# macOS
O artigo seguinte descreve como implementar certificados de dispositivo ou/ e de utilizador para dispositivos macOS. A implementação do SCEPman Root Certificate é obrigatória. Depois disso, pode escolher entre implementar apenas certificados de dispositivo, apenas de utilizador ou até ambos os tipos de certificado.
{% hint style="warning" %}
Note que o macOS regista um certificado de autenticação de cliente separado para cada perfil de configuração de dispositivo em que é referenciado um perfil SCEP, para além do próprio perfil de certificado SCEP. Consulte a nota [aqui](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Root Certificate
A base para a implementação de certificados SCEP é confiar no certificado raiz do SCEPman. Por isso, tem de transferir o certificado raiz da CA e implementá-lo como um **certificado de confiança** perfil através do Microsoft Intune:
* [ ] Transfira o certificado da CA a partir do portal SCEPman:
* [ ] Crie um perfil para macOS com o tipo **certificado de confiança** no Microsoft Intune:
* [ ] Carregue o seu **ficheiro .cer**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os utilizadores e/ou Todos os dispositivos ou um grupo dedicado para atribuição.
{% hint style="info" %}
Nota: tem de usar o **mesmo grupo para atribuição** do **certificado de confiança** e **perfil SCEP**. Caso contrário, a implementação no Intune poderá falhar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra o portal SCEPman e copie o URL em **Intune MDM**:
* [ ] Crie um perfil para macOS com o tipo **certificado SCEP** no Microsoft Intune:
* [ ] Configure o perfil conforme descrito:
Tipo de certificado: Dispositivo
Nesta secção, estamos a configurar um certificado de dispositivo.
Formato do nome do sujeito: CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recomendado:** Utilize `{{DeviceName}}`para o CN RDN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.
**Opcional:** Se configurado para `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:
* `{{DeviceId}}`: Este ID é gerado e usado pelo Intune.\
\
(requer que [Validação do Intune](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) seja definido para **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).
Caso nenhum de `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado para o campo CN (por exemplo, `CN={{DeviceName}})`, o SCEPman identificará o dispositivo com base no Intune Device ID (`(URI)Valor:` `IntuneDeviceId://{{DeviceId}}`) fornecido no nome alternativo do sujeito (SAN).
**Importante:** A escolha do campo CN afeta o [comportamento automático de revogação](/pt/gestao-de-certificados/manage-certificates.md#automatic-revocation) dos certificados emitidos para os seus dispositivos geridos pelo Intune.
Pode adicionar outros RDNs, se necessário (por exemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nome alternativo do sujeito: URI Valor:IntuneDeviceId://{{DeviceId}}
O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo Intune Device ID.
O **campo URI é obrigatório** caso nenhum de `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado no campo **Formato do nome do sujeito** .
Outros valores SAN, como DNS, podem ser adicionados, se necessário.
Período de validade do certificado: 1 anos
**Importante:** Os dispositivos macOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar [Certificados](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays) para um valor fixo. Pode deixar a definição do período de validade do certificado em 1 ano, porque isso será ignorado de qualquer forma.\
\ **Importante:** Tenha também em atenção que **os certificados no macOS são apenas renovados** pelo Intune quando o dispositivo está **desbloqueado, online, a sincronizar e dentro do âmbito do limite de renovação**. Se os certificados estiverem expirados (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais elevado.
Utilização da chave: Assinatura digital e encobrimento de chavet
Ative ambas as ações criptográficas.
Tamanho da chave (bits): 2048
O SCEPman suporta 2048 bits.
Root Certificate: Perfil do passo anterior
Selecione o perfil do Intune de [#Root certificates](#root-certificate)
Utilização avançada da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.
**Importante:** Os dispositivos macOS não suportam quaisquer Extended Key Usages (EKUs) além de `Autenticação de cliente` . Isto significa que quaisquer outros EKUs configurados neste perfil serão ignorados.
Limite de renovação (%): 50
Este valor define quando o dispositivo tem permissão para renovar o respetivo certificado (com base no tempo de vida remanescente do certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria ao dispositivo com um certificado válido por 1 ano iniciar a renovação 182 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM
**Exemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemplo
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupo(s) para atribuição que para o perfil de certificado de confiança.
## Certificados de utilizador
A secção seguinte mostra como pode implementar certificados de utilizador através de um perfil de certificado do Intune em dispositivos macOS X 10.12 (ou posterior).
{% hint style="warning" %}
Nota: os certificados provisionados através do protocolo SCEP — independentemente do tipo (utilizador ou dispositivo) — são sempre colocados na cadeia de chaves do sistema (armazenamento do sistema) do dispositivo.
Caso uma aplicação de terceiros necessite de acesso a esse certificado (por exemplo, um cliente VPN de terceiros), o deslizador para **Permitir que todas as apps acedam à chave privada** na cadeia de chaves tem de estar definido como **ativado**.
{% endhint %}
Siga as instruções de [#Device certificates](#device-certificates) e tenha em atenção as seguintes diferenças:
Tipo de certificado: Utilizador
Nesta secção, estamos a configurar um certificado de utilizador.
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: ) como definição de base.
Nome alternativo do sujeito: UPN Valor:{{UserPrincipalName}}
O SCEPman usa o UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por exemplo: ).\
\
Outros valores SAN, como o endereço de e-mail, podem ser adicionados, se necessário.
{% hint style="info" %}
Com as definições indicadas, cumprimos [os requisitos de certificados da Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemplo
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.