# Mapeamento forte do Intune

[Atualmente, a Microsoft informa os clientes para verificarem novamente as suas PKIs](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376): Com a atualização do Windows de 10 de maio de 2022 ([KB5014754](https://support.microsoft.com/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)) foram feitas alterações no comportamento do Active Directory Kerberos Key Distribution (KDC) no Windows Server 2008 e versões posteriores para mitigar vulnerabilidades de elevação de privilégio associadas à falsificação de certificados. [Descrevemos o impacto desta alteração quando a vulnerabilidade foi originalmente divulgada](https://docs.scepman.com/pt/outros/troubleshooting/certifried).

### Âmbito

Em primeiro lugar, esta vulnerabilidade aplica-se apenas a CAs cujos certificados estão publicados no armazenamento NTAuth da floresta AD. Se não utilizar os seus certificados para autenticação no seu AD local, não precisa de publicar o certificado da sua CA no armazenamento NTAuth e, nesse caso, estará imune a este ataque. Note que a Microsoft ADCS publica, por predefinição, os certificados da sua CA no armazenamento NTAuth.

Para autenticação de rede, o único NAC que conhecemos que exige o certificado da CA no armazenamento NTAuth é o Microsoft NPS. Entre os NACs que não exigem autenticação local e o armazenamento NTAuth estão RADIUSaaS, Cisco ISE e Aruba Clearpass. Se estiver a usar certificados apenas para este caso de utilização, certifique-se apenas de que o certificado da sua CA não está no armazenamento NTAuth da sua Floresta e não terá de se preocupar com o mapeamento forte de certificados.

Se tiver um caso de utilização que exija o certificado da sua CA no armazenamento NTAuth, como o nosso [Certificados de Domain Controller](https://docs.scepman.com/pt/gerenciamento-de-certificados/domain-controller-certificates), talvez ainda não queira que os certificados dos utilizadores finais sejam usados para autenticação local. Neste caso, novamente, não precisa de um mapeamento forte de certificados *para estes certificados*. Assim, deve ativar o Modo de Aplicação Total, mas não adicionar os SIDs locais aos certificados.

Apenas se estiver a utilizar os seus certificados finais para autenticação local é que deve garantir que os SIDs são adicionados. Os exemplos mais comuns para este caso de utilização são se estiver a usar o Microsoft NPS ou se usar autenticação baseada em certificado para iniciar sessão em VMs locais através de RDP, de forma a evitar palavras-passe.

### Ativar o Mapeamento Forte de Certificados

Para responder às alterações do ADCS/KDC, o Microsoft Intune pode incluir o SID nos certificados emitidos. Pode incluir o SID adicionando um SAN do tipo URI com o valor "{{OnPremisesSecurityIdentifier}}" e ele aparecerá no certificado desta forma:

```
URL=tag:microsoft.com,2022-09-14:sid:<valor>
```

Esta alteração disponibiliza esta nova funcionalidade em outubro/novembro de 2024 para todos os clientes do Microsoft Intune.

{% hint style="success" %}
O SCEPman está preparado para esta alteração. Não são necessárias alterações ao SCEPman, apenas à configuração do Intune.
{% endhint %}

Se quiser usar esta funcionalidade, tem de atualizar os seus Perfis de Configuração SCEP no Intune de acordo com as instruções da Microsoft. Testámos que o SCEPman suporta este formato SAN e funciona com todas as versões do SCEPman.

Em alternativa, pode adicionar uma [extensão SID](https://docs.scepman.com/pt/application-settings/certificates#appconfig-addsidextension) com o SCEPman. Foi assim que resolvemos o problema do KDC em [julho de 2023](https://docs.scepman.com/pt/changelog#scepman-2.5.892) da mesma forma que o ADCS local o faz. Por conseguinte, os clientes SCEPman não necessitam do novo campo SAN, especialmente se já estiverem a utilizar a extensão SID.

Os clientes SCEPman podem escolher se querem a extensão SID ou o valor SID SAN. A primeira requer uma definição de configuração do SCEPman, a segunda requer uma alteração nos perfis de configuração SCEP, conforme detalhado acima.