Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

iOS/iPadOS

Implementar certificados em dispositivos iOS e iPadOS via SCEP no Intune usando o SCEPman.

O artigo seguinte descreve como implementar certificados de dispositivo e/ou de utilizador para dispositivos iOS e iPadOS. A implementação do certificado raiz do SCEPman é obrigatória. Depois, pode escolher entre implementar apenas certificados de dispositivo, apenas de utilizador ou até ambos os tipos de certificado.

Tenha em atenção que o iOS e o iPadOS inscrevem um certificado separado de autenticação do cliente para cada perfil de configuração do dispositivo no qual um perfil SCEP é referenciado, além do próprio perfil de certificado SCEP. Consulte aqui

Certificado raiz

A base para a implementação de certificados SCEP é confiar no certificado raiz do SCEPman. Por isso, tem de descarregar o certificado raiz da CA e implementá-lo como um certificado de confiança perfil através do Microsoft Intune:

Tenha em atenção que tem de utilizar o mesmo grupo para atribuir o certificado de confiança e perfil SCEP. Caso contrário, a implementação do Intune poderá falhar.

Certificados de dispositivo

Tipo de certificado: Dispositivo

Nesta secção estamos a configurar um certificado de dispositivo.

Formato do nome do sujeito: CN={{DeviceId}} ou CN={{AAD_Device_ID}}

O SCEPman utiliza o campo CN do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

  • {{DeviceId}}: Este ID é gerado e utilizado pelo Intune (Recomendado) (requer AppConfig:IntuneValidation:DeviceDirectory estar definido para Intune ou AADAndIntune)

  • {{AAD_Device_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD). (Nota: ao utilizar o Registo Automático de Dispositivos através do Apple Business Manager, este ID pode mudar durante a configuração do dispositivo. Se isso acontecer, o SCEPman poderá não conseguir identificar o dispositivo posteriormente. Nesse caso, o certificado tornar-se-á inválido.)

Pode adicionar outros RDNs, se necessário (por ex.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no respetivo ID de Dispositivo do Intune.

Outros valores SAN, como DNS, podem ser adicionados, se necessário.

Período de validade do certificado: 1 anos

Importante: Os dispositivos iOS/iPadOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar AppConfig:ValidityPeriodDays com um valor fixo. Recomendamos 2 anos, pelo que tem de definir esta variável na configuração do SCEPman para 730 dias. Mas pode deixar a definição do período de validade do certificado em 1 ano, porque o Intune ignora-a de qualquer forma. Importante: Tenha também em atenção que os certificados no iOS/iPadOS só são renovados pelo Intune quando o dispositivo está desbloqueado, online, a sincronizar e dentro do âmbito do limiar de renovação. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais elevado.

Utilização da chave: Assinatura digital e encriptação de chave

Ative ambas as ações criptográficas.

Tamanho da chave (bits): 2048

O SCEPman suporta 2048 bits.

Certificado raiz: Perfil do passo anterior

Selecione o perfil do Intune de iOS/iPadOS.

Utilização alargada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2

Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Importante: Os dispositivos iOS/iPadOS não suportam quaisquer EKUs (Extended Key Usages) para além de Autenticação de cliente . Isto significa que quaisquer outras EKUs configuradas neste perfil serão ignoradas.

Limiar de renovação (%): 50

Este valor define quando o dispositivo tem permissão para renovar o respetivo certificado (com base na validade restante do certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria que um dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes do fim da validade.

URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM

Exemplo

Com as definições indicadas, cumprimos os requisitos de certificado da Apple.

Exemplo

Certificados de utilizador

Siga as instruções de iOS/iPadOS e tenha em atenção as seguintes diferenças:

Tipo de certificado: Utilizador

Nesta secção estamos a configurar um certificado de utilizador.

Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por ex.: janedoe) e o endereço de e-mail (por ex.: janedoe@contoso.com) como definição base.

Nome alternativo do sujeito: UPN Valor: {{UserPrincipalName}}

O SCEPman utiliza o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por ex.: janedoe@contoso.com). Outros valores SAN, como o endereço de e-mail, podem ser adicionados, se necessário.

Com as definições indicadas, cumprimos os requisitos de certificado da Apple

Exemplo

Última atualização

Isto foi útil?