# Android

O artigo a seguir descreve como implementar um certificado de dispositivo ou de utilizador para Android. A implementação de certificados Android é semelhante às implementações de certificados no Windows 10, macOS e iOS.

{% hint style="info" %}
O Android fornece dois conjuntos distintos de soluções: um é o [perfil de trabalho](https://developers.google.com/android/work/requirements/work-profile) (conhecido como *Perfil de trabalho em dispositivo de propriedade pessoal)* e o outro é o [dispositivo totalmente gerido](https://developers.google.com/android/work/requirements/fully-managed-device) (também conhecido como *Perfil de trabalho em dispositivo totalmente gerido, dedicado e de propriedade da empresa*). Em ambos os cenários, as definições para perfis de configuração de certificados mantêm-se consistentes.
{% endhint %}

{% hint style="info" %}
A gestão por administrador de dispositivo Android foi lançada no Android 2.2 como uma forma de gerir dispositivos Android. Depois, a partir do Android 5, foi lançado o framework de gestão mais moderno do Android Enterprise (para dispositivos que conseguem ligar-se de forma fiável aos Google Mobile Services). **A Google está a incentivar a migração da gestão por administrador de dispositivo, reduzindo o suporte de gestão em novas versões do Android**. Para mais informações, consulte [MS. Intune Decreasing support for Android device admin](https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935)
{% endhint %}

## Certificado raiz

A base para implementar certificados SCEP (de dispositivo ou de utilizador) é confiar no certificado raiz do SCEPman. Portanto, tem de descarregar o certificado raiz da CA e implementá-lo como um **certificado de confiança** perfil via Microsoft Intune:

* [ ] Descarregar o certificado da CA do portal SCEPman

![](/files/cf313e9fa5a35329854ab41a04ce4c4d7601bd4e)

* [ ] Criar um perfil para Android Enterprise com o tipo **certificado de confiança** no Microsoft Intune (com base na sua opção de registo para dispositivos Android)

<figure><img src="/files/fb317e0a3ccdc48fee8b383abfb203ccba6b2c18" alt=""><figcaption></figcaption></figure>

* [ ] Carregar o seu **ficheiro .cer**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os utilizadores e/ou Todos os dispositivos ou um grupo dedicado para a atribuição.

{% hint style="info" %}
Nota: tem de utilizar o **mesmo grupo para atribuir** o **certificado de confiança** e **perfil SCEP**. Caso contrário, a implementação no Intune poderá falhar.
{% endhint %}

## Certificados de dispositivo

* [ ] Abra o portal SCEPman e copie o URL em **Intune MDM**

<figure><img src="/files/4e783c06b86b396b3d015ad3deb6d9728a96b0a5" alt=""><figcaption></figcaption></figure>

* [ ] Criar um perfil para Android Enterprise com o tipo **certificado SCEP** no Microsoft Intune (novamente, com base na sua opção de registo para os dispositivos Android)

<figure><img src="/files/b15a82eb8bc38bc4c3e793bf889947aeab87aad7" alt=""><figcaption></figcaption></figure>

* [ ] Configure o perfil conforme descrito

<details>

<summary>Tipo de certificado: <code>Dispositivo</code></summary>

Nesta secção, estamos a configurar um certificado de dispositivo.

</details>

<details>

<summary>Formato do nome do sujeito: <code>CN={{DeviceId}}</code> ou <code>CN={{AAD_Device_ID}}</code></summary>

O SCEPman utiliza o campo CN do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

* {{DeviceId}}: Este ID é gerado e utilizado pelo Intune **(Recomendado).** (Requer [#AppConfig:IntuneValidation:DeviceDirectory](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) estar definido como **Intune** ou **AADAndIntune**
* {{AAD\_Device\_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD).

