Android
Implante certificados em dispositivos Android via SCEP usando Intune e SCEPman.
O artigo a seguir descreve como implementar um certificado de dispositivo ou de utilizador para Android. A implementação de certificados Android é semelhante às implementações de certificados no Windows 10, macOS e iOS.
O Android fornece dois conjuntos distintos de soluções: um é o perfil de trabalho (conhecido como Perfil de trabalho em dispositivo de propriedade pessoal) e o outro é o dispositivo totalmente gerido (também conhecido como Perfil de trabalho em dispositivo totalmente gerido, dedicado e de propriedade da empresa). Em ambos os cenários, as definições para perfis de configuração de certificados mantêm-se consistentes.
A gestão por administrador de dispositivo Android foi lançada no Android 2.2 como uma forma de gerir dispositivos Android. Depois, a partir do Android 5, foi lançado o framework de gestão mais moderno do Android Enterprise (para dispositivos que conseguem ligar-se de forma fiável aos Google Mobile Services). A Google está a incentivar a migração da gestão por administrador de dispositivo, reduzindo o suporte de gestão em novas versões do Android. Para mais informações, consulte MS. Intune Decreasing support for Android device admin
Certificado raiz
A base para implementar certificados SCEP (de dispositivo ou de utilizador) é confiar no certificado raiz do SCEPman. Portanto, tem de descarregar o certificado raiz da CA e implementá-lo como um certificado de confiança perfil via Microsoft Intune:
Nota: tem de utilizar o mesmo grupo para atribuir o certificado de confiança e perfil SCEP. Caso contrário, a implementação no Intune poderá falhar.
Certificados de dispositivo
Formato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}
O SCEPman utiliza o campo CN do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:
{{DeviceId}}: Este ID é gerado e utilizado pelo Intune (Recomendado). (Requer #AppConfig:IntuneValidation:DeviceDirectory estar definido como Intune ou AADAndIntune
{{AAD_Device_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD).
Pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID:
Outros valores SAN, como DNS, podem ser adicionados, se necessário.
Período de validade do certificado: 1 anos
O tempo restante antes de o certificado expirar. O valor predefinido é de um ano.
O SCEPman limita a validade do certificado ao máximo configurado na definição AppConfig:ValidityPeriodDays, mas, caso contrário, utiliza a validade configurada no pedido.
Utilização da chave: Assinatura digital e encapsulamento de chave
Ative ambas as ações criptográficas.
Certificado raiz: Perfil do passo anterior
Selecione o perfil do Intune em [Android](android.md#root-certificate).
Se estiver a utilizar uma CA intermédia, ainda assim tem de selecionar o perfil de certificado de confiança para a CA raiz, e não para a CA intermédia!
Utilização estendida da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.
Limite de renovação (%): 20
Este valor define quando o dispositivo tem permissão para renovar o seu certificado (com base no tempo de vida restante de um certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que o dispositivo com um certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de #Intune MDM
Exemplo
Exemplo
Certificados de utilizador
Siga as instruções de #Certificados de dispositivo e tenha em atenção as seguintes diferenças:
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como configuração base.
Nome alternativo do sujeito: (UPN)Valor: {{UserPrincipalName}}
Pode deve adicionar o nome principal do utilizador como Nome alternativo do sujeito. Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do utilizador (UPN). Isto garante que o SCEPman pode associar certificados a objetos de utilizador no AAD.
Outros valores SAN, como um endereço de e-mail, podem ser adicionados, se necessário.
É obrigatório ter um Nome alternativo do sujeito no Certificado SCEP, Tipo de utilizador. Sem um SAN, não tem acesso à rede Wi-Fi da sua empresa.
Exemplo
Verificação do certificado
Para garantir a implementação correta dos certificados no seu dispositivo Android, existem duas opções:
Em versões mais recentes do Android (por exemplo, 14), pode verificar certificados (de utilizador e certificados de confiança) a partir das definições > segurança e privacidade
Através de aplicações de terceiros como X509 Certificate Viewer Tool
Last updated
Was this helpful?