macOS

Nesta secção, estamos a configurar um certificado de dispositivo.

Recomendado: Use {{DeviceName}}para o CN RDN para ter um nome significativo do certificado no dispositivo ou ao procurar o certificado.

Opcional: Se configurado para CN={{DeviceId}} ou CN={{AAD_Device_ID}}, o SCEPman usa o campo CN do nome do assunto para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:

• {{DeviceId}}: Este ID é gerado e usado pelo Intune. (requer SCEPman 2.0 ou superior e AppConfig:IntuneValidation:DeviceDirectory para estar definido como Intune ou AADAndIntune)

• {{AAD_Device_ID}}: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).

Caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} sejam usados no campo CN (por exemplo, CN={{DeviceName}}), o SCEPman identificará o dispositivo com base no Intune Device ID ((URI)Valor: IntuneDeviceId://{{DeviceId}}) fornecido no nome alternativo do assunto (SAN).

Importante: A escolha do campo CN afeta o comportamento de revogação automática dos certificados emitidos para os seus dispositivos geridos pelo Intune.

Pode adicionar outros RDNs, se necessário (por exemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). As variáveis suportadas estão listadas na documentação da Microsoft.

O campo URI é recomendado pela Microsoft para que as soluções NAC identifiquem os dispositivos com base no respetivo ID de Dispositivo do Intune.

O campo URI é obrigatório caso nem CN={{DeviceId}} nem CN={{AAD_Device_ID}} seja usado no campo Formato do nome do assunto .

Outros valores SAN, como DNS, podem ser adicionados, se necessário.

Importante: Os dispositivos macOS ignoram a configuração do período de validade através do Intune. Certifique-se de configurar AppConfig:ValidityPeriodDays com um valor fixo. Pode deixar a definição do período de validade do certificado em 1 ano, porque será ignorada de qualquer forma. Importante: Tenha também em atenção que os certificados no macOS só são renovados pelo Intune quando o dispositivo está desbloqueado, online, a sincronizar e dentro do âmbito do limiar de renovação. Se os certificados expirarem (por exemplo: o dispositivo esteve offline e/ou bloqueado durante muito tempo), já não serão renovados. Por isso, recomendamos escolher aqui um valor mais elevado.

Ative ambas as ações criptográficas.

O SCEPman suporta 2048 bits.

Selecione o perfil do Intune em #Certificados raiz

Escolha Autenticação de cliente (1.3.6.1.5.5.7.3.2) em Valores predefinidos. Os outros campos serão preenchidos automaticamente.

Importante: Os dispositivos macOS não suportam quaisquer Utilizações Avançadas de Chave (EKUs) além de Autenticação de cliente . Isto significa que quaisquer outras EKUs configuradas neste perfil serão ignoradas.

Este valor define quando o dispositivo tem permissão para renovar o seu certificado (com base no tempo de vida restante do certificado existente). Leia a nota em Período de validade do certificado e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 50% permitiria que o dispositivo com um certificado válido por 1 ano iniciasse a renovação 182 dias antes da expiração.

Exemplo

Nesta secção, estamos a configurar um certificado de utilizador.

Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas na documentação da Microsoft. Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: [email protected]) como definição de base.

O SCEPman utiliza a UPN no SAN para identificar o utilizador e como semente para a geração do número de série do certificado (por exemplo: [email protected]). Outros valores de SAN, como o endereço de email, podem ser adicionados, se necessário.