Android
Implante certificados em dispositivos Android via SCEP usando o Intune e o SCEPman.
O artigo a seguir descreve como implantar um certificado de dispositivo ou de usuário para Android. A implantação de certificados no Android é semelhante às implantações de certificados no Windows 10, macOS e iOS.
O Android fornece dois conjuntos de soluções distintos: um é o perfil de trabalho (conhecido como Perfil de Trabalho Pessoal) e o outro é o dispositivo totalmente gerenciado (conhecido também como Totalmente Gerenciado, Dedicado e Perfil de Trabalho de Propriedade Corporativa). Em ambos os cenários, as configurações para perfis de configuração de certificados permanecem consistentes.
O gerenciamento de administrador de dispositivo do Android foi lançado no Android 2.2 como uma forma de gerenciar dispositivos Android. Em seguida, a partir do Android 5, foi lançado o framework de gerenciamento mais moderno, o Android Enterprise (para dispositivos que podem se conectar de forma confiável aos Google Mobile Services). O Google está incentivando a migração do gerenciamento por administrador de dispositivo diminuindo seu suporte de gerenciamento nas novas versões do Android. Para mais informações, por favor verifique MS. Intune Diminuindo o suporte para administrador de dispositivo Android
Certificado raiz
A base para implantar certificados SCEP (dispositivo ou usuário) é confiar no certificado raiz do SCEPman. Portanto, você precisa baixar o certificado raiz da CA e implantá‑lo como um certificado confiável perfil via Microsoft Intune:
Observe que você deve usar o mesmo grupo para atribuir o certificado confiável e perfil SCEP. Caso contrário, a implantação no Intune pode falhar.
Certificados de dispositivo
Formato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}
O SCEPman usa o campo CN do assunto para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem duas IDs diferentes:
{{DeviceId}}: Este ID é gerado e usado pelo Intune (Recomendado). (Requer SCEPman 2.0 ou superior e #AppConfig:IntuneValidation:DeviceDirectory a ser definido como Intune ou AADAndIntune
{{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).
Você pode adicionar outros RDNs se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base em seu ID de dispositivo do Intune:
Outros valores SAN como DNS podem ser adicionados se necessário.
Período de validade do certificado: 1 anos
A quantidade de tempo restante antes do certificado expirar. O padrão é definido para um ano.
O SCEPman limita a validade do certificado ao máximo configurado na configuração AppConfig:ValidityPeriodDays, mas caso contrário usa a validade configurada na solicitação.
Uso da chave: Assinatura digital e criptografia de chave
Por favor ative ambas as ações criptográficas.
Certificado Raiz: Perfil do passo anterior
Por favor selecione o perfil do Intune em [Android](android.md#root-certificate).
Se você estiver usando um CA intermediária, você ainda deve selecionar o perfil de certificado Confiável para a CA Raiz, não a CA Intermediária!
Uso estendido da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Por favor escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.
Limite de renovação (%): 20
Este valor define quando o dispositivo tem permissão para renovar seu certificado (com base na vida útil remanescente de um certificado existente). Por favor leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que o dispositivo com certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie a URL de #Intune MDM
Exemplo
Exemplo
Certificados de usuário
Por favor siga as instruções de #Certificados de dispositivo e atente para as seguintes diferenças:
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Você pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.
Nome alternativo do sujeito: (UPN)Valor: {{UserPrincipalName}}
Você deve adicione o nome principal do usuário como o nome alternativo do assunto. Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do usuário (UPN). Isso garante que o SCEPman possa vincular certificados a objetos de usuário no AAD.
Outros valores SAN como um endereço de e-mail podem ser adicionados se necessário.
É necessário ter um Nome alternativo do sujeito no Certificado SCEP, Tipo Usuário. Sem um SAN, você não terá acesso ao Wi‑Fi da sua empresa.
Exemplo
Verificação de Certificado
Para garantir a implantação correta dos certificados em seu dispositivo Android, há duas opções:
Em versões mais recentes do Android (por exemplo, 14), você pode verificar certificados (usuário e certificados confiáveis) a partir de configurações > segurança e privacidade
Via aplicativos de terceiros como Ferramenta Visualizadora de Certificados X509
Last updated
Was this helpful?