macOS

Implementar certificados em dispositivos MacOS via SCEP no Intune usando o SCEPman.

O artigo a seguir descreve como implementar certificados de dispositivo ou/e de utilizador para dispositivos macOS. A implementação do certificado raiz do SCEPman é obrigatória. Depois, pode escolher entre implementar apenas certificados de dispositivo, de utilizador ou ambos os tipos de certificado.

Tenha em atenção que o macOS inscreve um certificado(s) separado de autenticação do cliente para cada perfil de configuração de dispositivo no qual um perfil SCEP é referenciado, além do próprio perfil de certificado SCEP. Veja a nota aqui

Certificado raiz

A base para implementar certificados SCEP é confiar no certificado raiz do SCEPman. Portanto, tem de transferir o certificado raiz da CA e implementá-lo como um certificado confiável perfil através do Microsoft Intune:

Transfira o certificado da CA do seu portal SCEPman:

Crie um perfil para macOS com o tipo certificado confiável no Microsoft Intune:

Carregue o seu ficheiro .cer descarregado anteriormente.
Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os Utilizadores e/ou Todos os Dispositivos ou um grupo dedicado para atribuição.

Nota: tem de usar o mesmo grupo para atribuir o certificado confiável e perfil SCEP. Caso contrário, a implementação do Intune pode falhar.

Certificados de dispositivo

Abra o portal SCEPman e copie o URL em Intune MDM:

Crie um perfil para macOS com o tipo certificado SCEP no Microsoft Intune:

Configure o perfil conforme descrito:

Tipo de certificado: Dispositivo

Nesta secção, estamos a configurar um certificado de dispositivo.

Formato do nome do sujeito: CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}

Recomendado: Use {{DeviceName}}para o RDN CN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. Microsoft Entra ID (Azure AD) e Intune oferecem dois IDs diferentes:

{{DeviceId}}: Este ID é gerado e utilizado pelo Intune.\n\n(requer AppConfig:IntuneValidation:DeviceDirectory ser definido para Intune ou AADAndIntune)
{{AAD_Device_ID}}: Este ID é gerado e utilizado pelo Microsoft Entra ID (Azure AD).

No caso de nenhum CN={{DeviceId}} nem CN={{AAD_Device_ID}} ser usado para o campo CN (por exemplo: CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no ID do dispositivo do Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do sujeito (SAN).

Importante: A escolha do campo CN afeta o comportamento de revogação automática dos certificados emitidos para os seus dispositivos geridos pelo Intune.

Pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}

O campo URI é recomendado pela Microsoft para soluções NAC identificarem os dispositivos com base no respetivo ID do dispositivo do Intune.

IntuneDeviceId://{{DeviceId}}

O campo URI é obrigatório no caso de nenhum CN={{DeviceId}} nem CN={{AAD_Device_ID}} ser usado no Formato do nome do sujeito campo.

Outros valores SAN, como DNS, podem ser adicionados se necessário.

Período de validade do certificado: 1 ano

Importante: Os dispositivos macOS ignoram a configuração do período de validade via Intune. Certifique-se de configurar AppConfig:ValidityPeriodDays para um valor fixo. Pode deixar a definição do período de validade do certificado em 1 ano, porque será ignorada de qualquer forma. Importante: Além disso, note que os certificados no macOS só são renovados pelo Intune quando o dispositivo está desbloqueado, online, a sincronizar e dentro do limiar de renovação. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais alto.

Utilização da chave: assinatura digital e encapsulamento de chave

Ative ambas as ações criptográficas.

Tamanho da chave (bits): 2048

O SCEPman suporta 2048 bits.

Certificado raiz: Perfil da etapa anterior

Selecione o perfil do Intune de #Certificados raiz

Utilização alargada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2

Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os restantes campos serão preenchidos automaticamente.

Importante: Os dispositivos macOS não suportam quaisquer Utilizações Alargadas da Chave (EKUs) além de Autenticação de cliente . Isto significa que quaisquer outros EKUs configurados neste perfil serão ignorados.

Limiar de renovação (%): 50

Este valor define quando o dispositivo pode renovar o seu certificado (com base na vida útil restante do certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria a um dispositivo com um certificado válido por 1 ano iniciar a renovação 182 dias antes da expiração.

URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM

Exemplo

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Com as definições indicadas, cumprimos os requisitos de certificados da Apple.

Exemplo

Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupo(s) para atribuição que para o perfil de certificado confiável.

Certificados de utilizador

A secção seguinte mostrará como pode implementar certificados de utilizador através do perfil de certificado do Intune em dispositivos macOS X 10.12 (ou posteriores).

Tenha em atenção: os certificados provisionados através do protocolo SCEP - independentemente do tipo (utilizador ou dispositivo) - são sempre colocados no chaveiro do sistema (armazenamento do Sistema) do dispositivo.

No caso de uma aplicação de terceiros necessitar de acesso a esse certificado (por exemplo, cliente VPN de terceiros), o seletor para Permitir que todas as apps acedam à chave privada no chaveiro deve ser definido como ativado.

Siga as instruções de #Certificados de dispositivo e tenha em atenção as seguintes diferenças:

Tipo de certificado: Utilizador

Nesta secção, estamos a configurar um certificado de utilizador.

Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: janedoe@contoso.com) como configuração base.

Nome alternativo do sujeito: UPN Valor:{{UserPrincipalName}}

O SCEPman usa o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por exemplo: janedoe@contoso.com).\n\nOutros valores SAN, como o endereço de e-mail, podem ser adicionados se necessário.

Com as definições indicadas, cumprimos os requisitos de certificados da Apple

Exemplo

Última atualização há 5 dias

Isto foi útil?