circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Android

Implantar certificados em dispositivos Android via SCEP usando Intune e SCEPman.

O artigo a seguir descreve como implantar um certificado de dispositivo ou de usuário para Android. A implantação de certificados no Android é semelhante às implantações de certificados no Windows 10, macOS e iOS.

circle-info

O Android fornece dois conjuntos de soluções distintos: um é o perfil de trabalhoarrow-up-right (conhecido como Perfil de Trabalho Pessoal) e o outro é o dispositivo totalmente gerenciadoarrow-up-right (conhecido também como Totalmente Gerenciado, Dedicado e Perfil de Trabalho de Propriedade Corporativa). Em ambos os cenários, as configurações para perfis de configuração de certificados permanecem consistentes.

circle-info

O gerenciamento de administrador de dispositivo do Android foi lançado no Android 2.2 como uma forma de gerenciar dispositivos Android. Em seguida, a partir do Android 5, foi lançado o framework de gerenciamento mais moderno, o Android Enterprise (para dispositivos que podem se conectar de forma confiável aos Google Mobile Services). O Google está incentivando a migração do gerenciamento por administrador de dispositivo diminuindo seu suporte de gerenciamento nas novas versões do Android. Para mais informações, por favor verifique MS. Intune Diminuindo o suporte para administrador de dispositivo Androidarrow-up-right

hashtag
Certificado raiz

A base para implantar certificados SCEP (dispositivo ou usuário) é confiar no certificado raiz do SCEPman. Portanto, você precisa baixar o certificado raiz da CA e implantá‑lo como um certificado confiável perfil via Microsoft Intune:

circle-info

Observe que você deve usar o mesmo grupo para atribuir o certificado confiável e perfil SCEP. Caso contrário, a implantação no Intune pode falhar.

hashtag
Certificados de dispositivo

chevron-rightTipo de certificado: Dispositivohashtag

Nesta seção, estamos configurando um certificado de dispositivo.

chevron-rightFormato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}hashtag

O SCEPman usa o campo CN do assunto para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem duas IDs diferentes:

  • {{DeviceId}}: Este ID é gerado e usado pelo Intune (Recomendado). (Requer SCEPman 2.0 ou superior e #AppConfig:IntuneValidation:DeviceDirectory a ser definido como Intune ou AADAndIntune

  • {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Você pode adicionar outros RDNs se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoftarrow-up-right.

chevron-rightNome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}hashtag

O campo URI é recomendado pela Microsoftarrow-up-right para soluções NAC identificarem os dispositivos com base em seu ID de dispositivo do Intune:

Outros valores SAN como DNS podem ser adicionados se necessário.

chevron-rightPeríodo de validade do certificado: 1 anoshashtag

A quantidade de tempo restante antes do certificado expirar. O padrão é definido para um ano.

O SCEPman limita a validade do certificado ao máximo configurado na configuração AppConfig:ValidityPeriodDays, mas caso contrário usa a validade configurada na solicitação.

chevron-rightUso da chave: Assinatura digital e criptografia de chavehashtag

Por favor ative ambas as ações criptográficas.

chevron-rightTamanho da chave (bits): 4096hashtag

O SCEPman suporta 4096 bits.

chevron-rightCertificado Raiz: Perfil do passo anteriorhashtag

Por favor selecione o perfil do Intune em [Android](android.md#root-certificate).

Se você estiver usando um CA intermediária, você ainda deve selecionar o perfil de certificado Confiável para a CA Raiz, não a CA Intermediária!

chevron-rightUso estendido da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2hashtag

Por favor escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

chevron-rightLimite de renovação (%): 20hashtag

Este valor define quando o dispositivo tem permissão para renovar seu certificado (com base na vida útil remanescente de um certificado existente). Por favor leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que o dispositivo com certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.

chevron-rightURLs do servidor SCEP: Abra o portal SCEPman e copie a URL de #Intune MDMhashtag

Exemplo

hashtag
Exemplo

hashtag
Certificados de usuário

Por favor siga as instruções de #Certificados de dispositivo e atente para as seguintes diferenças:

chevron-rightTipo de certificado: Usuáriohashtag

Nesta seção estamos configurando um certificado de usuário.

chevron-rightFormato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}hashtag

Você pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoftarrow-up-right. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.

chevron-rightNome alternativo do sujeito: (UPN)Valor: {{UserPrincipalName}}hashtag

Você deve adicione o nome principal do usuário como o nome alternativo do assunto. Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do usuário (UPN). Isso garante que o SCEPman possa vincular certificados a objetos de usuário no AAD.

Outros valores SAN como um endereço de e-mail podem ser adicionados se necessário.

circle-info

É necessário ter um Nome alternativo do sujeito no Certificado SCEP, Tipo Usuário. Sem um SAN, você não terá acesso ao Wi‑Fi da sua empresa.

hashtag
Exemplo

hashtag
Verificação de Certificado

Para garantir a implantação correta dos certificados em seu dispositivo Android, há duas opções:

Last updated

Was this helpful?