Validação Intune

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

Valor: Sempre ou Nunca (padrão)

Descrição: Quando o SCEPman recebe uma solicitação OCSP, o SCEPman pode opcionalmente verificar o estado de conformidade do dispositivo. Quando definido como Sempre o SCEPman consultará o estado de conformidade do dispositivo e o resultado OCSP só pode ser GOOD se o dispositivo também estiver marcado como compatível no Azure AD.

Definir isso como Nunca desativará a verificação de conformidade.

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

Valor: Inteiro (padrão: 0)

Descrição: Imediatamente após o registro, os dispositivos muitas vezes ainda não estão compatíveis no Intune. Esta configuração define um período de carência em minutos durante o qual o dispositivo é considerado compatível, mesmo que ainda não esteja. Se o dispositivo não estiver compatível após o período de carência, o certificado será revogado. Isso evita o problema de um dispositivo Windows que está apenas registrando e precisa concluir com sucesso o perfil SCEP para finalizar o registro do Windows Autopilot, mas que se tornará compatível no Intune apenas algum tempo depois.

A configuração verificará a propriedade EnrolledDateTime do Intune e começará a contar a partir desse ponto.

É uma alternativa ao uso de Certificados Ephemeral de Bootstrap. Se você configurar qualquer valor acima de 0, o SCEPman nunca emitirá Certificados Ephemeral de Bootstrap.

Esta configuração só é eficaz se ComplianceCheck estiver definido para Sempre.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

Valor: String

Opções disponíveis:

• AAD (padrão para SCEPman 2.0)

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic (padrão para SCEPman 2.1 ou superior)

• AADAndIntuneAndEndpointlist (disponível no SCEPman 2.2 e superiores)

Descrição: Determina onde procurar dispositivos em solicitações OCSP para certificados de dispositivo. O diretório correspondente é consultado para um dispositivo que corresponda ao ID do dispositivo escrito no campo CN do assunto do certificado. O certificado é válido somente se o dispositivo existir. Para AAD, ele também deve estar habilitado (o Intune não suporta desabilitar dispositivos). Se o ComplianceCheck estiver ativado, o dispositivo também deve estar em conformidade. Se nada estiver configurado e para o SCEPman 1.9 e anteriores, AAD é usado.

Portanto, você deve configurar o perfil de configuração do Intune para dispositivos de acordo. {{AAD_Device_ID}} é o ID do dispositivo Entra/AAD, enquanto {{DeviceID}} é o ID do dispositivo do Intune.

Para AADAndIntune, ambos os diretórios são consultados em paralelo. Neste caso, é suficiente que o dispositivo exista em um dos dois diretórios. Essa configuração possibilita migrar de uma configuração para outra quando ainda houver certificados válidos para ambos os tipos de diretórios. Também dá suporte a casos em que você configura plataformas de forma diferente. Pode também ser usado como uma solução alternativa para dispositivos iOS ou Android que recebem um ID do Intune em vez de um ID de objeto Entra, porque não estão totalmente ingressados no Entra no momento do registro do certificado.

Se você atualizou do SCEPman 1.x para o SCEPman 2.x e ainda está usando um registro de aplicativo para permissões do SCEPman, o SCEPman não tem as permissões para consultar o Intune por dispositivos. Assim, você fica limitado à AAD opção. A opção AADAndIntuneOpportunistic verifica se as permissões para consultar o Intune foram concedidas ao SCEPman. Se estiverem, isso funciona como AADAndIntune. Se não estiverem, isso se comporta como AAD.

O valor AADAndIntuneAndEndpointlist funciona exatamente como AADAndIntune, mas adicionalmente consulta a lista de certificados emitidos do Intune. Se o Intune acionou a revogação de um certificado, isso fará com que o certificado seja revogado no SCEPman.

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

Valor: true (padrão) ou false

Descrição: Esta configuração estende a validação de dispositivos quando se utiliza o ID de Dispositivo do Intune. Não funciona quando se usa o ID de Dispositivo Entra/AAD. Se estiver habilitada, o SCEPman avalia a propriedade Management State de um Dispositivo Intune quando seu certificado de dispositivo é validado. Se o estado indicar um dos seguintes valores, o certificado é revogado:

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

Especialmente, isso significa que quando um administrador aciona um Wipe ou Retire para um dispositivo, o certificado será revogado imediatamente. Mesmo que o dispositivo esteja desligado ou offline e portanto a ação não possa ser executada no dispositivo, o certificado não é mais válido.

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

Valor: Lista separada por vírgulas de Níveis de Risco de Usuário, por exemplo Baixo, Médio, Alto.

