# Validação do Intune

{% hint style="info" %}
Estas definições só devem ser aplicadas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings).
{% endhint %}

## AppConfig:IntuneValidation:ComplianceCheck

*Linux: AppConfig\_\_IntuneValidation\_\_ComplianceCheck*

{% hint style="warning" %}
**Configuração Experimental** 

Apenas SCEPman Enterprise Edition

Antes da versão 1.9, devido à avaliação atrasada do estado de conformidade durante o registo, esta funcionalidade quebra o registo do Windows Autopilot. Após a implementação do certificado, a verificação OCSP imediatamente seguinte devolverá '**não válido**' durante o registo e o processo de Autopilot não será bem-sucedido.

Com a versão 1.9 e superior, os clientes recebem um "Ephemeral Bootstrap Certificate" durante a fase de registo, que é posteriormente substituído por um certificado de cliente normal, assim que o cliente se torna compatível.

Com a versão 2.5 e superior, pode alternativamente configurar um período de tolerância durante o qual o dispositivo é sempre considerado compatível com a definição ComplianceGracePeriodMinutes.
{% endhint %}

**Valor:** *Sempre* ou *Nunca* (predefinição)

**Descrição:** Quando o SCEPman recebe um pedido OCSP, o SCEPman pode opcionalmente verificar o estado de conformidade do dispositivo. Quando definido para **Sempre** o SCEPman consultará o estado de conformidade do dispositivo e o resultado OCSP só pode ser GOOD se o dispositivo também estiver marcado como compatível no Azure AD.

Definir isto para **Nunca** desativará a verificação de conformidade.

## AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

*Linux: AppConfig\_\_IntuneValidation\_\_ComplianceGracePeriodMinutes*

{% hint style="warning" %}
Apenas SCEPman Enterprise Edition

Aplicável à versão 2.5 e superior 
{% endhint %}

**Valor:** *Inteiro* (predefinição: 0)

**Descrição:** Imediatamente após o registo, os dispositivos muitas vezes ainda não estão compatíveis no Intune. Esta definição determina um período de tolerância em minutos durante o qual o dispositivo é considerado compatível, mesmo que ainda não o seja. Se o dispositivo não estiver compatível após o período de tolerância, o certificado é revogado. Isto evita o problema de um dispositivo Windows que está apenas a registar-se e precisa de concluir com sucesso o perfil SCEP para terminar o registo do Windows Autopilot, mas só se tornará compatível no Intune algum tempo depois.

A definição verificará a propriedade EnrolledDateTime do Intune e começará a contar a partir desse ponto.

É uma alternativa à utilização de Ephemeral Bootstrap Certificates. Se configurar qualquer valor acima de 0, o SCEPman nunca emitirá Ephemeral Bootstrap Certificates.

Esta definição só é efetiva se [ComplianceCheck](#appconfig-intunevalidation-compliancecheck) esteja definida como *Sempre*.

## AppConfig:IntuneValidation:DeviceDirectory

*Linux: AppConfig\_\_IntuneValidation\_\_DeviceDirectory*

**Valor:** String

Opções disponíveis:

* `AAD`\
  (predefinição para SCEPman 2.0)
* `Intune`
* `AADAndIntune`
* `AADAndIntuneOpportunistic`\
  (predefinição para SCEPman 2.1 ou mais recente)
* `AADAndIntuneAndEndpointlist`\
  (disponível no SCEPman 2.2 e mais recente)

{% hint style="warning" %}
Se quiser alterar esta definição numa implementação existente que foi instalada com uma versão anterior do SCEPman, execute novamente o [script de configuração do PowerShell](https://docs.scepman.com/pt/implantacao-do-scepman/permissions/post-installation-config#acquire-and-run-the-scepman-installation-powershell-module) para garantir que o SCEPman tem as permissões mais recentes para aceder aos diretórios de dispositivos correspondentes.
{% endhint %}

**Descrição:** Determina onde procurar dispositivos em pedidos OCSP para certificados de dispositivo. O diretório correspondente é consultado para um dispositivo que corresponda ao ID do dispositivo escrito no campo CN do sujeito do certificado. O certificado só é válido se o dispositivo existir. Para **`AAD`**, também tem de estar ativado (o Intune não suporta a desativação de dispositivos). Se o ComplianceCheck estiver ativado, o dispositivo também tem de estar em conformidade. Se nada estiver configurado e para SCEPman 1.9 e anteriores, `AAD` é utilizado.

Assim, deve configurar o perfil de configuração do Intune para os dispositivos em conformidade. `{{AAD_Device_ID}}` é o ID de dispositivo do Entra/AAD, enquanto `{{DeviceID}}` é o ID de dispositivo do Intune.

Para **`AADAndIntune`**, ambos os diretórios são consultados em paralelo. Neste caso, basta que o dispositivo exista num dos dois diretórios. Esta definição permite migrar de uma definição para a outra quando ainda existem certificados válidos para ambos os tipos de diretórios. Também suporta casos em que configura as plataformas de forma diferente. Também pode ser usada como solução alternativa para dispositivos iOS ou Android que recebem um ID do Intune em vez de um ID de objeto do Entra, porque não estão totalmente ligados ao Entra no momento do registo do certificado.

