# iOS/iPadOS
O artigo seguinte descreve como implementar certificados de dispositivo e/ou de utilizador para dispositivos iOS e iPadOS. A implementação do certificado raiz do SCEPman é obrigatória. Depois, pode escolher entre implementar apenas certificados de dispositivo, apenas de utilizador ou até ambos os tipos de certificado.
{% hint style="warning" %}
Tenha em atenção que o iOS e o iPadOS inscrevem um certificado separado de autenticação do cliente para cada perfil de configuração do dispositivo no qual um perfil SCEP é referenciado, além do próprio perfil de certificado SCEP. Consulte [aqui](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raiz
A base para a implementação de certificados SCEP é confiar no certificado raiz do SCEPman. Por isso, tem de descarregar o certificado raiz da CA e implementá-lo como um **certificado de confiança** perfil através do Microsoft Intune:
* [ ] Descarregue o certificado da CA do portal SCEPman:
* [ ] Crie um perfil para iOS/iPadOS com o tipo **certificado de confiança** no Microsoft Intune:
* [ ] Carregue o ficheiro **.cer previamente descarregado**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os Utilizadores e/ou Todos os Dispositivos ou um grupo dedicado para a atribuição.
{% hint style="info" %}
Tenha em atenção que tem de utilizar o **mesmo grupo para atribuir** o **certificado de confiança** e **perfil SCEP**. Caso contrário, a implementação do Intune poderá falhar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra o portal SCEPman e copie o URL em **Intune MDM**:
* [ ] Crie um perfil para iOS/iPadOS com o tipo **certificado SCEP** no Microsoft Intune:
* [ ] Configure o perfil conforme descrito:
Tipo de certificado: Dispositivo
Nesta secção estamos a configurar um certificado de dispositivo.
Formato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}
O SCEPman utiliza o campo CN do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:
* {{DeviceId}}: Este ID é gerado e utilizado pelo Intune **(Recomendado)**\
\
(requer [Validação do Intune](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) estar definido para **Intune** ou **AADAndIntune**)
* {{AAD\_Device\_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD).\
\
(Nota: ao utilizar o Registo Automático de Dispositivos através do Apple Business Manager, este ID pode mudar durante a configuração do dispositivo. Se isso acontecer, o SCEPman poderá não conseguir identificar o dispositivo posteriormente. Nesse caso, o certificado tornar-se-á inválido.)
Pode adicionar outros RDNs, se necessário (por ex.: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo ID de Dispositivo do Intune.
Outros valores SAN, como DNS, podem ser adicionados, se necessário.
Período de validade do certificado: 1 anos
**Importante:** Os dispositivos iOS/iPadOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar [Certificados](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays) com um valor fixo. Recomendamos 2 anos, pelo que tem de definir esta variável na configuração do SCEPman para 730 dias. Mas pode deixar a definição do período de validade do certificado em 1 ano, porque o Intune ignora-a de qualquer forma.\
\
**I****mportante:** Tenha também em atenção que **os certificados no iOS/iPadOS só são renovados** pelo Intune quando o dispositivo está **desbloqueado, online, a sincronizar e dentro do âmbito do limiar de renovação**. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais elevado.
Utilização da chave: Assinatura digital e encriptação de chave
Ative ambas as ações criptográficas.
Tamanho da chave (bits): 2048
O SCEPman suporta 2048 bits.
Certificado raiz: Perfil do passo anterior
Selecione o perfil do Intune de [#root-certificate](#root-certificate "mention").
Utilização alargada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.
**Importante:** Os dispositivos iOS/iPadOS não suportam quaisquer EKUs (Extended Key Usages) para além de `Autenticação de cliente` . Isto significa que quaisquer outras EKUs configuradas neste perfil serão ignoradas.
Limiar de renovação (%): 50
Este valor define quando o dispositivo tem permissão para renovar o respetivo certificado (com base na validade restante do certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria que um dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes do fim da validade.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM
**Exemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificado da Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemplo
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupos para atribuição que no perfil de certificado de confiança.
## Certificados de utilizador
Siga as instruções de [#device-certificates](#device-certificates "mention") e tenha em atenção as seguintes diferenças:
Tipo de certificado: Utilizador
Nesta secção estamos a configurar um certificado de utilizador.
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por ex.: janedoe) e o endereço de e-mail (por ex.: ) como definição base.
Nome alternativo do sujeito: UPN Valor: {{UserPrincipalName}}
O SCEPman utiliza o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por ex.: ).\
\
Outros valores SAN, como o endereço de e-mail, podem ser adicionados, se necessário.
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificado da Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemplo
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/ios.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.