Configurar certificados para dispositivos móveis gerenciados

Edições compatíveis com este recurso: Enterprise; Education Standard e Plus; Cloud Identity Premium. Comparar sua edição

Para controlar o acesso dos usuários às redes Wi-Fi e aos sites e apps internos da sua organização em dispositivos móveis, distribua certificados de dispositivos da autoridade de certificação (CA, na sigla em inglês) local. O Conector de Certificação do Google Cloud é um serviço do Windows que distribui com segurança certificados e chaves de autenticação do servidor de Protocolo de Inscrição de Certificado Simples (SCEP, na sigla em inglês) para os dispositivos móveis dos usuários. Saiba mais

Observação: as chaves privadas dos certificados de dispositivo são geradas nos servidores do Google. Elas são removidas dos servidores do Google depois da instalação do certificado no dispositivo ou em 24 horas, o que ocorrer primeiro.

Requisitos do sistema

  • Sua organização usa o Serviço de Certificado do Microsoft Active Directory para um servidor SCEP e o Serviço de Registro de Dispositivo de Rede (NDES, na sigla em inglês) da Microsoft para distribuir certificados.

  • Os certificados de dispositivo podem ser distribuídos para dispositivos iOS e Android no Gerenciamento avançado de dispositivos móveis. Saiba mais sobre os requisitos dos dispositivos.

  • Os dispositivos Android precisam usar o app Android Device Policy. O app Google Apps Device Policy legado para Android não é compatível. Saiba mais

Antes de começar

  • Se você precisar do nome do assunto do certificado para usar nomes de usuário do Active Directory, será necessário sincronizar o Active Directory e o Google Directory com o Google Cloud Directory Sync (GCDS). Se necessário, configure o GCDS.

  • Caso ainda não tenha enviado um certificado de CA no Google Admin Console, adicione um certificado.

Etapa 1: fazer o download do Conector de Certificação do Google Cloud

Execute as etapas a seguir no servidor SCEP ou em um computador Windows com uma conta que possa fazer login como um serviço no servidor SCEP. Tenha as credenciais da conta disponíveis.

Se sua organização tiver vários servidores, você poderá usar o mesmo agente do conector de certificação em todos eles. Faça o download e a instalação do arquivo de instalação, do arquivo de configuração e do arquivo de chave em um computador seguindo as etapas abaixo. Em seguida, copie esses três arquivos para o outro computador e siga as instruções de configuração nele.

Observação: você faz o download do Conector de Certificação do Google Cloud e dos componentes dele apenas uma vez, quando você configura os certificados para sua organização. Seus certificados e perfis SCEP podem compartilhar um único conector de certificação.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Dispositivos. À esquerda, clique em Redes.

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  3. Clique em SCEP seguroe depoisFazer o download do conector.
  4. Na seção "Conector de certificação do Google Cloud", clique em Fazer download. O download cria uma pasta na área de trabalho que contém o conector de certificação. Recomendamos que você faça o download dos outros arquivos de configuração do conector para essa pasta.
  5. Na seção "Fazer download do arquivo de configuração do conector", clique em Fazer download. É feito o download do arquivo config.json.

  6. Na seção "Gerar uma chave da conta de serviço", clique em Gerar chave. É feito o download do arquivo key.json.
  7. Execute o instalador do conector de certificação.
    1. No assistente de instalação, clique em Próxima.
    2. Aceite os termos do contrato de licença e clique em Próxima.
    3. Escolha a conta em que o serviço foi instalado e clique em Próxima. A conta precisa ter privilégios para fazer login como um serviço no servidor SCEP.
    4. Selecione o local de instalação. Recomendamos usar o padrão. Clique em Próxima.
    5. Digite as credenciais da sua conta de serviço e clique em Próxima. O serviço será instalado.
    6. Clique em Concluir para finalizar a instalação.
  8. Mova os arquivos de configuração e de chave (config.jsone key.json) para a pasta "Google Cloud Certificate Connector" criada durante a instalação. Essa pasta geralmente fica em: C:\Arquivos de Programas\Google Cloud Certificate Connector.
  9. Inicie o serviço do Conector de Certificação do Google Cloud:
    1. Abra os Serviços do Windows.
    2. Selecione Conector de Certificação do Google Cloud na lista de serviços.
    3. Clique em Iniciar para iniciar o serviço. Confirme que o status mudou para Em execução. O serviço será reiniciado automaticamente se o computador for reinicializado.

Se você fizer o download de uma nova chave de conta de serviço mais tarde, reinicie o serviço para aplicá-la.

Etapa 2: adicionar um perfil do SCEP

O perfil do SCEP define o certificado que permite aos usuários acessar a rede Wi-Fi. Para atribuir o perfil a usuários, você o adiciona a uma unidade organizacional. Você pode configurar vários perfis do SCEP para gerenciar o acesso por unidade organizacional e por tipo de dispositivo.

Antes de começar: para aplicar a configuração a determinados usuários, coloque as contas deles em uma unidade organizacional.
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Dispositivos. À esquerda, clique em Redes.

