Planejando permissões de modelo de certificado para perfis de certificado em Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Importante
A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, consulte Perguntas frequentes sobre a preterição do acesso ao recurso.
As informações a seguir podem ajudar você a planejar como configurar permissões para os modelos de certificado que Configuration Manager usa ao implantar perfis de certificado.
Permissões e considerações de segurança padrão
As permissões de segurança padrão necessárias para os modelos de certificado que Configuration Manager usarão para solicitar certificados para usuários e dispositivos são as seguintes:
Ler e Registrar para a conta que o pool de aplicativos do Serviço de Registro de Dispositivo de Rede usa
Leia a conta que executa o console Configuration Manager
Para obter mais informações sobre essas permissões de segurança, consulte Configurando a infraestrutura de certificado.
Quando você usa essa configuração padrão, os usuários e dispositivos não podem solicitar diretamente certificados dos modelos de certificado e todas as solicitações devem ser iniciadas pelo Serviço de Registro de Dispositivo de Rede. Essa é uma restrição importante, pois esses modelos de certificado devem ser configurados com o Supply na solicitação para o assunto do certificado, o que significa que há um risco de representação se um usuário desonesto ou um dispositivo comprometido solicitar um certificado. Na configuração padrão, o Serviço de Registro de Dispositivo de Rede deve iniciar essa solicitação. No entanto, esse risco de representação permanecerá se o serviço que executa o Serviço de Registro de Dispositivo de Rede estiver comprometido. Para ajudar a evitar esse risco, siga todas as práticas recomendadas de segurança para o Serviço de Registro de Dispositivo de Rede e o computador que executa esse serviço de função.
Se as permissões de segurança padrão não atenderem aos seus requisitos comerciais, você terá outra opção para configurar as permissões de segurança nos modelos de certificado: você pode adicionar permissões de leitura e registro para usuários e computadores.
Adicionar permissões de leitura e registro para usuários e computadores
Adicionar permissões de leitura e registro para usuários e computadores pode ser apropriado se uma equipe separada gerenciar sua equipe de infraestrutura de autoridade de certificação (AC) e essa equipe separada quiser Configuration Manager para verificar se os usuários têm uma conta de Active Directory Domain Services válida antes de enviar um perfil de certificado para solicitar um usuário Certificado. Para essa configuração, você deve especificar um ou mais grupos de segurança que contenham os usuários e conceder a esses grupos permissões de leitura e registro nos modelos de certificado. Nesse cenário, o administrador da AC gerencia o controle de segurança.
Da mesma forma, você pode especificar um ou mais grupos de segurança que contêm contas de computador e conceder a esses grupos permissões de leitura e registro nos modelos de certificado. Se você implantar um perfil de certificado de computador em um computador que seja um membro de domínio, a conta de computador desse computador deverá receber permissões de leitura e registro. Essas permissões não serão necessárias se o computador não for um membro de domínio. Por exemplo, se for um computador de grupo de trabalho ou um dispositivo móvel pessoal.
Embora essa configuração use outro controle de segurança, não o recomendamos como uma prática recomendada. O motivo é que os usuários ou proprietários especificados dos dispositivos podem solicitar certificados independentemente de Configuration Manager e fornecer valores para a entidade de certificado que pode ser usada para representar outro usuário ou dispositivo.
Além disso, se você especificar contas que não podem ser autenticadas no momento em que a solicitação de certificado ocorrer, a solicitação de certificado falhará por padrão. Por exemplo, a solicitação de certificado falhará se o servidor que está executando o Serviço de Registro de Dispositivo de Rede estiver em uma floresta do Active Directory que não for confiável pela floresta que contém o servidor do sistema de site de ponto de registro de certificado. Você pode configurar o ponto de registro de certificado para continuar se uma conta não puder ser autenticada porque não há resposta de um controlador de domínio. No entanto, essa não é uma prática recomendada de segurança.
Se o ponto de registro de certificado estiver configurado para marcar para permissões de conta e um controlador de domínio estiver disponível e rejeitar a solicitação de autenticação (por exemplo, a conta está bloqueada ou foi excluída), a solicitação de registro de certificado falhará.
Para marcar para permissões de leitura e registro para usuários e computadores membros do domínio
No servidor do sistema de site que hospeda o ponto de registro de certificado, crie a seguinte chave de registro DWORD para ter um valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Se uma conta não puder ser autenticada porque não há resposta de um controlador de domínio, e você deseja ignorar as permissões marcar:
- No servidor do sistema de site que hospeda o ponto de registro de certificado, crie a seguinte chave de registro DWORD para ter um valor de 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
Na AC emissora, na guia Segurança nas propriedades do modelo de certificado, adicione um ou mais grupos de segurança para conceder permissões de leitura e registro às contas de usuário ou dispositivo.