Descrição: Esta configuração só tem efeito se você definir UserRiskCheck para Sempre. Certificados de usuários com níveis de risco nesta lista serão considerados inválidos.

Exemplo: Você define Medium,High para esta configuração. Um usuário tem Nível de Risco Baixo. O certificado do usuário é válido e o certificado pode ser usado para conectar à VPN corporativa. Então, um evento de risco aumenta o Nível de Risco do Usuário para Médio. O usuário tenta conectar-se à VPN, mas não consegue, porque o Gateway VPN verifica a validade do certificado em tempo real e o SCEPman responde que ele foi revogado.

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

Valor: Sempre ou Nunca (padrão)

Descrição: Quando o SCEPman recebe uma solicitação OCSP para um certificado emitido a um usuário do Intune, o SCEPman pode opcionalmente verificar o nível de risco do usuário. Quando definido como Sempre o SCEPman consultará o estado de risco do usuário e o resultado OCSP só pode ser GOOD se o risco do usuário não estiver na lista de UntoleratedUserRisks.

Definir isso como Nunca desativará a verificação de risco do usuário.

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

Valor: true (padrão) ou false

Descrição: Após um certificado ser emitido com sucesso, o SCEPman envia uma notificação sobre o certificado para o Intune. A Microsoft recomenda aguardar a resposta em sua especificação. No entanto, algumas instâncias apresentam longos atrasos resultando ocasionalmente em timeouts. Portanto True é o padrão.

Definir isso como False faz com que o SCEPman retorne o certificado emitido antes que o Intune responda à notificação. Isso contraria a letra da especificação, mas aumenta o desempenho e evita timeouts em instâncias onde esse problema ocorre.

AppConfig:IntuneValidation:ValidityPeriodDays

Linux: AppConfig__IntuneValidation__ValidityPeriodDays

Valor: Positivo Inteiro

Descrição: Esta configuração reduz ainda mais o ValidityPeriodDays global para o endpoint do Intune.

AppConfig:IntuneValidation:EnableCertificateStorage

Linux: AppConfig__IntuneValidation__EnableCertificateStorage

Valor: true ou false (padrão)

Descrição: Ao solicitar certificados através do endpoint do Intune, o SCEPman armazena aqueles certificados solicitados na Conta de Armazenamento no Azure se isto estiver definido como true. Isso fará com que os certificados emitidos apareçam no SCEPman Certificate Master, onde você pode visualizá-los e revogá-los manualmente. Adicionalmente, os certificados são revogados automaticamente quando o objeto Entra ou Intune associado entra em um estado inválido conforme especificado pelas outras configurações (como estar desabilitado ou excluído). Se definido como false, o SCEPman não armazenará certificados emitidos e os certificados serão visíveis apenas nos logs ou na visualização clássica do Intune no Certificate Master ou no portal do Intune. Se isto não estiver definido, o comportamento depende da configuração global AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

Valor: true ou false (padrão)

Descrição: Isto permite usar a RenewalReq operação neste endpoint SCEP. Funciona apenas para tipos de certificado adicionados em AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

Esta operação pode ser usada com o módulo PowerShell SCEPmanClient .

AppConfig:IntuneValidation:AllowRequestedSidExtension

Valor: true ou false (padrão)

Descrição: Se houver uma extensão SID (OID 1.3.6.1.4.1.311.25.2) na solicitação de certificado, ela será copiada para o certificado emitido se esta configuração for verdadeira. Se for falsa, ela será filtrada. O SID é importante para um mapeamento forte de certificados em cenários de autenticação AD on-premises. No entanto, aparentemente o Intune não verifica a autenticidade do SID solicitado na extensão, então permitir extensões SID solicitadas pode representar uma vulnerabilidade de segurança.

Extensões SID adicionadas via AppConfig:AddSidExtension não são afetadas por esta configuração. Adicionalmente, SIDs adicionados como um SAN URI contendo um SID também não são afetados se a versão do SCEPman for 2.11.1460 ou superior — versões mais antigas do SCEPman copiam o SAN URI SID somente se isto true, mas elas têm true como valor padrão.

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

Valor: Lista separada por vírgulas de tipos de certificado desta lista:

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

• JamfComputer

Descrição: Você pode usar o endpoint SCEP para renovações de certificados dos tipos especificados nesta configuração. Se você não especificar nenhum valor, o padrão é nenhum tipo.

Por exemplo, se você quisesse renovar certificados emitidos manualmente através do Certificate Master, você especificaria Static. Se você também quiser renovar certificados de Domain Controller, você especificaria DomainController,Static.