> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/pt/gestao-de-certificados/active-directory/politica-de-grupo.md).
# Política de Grupo
Este processo de inscrição de certificados baseia-se nos [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) e [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) protocolos que todas as versões recentes do Windows suportam nativamente. Em ambientes Active Directory, as definições necessárias podem ser aplicadas por meio de políticas de grupo (GPO), para que computadores associados ao AD inscrevam certificados do SCEPman.
Neste cenário, são necessárias três definições de Política de Grupo para uma implementação de certificados totalmente automatizada.
{% stepper %}
{% step %}
### Registo do servidor CEP
O servidor CEP (Certificate Enrollment Policy) (parte do SCEPman) fornecerá a um cliente autenticado uma política contendo todos os modelos de certificado configurados no SCEPman para inscrição no Active Directory. O servidor CEP precisa de ser adicionado nos clientes no registo. O Windows inclui modelos de GPO para configurar as definições necessárias na interface gráfica.
#### Configuração da política
Para os modelos de certificado `Dispositivo` e `DC`, tem de ir para a *Configuração do computador* ramificação. Para `Utilizador`, navegue na *Configuração do utilizador* ramificação. Se utilizar modelos de certificado de ambos os tipos, terá de configurar ambos. Nesse caso, normalmente usará duas GPOs, uma aplicada aos utilizadores com a Configuração do utilizador e outra aplicada aos computadores com a Configuração do computador.
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Cliente dos Serviços de Certificados - Servidor de Política de Inscrição de Certificados
Na definição, adicione um novo servidor CEP à lista e introduza o URI do servidor de políticas no campo correspondente. Pode copiar este URI da página inicial do SCEPman. Segue o esquema de `https://scepman.contoso.com/step/policy`. Depois de introduzir e validar o servidor CEP, pode concluir a definição adicionando-o e confirmando a caixa de diálogo.
{% hint style="warning" %}
No processo de configuração, o cliente já efetua uma chamada de validação ao servidor CEP. Portanto, o contexto de conta utilizado para a configuração tem de ter permissão para aceder ao endpoint CEP do SCEPman, ou seja, autenticar com Kerberos, e acesso de rede de saída à porta 443 do SCEPman.
{% endhint %}
{% hint style="warning" %}
Consulte a [secção de Problemas Conhecidos](/pt/gestao-de-certificados/active-directory/configuracao-geral.md#known-issues) caso receba um erro durante a validação do servidor CEP.
{% endhint %}
{% hint style="info" %}
Se estiver a utilizar o servidor CEP do SCEPman em paralelo com o seu ADCS existente, tem de escolher um servidor predefinido e garantir que mantém a política de inscrição existente.
{% endhint %}
{% endstep %}
{% step %}
### Ativar a inscrição automática
Com o servidor CEP registado, os seus utilizadores/computadores podem solicitar certificados ao SCEPman. Normalmente, pretende que o façam automaticamente, sem interação do utilizador, e, para isso, tem de ativar a inscrição automática. Note que isso já pode estar ativado se já utilizava a inscrição automática anteriormente com o Microsoft Active Directory Certificate Services (AD CS).
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Cliente dos Serviços de Certificados - Inscrição automática
Certifique-se de assinalar `Atualizar certificados que usam modelos de certificado` para ativar a inscrição automática.
{% endstep %}
{% step %}
### Instalar a Autoridade de Certificação raiz de confiança
Com o servidor de política de inscrição e as definições de inscrição automática configurados, só precisa de garantir que os seus dispositivos ou utilizadores de destino confiam no certificado da AC do SCEPman. Para isso, terá de importar o certificado da AC na definição de GPO correspondente.
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Autoridades de Certificação Raiz Confiáveis
└- Importar (menu de contexto)
Transfira o certificado da AC do SCEPman da respetiva página inicial e certifique-se de que o importa nesta caixa de diálogo.
{% endstep %}
{% endstepper %}
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/active-directory/politica-de-grupo.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.