Microsoft Cloud PKI: O presente e o futuro, na segurança e gestão de certificados

Devido à complexidade que envolve, e à experiência e tempo requeridos para a sua gestão, há muitos anos que os Clientes Microsoft pedem uma solução baseada na Cloud que possa endereçar e dar resposta a esta dificuldade. A resposta da Microsoft surge agora (disponível desde fevereiro de 2024), com a oferta da nova solução Microsoft Cloud PKI e a sua introdução na Suite do Microsoft Intune.

A Microsoft Cloud PKI poderá emitir certificados em várias plataformas, especificamente Windows, iOS, macOS e Android. A solução fornece a possibilidade de criação de uma ou mais CA’s (Autoridades Certificadoras) baseadas em SaaS, eliminando a complexidade e os custos dos serviços on-premises tradicionais, como o Network Device Enrollment Service (NDES) e os reverse proxies, por exemplo.

Principais vantagens:

  • Integração com o ecossistema Microsoft;
  • Facilidade de implementação e uso;
  • Automação de processos;
  • Segurança avançada;
  • Escalabilidade e disponibilidade;
  • Redução de custos e da pegada PKI on-premises.

Simplificação é a chave. A solução Microsoft Cloud PKI, permitirá a gestão de todo o ciclo de vida dos certificados emitidos para os dispositivos geridos pela organização, como são exemplo as tarefas de renovação automática de certificados, expiração de certificados que já não são usados e a revogação de certificados para dispositivos apagados/removidos do Intune.

Implementar a infraestrutura PKI de uma forma simples

Num único ponto central, a solução fornecerá as ferramentas necessárias ao acesso às entidades de certificação e registo, às listas de revogação, monitorização e relatórios.

Criação da Root CA

Através do portal de administração do Intune, facilmente se processa a criação da Root CA:

 

Criação da CA emissora

Para dispositivos geridos pelo Intune, os certificados devem ser emitidos por uma CA emissora. Um serviço SCEP, que serve como autoridade de registo de certificados, é fornecido automaticamente pela Cloud PKI.

As propriedades de uma CA emissora de Cloud PKI contêm tudo o que é necessário para iniciar a emissão de certificados:

  • Um URI SCEP, que é o URI da CA que será usado para criar perfis de certificado SCEP do Intune, e para emitir certificados para dispositivos geridos;
  • O ponto de distribuição da CRL, que contém a lista de certificados revogados para cada CA emissora na Cloud;
  • Um botão “Download” para chaves públicas da CA, usadas para criar perfis de certificados confiáveis do Intune e implementar em terceiros confiáveis, como Wi-Fi, VPN e aplicativos que suportam autenticação baseada em certificado.

Monitorização e Relatórios

Os dashboards para a Cloud PKI, fornecem um resumo detalhado do uso da CA e seus elementos essenciais.

Fornece ainda relatórios detalhados de certificados emitidos para utilizadores e dispositivos.

Autenticação baseada em certificados 

Os certificados emitidos da Cloud PKI podem ser usados para casos de uso de autenticação baseada em certificado (CBA), como acesso a redes Wi-Fi, VPN’s, Windows Hello for Business e até aplicações do Microsoft Office 365. A CBA fornece um método de autenticação muito mais seguro em relação às passwords, melhorando a postura geral de segurança da organização.

Como já apontado anteriormente, disponível como parte integrante do Microsoft Intune Suite desde fevereiro de 2024, a solução está também disponível para aquisição como add-on para subscrições que incluam o Intune, desde o início do mês de março.