circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Diretórios de Dispositivo

O SCEPman oferece duas opções para validar certificados de dispositivos (por exemplo, para pedidos OCSP). Ambos os diretórios armazenam objetos de dispositivo com IDs diferentes que são verificados quanto à existência pelo SCEPman:

  • ID de Dispositivo do Microsoft Entra ID (Azure AD)

  • Intune (ID de Dispositivo do Intune)

Esses IDs são visíveis no Intune por dispositivo na aba "Hardware":

Para reconhecer o dispositivo por trás de um certificado emitido, o SCEPman exige o correspondente ID no nome do sujeito:

  • Microsoft Entra ID (Azure AD): CN={{AAD_Device_ID}}

  • Intune: CN={{DeviceId}}

Ao configurar o SCEPman e perfis de certificado no Intune, é importante decidir qual inventário deve ser usado.

hashtag
Entra ID (AAD) vs. Intune

Ambos os diretórios têm prós e contras. Em geral, nós recomendamos o Intune como inventário desde o SCEPman 2.0:

  • O ID de Dispositivo do Entra pode mudar durante o registro (observado no iOS/iPadOS/macOS): O ID de Dispositivo do Entra é definido para o ID de dispositivo do Intune até que o dispositivo seja finalmente registrado no AAD. O Intune já emite o certificado antes que o dispositivo obtenha seu ID final. Como resultado, o SCEPman não consegue encontrar o dispositivo no AAD após essa mudança de ID.

  • O Intune costuma ser mantido melhor do que o Entra ID (AAD): Em teoria, os objetos de dispositivo do AAD e do Intune são independentes. Excluir um dispositivo no Intune não exclui o objeto correspondente no AAD. Além disso, dispositivos Autopilot só podem ser excluídos no Intune e não no Microsoft Entra ID (Azure AD). Portanto, os certificados ainda seriam válidos.

hashtag
Configuração do SCEPman

O SCEPman precisa saber qual(is) diretório(s) deve(m) ser usado(s) para validação. Portanto, oferecemos a opção de configuraçãoAppConfig:IntuneValidation:DeviceDirectory. Por favor, ajuste esse valor conforme suas necessidades.

circle-exclamation

Observe que isso requer a versão 2.0 ou mais recente. O SCEPman 1.x suporta apenas o Microsoft Entra ID (Azure AD) como diretório.

hashtag
Perfis de Certificado

Por favor, também ajuste o nome do sujeito conforme suas necessidades, como indicado em Microsoft Intune.

Por favor, note que CN={{DeviceId}} atualmente não é compatível com Android Enterprise Fully Managed, Dedicated e Corporate-Owned Work Profile, conforme indicado em documentação da Microsoftarrow-up-right. Se esses tipos de dispositivo estiverem em uso, considere verificar ambos os diretórios ou apenas o Microsoft Entra ID (Azure AD).

Para migrando do Microsoft Entra ID (Azure AD) para o ID do Intune ou vice-versa, certificados precisam ser reemitidos em todos os clientes. Durante essa mudança, por favor configure o SCEPman via AppConfig:IntuneValidation:DeviceDirectory para verificar ambos os diretórios (assim, ambos os IDs são válidos). Após a migração, você pode mudar para Intune ou AAD como único diretório.

Last updated

Was this helpful?