Pode adicionar outros RDNs, se necessário (por exemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas na [documentação da Microsoft](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

</details>

<details>

<summary>Nome alternativo do sujeito: <code>URI</code> Valor:<code>IntuneDeviceId://{{DeviceId}}</code></summary>

```
IntuneDeviceId://{{DeviceId}}
```

O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID:

Outros valores SAN, como DNS, podem ser adicionados, se necessário.

</details>

<details>

<summary>Período de validade do certificado: <code>1 anos</code></summary>

O tempo restante antes de o certificado expirar. O valor predefinido é de um ano.

O SCEPman limita a validade do certificado ao máximo configurado na definição [***AppConfig:ValidityPeriodDays***](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays), mas, caso contrário, utiliza a validade configurada no pedido.

</details>

<details>

<summary>Utilização da chave: <code>Assinatura digital</code> e <code>encapsulamento de chave</code></summary>

Ative ambas as ações criptográficas.

</details>

<details>

<summary>Tamanho da chave (bits): <code>4096</code></summary>

O SCEPman suporta 4096 bits.

</details>

<details>

<summary>Certificado raiz: <code>Perfil do passo anterior</code></summary>

Selecione o perfil do Intune em \[[#root-certificate](#root-certificate "mention")]\(android.md#root-certificate).

Se estiver a utilizar uma [CA intermédia](/pt/implementacao-do-scepman/intermediate-certificate.md), ainda assim tem de selecionar o perfil de certificado de confiança para a CA raiz, e não para a CA intermédia!

</details>

<details>

<summary>Utilização estendida da chave: <code>Autenticação de cliente, 1.3.6.1.5.5.7.3.2</code></summary>

Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.

</details>

<details>

<summary>Limite de renovação (%): <code>20</code></summary>

Este valor define quando o dispositivo tem permissão para renovar o seu certificado (com base no tempo de vida restante de um certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que o dispositivo com um certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.

</details>

<details>

<summary>URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de <a href="#device-certificates">#Intune MDM</a></summary>

**Exemplo**

```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```

</details>

### **Exemplo**

<figure><img src="/files/a26d261bb1c082296edf92cb73a4b6fde514fb70" alt=""><figcaption></figcaption></figure>

## Certificados de utilizador

Siga as instruções de [#Certificados de dispositivo](#device-certificates) e tenha em atenção as seguintes diferenças:

<details>

<summary>Tipo de certificado: <code>Utilizador</code></summary>

Nesta secção, estamos a configurar um certificado de utilizador.

</details>

<details>

<summary>Formato do nome do sujeito: <code>CN={{UserName}},E={{EmailAddress}}</code></summary>

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: <janedoe@contoso.com>) como configuração base.

</details>

<details>

<summary>Nome alternativo do sujeito: <code>(UPN)</code>Valor: <code>{{UserPrincipalName}}</code></summary>

Pode **deve** adicionar o nome principal do utilizador como Nome alternativo do sujeito. **Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo Nome principal do utilizador (UPN).** Isto garante que o SCEPman pode associar certificados a objetos de utilizador no AAD.

Outros valores SAN, como um endereço de e-mail, podem ser adicionados, se necessário.

</details>

{% hint style="info" %}
É obrigatório ter um **Nome alternativo do sujeito** no **Certificado SCEP, Tipo de utilizador**. Sem um SAN, não tem acesso à rede Wi-Fi da sua empresa.
{% endhint %}

### **Exemplo**

<figure><img src="/files/b62b5963c07db3bf6f72064bfd8509c737a25a29" alt=""><figcaption></figcaption></figure>

## Verificação do certificado

Para garantir a implementação correta dos certificados no seu dispositivo Android, existem duas opções:

* Em versões mais recentes do Android (por exemplo, 14), pode verificar certificados (de utilizador e certificados de confiança) a partir das **definições** > **segurança e privacidade**
* Através de aplicações de terceiros como [X509 Certificate Viewer Tool](https://play.google.com/store/apps/details?id=com.rdupletlabs.certificateviewer)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/android.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.