# macOS
O artigo seguinte descreve como implementar certificados de dispositivo ou/ e de utilizador para dispositivos macOS. A implementação do SCEPman Root Certificate é obrigatória. Depois disso, pode escolher entre implementar apenas certificados de dispositivo, apenas de utilizador ou até ambos os tipos de certificado.
{% hint style="warning" %}
Note que o macOS regista um certificado de autenticação de cliente separado para cada perfil de configuração de dispositivo em que é referenciado um perfil SCEP, para além do próprio perfil de certificado SCEP. Consulte a nota [aqui](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Root Certificate
A base para a implementação de certificados SCEP é confiar no certificado raiz do SCEPman. Por isso, tem de transferir o certificado raiz da CA e implementá-lo como um **certificado de confiança** perfil através do Microsoft Intune:
* [ ] Transfira o certificado da CA a partir do portal SCEPman:
* [ ] Crie um perfil para macOS com o tipo **certificado de confiança** no Microsoft Intune:
* [ ] Carregue o seu **ficheiro .cer**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os utilizadores e/ou Todos os dispositivos ou um grupo dedicado para atribuição.
{% hint style="info" %}
Nota: tem de usar o **mesmo grupo para atribuição** do **certificado de confiança** e **perfil SCEP**. Caso contrário, a implementação no Intune poderá falhar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra o portal SCEPman e copie o URL em **Intune MDM**:
* [ ] Crie um perfil para macOS com o tipo **certificado SCEP** no Microsoft Intune:
* [ ] Configure o perfil conforme descrito:
Tipo de certificado: Dispositivo
Nesta secção, estamos a configurar um certificado de dispositivo.
Formato do nome do sujeito: CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recomendado:** Utilize `{{DeviceName}}`para o CN RDN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.
**Opcional:** Se configurado para `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:
* `{{DeviceId}}`: Este ID é gerado e usado pelo Intune.\
\
(requer que [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") seja definido para **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).
Caso nenhum de `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado para o campo CN (por exemplo, `CN={{DeviceName}})`, o SCEPman identificará o dispositivo com base no Intune Device ID (`(URI)Valor:` `IntuneDeviceId://{{DeviceId}}`) fornecido no nome alternativo do sujeito (SAN).
**Importante:** A escolha do campo CN afeta o [comportamento automático de revogação](https://docs.scepman.com/pt/manage-certificates#automatic-revocation) dos certificados emitidos para os seus dispositivos geridos pelo Intune.
Pode adicionar outros RDNs, se necessário (por exemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID.
O **campo URI é obrigatório** caso nenhum de `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado no campo **Formato do nome do sujeito** .
Outros valores SAN, como DNS, podem ser adicionados, se necessário.
Período de validade do certificado: 1 anos
**Importante:** Os dispositivos macOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar [#appconfig-validityperioddays](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/certificates#appconfig-validityperioddays "mention") para um valor fixo. Pode deixar a definição do período de validade do certificado em 1 ano, porque isso será ignorado de qualquer forma.\
\ **Importante:** Tenha também em atenção que **os certificados no macOS são apenas renovados** pelo Intune quando o dispositivo está **desbloqueado, online, a sincronizar e dentro do âmbito do limite de renovação**. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais elevado.
Utilização da chave: Assinatura digital e encobrimento de chavet
Ative ambas as ações criptográficas.
Tamanho da chave (bits): 2048
O SCEPman suporta 2048 bits.
Root Certificate: Perfil do passo anterior
Selecione o perfil do Intune de [#Root certificates](#root-certificate)
Utilização avançada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.
**Importante:** Os dispositivos macOS não suportam quaisquer Extended Key Usages (EKUs) além de `Autenticação de cliente` . Isto significa que quaisquer outros EKUs configurados neste perfil serão ignorados.
Limite de renovação (%): 50
Este valor define quando o dispositivo tem permissão para renovar o respetivo certificado (com base no tempo de vida remanescente do certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria ao dispositivo com um certificado válido por 1 ano iniciar a renovação 182 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM
**Exemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemplo
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupo(s) para atribuição que para o perfil de certificado de confiança.
## Certificados de utilizador
A secção seguinte mostra como pode implementar certificados de utilizador através de um perfil de certificado do Intune em dispositivos macOS X 10.12 (ou posterior).
{% hint style="warning" %}
Nota: os certificados provisionados através do protocolo SCEP — independentemente do tipo (utilizador ou dispositivo) — são sempre colocados na cadeia de chaves do sistema (armazenamento do sistema) do dispositivo.
Caso uma aplicação de terceiros necessite de acesso a esse certificado (por exemplo, um cliente VPN de terceiros), o deslizador para **Permitir que todas as apps acedam à chave privada** na cadeia de chaves tem de estar definido como **ativado**.
{% endhint %}
Siga as instruções de [#Device certificates](#device-certificates) e tenha em atenção as seguintes diferenças:
Tipo de certificado: Utilizador
Nesta secção, estamos a configurar um certificado de utilizador.
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: ) como definição de base.
Nome alternativo do sujeito: UPN Valor:{{UserPrincipalName}}
O SCEPman usa o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por exemplo: ).\
\
Outros valores SAN, como o endereço de e-mail, podem ser adicionados, se necessário.
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemplo
