# Outras soluções MDM
Você pode usar o SCEPman para emitir certificados por meio de sistemas MDM além do Intune. Você deve configurar uma senha de desafio estática (veja [RFC 8894, Seção 7.3](https://www.rfc-editor.org/rfc/rfc8894.html#name-challengepassword-shared-se) para a especificação formal) tanto no SCEPman quanto no sistema MDM. Praticamente todos os sistemas MDM suportam esse modo de autenticação SCEP.
Observe, no entanto, que isso não oferece o mesmo nível de segurança que o modo de autenticação empregado com o Intune. A senha de desafio autentica as solicitações do sistema MDM, então o SCEPman sabe que elas vêm de uma fonte confiável. Mas, se atacantes roubarem a senha de desafio, poderão autenticar qualquer solicitação de certificado e fazer com que o SCEPman emita qualquer certificado que quiserem.
Portanto, é crucial manter a senha de desafio segura. Isso pode ser alcançado quando o sistema MDM atua como cliente SCEP e entrega o pacote final, composto por certificado e chave privada, aos dispositivos do usuário final. Dessa forma, a senha de desafio é usada apenas entre o SCEPman e o sistema MDM, e não nos dispositivos do usuário final.
## Configuração do SCEPman
Há dois endpoints SCEP para escolher ao configurar o SCEPman para sistemas MDM além do Intune e do Jamf Pro:
* Static-AAD
* Static
O endpoint Static-AAD é recomendado para sistemas MDM com integração ao Entra ID, como Kandji e Google Workspace. *Utilizador* os certificados distribuídos pelo endpoint Static-AAD serão beneficiados por [Revogação Automática](https://docs.scepman.com/pt/manage-certificates#automatic-revocation) quando o respectivo usuário tiver sido desativado no Entra ID.
O endpoint Static é recomendado para todos os outros sistemas MDM.
{% tabs %}
{% tab title="Static-AAD" %}
Adicione as seguintes definições à sua **App Service do SCEPman** > Variáveis de Ambiente > Adicionar.
Depois que as definições forem adicionadas, salve as definições e reinicie o seu **App Service do SCEPman**.
| Definição | Descrição | Valor |
| :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------------------: |
| [AppConfig:StaticAADValidation:Enabled](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/staticaad-validation#appconfig-staticaadvalidation-enabled) | Ativar validação Static-AAD | ***true*** para ativar, ***falso*** para desativar |
| [AppConfig:StaticAADValidation:RequestPassword](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/staticaad-validation#appconfig-staticaadvalidation-requestpassword) | As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura
Recomendação: Armazene este segredo no Azure KeyVault.
| *gere uma senha de 32 caracteres* |
| AppConfig:StaticAADValidation:ValidityPeriodDays
(opcional)
| Dias de validade dos certificados emitidos pelo endpoint Static-AAD | 365 |
| AppConfig:StaticAADValidation:EnableCertificateStorage
(opcional)
| Armazene os certificados solicitados na Storage Account, para poder mostrá-los no SCEPman Certificate Master | ***true*** para ativar, ***falso** para desativar* |
| {% endtab %} | | |
{% tab title="Static" %}
Adicione as seguintes definições à sua **App Service do SCEPman** > Variáveis de Ambiente > Adicionar.
Depois que as definições forem adicionadas, salve as definições e reinicie o seu **App Service do SCEPman**.
| Definição | Descrição | Valor |
| :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------------------: |
| [AppConfig:StaticValidation:Enabled](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enabled) | Ativar validação de terceiros | ***true*** para ativar, ***falso*** para desativar |
| [AppConfig:StaticValidation:RequestPassword](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-requestpassword) | As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura
Recomendação: Armazene este segredo no Azure KeyVault.
| *gere uma senha de 32 caracteres* |
| [AppConfig:StaticValidation:ValidityPeriodDays](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-validityperioddays) (opcional) | Dias de validade dos certificados emitidos pelo endpoint Static | 365 |
| [AppConfig:StaticValidation:EnableCertificateStorage](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enablecertificatestorage) (opcional) | Armazene os certificados solicitados na Storage Account, para poder mostrá-los no SCEPman Certificate Master | ***true*** para ativar, ***falso** para desativar* |
| {% endtab %} | | |
| {% endtabs %} | | |
## Configuração do MDM
Os passos específicos dependem do sistema MDM que você está usando. Você deve adicionar como URL SCEP em algum lugar e você deve adicionar a senha de desafio à configuração SCEP do seu sistema MDM. Por motivos de segurança, torne o seu sistema MDM um proxy SCEP.
Observe que existem duas variantes de implementações de proxy SCEP, das quais apenas uma é segura nesta configuração:
1. O seu sistema MDM pode atuar como cliente SCEP, gerar o par de chaves secreto e entregar o pacote completo, composto por certificado e chave privada, aos dispositivos do usuário final. Isso é seguro, pois a senha de desafio é usada apenas entre o sistema MDM e o SCEPman.
2. O seu sistema MDM encaminha mensagens SCEP entre o dispositivo do usuário final e o SCEPman. O dispositivo do usuário final gera o par de chaves secreto e *adiciona a senha de desafio* à solicitação de certificado. Isso é menos seguro, pois um atacante com controle sobre um único dispositivo do usuário final pode roubar a senha de desafio e solicitar todos os tipos de certificados ao SCEPman. Além disso, o sistema MDM não pode controlar se o cliente solicitou corretamente um certificado ou se a solicitação de certificado está incorreta, podendo permitir roubo de identidade ou outras ameaças.