iOS/iPadOS

Nesta secção, estamos a configurar um certificado de dispositivo.

O SCEPman utiliza o campo CN do assunto para identificar o dispositivo e como base para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e utilizado pelo Intune (Recomendado) (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory para estar definido como Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD). (Nota: Ao utilizar o Registo Automático de Dispositivos através do Apple Business Manager, este ID pode mudar durante a configuração do dispositivo. Se isso acontecer, o SCEPman poderá não conseguir identificar o dispositivo posteriormente. Nesse caso, o certificado tornar-se-ia inválido.)

Pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID.

Outros valores SAN, como DNS, podem ser adicionados, se necessário.

Importante: Os dispositivos iOS/iPadOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar AppConfig:ValidityPeriodDays para um valor fixo. Recomendamos 2 anos, por isso tem de definir esta variável na configuração do SCEPman para 730 dias. Mas pode deixar a definição do período de validade do certificado em 1 ano, porque o Intune a ignora de qualquer forma. Importante: Tenha também em atenção que os certificados em iOS/iPadOS são renovados apenas pelo Intune quando o dispositivo está desbloqueado, online, a sincronizar e dentro do âmbito do limiar de renovação. Se os certificados tiverem expirado (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), deixará de haver renovação. Por isso, recomendamos escolher aqui um valor mais elevado.

Ative ambas as ações criptográficas.

O SCEPman suporta 2048 bits.

Selecione o perfil do Intune em Root Certificate.

Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Importante: Os dispositivos iOS/iPadOS não suportam quaisquer Extended Key Usages (EKUs) além de Autenticação de cliente . Isto significa que quaisquer outras EKUs configuradas neste perfil serão ignoradas.

Este valor define quando o dispositivo está autorizado a renovar o respetivo certificado (com base na vida útil remanescente do certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria que um dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes da expiração.

Exemplo

Nesta secção, estamos a configurar um certificado de utilizador.

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como definição de base.

O SCEPman utiliza o UPN no SAN para identificar o utilizador e como base para a geração do número de série do certificado (por exemplo: [email protected]). Outros valores de SAN, como o endereço de e-mail, podem ser adicionados, se necessário.