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  3. Clique em Criar perfil do SCEP.
  4. Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
  5. Clique em Adicionar perfil seguro do SCEP.
  6. Digite os detalhes de configuração do perfil. Se sua autoridade de certificação emitir um modelo específico, use os mesmos detalhes do perfil no modelo.
    • Nome do perfil do SCEP: um nome descritivo para o perfil. O nome é mostrado na lista de perfis e no seletor de perfil na configuração de rede Wi-Fi.
    • Formato do nome do assunto: escolha uma forma de identificar o proprietário do certificado. Ao selecionar Nome distinto completo, o nome comum do certificado será o nome de usuário.
    • Nome alternativo do assunto: informe um nome alternativo. O padrão é Nenhum.
    • Algoritmo de assinatura: a função de hash usada para criptografar a chave de autorização. Somente SHA256 com RSA está disponível.
    • Uso da chave: opções de como usar a chave, a codificação e a assinatura. Você pode selecionar mais de uma opção.
    • Tamanho da chave (bits): o tamanho da chave RSA.
    • URL do servidor SCEP: o URL do servidor SCEP.
    • Período de validade do certificado (anos): por quanto tempo o certificado do dispositivo é válido. Digite um número.
    • Renovar em alguns dias: quanto tempo antes da expiração deve ocorrer a tentativa de renovação do certificado.
    • Uso estendido de chave: como a chave pode ser usada. Você pode escolher mais de um valor.
    • Tipo de desafio: para exigir que o Google apresente uma frase de desafio ao solicitar um certificado do servidor SCEP, selecione Estático e digite a frase. Se você selecionar Nenhum, o servidor não exigirá essa verificação.
    • Nome do modelo: o nome do modelo usado pelo servidor NDES.
    • Autoridade de certificação: o nome de um certificado que você enviou para usar como autoridade de certificação.
    • Tipo de rede que usa este perfil:​ o tipo de rede que usa o perfil SCEP.
    • Plataformas que usam este perfil: as plataformas de dispositivos que usam o perfil do SCEP.
  7. Clique em Salvar. Se você tiver configurado uma unidade organizacional filha, talvez seja possível herdar ou modificar as configurações de uma unidade organizacional mãe.

Depois que você adiciona um perfil, o nome dele e as plataformas em que está ativado são listados. Na coluna Plataforma, o perfil está ativado para as plataformas com ícones azuis e desativado para as plataformas com ícones cinza. Para editar um perfil, passe o cursor sobre a linha e clique em Editar "".

O perfil do SCEP é distribuído automaticamente para os usuários na unidade organizacional.

Etapa 3 (opcional): configurar redes Wi-Fi para exigir o perfil do SCEP

Agora que os dispositivos móveis dos usuários receberam certificados do servidor SCEP, você pode configurar redes Wi-Fi para exigir a autenticação de certificado.

Para selecionar o certificado e aplicar o perfil do SCEP a uma rede Wi-Fi:

  1. Adicione uma configuração de Wi-Fi ou edite uma configuração já adicionada.
  2. Na seção "Acesso à plataforma", marque a caixa Android ou iOS ou ambas.
  3. Na seção "Detalhes", defina o seguinte:
    1. Em Configurações de segurança, selecione WPA/WPA2 Enterprise (802.1 X) ou Dynamic WEP (802.1 X).
    2. Em Protocolo de autenticação extensível, selecione EAP-TLS ou EAP-TTLS.
    3. Em Perfil do SCEP, selecione o perfil que você quer aplicar a esta rede.
  4. Clique em Salvar.

Na primeira vez que os usuários tentarem se conectar à rede Wi-Fi, o dispositivo precisará fornecer o certificado.

  • No Android, o certificado correspondente ao perfil do SCEP e à rede é preenchido automaticamente, e o usuário clica em Conectar.
  • No iOS, o usuário precisa escolher o certificado e clicar em Conectar.

Como funciona a autenticação de certificado pelo Conector de Certificação do Google Cloud

O Conector de Certificação do Google Cloud é um serviço do Windows que estabelece uma conexão exclusiva entre o servidor do SCEP e o Google. O conector de certificado é configurado e protegido por um arquivo de configuração e um arquivo de chave, ambos dedicados somente à sua organização.

Você atribui certificados de dispositivo a usuários com perfis do SCEP. Para atribuir o perfil aos usuários, escolha uma unidade organizacional e adicione o perfil a ela. O perfil inclui a autoridade de certificação que emite os certificados dos dispositivos. Quando um usuário inscreve o dispositivo para gerenciamento, o gerenciamento de endpoints do Google busca o perfil do SCEP dele e instala o certificado no dispositivo. Se o dispositivo já estiver inscrito, o certificado será instalado como parte de um ciclo de sincronização regular.

Quando um usuário tentar se conectar à sua rede, ele precisará apresentar o certificado. Nos dispositivos Android, o certificado é selecionado de maneira automática e o usuário clica em Conectar. Nos dispositivos iOS, o usuário precisa selecionar o certificado manualmente e se conectar. O dispositivo acessa a rede da sua organização usando uma chave negociada pelo Google pelo conector de certificação. O Google armazena temporariamente a chave durante a negociação de segurança, mas a limpa depois de instalada no dispositivo (ou após 24 horas).

Problemas conhecidos

  • Não é possível revogar os certificados após a instalação em um dispositivo.
  • Os perfis do SCEP não são compatíveis com desafios dinâmicos.
  • Não é possível aplicar os perfis do SCEP a configurações de VPN ou Ethernet.
  • Não é possível configurar um certificado intermediário com cadeias maiores que a de certificado de CA e de identidade.



Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false