membros do domínio

  1. No servidor do sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Se uma conta não puder ser autenticada porque não há resposta de um controlador de domínio e quiser ignorar as permissões marcar:

    • No servidor do sistema de sites que aloja o ponto de registo de certificados, crie a seguinte chave de registo DWORD para ter um valor de 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. Na AC emissora, no separador Segurança nas propriedades do modelo de certificado, adicione um ou mais grupos de segurança para conceder permissões de Leitura e Inscrição às contas de utilizador ou dispositivo.