Microsoft Cloud PKI: O presente e o futuro, na segurança e gestão de certificados
Devido à complexidade que envolve, e à experiência e tempo requeridos para a sua gestão, há muitos anos que os Clientes Microsoft pedem uma solução baseada na Cloud que possa endereçar e dar resposta a esta dificuldade. A resposta da Microsoft surge agora (disponível desde fevereiro de 2024), com a oferta da nova solução Microsoft Cloud PKI e a sua introdução na Suite do Microsoft Intune.
A Microsoft Cloud PKI poderá emitir certificados em várias plataformas, especificamente Windows, iOS, macOS e Android. A solução fornece a possibilidade de criação de uma ou mais CA’s (Autoridades Certificadoras) baseadas em SaaS, eliminando a complexidade e os custos dos serviços on-premises tradicionais, como o Network Device Enrollment Service (NDES) e os reverse proxies, por exemplo.
Principais vantagens:
- Integração com o ecossistema Microsoft;
- Facilidade de implementação e uso;
- Automação de processos;
- Segurança avançada;
- Escalabilidade e disponibilidade;
- Redução de custos e da pegada PKI on-premises.
Simplificação é a chave. A solução Microsoft Cloud PKI, permitirá a gestão de todo o ciclo de vida dos certificados emitidos para os dispositivos geridos pela organização, como são exemplo as tarefas de renovação automática de certificados, expiração de certificados que já não são usados e a revogação de certificados para dispositivos apagados/removidos do Intune.
Implementar a infraestrutura PKI de uma forma simples
Num único ponto central, a solução fornecerá as ferramentas necessárias ao acesso às entidades de certificação e registo, às listas de revogação, monitorização e relatórios.
Criação da Root CA
Através do portal de administração do Intune, facilmente se processa a criação da Root CA:
Criação da CA emissora
Para dispositivos geridos pelo Intune, os certificados devem ser emitidos por uma CA emissora. Um serviço SCEP, que serve como autoridade de registo de certificados, é fornecido automaticamente pela Cloud PKI.
As propriedades de uma CA emissora de Cloud PKI contêm tudo o que é necessário para iniciar a emissão de certificados:
- Um URI SCEP, que é o URI da CA que será usado para criar perfis de certificado SCEP do Intune, e para emitir certificados para dispositivos geridos;
- O ponto de distribuição da CRL, que contém a lista de certificados revogados para cada CA emissora na Cloud;
- Um botão “Download” para chaves públicas da CA, usadas para criar perfis de certificados confiáveis do Intune e implementar em terceiros confiáveis, como Wi-Fi, VPN e aplicativos que suportam autenticação baseada em certificado.
Monitorização e Relatórios
Os dashboards para a Cloud PKI, fornecem um resumo detalhado do uso da CA e seus elementos essenciais.
Fornece ainda relatórios detalhados de certificados emitidos para utilizadores e dispositivos.
Autenticação baseada em certificados
Os certificados emitidos da Cloud PKI podem ser usados para casos de uso de autenticação baseada em certificado (CBA), como acesso a redes Wi-Fi, VPN’s, Windows Hello for Business e até aplicações do Microsoft Office 365. A CBA fornece um método de autenticação muito mais seguro em relação às passwords, melhorando a postura geral de segurança da organização.
Como já apontado anteriormente, disponível como parte integrante do Microsoft Intune Suite desde fevereiro de 2024, a solução está também disponível para aquisição como add-on para subscrições que incluam o Intune, desde o início do mês de março.