Se tiver atualizado do SCEPman 1.x para o SCEPman 2.x e ainda estiver a usar [uma Registo de Aplicação para as permissões do SCEPman](https://docs.scepman.com/pt/implantacao-do-scepman/permissions/azure-app-registration), o SCEPman não tem as permissões para consultar dispositivos no Intune. Assim, fica limitado à opção `AAD` . A opção **`AADAndIntuneOpportunistic`** verifica se foram concedidas ao SCEPman as permissões para consultar o Intune. Se existirem, isto funciona como `AADAndIntune`. Se não existirem, isto comporta-se como `AAD`.

O valor **`AADAndIntuneAndEndpointlist`** funciona exatamente como `AADAndIntune`, mas também consulta [a lista de certificados emitidos do Intune](https://endpoint.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMonitorMenu/~/certificateReport). Se o Intune [tiver desencadeado a revogação de um certificado](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates#scep-certificates), isto fará com que o certificado seja revogado no SCEPman.

{% embed url="<https://www.youtube.com/watch?v=K0SK0BtoBUQ>" %}
SCEPman 2.0: Validação de Certificado
{% endembed %}

## AppConfig:IntuneValidation:RevokeCertificatesOnWipe

*Linux: AppConfig\_\_IntuneValidation\_\_RevokeCertificatesOnWipe*

{% hint style="info" %}
Aplicável à versão 2.1 e superior.
{% endhint %}

**Valor:** *true* (predefinição) ou *falso*

**Descrição:** Esta definição amplia a validação dos dispositivos quando se usa o ID de Dispositivo do Intune. Não funciona quando se usa o ID de Dispositivo do Entra/AAD. Se estiver ativada, o SCEPman avalia a propriedade Management State de um dispositivo do Intune quando o respetivo certificado de dispositivo é validado. Se o estado indicar um dos seguintes valores, o certificado é revogado:

* RetirePending
* RetireFailed
* WipePending
* WipeFailed
* Unhealthy
* DeletePending
* RetireIssued
* WipeIssued

Em especial, isto significa que quando um administrador desencadeia um Wipe ou Retire para um dispositivo, o certificado será revogado imediatamente. Mesmo que o dispositivo esteja desligado ou offline e, portanto, a ação não possa ser executada no dispositivo, o certificado deixa de ser válido.

## AppConfig:IntuneValidation:UntoleratedUserRisks

*Linux: AppConfig\_\_IntuneValidation\_\_UntoleratedUserRisks*

{% hint style="warning" %}
**Configuração Experimental** - Aplicável à versão 2.2 e superior. Requer permissão *IdentityRiskyUser.Read.All* atribuída pelo módulo PS do SCEPman versão 1.7 e superior.

Apenas SCEPman Enterprise Edition
{% endhint %}

**Valor:** Lista separada por vírgulas de níveis de risco do utilizador, por exemplo *Low*, *Medium*, *High*.

**Descrição:** Esta definição só tem efeito se definir [UserRiskCheck](#appconfig-intunevalidation-userriskcheck) para *Sempre*. Os certificados de utilizadores com níveis de risco nesta lista serão considerados inválidos.

Exemplo: Define `Medium,High` para esta definição. Um utilizador tem o nível de risco *Low*. O certificado do utilizador é válido e pode ser usado para ligar à VPN corporativa. Depois, um evento de risco aumenta o nível de risco do utilizador para *Medium*. O utilizador tenta ligar-se à VPN, mas não consegue, porque o Gateway VPN verifica a validade do certificado em tempo real e o SCEPman responde que foi revogado.

## AppConfig:IntuneValidation:UserRiskCheck

*Linux: AppConfig\_\_IntuneValidation\_\_UserRiskCheck*

{% hint style="warning" %}
**Configuração Experimental** - Aplicável à versão 2.2 e superior. Requer permissão *IdentityRiskyUser.Read.All* atribuída pelo módulo PS do SCEPman versão 1.7 e superior.

Apenas SCEPman Enterprise Edition
{% endhint %}

**Valor:** *Sempre* ou *Nunca* (predefinição)

**Descrição:** Quando o SCEPman recebe um pedido OCSP para um certificado emitido para um utilizador do Intune, o SCEPman pode opcionalmente verificar o [nível de risco do utilizador](https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks#user-linked-detections). Quando definido para **Sempre** o SCEPman consultará o estado de risco do utilizador e o resultado OCSP só pode ser GOOD se o risco do utilizador não estiver na lista de [UntoleratedUserRisks](#appconfig-intunevalidation-untolerateduserrisks).

Definir isto para **Nunca** desativará a verificação de risco do utilizador.

## AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

*Linux: AppConfig\_\_IntuneValidation\_\_WaitForSuccessNotificationResponse*

**Valor:** *true* (predefinição) ou *falso*

**Descrição:** Depois de um certificado ter sido emitido com sucesso, o SCEPman envia uma notificação sobre o certificado para o Intune. A Microsoft recomenda aguardar a resposta na respetiva especificação. No entanto, algumas instâncias mostram atrasos longos, resultando ocasionalmente em timeouts. Portanto **Verdadeiro** é a predefinição.

Definir isto para **Falso** faz com que o SCEPman devolva o certificado emitido antes de o Intune responder à notificação. Isto contraria a especificação, mas aumenta o desempenho e evita timeouts em instâncias onde este problema ocorre.

## AppConfig:IntuneValidation:ValidityPeriodDays

*Linux: AppConfig\_\_IntuneValidation\_\_ValidityPeriodDays*

**Valor:** Positivo *Inteiro*

**Descrição:** Esta definição reduz ainda mais o ValidityPeriodDays global para o endpoint do Intune.

## AppConfig:IntuneValidation:EnableCertificateStorage

*Linux: AppConfig\_\_IntuneValidation\_\_EnableCertificateStorage*

{% hint style="info" %}
Aplicável à versão 2.7 e superior

Apenas SCEPman Enterprise Edition
{% endhint %}

**Valor:** *true* ou *falso* (predefinição)

**Descrição:** Ao solicitar certificados através do endpoint do Intune, o SCEPman armazena esses certificados solicitados na Storage Account no Azure se isto estiver definido para *true*. Isto fará com que os certificados emitidos apareçam no SCEPman Certificate Master, onde pode vê-los e revogá-los manualmente. Além disso, os certificados são revogados automaticamente quando o objeto Entra ou Intune associado entra num estado inválido, conforme especificado pelas outras definições (como estar desativado ou eliminado). Se definido para *falso*, o SCEPman não armazenará os certificados emitidos e os certificados só serão visíveis nos registos ou na vista clássica do Intune no Certificate Master ou no portal do Intune. Se isto não estiver definido, o comportamento depende da definição global [AppConfig:EnableCertificateStorage](https://docs.scepman.com/pt/configuracao-do-scepman/basics#appconfig-enablecertificatestorage).

## AppConfig:IntuneValidation:AllowRenewals <a href="#appconfig-dbcsrvalidation-allowrenewals" id="appconfig-dbcsrvalidation-allowrenewals"></a>

**Valor:** *true* ou *falso* (predefinição)

**Descrição:** Isto permite usar a *RenewalReq* operação neste endpoint SCEP. Só funciona para tipos de certificado adicionados a *AppConfig:*&#x49;ntuneValidatio&#x6E;*:ReenrollmentAllowedCertificateTypes*.

Esta operação pode ser usada com o módulo [SCEPmanClient ](https://github.com/scepman/scepmanclient)PowerShell.

{% hint style="warning" %}
Tenha em atenção que o Intune não irá utilizar a operação *RenewalReq* e esta definição não é necessária para o funcionamento normal.
{% endhint %}

## AppConfig:IntuneValidation:AllowRequestedSidExtension

{% hint style="info" %}
Aplicável à versão 2.11.1460 e superior. As versões anteriores comportam-se de forma diferente da descrita se esta definição for modificada e recomendamos não configurar esta definição para essas versões mais antigas.
{% endhint %}

**Valor:** *true* ou *falso* (predefinição)

**Descrição:** Se existir uma extensão SID (OID 1.3.6.1.4.1.311.25.2) no pedido de certificado, ela será copiada para o certificado emitido se esta definição for verdadeira. Se for falsa, será filtrada. O SID é importante para um mapeamento forte de certificados em cenários de autenticação no AD local. No entanto, aparentemente o Intune [não verifica a autenticidade do SID solicitado](https://docs.scepman.com/pt/outros/troubleshooting/sid-spoofing-vulnerability) na extensão, pelo que permitir extensões SID solicitadas pode representar uma vulnerabilidade de segurança.

As extensões SID adicionadas através de [AppConfig:AddSidExtension](https://docs.scepman.com/pt/configuracao-do-scepman/certificates#appconfig-addsidextension) não são afetadas por esta definição. Além disso, os SIDs adicionados como um SAN URI contendo um SID também não são afetados se a versão do SCEPman for 2.11.1460 ou mais recente — versões mais antigas do SCEPman copiam o SID do SAN URI apenas se isto *true*, mas têm *true* como valor predefinido.

## AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes <a href="#appconfig-dbcsrvalidation-reenrollmentallowedcertificatetypes" id="appconfig-dbcsrvalidation-reenrollmentallowedcertificatetypes"></a>

**Valor:** Lista separada por vírgulas de tipos de certificado desta lista:

* DomainController
* Static
* IntuneUser
* IntuneDevice
* JamfUser
* JamfUserWithDevice
* JamfUserWithComputer
* JamfDevice
* JamfComputer

**Descrição:** Pode usar o endpoint SCEP para renovações de certificados dos tipos especificados nesta definição. Se não especificar qualquer valor, o valor predefinido é nenhum tipo.

Por exemplo, se quisesse renovar certificados emitidos manualmente através do Certificate Master, especificaria `Static`. Se também quiser renovar certificados do Domain Controller, especificaria `DomainController,Static`.

{% hint style="warning" %}
Tenha em atenção que o Intune não irá utilizar a operação *RenewalReq* e esta definição não é necessária para o funcionamento normal.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.