> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/macos.md).
# macOS
O artigo a seguir descreve como implementar certificados de dispositivo ou/e de utilizador para dispositivos macOS. A implementação do certificado raiz do SCEPman é obrigatória. Depois, pode escolher entre implementar apenas certificados de dispositivo, de utilizador ou ambos os tipos de certificado.
{% hint style="warning" %}
Tenha em atenção que o macOS inscreve um certificado(s) separado de autenticação do cliente para cada perfil de configuração de dispositivo no qual um perfil SCEP é referenciado, além do próprio perfil de certificado SCEP. Veja a nota [aqui](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raiz
A base para implementar certificados SCEP é confiar no certificado raiz do SCEPman. Portanto, tem de transferir o certificado raiz da CA e implementá-lo como um **certificado confiável** perfil através do Microsoft Intune:
* [ ] Transfira o certificado da CA do seu portal SCEPman:
* [ ] Crie um perfil para macOS com o tipo **certificado confiável** no Microsoft Intune:
* [ ] Carregue o seu ficheiro **.cer descarregado anteriormente**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os Utilizadores e/ou Todos os Dispositivos ou um grupo dedicado para atribuição.
{% hint style="info" %}
Nota: tem de usar o **mesmo grupo para atribuir** o **certificado confiável** e **perfil SCEP**. Caso contrário, a implementação do Intune pode falhar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra o portal SCEPman e copie o URL em **Intune MDM**:
* [ ] Crie um perfil para macOS com o tipo **certificado SCEP** no Microsoft Intune:
* [ ] Configure o perfil conforme descrito:
Tipo de certificado: Dispositivo
Nesta secção, estamos a configurar um certificado de dispositivo.
Formato do nome do sujeito: CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recomendado:** Use `{{DeviceName}}`para o RDN CN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.
**Opcional:** Se configurado para `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. Microsoft Entra ID (Azure AD) e Intune oferecem dois IDs diferentes:
* `{{DeviceId}}`: Este ID é gerado e utilizado pelo Intune.\n\n(requer [Validação do Intune](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) ser definido para **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD).
No caso de nenhum `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` ser usado para o campo CN (por exemplo: `CN={{DeviceName}})`, o SCEPman identificará o dispositivo com base no ID do dispositivo do Intune (`(URI)Valor:` `IntuneDeviceId://{{DeviceId}}`) fornecido no nome alternativo do sujeito (SAN).
**Importante:** A escolha do campo CN afeta o [comportamento de revogação automática](/pt/gestao-de-certificados/manage-certificates.md#automatic-revocation) dos certificados emitidos para os seus dispositivos geridos pelo Intune.
Pode adicionar outros RDNs, se necessário (por exemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo ID do dispositivo do Intune.
```
IntuneDeviceId://{{DeviceId}}
```
O **campo URI é obrigatório** no caso de nenhum `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` ser usado no **Formato do nome do sujeito** campo.
Outros valores SAN, como DNS, podem ser adicionados se necessário.
Período de validade do certificado: 1 ano
**Importante:** Os dispositivos macOS ignoram a configuração do período de validade via Intune. Certifique-se de configurar [Certificados](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays) para um valor fixo. Pode deixar a definição do período de validade do certificado em 1 ano, porque será ignorada de qualquer forma.\
\ **Importante:** Além disso, note que **os certificados no macOS só são renovados** pelo Intune quando o dispositivo está **desbloqueado, online, a sincronizar e dentro do limiar de renovação**. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais alto.
Utilização da chave: assinatura digital e encapsulamento de chave
Ative ambas as ações criptográficas.
Tamanho da chave (bits): 2048
O SCEPman suporta 2048 bits.
Certificado raiz: Perfil da etapa anterior
Selecione o perfil do Intune de [#Certificados raiz](#root-certificate)
Utilização alargada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os restantes campos serão preenchidos automaticamente.
**Importante:** Os dispositivos macOS não suportam quaisquer Utilizações Alargadas da Chave (EKUs) além de `Autenticação de cliente` . Isto significa que quaisquer outros EKUs configurados neste perfil serão ignorados.
Limiar de renovação (%): 50
Este valor define quando o dispositivo pode renovar o seu certificado (com base na vida útil restante do certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria a um dispositivo com um certificado válido por 1 ano iniciar a renovação 182 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM
**Exemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemplo
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupo(s) para atribuição que para o perfil de certificado confiável.
## Certificados de utilizador
A secção seguinte mostrará como pode implementar certificados de utilizador através do perfil de certificado do Intune em dispositivos macOS X 10.12 (ou posteriores).
{% hint style="warning" %}
Tenha em atenção: os certificados provisionados através do protocolo SCEP - independentemente do tipo (utilizador ou dispositivo) - são sempre colocados no chaveiro do sistema (armazenamento do Sistema) do dispositivo.
No caso de uma aplicação de terceiros necessitar de acesso a esse certificado (por exemplo, cliente VPN de terceiros), o seletor para **Permitir que todas as apps acedam à chave privada** no chaveiro deve ser definido como **ativado**.
{% endhint %}
Siga as instruções de [#Certificados de dispositivo](#device-certificates) e tenha em atenção as seguintes diferenças:
Tipo de certificado: Utilizador
Nesta secção, estamos a configurar um certificado de utilizador.
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na [documentação da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: ) como configuração base.
Nome alternativo do sujeito: UPN Valor:{{UserPrincipalName}}
O SCEPman usa o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por exemplo: ).\n\nOutros valores SAN, como o endereço de e-mail, podem ser adicionados se necessário.
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemplo
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.