Saltar para o conteúdo principal
Português

Como Utilizar o Microsoft Intune para Enviar Certificados de WiFi para Dispositivos

Uma referência técnica abrangente para líderes de TI sobre a implementação de certificados de WiFi 802.1X através do Microsoft Intune. Aborda a arquitetura SCEP vs PKCS, passos de implementação, mapeamento de conformidade e cenários reais de implementação para ambientes empresariais.

📖 7 min de leitura📝 1,541 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
COMO UTILIZAR O MICROSOFT INTUNE PARA ENVIAR CERTIFICADOS DE WIFI PARA DISPOSITIVOS Uma Apresentação de Informação sobre WiFi Intelligence da Purple Enterprise [INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto] Bem-vindo de volta. Falo hoje em nome da Purple, a plataforma de WiFi intelligence empresarial, e este episódio é uma apresentação focada numa das capacidades mais práticas — e, honestamente, mais subestimadas — do conjunto de ferramentas do Microsoft Intune: a implementação automatizada de certificados para autenticação WiFi 802.1X. Se gere o WiFi numa rede de hotéis, numa cadeia de retalho, num estádio ou numa infraestrutura do setor público, conhece bem o problema que vou descrever. Tem centenas ou milhares de dispositivos geridos. Quer que eles se liguem ao seu WiFi corporativo de forma automática e segura, sem que os utilizadores tenham de introduzir palavras-passe e sem que a equipa de TI tenha de intervir em cada dispositivo individualmente. E quer que essa ligação seja criptograficamente forte — e não apenas uma palavra-passe partilhada que alguém já enviou por e-mail para metade da organização. É exatamente isso que a implementação de certificados do Intune resolve. E nos próximos nove minutos, vou explicar-lhe como funciona, como implementá-la e as armadilhas que apanham a maioria das equipas na primeira tentativa. [APROFUNDAMENTO TÉCNICO — aproximadamente 5 minutos] Comecemos pela arquitetura. A base aqui é o IEEE 802.1X — o padrão de controlo de acesso à rede baseado em portas que tem sido a espinha dorsal da segurança de WiFi empresarial há mais de duas décadas. Quando um dispositivo se liga ao seu WiFi, o 802.1X exige que este se autentique antes de obter qualquer acesso à rede. A comunicação de autenticação ocorre entre três partes: o dispositivo — designado por suplicante —, o seu ponto de acesso WiFi, que funciona como autenticador, e o seu servidor RADIUS, que é o servidor de autenticação que toma a decisão final. Ora, o 802.1X suporta múltiplos métodos de autenticação. O mais seguro é o EAP-TLS — Extensible Authentication Protocol com Transport Layer Security. O EAP-TLS utiliza autenticação mútua por certificado: o dispositivo apresenta um certificado para provar a sua identidade e o servidor RADIUS apresenta um certificado para provar a sua. Sem palavras-passe envolvidas. Sem credenciais que possam ser alvo de phishing. É este o nosso objetivo. O desafio sempre foi colocar esses certificados nos dispositivos à escala. É aí que entra o Microsoft Intune. O Intune suporta dois mecanismos de implementação de certificados: SCEP — Simple Certificate Enrollment Protocol — e PKCS, que significa Public Key Cryptography Standards. Compreender a diferença é fundamental. Com o SCEP, a chave privada é gerada no próprio dispositivo. O dispositivo cria um Pedido de Assinatura de Certificado (CSR), envia-o para a sua Autoridade de Certificação (CA) através de um servidor intermediário chamado NDES — Network Device Enrollment Service — e a CA emite o certificado de volta. A chave privada nunca sai do dispositivo. Esta é a abordagem mais segura e é recomendada para ambientes BYOD e implementações de alta segurança. Com o PKCS, a Autoridade de Certificação gera o par de chaves e o Intune Certificate Connector entrega a chave privada e o certificado ao dispositivo. É mais simples de configurar — não requer servidor NDES — mas a chave privada transita pelo conector, o que é uma consideração para a sua postura de segurança. Para a maioria das implementações empresariais, recomendo o SCEP para ambientes BYOD e de dispositivos mistos, e o PKCS onde tem uma frota homogénea de dispositivos Windows propriedade da empresa e deseja minimizar a complexidade da infraestrutura. Agora, vamos falar sobre a sequência de implementação — porque a ordem importa e errar aqui é a causa mais comum de falhas nas implementações. Passo um: configure a sua Autoridade de Certificação. Precisa de um modelo de certificado na sua instância do Active Directory Certificate Services — ou, se for totalmente nativo na nuvem, o Intune Cloud PKI da Microsoft está agora geralmente disponível e elimina totalmente o requisito de CA local. O modelo precisa das extensões de utilização de chave corretas: a Autenticação de Cliente é obrigatória. Defina o tamanho mínimo da chave para 2048 bits, ou 4096 se a política de segurança da sua organização o exigir. Passo dois: implemente o certificado raiz fidedigno. Antes de qualquer dispositivo poder validar o certificado do servidor RADIUS, precisa de confiar na CA que o emitiu. Cria um perfil de configuração de Certificado Fidedigno no Intune, carrega o certificado da CA raiz e atribui-o aos seus grupos de dispositivos. Isto deve chegar aos dispositivos antes de qualquer perfil de WiFi ou perfil de certificado de cliente. Se errar na sequência, os dispositivos rejeitarão o servidor RADIUS e passará uma tarde a olhar para o Event ID 20271 no registo de eventos do Windows. Passo três: implemente o perfil de certificado de cliente. Este será o seu perfil SCEP — a apontar para o URL do seu servidor NDES — ou o seu perfil PKCS, a apontar para a sua Autoridade de Certificação. O Subject Alternative Name deve incluir o User Principal Name para certificados de utilizador, ou o AAD Device ID para certificados de dispositivo. Esta distinção importa: os certificados de utilizador autenticam o utilizador com sessão iniciada, os certificados de dispositivo autenticam a própria máquina, o que significa que o dispositivo se pode ligar ao WiFi antes de um utilizador iniciar sessão — útil para cenários de adesão ao domínio e implementações de quiosques. Passo quatro: crie o perfil de configuração de WiFi. No Intune, isto encontra-se em Dispositivos, Perfis de Configuração, Modelos, Wi-Fi. Defina o tipo de WiFi para Enterprise, introduza o seu SSID, defina o tipo de EAP para EAP-TLS, configure as definições de fidedignidade do servidor — é aqui que faz referência ao nome do certificado do servidor RADIUS — e, para a autenticação do cliente, faça referência ao perfil de certificado que criou no passo três. Passo cinco: atribua tudo aos grupos certos e valide. Atribua o seu certificado raiz, certificado de cliente e perfis de WiFi aos mesmos grupos de dispositivos ou utilizadores. Utilize os relatórios integrados do Intune para monitorizar o estado de implementação dos perfis. Uma implementação bem-sucedida mostra os três perfis como Bem-sucedido na lista de perfis de configuração do dispositivo. Um ponto crítico na configuração do NPS para ambientes Windows Server: desde o início de 2024, a Microsoft reforçou os requisitos de mapeamento de certificados. Se estiver a utilizar certificados de dispositivo com dispositivos associados ao Azure AD que se autenticam num NPS local, deve garantir que o atributo altSecurityIdentities no objeto do computador no Active Directory está preenchido com o thumbprint do certificado. Isto não acontece automaticamente — precisa de um script ou de um fluxo de trabalho para lidar com isso, normalmente acionado quando a CA emite um novo certificado. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos] Deixe-me apresentar os três erros comuns que vejo com mais frequência em implementações empresariais. Erro um: lacunas na cadeia de certificados. O dispositivo precisa de confiar em todos os certificados da cadeia, desde a CA raiz até ao certificado do servidor RADIUS. Se o certificado do seu servidor RADIUS foi emitido por uma CA intermédia, precisa de implementar tanto a raiz como a intermédia nos dispositivos. Já vi implementações falharem durante semanas porque alguém implementou a raiz, mas não a intermédia. Erro dois: tempo de atribuição do perfil. Os perfis do Intune não chegam aos dispositivos instantaneamente. Numa infraestrutura de grande dimensão, pode demorar 15 a 30 minutos para que os perfis se propaguem após a atribuição. Não teste imediatamente após a criação dos perfis. Utilize o botão Sincronizar no portal do Intune para forçar uma verificação e, em seguida, aguarde. Além disso, os perfis de certificado de cliente devem ser implementados e confirmados antes de o perfil de WiFi ser aplicado — se o perfil de WiFi referenciar um certificado que ainda não existe, o perfil falhará silenciosamente em algumas plataformas. Erro três: revogação de certificados BYOD. Quando um dispositivo é desassociado do Intune — porque um funcionário sai ou um dispositivo é perdido — precisa de um processo para revogar o certificado. Se estiver a utilizar SCEP com ADCS, configure o ponto de distribuição da Lista de Revogação de Certificados corretamente e garanta que o seu servidor RADIUS está a verificar a CRL ou o OCSP em cada autenticação. Este é um requisito de conformidade sob estruturas como o PCI DSS, que exige que os mecanismos de controlo de acesso sejam revogados prontamente quando já não forem necessários. Sobre o tema da conformidade: se estiver a operar num âmbito PCI DSS — ambientes de pagamento de retalho, por exemplo — a autenticação 802.1X baseada em certificados é o seu controlo mais forte para o acesso à rede sem fios. Satisfaz o Requisito 1.3 do PCI DSS relativo a controlos de acesso à rede e o Requisito 8.6 relativo a fatores de autenticação. Documente o seu processo de gestão do ciclo de vida dos certificados como parte das suas provas de conformidade. Para ambientes regulados pelo GDPR, particularmente na hotelaria e no setor público, a separação entre a sua rede corporativa 802.1X e a sua rede WiFi de convidados é crítica. A sua rede gerida pelo Intune corporativo deve estar numa VLAN e SSID completamente separadas de qualquer rede de convidados ou visitantes. A plataforma de WiFi de convidados da Purple lida com a parte voltada para o visitante — Captive Portal, captura de consentimento, analítica — enquanto a sua rede corporativa gerida pelo Intune lida com os funcionários e dispositivos operacionais. Estas duas redes nunca devem partilhar a infraestrutura de autenticação. [PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto] Deixe-me passar por algumas perguntas que surgem regularmente. Posso usar o Intune Cloud PKI em vez do ADCS local? Sim. O Intune Cloud PKI da Microsoft, lançado em 2024, fornece uma CA totalmente gerida no Azure. Remove o requisito do servidor NDES para SCEP e simplifica significativamente a configuração do conector. Para novas implementações ou organizações sem infraestrutura ADCS existente, é o caminho recomendado. Isto funciona para dispositivos macOS e iOS? Sim. O Intune suporta perfis de certificado para Windows, iOS, iPadOS, Android e macOS. Os tipos de perfil e as opções de configuração variam ligeiramente por plataforma, mas a arquitetura principal — raiz fidedigna, certificado de cliente, perfil de WiFi — é consistente. E quanto aos dispositivos pessoais num programa BYOD? O SCEP é o seu aliado aqui. Com as políticas de conformidade de dispositivos do Intune, pode exigir que um dispositivo cumpra os padrões mínimos de segurança antes que um certificado seja emitido. Se o dispositivo deixar de estar em conformidade — sem bloqueio de ecrã, OS desatualizado — o certificado pode ser revogado e o acesso à rede removido automaticamente. A Purple pode integrar-se com esta arquitetura? Absolutamente. A plataforma da Purple reside no lado da rede de convidados, gerindo a autenticação do Captive Portal, a gestão de consentimento e a analítica. A rede corporativa 802.1X e o WiFi de convidados da Purple operam em paralelo — mesma infraestrutura física, diferentes SSIDs e VLANs — proporcionando-lhe uma separação completa entre a conectividade dos funcionários e o envolvimento dos visitantes. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para concluir: a implementação de certificados de WiFi através do Intune é um processo de cinco etapas — configuração da CA, implementação da raiz fidedigna, perfil de certificado de cliente, perfil de WiFi e atribuição de grupo. Escolha SCEP para BYOD e ambientes de alta segurança; PKCS para frotas corporativas mais simples. Acerte na sequência, trate do requisito de mapeamento de certificados NPS e crie um fluxo de trabalho de revogação de certificados desde o primeiro dia. O caso de negócio é simples: elimina as palavras-passe de WiFi partilhadas, obtém registos de autenticação por dispositivo e por utilizador, cumpre os requisitos de segurança sem fios PCI DSS e ISO 27001 e reduz a sobrecarga de TI na gestão de credenciais de WiFi em todo o parque de dispositivos. Se está a planear uma implementação e deseja compreender como a plataforma de WiFi para convidados e analítica da Purple se enquadra na arquitetura de rede da sua empresa, visite purple.ai. Temos guias detalhados sobre a integração com o Azure Entra ID, arquitetura 802.1X e design de redes de convidados para os setores da hotelaria, retalho e setor público. Obrigado por nos ouvir. Até à próxima.

header_image.png

Resumo Executivo

Para os líderes de TI empresariais que gerem ambientes de grande escala nos setores da Hotelaria , Retalho ou locais do setor público, o acesso sem fios seguro é um requisito operacional básico. Depender de PSKs (Pre-Shared Keys) partilhadas ou de autenticação por nome de utilizador/palavra-passe (PEAP-MSCHAPv2) expõe a rede a roubo de credenciais, phishing e falhas de conformidade. O padrão da indústria para uma segurança de WiFi empresarial robusta é o 802.1X com EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), que exige uma autenticação mútua baseada em certificados entre o dispositivo e a rede.

No entanto, a principal barreira à adoção do EAP-TLS tem sido historicamente a sobrecarga operacional da gestão do ciclo de vida dos certificados. O Microsoft Intune resolve este problema ao automatizar o fornecimento, a renovação e a revogação de certificados digitais para dispositivos geridos em escala.

Esta referência técnica detalha a arquitetura, as metodologias de implementação (SCEP vs PKCS) e os passos de implementação necessários para enviar certificados de WiFi através do Microsoft Intune. Fornece orientações práticas para arquitetos de rede e engenheiros de sistemas encarregues de proteger as comunicações corporativas, mantendo uma separação rigorosa das redes de visitantes, como as geridas por uma plataforma de Guest WiFi .

Análise Técnica Detalhada: Arquitetura e Protocolos

Para implementar a autenticação baseada em certificados de forma eficaz, as equipas de TI devem compreender a interação entre a plataforma de Gestão de Dispositivos Móveis (MDM), a Infraestrutura de Chaves Públicas (PKI) e a camada de controlo de acesso à rede.

O Framework de Autenticação 802.1X

O padrão IEEE 802.1X define o controlo de acesso à rede baseado em portas. Num contexto sem fios, impede que um dispositivo transmita qualquer tráfego (além de tramas de autenticação EAP) até que a sua identidade seja verificada. A arquitetura consiste em três componentes:

  1. Suplicante: O dispositivo cliente (portátil, smartphone, tablet) que solicita acesso à rede.
  2. Autenticador: O ponto de acesso sem fios ou controlador de LAN sem fios que bloqueia o tráfego até que a autenticação seja bem-sucedida.
  3. Servidor de Autenticação: O servidor RADIUS (Remote Authentication Dial-In User Service), como o Microsoft Network Policy Server (NPS) ou o Cisco ISE, que valida as credenciais e autoriza o acesso.

EAP-TLS e Autenticação Mútua

O EAP-TLS é o método EAP mais seguro porque exige autenticação mútua. O servidor RADIUS apresenta o seu certificado ao suplicante para provar que é a rede corporativa legítima (evitando ataques do tipo "evil-twin"), e o suplicante apresenta o seu certificado de cliente ao servidor RADIUS para provar que é um dispositivo ou utilizador autorizado.

architecture_overview.png

Mecanismos de Implantação de Certificados no Intune: SCEP vs PKCS

O Microsoft Intune suporta dois protocolos principais para implantar certificados de cliente em dispositivos. A seleção do mecanismo adequado é uma decisão arquitetural crítica.

Simple Certificate Enrollment Protocol (SCEP)

Com o SCEP, a chave privada é gerada diretamente no dispositivo cliente. O dispositivo cria um Pedido de Assinatura de Certificado (CSR) e submete-o através do Intune ao servidor do Network Device Enrollment Service (NDES), que atua como um proxy para a infraestrutura do Active Directory Certificate Services (ADCS). A CA emite o certificado, que é devolvido ao dispositivo.

Como a chave privada nunca sai do dispositivo, o SCEP é considerado altamente seguro e é a abordagem recomendada para implantações BYOD (Bring Your Own Device) e arquiteturas zero-trust.

Public Key Cryptography Standards (PKCS)

Com o PKCS, o Intune Certificate Connector solicita o certificado à CA em nome do dispositivo. A CA gera tanto o certificado público como a chave privada, que o conector entrega de seguida ao dispositivo de forma segura através do Intune.

Embora o PKCS simplifique os requisitos de infraestrutura (não é necessário um servidor NDES), a chave privada é transmitida através da rede. Este modelo é geralmente aceitável para frotas de dispositivos totalmente geridos e de propriedade corporativa, onde a plataforma MDM já é um componente altamente confiável.

certificate_deployment_comparison.png

Guia de Implementação: Implantação Passo a Passo

A implantação de certificados WiFi via Intune requer uma sequenciação precisa. A implantação de perfis fora de ordem é a causa mais comum de falhas na implementação.

Passo 1: Preparar a Infraestrutura de Chaves Públicas (PKI)

Quer utilize o ADCS local ou uma solução nativa na nuvem como o Microsoft Cloud PKI, a Autoridade de Certificação deve ser configurada com os modelos apropriados.

  • Utilização de Chaves: O modelo deve incluir o OID de Autenticação de Cliente (1.3.6.1.5.5.7.3.2).
  • Tamanho da Chave: Configure um tamanho mínimo de chave de 2048 bits (RSA) para alinhar com os padrões criptográficos modernos.
  • Nome do Requerente: Para certificados de utilizador, o Nome Alternativo do Requerente (SAN) deve ser configurado para utilizar o User Principal Name (UPN). Para certificados de dispositivo, utilize o Azure AD Device ID.

Passo 2: Implementar o Certificado de Raiz Confiável

Antes de um dispositivo se poder autenticar, deve confiar na CA que emitiu o certificado do servidor RADIUS.

  1. Exporte o certificado da CA Raiz (e quaisquer certificados de CA intermédia) no formato .cer.
  2. No centro de administração do Intune, navegue para Dispositivos > Perfis de configuração > Criar perfil.
  3. Selecione a plataforma e escolha o tipo de perfil Certificado confiável.
  4. Carregue o ficheiro .cer e atribua o perfil aos grupos de utilizadores ou dispositivos de destino.

Nota: Este perfil deve ser aplicado com sucesso aos dispositivos antes de prosseguir para os passos seguintes.

Passo 3: Implementar o Perfil de Certificado de Cliente

Crie um perfil de certificado SCEP ou PKCS para fornecer o certificado de identidade ao suplicante.

  1. Navegue para Dispositivos > Perfis de configuração > Criar perfil.
  2. Selecione a plataforma e escolha Certificado SCEP ou Certificado PKCS.
  3. Configure o formato do Nome do Requerente e o SAN de acordo com os seus requisitos de identidade (Utilizador vs. Dispositivo).
  4. Especifique o Key Storage Provider (KSP) — normalmente o Trusted Platform Module (TPM) para segurança baseada em hardware.
  5. Atribua o perfil aos mesmos grupos definidos no Passo 2.

Passo 4: Configurar o Perfil de WiFi

O componente final associa os certificados às definições de rede sem fios.

  1. Navegue para Dispositivos > Perfis de configuração > Criar perfil.
  2. Selecione a plataforma e escolha o tipo de perfil Wi-Fi.
  3. Defina o tipo de Wi-Fi para Enterprise e introduza o SSID exato.
  4. Defina o tipo de EAP para EAP-TLS.
  5. Em Confiança do Servidor, especifique o nome exato do certificado do servidor RADIUS e selecione o perfil de certificado de Raiz Confiável implementado no Passo 2.
  6. Em Autenticação de Cliente, selecione o perfil de certificado SCEP ou PKCS implementado no Passo 3.
  7. Atribua o perfil aos grupos de destino.

Boas Práticas e Recomendações Estratégicas

Certificados de Dispositivo vs. Utilizador

Os arquitetos de rede devem decidir se emitem certificados para o dispositivo (autenticação de máquina) ou para o utilizador (autenticação de utilizador).

  • Certificados de Dispositivo: Permitem que a máquina se ligue à rede WiFi antes de um utilizador iniciar sessão. Isto é crítico para o aprovisionamento inicial do dispositivo, processamento de Políticas de Grupo e reposição de palavras-passe no ecrã de início de sessão. Recomendado para dispositivos propriedade da empresa.
  • Certificados de Utilizador: Associam o acesso à rede à identidade do indivíduo. Isto fornece auditoria granular e controlo de acessos baseado em funções. Recomendado para cenários de BYOD.

Segmentação de Rede e Acesso de Convidados

Um princípio fundamental de segurança é a separação lógica rigorosa da rede corporativa 802.1X das redes de visitantes ou de acesso público. A infraestrutura gerida pelo Intune deve ser dedicada exclusivamente a dispositivos corporativos e pessoal autenticado. Para o acesso de visitantes, as organizações devem implementar um SSID de Guest WiFi dedicado, suportado por um Captive Portal. Isto garante que os dispositivos não geridos fiquem isolados, permitindo ainda assim que a empresa recolha dados analíticos de visitantes através de uma plataforma de WiFi Analytics . Para saber mais sobre como proteger a infraestrutura de DNS em ambos os segmentos, consulte o nosso guia sobre como Protect Your Network with Strong DNS and Security .

Abordar o Requisito de Mapeamento de Certificados do NPS

Para organizações que utilizam o Microsoft Network Policy Server (NPS) com dispositivos associados ao Azure AD, foi introduzida uma alteração de configuração crítica pela Microsoft. O NPS requer agora um mapeamento de certificados forte.

Ao utilizar certificados de dispositivo, o objeto de computador no Active Directory local deve ter o seu atributo altSecurityIdentities preenchido com os detalhes do certificado (normalmente o X509IssuerSerialNumber). As equipas de TI devem implementar um script agendado ou um fluxo de trabalho baseado em eventos para atualizar este atributo quando o Intune emite um novo certificado, caso contrário, a autenticação falhará.

Resolução de Problemas e Mitigação de Riscos

Quando uma implementação de 802.1X falha, o problema reside quase sempre na cadeia de certificados ou na sequência do perfil do Intune.

Modos de Falha Comuns

  1. Falha Silenciosa do Perfil de WiFi: Se o perfil de WiFi do Intune for aplicado a um dispositivo antes de o certificado de cliente ter sido aprovisionado com sucesso, o perfil de WiFi falhará frequentemente na instalação ou falhará silenciosamente. Verifique sempre a presença do certificado no arquivo Pessoal do dispositivo (certmgr.msc no Windows) antes de tentar resolver problemas na configuração de WiFi.
  2. Erros de Validação de Confiança do Servidor: Se o dispositivo rejeitar o servidor RADIUS, verifique se o nome do servidor especificado no perfil de WiFi do Intune corresponde exatamente ao Subject Name ou SAN no certificado do servidor RADIUS. Além disso, certifique-se de que toda a cadeia de certificados (Raiz e Intermédia) está presente no arquivo de Autoridades de Certificação de Raiz Fidedignas do dispositivo.
  3. Indisponibilidade da Lista de Revogação de Certificados (CRL): Se o servidor RADIUS não conseguir aceder ao ponto de distribuição de CRL da AC para verificar o estado do certificado do cliente, a autenticação será recusada. Certifique-se de que o URL da CRL está altamente disponível e acessível a partir do servidor RADIUS.

ROI e Impacto no Negócio

A transição para a autenticação de WiFi baseada em certificados através do Intune proporciona retornos operacionais e de segurança significativos.

  • Mitigação de Riscos: Elimina o risco de recolha de credenciais, ataques de pass-the-hash e acesso não autorizado à rede através de PSKs partilhadas.
  • Eficiência Operacional: Reduz os pedidos de suporte de TI relacionados com a expiração de palavras-passe e problemas de conectividade WiFi. A gestão automatizada do ciclo de vida significa que os certificados são renovados de forma transparente, sem intervenção do utilizador.* Facilitador de Conformidade: Satisfaz requisitos regulamentares rigorosos. Para ambientes de retalho, aborda diretamente os requisitos PCI DSS para encriptação e autenticação sem fios robustas. Para o setor público e saúde, alinha-se com os princípios de acesso à rede zero-trust (ZTNA).

Ao tirar partido do Microsoft Intune para a implementação de certificados, as equipas de TI podem alcançar uma experiência sem fios altamente segura e sem fricção que funciona silenciosamente em segundo plano, permitindo que a empresa se foque nas suas operações principais.

Definições Principais

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que impede que dispositivos não autorizados acedam a uma LAN ou WLAN até que se autentiquem com sucesso.

O protocolo de segurança fundamental que substitui as palavras-passe de WiFi partilhadas por autenticação de nível empresarial em ambientes corporativos.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Uma estrutura de autenticação que exige que tanto o cliente como o servidor provem as suas identidades utilizando certificados digitais.

O protocolo específico configurado no perfil de WiFi do Intune para impor a autenticação mútua de certificados, eliminando o risco de roubo de credenciais.

SCEP

Simple Certificate Enrollment Protocol. Um mecanismo no qual o dispositivo cliente gera a sua própria chave privada e solicita um certificado à CA através de um servidor intermediário.

O método de implementação preferido para ambientes BYOD porque a chave privada nunca é transmitida através da rede.

PKCS

Public Key Cryptography Standards. No contexto do Intune, um método de implementação onde a CA gera a chave privada e o Intune Connector a entrega de forma segura ao dispositivo.

Uma arquitetura de implementação mais simples, frequentemente utilizada para frotas de dispositivos de propriedade corporativa, pois elimina a necessidade de um servidor NDES.

NDES

Network Device Enrollment Service. Uma função de servidor da Microsoft que atua como um proxy, permitindo que dispositivos em execução sem credenciais de domínio obtenham certificados de uma Active Directory Certificate Authority.

Um componente de infraestrutura obrigatório ao implementar certificados via SCEP num ambiente ADCS local.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA).

O servidor (como o Microsoft NPS ou Cisco ISE) que recebe o pedido de autenticação do ponto de acesso WiFi e valida o certificado do dispositivo.

Supplicant

O cliente de software no dispositivo do utilizador final (portátil, smartphone) que inicia o processo de autenticação 802.1X.

O perfil de WiFi do Intune configura o supplicant nativo do SO (por exemplo, Windows WLAN AutoConfig) para utilizar os certificados e métodos EAP corretos.

Certificate Revocation List (CRL)

Uma lista assinada digitalmente, publicada pela Certificate Authority, contendo os números de série dos certificados que foram revogados e que já não devem ser considerados fidedignos.

Crucial para a conformidade de segurança; o servidor RADIUS deve verificar a CRL para garantir que um dispositivo que se está a ligar não foi reportado como perdido ou roubado.

Exemplos Práticos

Uma cadeia de retalho com 400 localizações está a implementar tablets de propriedade corporativa para gestão de inventário. Os dispositivos são totalmente geridos através do Intune e associados ao Azure AD. Necessitam de acesso imediato à rede ao iniciar para sincronizar as bases de dados de inventário, antes de qualquer utilizador específico iniciar sessão. A infraestrutura de rede utiliza o Cisco ISE como servidor RADIUS. Qual é a estratégia ideal de implementação de certificados?

A equipa de TI deve implementar certificados de dispositivo PKCS.

  1. Configurar um modelo de certificado de dispositivo na CA.
  2. Implementar o certificado Root CA nos tablets através do Intune.
  3. Criar um perfil de certificado PKCS no Intune, definindo o formato do Subject Name para o Azure AD Device ID ({{AAD_Device_ID}}).
  4. Criar um perfil de WiFi empresarial especificando EAP-TLS, referenciando o nome do certificado do servidor ISE e o perfil PKCS implementado.
  5. Atribuir todos os perfis ao grupo de dispositivos que contém os tablets.
Comentário do Examinador: O PKCS é adequado neste caso porque os dispositivos são de propriedade corporativa e totalmente geridos, reduzindo o risco associado ao trânsito de chaves privadas. Os certificados de dispositivo são obrigatórios porque os tablets necessitam de acesso à rede antes do início de sessão do utilizador. Ao visar o Azure AD Device ID, o Cisco ISE pode autenticar o ativo de hardware específico e atribuí-lo à VLAN de inventário restrita correta.

Um grande hospital universitário permite que a equipa médica utilize os seus smartphones pessoais (BYOD) para aceder a aplicações de agendamento clínico. Os dispositivos estão inscritos no Intune através de um Perfil de Trabalho. A política de segurança exige que nenhuma credencial corporativa seja armazenada em dispositivos pessoais e o acesso à rede deve ser revogado imediatamente se um dispositivo for comprometido. Como deve ser desenhada a autenticação WiFi?

O hospital deve implementar certificados de utilizador SCEP combinados com Políticas de Conformidade do Intune.

  1. Implementar um servidor NDES para encaminhar pedidos para a CA.
  2. Criar um perfil de certificado de utilizador SCEP no Intune, com o SAN configurado para o User Principal Name ({{UserPrincipalName}}).
  3. Criar uma Política de Conformidade do Intune que exija uma versão mínima do SO, um bloqueio de ecrã ativo e nenhum acesso jailbreak/root.
  4. Configurar a CA para publicar uma Lista de Revogação de Certificados (CRL) altamente disponível.
  5. Configurar o servidor RADIUS para impor estritamente a verificação de CRL em cada tentativa de autenticação.
Comentário do Examinador: O SCEP é a única escolha aceitável para BYOD porque a chave privada é gerada no dispositivo pessoal e não pode ser intercetada. Os certificados de utilizador são necessários para associar a atividade de rede ao clínico específico para efeitos de auditoria HIPAA/GDPR. O componente crítico é a integração com as Políticas de Conformidade do Intune; se um dispositivo deixar de estar em conformidade, o Intune pode acionar a revogação do certificado e a verificação de CRL do servidor RADIUS bloqueará imediatamente o acesso à rede.

Perguntas de Prática

Q1. A sua organização está a migrar de PEAP-MSCHAPv2 (nome de utilizador/palavra-passe) para EAP-TLS para o WiFi corporativo. Durante a fase piloto, vários portáteis Windows 11 recebem os perfis de configuração do Intune com sucesso, mas não conseguem ligar-se à rede. A análise dos Registos de Eventos do Windows mostra o Event ID 20271, indicando que o certificado do servidor RADIUS foi rejeitado. Qual é a causa mais provável?

Dica: Considere a cadeia de confiança necessária para a autenticação mútua.

Ver resposta modelo

Os dispositivos não possuem o certificado da CA de Raiz Confiável que emitiu o certificado do servidor RADIUS. No EAP-TLS, o dispositivo deve validar a identidade do servidor RADIUS. A equipa de TI deve garantir que o perfil de 'Certificado confiável' que contém a CA de Raiz (e quaisquer CAs Intermédias) é implementado nos dispositivos através do Intune e instalado com sucesso antes de o perfil de WiFi tentar a ligação.

Q2. Um espaço do setor público está a implementar o 802.1X para dispositivos de funcionários utilizando o Intune e certificados PKCS. Também operam uma rede de visitantes separada, gerida por uma plataforma de Guest WiFi. Um auditor observa que, se um portátil de um funcionário for roubado, o certificado permanece válido por 12 meses. Como deve o arquiteto de rede abordar este risco?

Dica: Como é que o servidor de autenticação sabe que um certificado já não é válido antes de expirar?

Ver resposta modelo

O arquiteto deve implementar um fluxo de trabalho robusto de Revogação de Certificados. Primeiro, garantir que a CA publica uma Lista de Revogação de Certificados (CRL) num ponto de distribuição altamente disponível. Segundo, configurar o servidor RADIUS (por exemplo, NPS) para exigir a verificação de CRL durante cada tentativa de autenticação. Finalmente, estabelecer um procedimento operacional no Intune para revogar explicitamente o certificado de qualquer dispositivo marcado como perdido ou roubado, o que atualiza a CRL e bloqueia o acesso à rede.

Q3. Está a desenhar a implementação do Intune para uma frota de quiosques partilhados num ambiente de retalho. Estes dispositivos reiniciam diariamente e devem ligar-se imediatamente à rede corporativa para descarregar atualizações antes de qualquer utilizador interagir com eles. Deve implementar certificados de Utilizador ou certificados de Dispositivo, e que formato de Subject Alternative Name (SAN) deve ser utilizado?

Dica: Considere o estado do dispositivo imediatamente após um reinício.

Ver resposta modelo

Deve implementar certificados de Dispositivo. Como os quiosques necessitam de acesso à rede antes de um utilizador iniciar sessão, um certificado de Utilizador estaria indisponível no momento do arranque. O Subject Alternative Name (SAN) no perfil de certificado do Intune deve ser configurado para utilizar o Azure AD Device ID ({{AAD_Device_ID}}) ou o nome de domínio totalmente qualificado do dispositivo, permitindo ao servidor RADIUS autenticar o ativo de hardware específico.

Continue a ler esta série

Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

Uma comparação abrangente de implementações de per-device PSK na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE afeta as estratégias de chaves por dispositivo e quando implementar modos de transição versus migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica de autoridade avalia as compensações arquitetónicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Fornece aos arquitetos de rede, diretores de TI e gestores de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no registo de convidados com os requisitos de recolha de dados em locais empresariais.

Ler o guia →

O que é a Autenticação por Endereço MAC? Quando Usar e Quando Evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi empresarial — como funciona a autenticação MAC baseada em RADIUS na Camada 2, as suas vulnerabilidades de segurança inerentes (incluindo falsificação de MAC e o impacto da randomização de MAC ao nível do SO) e os contextos operacionais precisos onde continua a ser uma ferramenta válida para gerir IoT e dispositivos headless. Fornece orientações de implementação práticas para gestores de TI e arquitetos de rede em setores como hotelaria, retalho, saúde e espaços públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →