Pular para o conteúdo principal
Português (Brasil)

Como usar o Microsoft Intune para enviar certificados de WiFi para dispositivos

Uma referência técnica abrangente para líderes de TI sobre a implantação de certificados de WiFi 802.1X via Microsoft Intune. Aborda a arquitetura SCEP vs PKCS, etapas de implementação, mapeamento de conformidade e cenários reais de implantação para ambientes corporativos.

📖 7 min de leitura📝 1,541 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
COMO USAR O MICROSOFT INTUNE PARA ENVIAR CERTIFICADOS DE WIFI PARA DISPOSITIVOS Um Informativo de Inteligência de WiFi Corporativo da Purple [INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto] Boas-vindas de volta. Estou falando hoje em nome da Purple, a plataforma de inteligência de WiFi corporativo, e este episódio é um informativo focado em um dos recursos mais práticos — e, honestamente, mais subestimados — do kit de ferramentas do Microsoft Intune: a implantação automatizada de certificados para autenticação WiFi 802.1X. Se você gerencia WiFi em uma rede de hotéis, uma rede de varejo, um estádio ou um complexo do setor público, conhece bem o problema que vou descrever. Você tem centenas ou milhares de dispositivos gerenciados. Você quer que eles se conectem ao seu WiFi corporativo de forma automática e segura, sem que os usuários digitem senhas e sem que a equipe de TI precise tocar em cada dispositivo. E você quer que essa conexão seja criptograficamente forte — não apenas uma senha compartilhada que alguém já enviou por e-mail para metade da organização. É exatamente isso que a implantação de certificados do Intune resolve. E nos próximos nove minutos, vou orientar você sobre como isso funciona, como implantar e as armadilhas que costumam pegar a maioria das equipes na primeira tentativa. [APROFUNDAMENTO TÉCNICO — aproximadamente 5 minutos] Vamos começar com a arquitetura. A base aqui é o IEEE 802.1X — o padrão de controle de acesso à rede baseado em porta que tem sido a espinha dorsal da segurança de WiFi corporativo por mais de duas décadas. Quando um dispositivo se conecta ao seu WiFi, o 802.1X exige que ele se autentique antes de obter qualquer acesso à rede. A conversa de autenticação ocorre entre três partes: o dispositivo — chamado de suplicante —, o seu ponto de acesso WiFi, que atua como o autenticador, e o seu servidor RADIUS, que é o servidor de autenticação que toma a decisão final. O 802.1X suporta múltiplos métodos de autenticação. O mais seguro é o EAP-TLS — Extensible Authentication Protocol com Transport Layer Security. O EAP-TLS usa autenticação mútua por certificado: o dispositivo apresenta um certificado para provar sua identidade, e o servidor RADIUS apresenta um certificado para provar a dele. Sem senhas envolvidas. Sem credenciais que possam ser alvo de phishing. É isso que estamos buscando. O desafio sempre foi instalar esses certificados nos dispositivos em escala. É aí que entra o Microsoft Intune. O Intune suporta dois mecanismos de implantação de certificados: SCEP — Simple Certificate Enrollment Protocol — e PKCS, que significa Public Key Cryptography Standards. Entender a diferença é fundamental. Com o SCEP, a chave privada é gerada no próprio dispositivo. O dispositivo cria uma Solicitação de Assinatura de Certificado (CSR), envia-a para a sua Autoridade Certificadora (CA) por meio de um servidor intermediário chamado NDES — Network Device Enrollment Service — e a CA emite o certificado de volta. A chave privada nunca sai do dispositivo. Essa é a abordagem mais segura e é recomendada para ambientes BYOD e implantações de alta segurança. Com o PKCS, a Autoridade Certificadora gera o par de chaves, e o Intune Certificate Connector entrega a chave privada e o certificado ao dispositivo. É mais simples de configurar — sem necessidade de servidor NDES — mas a chave privada transita pelo conector, o que é uma consideração para a sua postura de segurança. Para a maioria das implantações corporativas, eu recomendaria SCEP para BYOD e ambientes de dispositivos mistos, e PKCS onde você tem uma frota homogênea de dispositivos Windows de propriedade da empresa e deseja minimizar a complexidade da infraestrutura. Agora, vamos falar sobre a sequência de implantação — porque a ordem importa e errar aqui é a causa mais comum de falhas de implementação. Passo um: configure sua Autoridade Certificadora. Você precisa de um modelo de certificado em sua instância do Active Directory Certificate Services — ou, se você for totalmente nativo em nuvem, o Cloud PKI do Microsoft Intune agora está disponível de forma geral e elimina completamente a necessidade de uma CA local. O modelo precisa das extensões corretas de uso de chave: a Autenticação de Cliente é obrigatória. Defina o tamanho mínimo da chave para 2048 bits, ou 4096 se a política de segurança da sua organização exigir. Passo dois: implante o certificado raiz confiável. Antes que qualquer dispositivo possa validar o certificado do servidor RADIUS, ele precisa confiar na CA que o emitiu. Você cria um perfil de configuração de Certificado Confiável no Intune, faz o upload do certificado da CA raiz e o atribui aos seus grupos de dispositivos. Isso deve chegar aos dispositivos antes de qualquer perfil de WiFi ou perfil de certificado de cliente. Se você errar a sequência, os dispositivos rejeitarão o servidor RADIUS e você passará a tarde olhando para o Event ID 20271 no log de eventos do Windows. Passo três: implante o perfil de certificado de cliente. Este é o seu perfil SCEP — apontando para a URL do seu servidor NDES — ou o seu perfil PKCS, apontando para a sua Autoridade Certificadora. O Subject Alternative Name deve incluir o User Principal Name para certificados de usuário, ou o AAD Device ID para certificados de dispositivo. Essa distinção importa: certificados de usuário autenticam o usuário conectado, certificados de dispositivo autenticam a própria máquina, o que significa que o dispositivo pode se conectar ao WiFi antes de um usuário fazer login — útil para cenários de ingresso no domínio e implantações de quiosques. Passo quatro: crie o perfil de configuração de WiFi. No Intune, isso fica em Dispositivos, Perfis de Configuração, Modelos, Wi-Fi. Defina o tipo de WiFi como Enterprise, insira seu SSID, defina o tipo de EAP como EAP-TLS, configure as definições de confiança do servidor — é aqui que você faz referência ao nome do certificado do servidor RADIUS — e, para a autenticação do cliente, faça referência ao perfil de certificado que você criou no passo três. Passo cinco: atribua tudo aos grupos corretos e valide. Atribua seu certificado raiz, certificado de cliente e perfis de WiFi aos mesmos grupos de dispositivos ou usuários. Use os relatórios integrados do Intune para monitorar o status de implantação do perfil. Uma implantação bem-sucedida mostra todos os três perfis como Bem-sucedido na lista de perfis de configuração do dispositivo. Um ponto crítico na configuração do NPS para ambientes Windows Server: desde o início de 2024, a Microsoft endureceu os requisitos de mapeamento de certificados. Se você estiver usando certificados de dispositivo com dispositivos ingressados no Azure AD autenticando contra o NPS local, precisa garantir que o atributo altSecurityIdentities no objeto do computador no Active Directory esteja preenchido com a impressão digital (thumbprint) do certificado. Isso não acontece automaticamente — você precisa de um script ou de um fluxo de trabalho para lidar com isso, normalmente acionado quando a CA emite um novo certificado. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos] Deixe-me apresentar as três armadilhas que vejo com mais frequência em implantações corporativas. Armadilha um: lacunas na cadeia de certificados. O dispositivo precisa confiar em todos os certificados da cadeia, desde a CA raiz até o certificado do servidor RADIUS. Se o certificado do seu servidor RADIUS foi emitido por uma CA intermediária, você precisa implantar tanto a raiz quanto a intermediária nos dispositivos. Já vi implantações falharem por semanas porque alguém implantou a raiz, mas não a intermediária. Armadilha dois: tempo de atribuição do perfil. Os perfis do Intune não chegam aos dispositivos instantaneamente. Em um parque de grande porte, pode levar de 15 a 30 minutos para que os perfis se propaguem após a atribuição. Não teste imediatamente após criar os perfis. Use o botão Sincronizar no portal do Intune para forçar uma verificação e depois aguarde. Além disso, os perfis de certificado de cliente devem ser implantados e confirmados antes que o perfil de WiFi seja aplicado — se o perfil de WiFi fizer referência a um certificado que ainda não existe, o perfil falhará silenciosamente em algumas plataformas. Armadilha três: revogação de certificado BYOD. Quando um dispositivo é desvinculado do Intune — porque um funcionário sai ou um dispositivo é perdido —, você precisa de um processo para revogar o certificado. Se estiver usando SCEP com ADCS, configure o ponto de distribuição da Lista de Revogação de Certificados (CRL) corretamente e garanta que seu servidor RADIUS esteja verificando a CRL ou OCSP a cada autenticação. Este é um requisito de conformidade sob frameworks como o PCI DSS, que exige que os mecanismos de controle de acesso sejam revogados prontamente quando não forem mais necessários. Sobre o tema da conformidade: se você estiver operando dentro do escopo do PCI DSS — ambientes de pagamento de varejo, por exemplo —, a autenticação 802.1X baseada em certificado é o seu controle mais forte para acesso à rede sem fio. Ela atende ao Requisito 1.3 do PCI DSS sobre controles de acesso à rede e ao Requisito 8.6 sobre fatores de autenticação. Documente seu processo de gerenciamento do ciclo de vida dos certificados como parte de suas evidências de conformidade. Para ambientes regulamentados pelo GDPR, especialmente no setor de hospitalidade e no setor público, a separação entre a sua rede corporativa 802.1X e a sua rede guest WiFi é crítica. Sua rede corporativa gerenciada pelo Intune deve estar em uma VLAN e SSID completamente separados de qualquer rede de convidados ou visitantes. A plataforma de guest WiFi da Purple lida com a parte voltada para o visitante — Captive Portal, captura de consentimento, analytics — enquanto sua rede corporativa gerenciada pelo Intune lida com a equipe e os dispositivos operacionais. Essas duas redes nunca devem compartilhar a infraestrutura de autenticação. [PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto] Vou passar rapidamente por algumas perguntas que surgem com frequência. Posso usar o Intune Cloud PKI em vez do ADCS local? Sim. O Intune Cloud PKI da Microsoft, lançado em 2024, fornece uma CA totalmente gerenciada no Azure. Ele elimina a necessidade do servidor NDES para SCEP e simplifica significativamente a configuração do conector. Para novas implantações ou organizações sem infraestrutura ADCS existente, este é o caminho recomendado. Isso funciona para dispositivos macOS e iOS? Sim. O Intune oferece suporte a perfis de certificado para Windows, iOS, iPadOS, Android e macOS. Os tipos de perfil e as opções de configuração variam um pouco de acordo com a plataforma, mas a arquitetura principal — raiz confiável, certificado de cliente, perfil de WiFi — é consistente. E quanto aos dispositivos pessoais em um programa BYOD? O SCEP é seu aliado aqui. Com as políticas de conformidade de dispositivos do Intune, você pode exigir que um dispositivo atenda aos padrões mínimos de segurança antes que um certificado seja emitido. Se o dispositivo perder a conformidade — sem bloqueio de tela, sistema operacional desatualizado —, o certificado pode ser revogado e o acesso à rede removido automaticamente. A Purple pode se integrar a essa arquitetura? Com certeza. A plataforma da Purple fica do lado da rede de convidados, gerenciando a autenticação do Captive Portal, o gerenciamento de consentimento e o analytics. A rede corporativa 802.1X e o guest WiFi da Purple operam em paralelo — mesma infraestrutura física, diferentes SSIDs e VLANs —, proporcionando total separação entre a conectividade da equipe e o engajamento dos visitantes. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para resumir: a implantação de certificados de WiFi via Intune é um processo de cinco etapas — configuração da CA, implantação da raiz confiável, perfil de certificado do cliente, perfil de WiFi e atribuição de grupo. Escolha SCEP para BYOD e ambientes de alta segurança; PKCS para frotas corporativas mais simples. Acerte na sequência, trate o requisito de mapeamento de certificado NPS e crie um fluxo de trabalho de revogação de certificado desde o primeiro dia. O caso de negócios é simples: você elimina senhas de WiFi compartilhadas, obtém logs de autenticação por dispositivo e por usuário, atende aos requisitos de segurança sem fio PCI DSS e ISO 27001 e reduz a sobrecarga de TI no gerenciamento de credenciais de WiFi em um grande parque de dispositivos. Se você está planejando uma implantação e quer entender como a plataforma de WiFi para convidados e analytics da Purple se integra à arquitetura de rede corporativa, visite purple.ai. Temos guias detalhados sobre integração com Azure Entra ID, arquitetura 802.1X e design de rede de convidados para os setores de hotelaria, varejo e setor público. Obrigado por ouvir. Até a próxima.

header_image.png

Resumo Executivo

Para líderes de TI corporativos que gerenciam ambientes de grande escala em setores como Hospitalidade , Varejo ou locais do setor público, o acesso sem fio seguro é um requisito operacional básico. Depender de PSKs (Pre-Shared Keys) compartilhadas ou autenticação por nome de usuário/senha (PEAP-MSCHAPv2) expõe a rede a roubo de credenciais, phishing e falhas de conformidade. O padrão do setor para uma segurança robusta de WiFi corporativa é o 802.1X com EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), que exige autenticação mútua baseada em certificado entre o dispositivo e a rede.

No entanto, a principal barreira para a adoção do EAP-TLS historicamente tem sido a sobrecarga operacional do gerenciamento do ciclo de vida dos certificados. O Microsoft Intune resolve isso automatizando a entrega, renovação e revogação de certificados digitais para dispositivos gerenciados em escala.

Esta referência técnica detalha a arquitetura, as metodologias de implantação (SCEP vs PKCS) e as etapas de implementação necessárias para enviar certificados de WiFi via Microsoft Intune. Ela fornece orientações práticas para arquitetos de rede e engenheiros de sistemas encarregados de proteger as comunicações corporativas, mantendo uma separação estrita das redes de visitantes, como aquelas gerenciadas por uma plataforma de Guest WiFi .

Análise Técnica Detalhada: Arquitetura e Protocolos

Para implementar a autenticação baseada em certificado de forma eficaz, as equipes de TI devem compreender a interação entre a plataforma de Gerenciamento de Dispositivos Móveis (MDM), a Infraestrutura de Chaves Públicas (PKI) e a camada de controle de acesso à rede.

O Framework de Autenticação 802.1X

O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta. Em um contexto sem fio, ele impede que um dispositivo transmita qualquer tráfego (além de quadros de autenticação EAP) até que sua identidade seja verificada. A arquitetura consiste em três componentes:

  1. Suplicante: O dispositivo cliente (laptop, smartphone, tablet) que solicita acesso à rede.
  2. Autenticador: O ponto de acesso sem fio ou controlador de LAN sem fio que bloqueia o tráfego até que a autenticação seja bem-sucedida.
  3. Servidor de Autenticação: O servidor RADIUS (Remote Authentication Dial-In User Service), como o Microsoft Network Policy Server (NPS) ou Cisco ISE, que valida as credenciais e autoriza o acesso.

EAP-TLS e Autenticação Mútua

O EAP-TLS é o método EAP mais seguro porque exige autenticação mútua. O servidor RADIUS apresenta seu certificado ao suplicante para provar que é a rede corporativa legítima (evitando ataques do tipo evil-twin), e o suplicante apresenta seu certificado de cliente ao servidor RADIUS para provar que é um dispositivo ou usuário autorizado.

architecture_overview.png

Mecanismos de Implantação de Certificados do Intune: SCEP vs PKCS

O Microsoft Intune suporta dois protocolos principais para implantar certificados de cliente em dispositivos. A seleção do mecanismo apropriado é uma decisão arquitetônica crítica.

Simple Certificate Enrollment Protocol (SCEP)

Com o SCEP, a chave privada é gerada diretamente no dispositivo cliente. O dispositivo cria uma Solicitação de Assinatura de Certificado (CSR) e a envia via Intune ao servidor do Network Device Enrollment Service (NDES), que atua como um proxy para a infraestrutura do Active Directory Certificate Services (ADCS). A CA emite o certificado, que é retornado ao dispositivo.

Como a chave privada nunca sai do dispositivo, o SCEP é considerado altamente seguro e é a abordagem recomendada para implantações de BYOD (Bring Your Own Device) e arquiteturas de zero-trust.

Public Key Cryptography Standards (PKCS)

Com o PKCS, o Intune Certificate Connector solicita o certificado à CA em nome do dispositivo. A CA gera tanto o certificado público quanto a chave privada, que o conector então entrega de forma segura ao dispositivo via Intune.

