# Mapeamento Forte no Intune [Atualmente, a Microsoft informa os clientes para verificarem novamente as suas PKIs](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376): Com a atualização do Windows de 10 de maio de 2022 ([KB5014754](https://support.microsoft.com/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)) foram feitas alterações no comportamento do Active Directory Kerberos Key Distribution (KDC) no Windows Server 2008 e versões posteriores para mitigar vulnerabilidades de elevação de privilégio associadas à falsificação de certificados. [Descrevemos o impacto desta alteração quando a vulnerabilidade foi originalmente divulgada](/pt/outros/troubleshooting/certifried.md). ### Âmbito Em primeiro lugar, esta vulnerabilidade aplica-se apenas a CAs cujos certificados estão publicados no armazenamento NTAuth da floresta AD. Se não utilizar os seus certificados para autenticação no seu AD local, não precisa de publicar o certificado da sua CA no armazenamento NTAuth e, nesse caso, estará imune a este ataque. Note que a Microsoft ADCS publica, por predefinição, os certificados da sua CA no armazenamento NTAuth. Para autenticação de rede, o único NAC que conhecemos que exige o certificado da CA no armazenamento NTAuth é o Microsoft NPS. Entre os NACs que não exigem autenticação local e o armazenamento NTAuth estão RADIUSaaS, Cisco ISE e Aruba Clearpass. Se estiver a usar certificados apenas para este caso de utilização, certifique-se apenas de que o certificado da sua CA não está no armazenamento NTAuth da sua Floresta e não terá de se preocupar com o mapeamento forte de certificados. Se tiver um caso de utilização que exija o certificado da sua CA no armazenamento NTAuth, como o nosso [Certificados de Domain Controller](/pt/gestao-de-certificados/domain-controller-certificates.md), talvez ainda não queira que os certificados dos utilizadores finais sejam usados para autenticação local. Neste caso, novamente, não precisa de um mapeamento forte de certificados *para estes certificados*. Assim, deve ativar o Modo de Aplicação Total, mas não adicionar os SIDs locais aos certificados. Apenas se estiver a utilizar os seus certificados finais para autenticação local é que deve garantir que os SIDs são adicionados. Os exemplos mais comuns para este caso de utilização são se estiver a usar o Microsoft NPS ou se usar autenticação baseada em certificado para iniciar sessão em VMs locais através de RDP, de forma a evitar palavras-passe. ### Ativar o Mapeamento Forte de Certificados Para responder às alterações do ADCS/KDC, o Microsoft Intune pode incluir o SID nos certificados emitidos. Pode incluir o SID adicionando um SAN do tipo URI com o valor "{{OnPremisesSecurityIdentifier}}" e ele aparecerá no certificado desta forma: ``` URL=tag:microsoft.com,2022-09-14:sid: ``` Esta alteração disponibiliza esta nova funcionalidade em outubro/novembro de 2024 para todos os clientes do Microsoft Intune. {% hint style="success" %} O SCEPman está preparado para esta alteração. Não são necessárias alterações ao SCEPman, apenas à configuração do Intune. {% endhint %} Se quiser usar esta funcionalidade, tem de atualizar os seus Perfis de Configuração SCEP no Intune de acordo com as instruções da Microsoft. Testámos que o SCEPman suporta este formato SAN e funciona com todas as versões do SCEPman. Em alternativa, pode adicionar uma [extensão SID](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-addsidextension) com o SCEPman. Foi assim que resolvemos o problema do KDC em [julho de 2023](https://docs.scepman.com/pt/configuracao-do-scepman/pages/861168f6a09c1b87c7b3283492e8e8cb12fc24d9#scepman-2.5.892) da mesma forma que o ADCS local o faz. Por conseguinte, os clientes SCEPman não necessitam do novo campo SAN, especialmente se já estiverem a utilizar a extensão SID. Os clientes SCEPman podem escolher se querem a extensão SID ou o valor SID SAN. A primeira requer uma definição de configuração do SCEPman, a segunda requer uma alteração nos perfis de configuração SCEP, conforme detalhado acima. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/pt/configuracao-do-scepman/intune-implementing-strong-mapping-for-scep-and-pkcs-certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.