macOS

Nesta seção estamos configurando um certificado de dispositivo.

Recomendado: Use {{DeviceName}}para o RDN CN ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e usado pelo Intune. (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory a ser definido como Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado para o campo CN (por exemplo CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no ID de Dispositivo do Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do sujeito (SAN).

Importante: A escolha do campo CN afeta o comportamento de revogação automática dos certificados emitidos aos seus dispositivos gerenciados pelo Intune.

Você pode adicionar outros RDNs se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no seu ID de Dispositivo do Intune.

O campo URI é obrigatório caso nenhum CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado no campo Formato do nome do sujeito .

Outros valores SAN como DNS podem ser adicionados se necessário.

Importante: dispositivos macOS ignoram a configuração do período de validade via Intune. Por favor, certifique-se de configurar AppConfig:ValidityPeriodDays para um valor fixo. Você pode deixar a configuração do período de validade do certificado em 1 ano porque ela será ignorada de qualquer forma. Importante: Observe também que certificados no macOS são renovados apenas pelo Intune quando o dispositivo está desbloqueado, online, sincronizando e dentro do escopo do limiar de renovação. Se os certificados estiverem expirados (por exemplo: o dispositivo ficou offline e/ou bloqueado por muito tempo), eles não serão mais renovados. Portanto, recomendamos escolher um valor mais alto aqui.

Por favor ative ambas as ações criptográficas.

O SCEPman suporta 2048 bits.

Por favor selecione o perfil do Intune de #Certificados raiz

Por favor escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Importante: Dispositivos macOS não suportam quaisquer Usos Estendidos de Chave (EKUs) além de Autenticação de Cliente . Isso significa que quaisquer outros EKUs configurados neste perfil serão ignorados.

Este valor define quando o dispositivo está autorizado a renovar seu certificado (com base no tempo de vida restante do certificado existente). Por favor, leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado por um longo período. Um valor de 50% permitiria que o dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes da expiração.

Exemplo

Nesta seção estamos configurando um certificado de usuário.

Você pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de usuário (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração básica.

O SCEPman usa o UPN no SAN para identificar o usuário e como semente para a geração do número de série do certificado (por exemplo: [email protected]). Outros valores de SAN como Endereço de e-mail podem ser adicionados se necessário.