# Diretórios de dispositivos

O SCEPman oferece duas opções para validar certificados de dispositivo (por exemplo, para pedidos OCSP). Ambos os diretórios armazenam objetos de dispositivo com IDs diferentes, cuja existência é verificada pelo SCEPman:

* ID de dispositivo do Microsoft Entra ID (Azure AD)
* Intune (ID de dispositivo do Intune)

Esses IDs são visíveis no Intune por dispositivo, na aba "Hardware":

![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-d44ef355496196be88c70825db9d9249a4258254%2Fimage.png?alt=media)

Para reconhecer o dispositivo por trás de um certificado emitido, o SCEPman requer o correspondente **ID no nome do assunto**:

* Microsoft Entra ID (Azure AD): `CN={{AAD_Device_ID}}`
* Intune: `CN={{DeviceId}}`

Ao configurar o SCEPman e os perfis de certificado no Intune, é importante **decidir qual inventário deve ser usado**.

### Entra ID (AAD) vs. Intune

Ambos os diretórios têm seus prós e contras. Em geral, nós **recomendamos o Intune** como inventário desde o SCEPman 2.0:

* **O ID do dispositivo do Entra pode mudar durante o registo (observado no iOS/iPadOS/macOS)**:\
  O ID do dispositivo do Entra é definido como o ID do dispositivo do Intune até que o dispositivo esteja finalmente registado no AAD. O Intune já emite o certificado antes de o dispositivo obter o seu ID final. Como resultado, o SCEPman não consegue encontrar o dispositivo no AAD após essa alteração de ID.
* **O Intune é frequentemente mantido melhor do que o Entra ID (AAD)**:\
  Em teoria, os objetos de dispositivo do AAD e do Intune são independentes entre si. Eliminar um dispositivo no Intune não elimina o objeto correspondente do AAD. Além disso, os dispositivos Autopilot só podem ser eliminados no Intune e não no Microsoft Entra ID (Azure AD). Portanto, os certificados continuariam válidos.

### Configuração do SCEPman

O SCEPman precisa saber qual diretório/diretórios devem ser usados para validação. Por isso, oferecemos a opção de configuração[#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/pt/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention"). Ajuste esse valor de acordo com as suas necessidades.

{% hint style="warning" %}
Note que isso requer a versão 2.0 ou mais recente. O SCEPman 1.x suporta apenas o Microsoft Entra ID (Azure AD) como diretório.
{% endhint %}

### Perfis de Certificado

Ajuste também o nome do assunto de acordo com as suas necessidades, conforme indicado em [microsoft-intune](https://docs.scepman.com/pt/gerenciamento-de-certificados/microsoft-intune "mention").

Tenha em atenção que `CN={{DeviceId}}` atualmente não é suportado para Android Enterprise Fully Managed, Dedicated e Corporate-Owned Work Profile, conforme indicado em [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Se esses tipos de dispositivo estiverem em uso, considere verificar ambos os diretórios ou apenas o Microsoft Entra ID (Azure AD).

Para **a migrar** do Microsoft Entra ID (Azure AD) para o ID do Intune ou vice-versa, **os certificados** precisam de ser **reemitidos em todos os clientes**. Durante essa alteração, configure o SCEPman através de [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/pt/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") para verificar ambos os diretórios (ou seja, ambos os IDs são válidos). Após a migração, pode mudar para o Intune ou AAD como diretório único.