circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

iOS/iPadOS

Implante certificados em dispositivos iOS e iPadOS via SCEP no Intune usando SCEPman.

O artigo a seguir descreve como implantar certificados de dispositivo e/ou usuário para dispositivos iOS e iPadOS. A implantação do Certificado Raiz do SCEPman é obrigatória. Em seguida, você pode escolher entre implantar apenas o certificado de dispositivo, de usuário ou até ambos os tipos de certificado.

circle-exclamation

Observe que iOS e iPadOS inscrevem um certificado(s) de autenticação de cliente separado para cada perfil de configuração de dispositivo em que um perfil SCEP é referenciado, além do próprio perfil de certificado SCEP. Veja aquiarrow-up-right

hashtag
Certificado raiz

A base para implantar certificados SCEP é confiar no certificado raiz do SCEPman. Portanto, você precisa baixar o certificado CA Root e implantá-lo como um certificado confiável perfil via Microsoft Intune:

circle-info

Observe que você deve usar o mesmo grupo para atribuição o certificado confiável e perfil SCEP. Caso contrário, a implantação pelo Intune pode falhar.

hashtag
Certificados de dispositivo

chevron-rightTipo de certificado: Dispositivohashtag

Nesta seção estamos configurando um certificado de dispositivo.

chevron-rightFormato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}hashtag

O SCEPman usa o campo CN do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

  • {{DeviceId}}: Este ID é gerado e usado pelo Intune (Recomendado) (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory a ser definido como Intune ou AADAndIntune)

  • {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD). (Nota: Ao usar a Inscrição Automática de Dispositivos via Apple Business Manager, este ID pode mudar durante a configuração do dispositivo. Se isso ocorrer, o SCEPman pode não conseguir identificar o dispositivo posteriormente. O certificado se tornaria inválido nesse caso.)

Você pode adicionar outros RDNs se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoftarrow-up-right.

chevron-rightNome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}hashtag

O campo URI é recomendado pela Microsoftarrow-up-right para soluções NAC identificarem os dispositivos com base em seu ID de dispositivo do Intune.

Outros valores SAN como DNS podem ser adicionados se necessário.

chevron-rightPeríodo de validade do certificado: 1 anohashtag

Importante: Dispositivos iOS/iPadOS ignoram a configuração do período de validade via Intune. Por favor, certifique-se de configurar AppConfig:ValidityPeriodDays para um valor fixo. Recomendamos 2 anos, portanto você deve definir essa variável na configuração do SCEPman para 730 dias. Mas você pode deixar a configuração do período de validade do certificado em 1 ano porque o Intune a ignora de qualquer forma. Importante: Observe também que certificados em iOS/iPadOS só são renovados pelo Intune quando o dispositivo está desbloqueado, online, sincronizando e dentro do escopo do limite de renovação. Se os certificados estiverem expirados (por exemplo: o dispositivo ficou offline e/ou bloqueado por muito tempo), eles não serão renovados. Portanto, recomendamos escolher um valor maior aqui.

chevron-rightUso da chave: Assinatura digital e criptografia de chavehashtag

Por favor ative ambas as ações criptográficas.

chevron-rightTamanho da chave (bits): 2048hashtag

O SCEPman suporta 2048 bits.

chevron-rightCertificado Raiz: Perfil do passo anteriorhashtag

Por favor selecione o perfil do Intune de iOS/iPadOS.

chevron-rightUso estendido da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2hashtag

Por favor escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Importante: Dispositivos iOS/iPadOS não suportam usos de chave estendidos (EKUs) além de Autenticação de Cliente . Isso significa que quaisquer outros EKUs configurados neste perfil serão ignorados.

chevron-rightLimite de renovação (%): 50hashtag

Este valor define quando o dispositivo tem permissão para renovar seu certificado (com base na vida útil restante do certificado existente). Por favor, leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado por um longo período. Um valor de 50% permitiria que o dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes da expiração.

chevron-rightURLs do servidor SCEP: Abra o portal SCEPman e copie a URL de Intune MDMhashtag

Exemplo

circle-info

Com nossas configurações declaradas, cumprimos requisitos de certificado da Applearrow-up-right.

hashtag
Exemplo

hashtag
Certificados de usuário

Por favor siga as instruções de iOS/iPadOS e atente para as seguintes diferenças:

chevron-rightTipo de certificado: Usuáriohashtag

Nesta seção estamos configurando um certificado de usuário.

chevron-rightFormato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}hashtag

Você pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoftarrow-up-right. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.

chevron-rightNome alternativo do sujeito: UPN Valor: {{UserPrincipalName}}hashtag

O SCEPman usa o UPN no SAN para identificar o usuário e como semente para a geração do número de série do certificado (por exemplo: [email protected]). Outros valores SAN, como endereço de e-mail, podem ser adicionados se necessário.

circle-info

Com nossas configurações declaradas, cumprimos requisitos de certificado da Applearrow-up-right

hashtag
Exemplo

Last updated

Was this helpful?