Embora o PKCS simplifique os requisitos de infraestrutura (nenhum servidor NDES é necessário), a chave privada é transmitida pela rede. Este modelo é geralmente aceitável para frotas de dispositivos totalmente gerenciados e de propriedade corporativa, onde a plataforma MDM já é um componente de alta confiança.

certificate_deployment_comparison.png

Guia de Implementação: Implantação Passo a Passo

A implantação de certificados de WiFi via Intune requer um sequenciamento preciso. A implantação de perfis fora de ordem é a causa mais comum de falhas na implementação.

Passo 1: Preparar a Infraestrutura de Chaves Públicas (PKI)

Seja utilizando o ADCS local ou uma solução nativa em nuvem como o Microsoft Cloud PKI, a Autoridade Certificadora deve ser configurada com os modelos apropriados.

  • Uso da Chave: O modelo deve incluir o OID de Autenticação de Cliente (1.3.6.1.5.5.7.3.2).
  • Tamanho da Chave: Configure um tamanho mínimo de chave de 2048 bits (RSA) para alinhar-se com os padrões criptográficos modernos.
  • Nome do Assunto: Para certificados de usuário, o Nome Alternativo do Assunto (SAN) deve ser configurado para usar o User Principal Name (UPN). Para certificados de dispositivo, use o Azure AD Device ID.

Passo 2: Implantar o Certificado de Raiz Confiável

Antes que um dispositivo possa se autenticar, ele deve confiar na CA que emitiu o certificado do servidor RADIUS.

  1. Exporte o certificado da CA Raiz (e quaisquer certificados de CA intermediária) no formato .cer.
  2. No centro de administração do Intune, navegue até Dispositivos > Perfis de configuração > Criar perfil.
  3. Selecione a plataforma e escolha o tipo de perfil Certificado confiável.
  4. Faça o upload do arquivo .cer e atribua o perfil aos grupos de usuários ou dispositivos de destino.

Nota: Este perfil deve ser aplicado com sucesso aos dispositivos antes de prosseguir para as próximas etapas.

Passo 3: Implantar o Perfil de Certificado do Cliente

Crie um perfil de certificado SCEP ou PKCS para entregar o certificado de identidade ao solicitante.

  1. Navegue até Dispositivos > Perfis de configuração > Criar perfil.
  2. Selecione a plataforma e escolha Certificado SCEP ou Certificado PKCS.
  3. Configure o formato do Nome do Assunto e o SAN de acordo com seus requisitos de identidade (Usuário vs. Dispositivo).
  4. Especifique o Provedor de Armazenamento de Chaves (KSP) — normalmente o Trusted Platform Module (TPM) para segurança base de hardware.
  5. Atribua o perfil aos mesmos grupos definidos no Passo 2.

Passo 4: Configurar o Perfil de WiFi

O componente final vincula os certificados às configurações de rede sem fio.

  1. Navegue até Dispositivos > Perfis de configuração > Criar perfil.
  2. Selecione a plataforma e escolha o tipo de perfil Wi-Fi.
  3. Defina o tipo de Wi-Fi como Corporativo e insira o SSID exato.
  4. Defina o tipo de EAP como EAP-TLS.
  5. Em Confiança do Servidor, especifique o nome exato do certificado do servidor RADIUS e selecione o perfil de certificado de Raiz Confiável implantado no Passo 2.
  6. Em Autenticação do Cliente, selecione o perfil de certificado SCEP ou PKCS implantado no Passo 3.
  7. Atribua o perfil aos grupos de destino.

Melhores Práticas e Recomendações Estratégicas

Certificados de Dispositivo vs. de Usuário

Os arquitetos de rede devem decidir se emitem certificados para o dispositivo (autenticação de máquina) ou para o usuário (autenticação de usuário).

  • Certificados de Dispositivo: Permitem que a máquina se conecte à rede WiFi antes que o usuário faça login. Isso é essencial para o provisionamento inicial do dispositivo, processamento de Diretivas de Grupo e redefinições de senha na tela de login. Recomendado para dispositivos de propriedade da empresa.
  • Certificados de Usuário: Vinculam o acesso à rede à identidade do indivíduo. Isso fornece auditoria granular e controle de acesso baseado em funções. Recomendado para cenários de BYOD.

Segmentação de Rede e Acesso de Visitantes

Um princípio fundamental de segurança é a separação lógica estrita da rede corporativa 802.1X das redes de visitantes ou de acesso público. A infraestrutura gerenciada pelo Intune deve ser dedicada exclusivamente a dispositivos corporativos e funcionários autenticados. Para o acesso de visitantes, as organizações devem implantar um SSID de Guest WiFi dedicado, apoiado por um Captive Portal. Isso garante que os dispositivos não gerenciados fiquem isolados, permitindo que a empresa capture análises de visitantes por meio de uma plataforma de WiFi Analytics . Para saber mais sobre como proteger a infraestrutura de DNS em ambos os segmentos, consulte nosso guia sobre como Proteger sua Rede com DNS Forte e Segurança .

Atendendo ao Requisito de Mapeamento de Certificado do NPS

Para organizações que utilizam o Microsoft Network Policy Server (NPS) com dispositivos associados ao Azure AD, uma alteração de configuração crítica foi introduzida pela Microsoft. O NPS agora exige um mapeamento forte de certificados.

Ao usar certificados de dispositivo, o objeto de computador no Active Directory local deve ter seu atributo altSecurityIdentities preenchido com os detalhes do certificado (geralmente o X509IssuerSerialNumber). As equipes de TI devem implementar um script agendado ou um fluxo de trabalho baseado em eventos para atualizar esse atributo quando o Intune emitir um novo certificado, caso contrário, a autenticação falhará.

Solução de Problemas e Mitigação de Riscos

Quando uma implantação 802.1X falha, o problema quase sempre reside na cadeia de certificados ou no sequenciamento do perfil do Intune.

Modos de Falha Comuns

  1. Falha Silenciosa do Perfil de WiFi: Se o perfil de WiFi do Intune for aplicado a um dispositivo antes que o certificado do cliente tenha sido provisionado com sucesso, o perfil de WiFi geralmente falhará ao instalar ou falhará silenciosamente. Sempre verifique a presença do certificado no repositório Pessoal do dispositivo (certmgr.msc no Windows) antes de solucionar problemas na configuração de WiFi.
  2. Erros de Validação de Confiança do Servidor: Se o dispositivo rejeitar o servidor RADIUS, verifique se o nome do servidor especificado no perfil de WiFi do Intune corresponde exatamente ao Subject Name ou SAN no certificado do servidor RADIUS. Além disso, certifique-se de que toda a cadeia de certificados (Raiz e Intermediária) esteja presente no repositório de Autoridades de Certificação Raiz Confiáveis do dispositivo.
  3. Indisponibilidade da Lista de Revogação de Certificados (CRL): Se o servidor RADIUS não conseguir acessar o ponto de distribuição da CRL da CA para verificar o status do certificado do cliente, a autenticação será negada. Certifique-se de que a URL da CRL esteja altamente disponível e acessível a partir do servidor RADIUS.

ROI e Impacto nos Negócios

A transição para a autenticação de WiFi baseada em certificados via Intune oferece retornos operacionais e de segurança significativos.

  • Mitigação de Riscos: Elimina o risco de colheita de credenciais, ataques de pass-the-hash e acesso não autorizado à rede por meio de PSKs compartilhadas.
  • Eficiência Operacional: Reduz os chamados de suporte de TI relacionados a expirações de senhas e problemas de conectividade WiFi. O gerenciamento automatizado do ciclo de vida significa que os certificados são renovados de forma transparente, sem a intervenção do usuário.* Habilitação de Conformidade: Atende a requisitos regulatórios rigorosos. Para ambientes de varejo, aborda diretamente os requisitos do PCI DSS para criptografia e autenticação sem fio robustas. Para o setor público e saúde, alinha-se com os princípios de acesso à rede de confiança zero (ZTNA).

Ao aproveitar o Microsoft Intune para a implantação de certificados, as equipes de TI podem obter uma experiência sem fio altamente segura e sem atritos que opera silenciosamente em segundo plano, permitindo que a empresa se concentre em suas operações principais.

Definições principais

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que impede que dispositivos não autorizados acessem uma LAN ou WLAN até que se autentiquem com sucesso.

O protocolo de segurança fundamental que substitui senhas de WiFi compartilhadas por autenticação de nível empresarial em ambientes corporativos.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um framework de autenticação que exige que tanto o cliente quanto o servidor comprovem suas identidades usando certificados digitais.

O protocolo específico configurado no perfil de WiFi do Intune para impor a autenticação mútua de certificados, eliminando o risco de roubo de credenciais.

SCEP

Simple Certificate Enrollment Protocol. Um mecanismo onde o dispositivo cliente gera sua própria chave privada e solicita um certificado à CA por meio de um servidor intermediário.

O método de implantação preferido para ambientes BYOD porque a chave privada nunca é transmitida pela rede.

PKCS

Public Key Cryptography Standards. No contexto do Intune, um método de implantação onde a CA gera a chave privada e o Intune Connector a entrega de forma segura ao dispositivo.

Uma arquitetura de implantação mais simples, frequentemente usada para frotas de dispositivos de propriedade da empresa, pois elimina a necessidade de um servidor NDES.

NDES

Network Device Enrollment Service. Uma função de servidor Microsoft que atua como um proxy, permitindo que dispositivos em execução sem credenciais de domínio obtenham certificados de uma Autoridade de Certificação do Active Directory.

Um componente de infraestrutura obrigatório ao implantar certificados via SCEP em um ambiente ADCS local.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O servidor (como Microsoft NPS ou Cisco ISE) que recebe a solicitação de autenticação do ponto de acesso WiFi e valida o certificado do dispositivo.

Supplicant

O cliente de software no dispositivo do usuário final (laptop, smartphone) que inicia o processo de autenticação 802.1X.

O perfil de WiFi do Intune configura o suplicante nativo do sistema operacional (por exemplo, Windows WLAN AutoConfig) para usar os certificados e métodos EAP corretos.

Certificate Revocation List (CRL)

Uma lista assinada digitalmente publicada pela Autoridade de Certificação contendo os números de série dos certificados que foram revogados e não devem mais ser confiáveis.

Crucial para a conformidade de segurança; o servidor RADIUS deve verificar a CRL para garantir que um dispositivo conectado não tenha sido relatado como perdido ou roubado.

Exemplos práticos

Uma rede de varejo com 400 locais está implantando tablets de propriedade corporativa para gerenciamento de estoque. Os dispositivos são totalmente gerenciados via Intune e integrados ao Azure AD. Eles precisam de acesso imediato à rede ao iniciar para sincronizar os bancos de dados de estoque, antes que qualquer usuário específico faça login. A infraestrutura de rede usa o Cisco ISE como servidor RADIUS. Qual é a estratégia ideal de implantação de certificados?

A equipe de TI deve implementar certificados de dispositivo PKCS.

  1. Configure um modelo de certificado de dispositivo na CA.
  2. Implante o certificado da CA Raiz nos tablets via Intune.
  3. Crie um perfil de certificado PKCS no Intune, definindo o formato do Nome do Assunto para o ID do Dispositivo do Azure AD ({{AAD_Device_ID}}).
  4. Crie um perfil de WiFi corporativo especificando EAP-TLS, fazendo referência ao nome do certificado do servidor ISE e ao perfil PKCS implantado.
  5. Atribua todos os perfis ao grupo de dispositivos que contém os tablets.
Comentário do examinador: O PKCS é apropriado aqui porque os dispositivos são de propriedade corporativa e totalmente gerenciados, reduzindo o risco associado ao trânsito de chaves privadas. Os certificados de dispositivo são obrigatórios porque os tablets exigem acesso à rede antes do login do usuário. Ao direcionar o ID do Dispositivo do Azure AD, o Cisco ISE pode autenticar o ativo de hardware específico e atribuí-lo à VLAN de estoque restrita correta.

Um grande hospital universitário permite que a equipe médica use seus smartphones pessoais (BYOD) para acessar aplicativos de agendamento clínico. Os dispositivos são registrados no Intune por meio de um Perfil de Trabalho. A política de segurança exige que nenhuma credencial corporativa seja armazenada em dispositivos pessoais e o acesso à rede deve ser revogado imediatamente se um dispositivo for comprometido. Como a autenticação WiFi deve ser projetada?

O hospital deve implementar certificados de usuário SCEP combinados com Políticas de Conformidade do Intune.

  1. Implante um servidor NDES para intermediar as solicitações para a CA.
  2. Crie um perfil de certificado de usuário SCEP no Intune, com o SAN configurado para o Nome Principal do Usuário ({{UserPrincipalName}}).
  3. Crie uma Política de Conformidade do Intune que exija uma versão mínima do sistema operacional, um bloqueio de tela ativo e nenhum acesso jailbreak/root.
  4. Configure a CA para publicar uma Lista de Revogação de Certificados (CRL) de alta disponibilidade.
  5. Configure o servidor RADIUS para impor estritamente a verificação de CRL em cada tentativa de autenticação.
Comentário do examinador: O SCEP é a única escolha aceitável para BYOD porque a chave privada é gerada no dispositivo pessoal e não pode ser interceptada. Os certificados de usuário são necessários para vincular a atividade de rede ao médico específico para fins de auditoria da HIPAA/GDPR. O componente crítico é a integração com as Políticas de Conformidade do Intune; se um dispositivo se tornar não conforme, o Intune pode acionar a revogação do certificado e a verificação de CRL do servidor RADIUS bloqueará imediatamente o acesso à rede.

Questões práticas

Q1. Sua organização está migrando de PEAP-MSCHAPv2 (usuário/senha) para EAP-TLS para o WiFi corporativo. Durante a fase piloto, vários laptops com Windows 11 recebem os perfis de configuração do Intune com sucesso, mas falham ao se conectar à rede. A revisão dos Logs de Eventos do Windows mostra o Event ID 20271 indicando que o certificado do servidor RADIUS foi rejeitado. Qual é a causa mais provável?

Dica: Considere a cadeia de confiança necessária para a autenticação mútua.

Ver resposta modelo

Os dispositivos não possuem o certificado da CA Raiz Confiável que emitiu o certificado do servidor RADIUS. No EAP-TLS, o dispositivo deve validar a identidade do servidor RADIUS. A equipe de TI deve garantir que o perfil de 'Certificado confiável' contendo a CA Raiz (e quaisquer CAs Intermediárias) seja implantado nos dispositivos via Intune e instalado com sucesso antes que o perfil de WiFi tente se conectar.

Q2. Um local do setor público está implantando o 802.1X para dispositivos de funcionários usando o Intune e certificados PKCS. Eles também operam uma rede de visitantes separada gerenciada por uma plataforma de Guest WiFi. Um auditor observa que, se um laptop de funcionário for roubado, o certificado permanece válido por 12 meses. Como o arquiteto de rede deve abordar esse risco?

Dica: Como o servidor de autenticação sabe que um certificado não é mais válido antes de expirar?

Ver resposta modelo

O arquiteto deve implementar um fluxo de trabalho robusto de Revogação de Certificados. Primeiro, garantir que a CA publique uma Lista de Revogação de Certificados (CRL) em um ponto de distribuição altamente disponível. Segundo, configurar o servidor RADIUS (por exemplo, NPS) para exigir a verificação de CRL durante cada tentativa de autenticação. Por fim, estabelecer um procedimento operacional no Intune para revogar explicitamente o certificado de qualquer dispositivo marcado como perdido ou roubado, o que atualiza a CRL e bloqueia o acesso à rede.

Q3. Você está projetando a implantação do Intune para uma frota de dispositivos de quiosque compartilhados em um ambiente de varejo. Esses dispositivos reiniciam diariamente e devem se conectar imediatamente à rede corporativa para baixar atualizações antes que qualquer usuário interaja com eles. Você deve implantar certificados de Usuário ou certificados de Dispositivo, e qual formato de Subject Alternative Name (SAN) deve ser usado?

Dica: Considere o estado do dispositivo imediatamente após uma reinicialização.

Ver resposta modelo

Você deve implantar certificados de Dispositivo. Como os quiosques precisam de acesso à rede antes que um usuário faça login, um certificado de Usuário estaria indisponível no momento da inicialização. O Subject Alternative Name (SAN) no perfil de certificado do Intune deve ser configurado para usar o Azure AD Device ID ({{AAD_Device_ID}}) ou o nome de domínio totalmente qualificado do dispositivo, permitindo que o servidor RADIUS autentique o ativo de hardware específico.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →