Introdução & contexto
A autenticação baseada em certificados (CBA) é uma das formas mais fortes de proteger o acesso ao Microsoft 365, portal do Azure e outras aplicações protegidas pelo Entra. Muitas organizações querem os benefícios do CBA, como autenticação resistente a phishing, eliminação de palavras-passe e identidade forte do dispositivo, mas não querem operar uma autoridade de certificação nem pagar mais pelo Microsoft Cloud PKI.
Foxpass Cloud PKI oferece uma PKI privada totalmente gerida que funciona em todas as plataformas de dispositivos e integra-se de forma fluida com Entra ID para permitir CBA com um mínimo de sobrecarga. Este guia apresenta uma explicação passo a passo de:
A arquitetura para Entra CBA com Foxpass Cloud PKI
Como o Foxpass Cloud PKI emite certificados ClientAuth
Como implementar certificados usando o seu MDM
Como configurar o Entra CBA
Como usar o mesmo certificado para Wi-Fi/VPN com Foxpass Cloud RADIUS
Siga este guia e, em breve, terá uma implementação funcional de CBA com o Foxpass como a sua PKI privada.
Arquitetura de referência para Entra CBA com Foxpass Cloud PKI
Um diagrama que mostra como o Foxpass Cloud PKI, o MDM e o Microsoft Entra ID funcionam em conjunto para autenticação baseada em certificados.
O Foxpass Cloud PKI emite certificados de autenticação de cliente para dispositivos através do MDM da organização (como Intune, Jamf, Iru/Kandji ou Addigy). Os dispositivos apresentam estes certificados ao iniciar sessão no Microsoft Entra ID utilizando CBA. O Entra valida a cadeia de certificados, o mapeamento do utilizador e o EKU antes de conceder acesso a aplicações na cloud.
Pré-requisitos & requisitos
Lista de verificação de requisitos do Foxpass
Foxpass Cloud PKI ativado
CA do cliente criada e exportada
Ponto de extremidade SCEP criado
Integração de MDM e/ou instalador BYOD
Lista de verificação dos requisitos do Microsoft Entra
tenant do Entra ID
Autenticação baseada em certificados ativada
CA do cliente do Foxpass carregada
Mapeamento SAN (UPN/e-mail) definido
Lista de verificação dos requisitos de MDM
Capacidade do perfil SCEP
Guia de configuração passo a passo
1. Verifique ou crie a sua CA de cliente no Foxpass
O Foxpass Cloud PKI requer uma CA de Cliente (autoridade de certificação emissora) para assinar certificados de dispositivo utilizados para Microsoft Entra CBA e EAP-TLS Wi-Fi/VPN.
Inicie sessão na consola Foxpass e vá a RADIUS → EAP-TLS
Se ainda não existir nenhum Client CA, crie um agora:
Em "Client Certificate Authorities,", clique em "Create new Client CA"
Edite o Nome da CA, a Validade da CA e o Período de Validade do Certificado, se pretender, e depois clique em "Create CA"
3. Em "Client Certificate Authorities," clique em "Download CA" para guardar para mais tarde
Assim que a CA do cliente é criada, o Foxpass emite automaticamente certificados de Autenticação de cliente (ClientAuth) EKU, certificados com as extensões de Utilização de Chave adequadas e valores SAN/Subject provenientes da sua inscrição no MDM.
2. Certifique-se de que existe um endpoint SCEP do Foxpass
Todos os MDM suportados usam SCEP para solicitar e renovar certificados do Foxpass.
Aceda a Foxpass Console → RADIUS → SCEP
Se já for apresentado um URL do servidor SCEP (endpoint único), avance para o passo 4
Clique em "Create SCEP Endpoint" e, em seguida, defina um Nome, Tipo de verificação, Tipo de autenticação e selecione a Client CA do Passo 1 anterior
Tome nota de "Unique Endpoint" e "Challenge Password" para mais tarde
3. Implementar certificados através do seu MDM ou do instalador de certificados BYOD do Foxpass
Assim que a Client CA e o endpoint SCEP estiverem configurados, o seu MDM pode emitir certificados de dispositivo para Entra CBA.
Foxpass suporta MDMs compatíveis com SCEP (Microsoft Intune, Jamf, Iru (Kandji), Addigy e outros), bem como o Foxpass BYOD Certificate Installer (inscrição baseada em OAuth).
O seu MDM determina o Subject/SAN (UPN ou e-mail), o comportamento de renovação e a geração de chaves. Foxpass assina o certificado e trata da revogação.
Opção A: Microsoft Intune
Passo A1: Criar um perfil de certificado SCEP
Ir para o Centro de Administração do Intune
Aceda a Devices → Configuration profiles → Create profile
Escolha a plataforma (Windows, iOS/iPadOS, macOS, Android)
Tipo de perfil: certificado SCEP
Defina as seguintes configurações principais:
Definição | Valor |
URL do servidor SCEP | ‘Unique Endpoint’ do SCEP do Foxpass |
Formato do nome do assunto | {{UserPrincipalName}} ou {{EmailAddress}} |
Tamanho da chave | 2048 ou 4096 |
Utilização de chaves | Assinatura digital, cifragem de chaves |
EKU | Autenticação do cliente |
Algoritmo de hash | SHA-256 |
Limite de renovação | Recomendado: 20–30% |
Passo A2: Configurar a autenticação SCEP
Tipo de autenticação → Segredo partilhado
Segredo → Foxpass SCEP "Challenge Password" (da Consola Foxpass)
Passo A3: Atribuir & validar
Atribua o perfil a grupos de utilizadores/dispositivos e verifique:
Certificado emitido pela Foxpass Client CA
O SAN/Assunto corresponde ao UPN ou ao e-mail
EKU = Autenticação do cliente
Opção B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
O Entra CBA não requer Intune para o aprovisionamento de certificados. Isto significa que pode usar o Entra CBA mesmo em ambientes não geridos por Intune, incluindo frotas Apple mistas, implementações multiplataforma, ambientes de ensino, dispositivos de prestadores de serviços/BYOD e organizações que utilizam MDMs não Microsoft.
Estes MDMs seguem a mesma lógica subjacente que o Intune, utilizando SCEP para gerar chaves no dispositivo e solicitar certificados ao Foxpass. Pode encontrar aqui as instruções completas para cada um:
Opção C: dispositivos BYOD
Utilize o Foxpass BYOD Certificate Installer e conclua os passos seguintes:
O utilizador inicia sessão com OAuth com Microsoft Entra ID (Nota: o início de sessão com Google do instalador BYOD não pode ser utilizado para Microsoft Entra CBA. O CBA requer certificados que correspondam a identidades Entra.)
Foxpass emite um certificado ClientAuth
O certificado instala-se localmente (não é necessário MDM)
Isto é ideal para contratantes, dispositivos de estudantes (EDU) ou endpoints não geridos.
4. Carregue a Foxpass Client CA para o Microsoft Entra
Para utilizar este método, o Microsoft Entra tem de confiar na sua CA emissora.
Passo 1: Transferir o certificado CA do cliente
Vá para a Foxpass Console → RADIUS → EAP-TLS
Transferir o certificado CA do cliente
Passo 2: Carregar a CA do Cliente para o Entra
Aceda a Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities
Carregue o certificado CA do cliente Foxpass
5. Configurar a autenticação baseada em certificados do Microsoft Entra
No Entra Admin Center:
Ativar a autenticação baseada em certificado
Escolha as regras de mapeamento:
SAN → UPN (recomendado)
SAN → email
EKU obrigatório → Autenticação do cliente
Opcional: Restringir por emissor ou política de certificado
Consulte o Microsoft Learn para regras de mapeamento avançadas, requisitos de EKU, restrições do emissor e um guia completo da configuração do Entra CBA:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. Aplicar políticas de acesso condicional
Criar uma política de Acesso Condicional:
Utilizadores: comece com um grupo de teste
Aplicações: Microsoft 365 ou todas as aplicações na cloud
Conceder: exigir autenticação baseada em certificado
Melhorias opcionais:
Bloquear início de sessão com palavra-passe
Exigir dispositivos compatíveis ou associados ao domínio
Adicionar alternativa de MFA
7. Testar a autenticação baseada em certificados
Num dispositivo com um certificado emitido pela Foxpass:
Visite https://portal.office.com
Introduza o seu nome de utilizador
O navegador solicita um certificado
Selecione o certificado emitido pelo Foxpass
A autenticação é bem-sucedida sem palavra-passe
Se ocorrer algum problema ao autenticar com um certificado, verifique se o Emissor é Foxpass Client CA e se o SAN/Assunto corresponde ao UPN/e-mail.
(Opcional) Utilize o mesmo certificado Foxpass para Wi-Fi/VPN (EAP-TLS)
Uma vantagem de usar o Foxpass Cloud PKI é que o mesmo certificado de dispositivo emitido para Microsoft Entra CBA também pode ser usado para acesso seguro a Wi-Fi ou VPN através de EAP-TLS com Foxpass Cloud RADIUS.
Com o EAP-TLS, as organizações podem:
Implemente acesso à rede Zero-Trust
Elimine as palavras-passe para Wi‑Fi e VPN
Assegure que apenas dispositivos com um certificado válido emitido pela Foxpass podem aderir
Aplique a atribuição de VLAN, regras de confiança de dispositivos ou políticas baseadas na identidade
Partilhe o mesmo ciclo de vida de certificados entre a autenticação na cloud Entra CBA e o acesso à rede
Conclusão
Ao utilizar o Foxpass Cloud PKI com o Microsoft Entra CBA e o seu MDM, obtém:
Uma PKI privada totalmente gerida
Emissão de certificados multiplataforma
Gestão automatizada do ciclo de vida dos certificados
Identidade de certificado unificada para acesso SaaS e Wi-Fi/VPN (opcional)
Integração perfeita com Intune, Jamf, Iru (Kandji), Addigy e BYOD
Esta configuração oferece uma abordagem moderna, sem palavras-passe e baseada em certificados para proteger tanto a identidade como o acesso à rede sem executar a sua própria CA.
