# Endpoints Privados
Ao instalar o SCEPman 2.8 ou mais recente, a Storage Account e o Key Vault serão ligados a uma VNET através de Private Endpoints. O acesso aos dados destes dois Azure Resources só é possível através desta VNET, a menos que defina exceções.
Esta VNET está localizada no mesmo resource group que os outros componentes do SCEPman. Os SCEPman e SCEPman Certificate Master App Services estão ligados à VNET e, ao nível da rede, têm acesso à Storage Account e ao Key Vault.
Após a instalação, não há exceções configuradas, pelo que nenhuma outra entidade pode aceder aos certificados e chaves do Key Vault ou ao Table Storage da Storage Account. Se necessário, por exemplo ao [gerar uma Subordinate CA](/pt/implementacao-do-scepman/intermediate-certificate.md) ou ao[ consultar a Storage Account](/pt/outros/faqs/general.md#how-can-i-programmatically-query-the-storage-account-table), precisa de adicionar exceções no blade Networking do respetivo Azure Resource.
O acesso à interface de gestão do Key Vault e da Storage Account não é afetado, ou seja, não precisa de adicionar as suas máquinas de administração à lista de exceções para realizar funções como alterar o SKU da sua Storage Account ou inspecionar os registos de acesso do seu Key Vault.
Os SCEPman e SCEPman Certificate Master App Services não têm Private Endpoints, mesmo que instale o SCEPman 2.8 ou mais recente. Continuam a poder ser acedidos a partir da Internet sem restrições de rede. Recomendamos não restringir o acesso ao SCEPman ao nível da rede, uma vez que o SCEPman normalmente faz parte da infraestrutura usada para estabelecer ligações de rede e, por isso, deve estar disponível mesmo que ainda não esteja ligado.
Se necessário, o Conditional Access pode ser usado para limitar o acesso ao SCEPman Certificate Master com várias restrições, incluindo condições de rede. O SCEPman normalmente não usa Conditional Access, uma vez que os dois endpoints SCEP e OCSP não usam autenticação Entra. No entanto, poderá usar o Conditional Access para restringir o acesso a [a API REST do SCEPman](/pt/gestao-de-certificados/api-certificates.md).
## Azure Resources Utilizados para Private Endpoints
## Adicionar Private Endpoints a Instalações Existentes do SCEPman
Se tiver instalado o SCEPman 2.7 ou anterior, o seu Key Vault e a Storage Account não terão automaticamente Private Endpoints, mesmo que atualize para o SCEPman 2.8 ou mais recente. Tem de os adicionar manualmente após uma decisão consciente. Siga este guia para o fazer:
{% stepper %}
{% step %}
### Criar Virtual Network
* No resource group do SCEPman, crie uma nova Virtual Network usando as definições predefinidas ou conforme exigido pela sua organização. Isto deve incluir uma **sub-rede predefinida**.
* Crie uma sub-rede adicional na nova **Virtual Network** com as definições predefinidas e defina **"Subnet Delegation"** como **Microsoft.Web/serverFarms**
{% endstep %}
{% step %}
### Criar Private Endpoint do KeyVault
1. Navegue até ao Resource Group do SCEPman > **KeyVault** > Settings > Networking > Private endpoint connections, e crie um private endpoint
2. Selecione o tipo de recurso: **Microsoft.KeyVault/vaults**
3. Selecione o seu **KeyVault** por Resource e **vault** para Target sub-resource
4. Escolha a virtual network e a sub-rede predefinida (não a sub-rede criada no primeiro passo)
5. Ativar **Integrar com a private DNS zone** para criar e ligar automaticamente a private DNS zone
{% endstep %}
{% step %}
### Criar Private Endpoint da Storage Account
1. Navegue até ao Resource Group do SCEPman > **Storage Account** > Security + Networking > Networking > Private endpoints e crie um Private Endpoint
2. Por resource, defina o target sub-resource como **table**
3. Escolha a sua virtual network e a sub-rede predefinida
4. Ativar **Integrar com a private DNS zone** para criar e ligar automaticamente a private DNS zone
{% endstep %}
{% step %}
### Integrar o SCEPman App Service
1. Navegue até **SCEPman App service** > Networking > Adicione a integração de virtual network ao **Outbound traffic configuration** clicando em "Not configured"
2. Selecione a virtual network e a sub-rede criada no primeiro passo.
3. Desmarque a opção "Outbound internet traffic" e aplique
{% endstep %}
{% step %}
### Integrar o Certificate Master App Service
* Ao adicionar a integração de virtual network ao segundo app service, pode selecionar a ligação anterior da lista; não precisa de criar uma nova ligação.
* Se estiver ativado, desmarque a opção "Outbound internet traffic" e aplique
{% endstep %}
{% step %}
### Verificar a Aprovação do Private Endpoint
Verifique se ambos os Private Endpoints do KeyVault e da Storage Account estão num estado Approved
{% endstep %}
{% step %}
### Teste e Resultados
Uma vez confirmado, pode desativar o acesso público tanto ao Key Vault como à Storage account.
Se estiver ligado corretamente, a página inicial do SCEPman deve mostrar todas as suas ligações como "Connected"\
Teste se a sua implementação de private endpoints é bem-sucedida ao implementar certificados usando o seu MDM ou [Certificate Master.](/pt/gestao-de-certificados/certificate-master.md)
{% endstep %}
{% endstepper %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/configuracao-do-azure/private-endpoints.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.