# Windows
O artigo a seguir descreve a implementação de certificados de dispositivo ou/e de utilizador para dispositivos Windows. A implementação do certificado raiz do SCEPman é obrigatória. Depois, pode escolher entre implementar apenas os tipos de certificado de dispositivo, de utilizador ou até ambos.
## Certificado raiz
A base para a implementação de certificados SCEP é confiar no certificado raiz do SCEPman. Portanto, tem de descarregar o certificado raiz da CA e implementá-lo como um **certificado confiável** perfil via Microsoft Intune:
* [ ] Descarregue o certificado da CA do portal SCEPman:
* [ ] Crie um perfil para **Windows 10 e posterior** com o tipo **certificado confiável** no Microsoft Intune:
* [ ] Carregue o ficheiro **.cer**.
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha Todos os Utilizadores e/ou Todos os Dispositivos ou um grupo dedicado para atribuição.
{% hint style="info" %}
Note que tem de usar o mesmo grupo para atribuir o certificado Confiável e o perfil SCEP. Caso contrário, a implementação do Intune pode falhar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra o portal SCEPman e copie o URL em Intune MDM
* [ ] Crie um perfil para **Windows 10 e posterior** com o tipo **certificado SCEP** no Microsoft Intune
* [ ] Configure o perfil conforme descrito:
Tipo de certificado: Dispositivo
Neste caso, estamos a configurar um certificado de dispositivo
Formato do nome do sujeito: CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recomendado:** Use `{{DeviceName}}`para o RDN CN para ter um nome significativo do certificado no dispositivo ou ao pesquisar o certificado.
**Opcional:** Se configurado para `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, o SCEPman usa o campo CN do nome do sujeito para identificar o dispositivo e como semente para a geração do número de série do certificado. O Microsoft Entra ID (Azure AD) e o Intune oferecem dois IDs diferentes:
* `{{DeviceId}}`: Este ID é gerado e usado pelo Intune.\
\
(requer [Validação do Intune](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) definido para **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID é gerado e usado pelo Microsoft Entra ID (Azure AD).
Caso nem `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado para o campo CN (por exemplo, `CN={{DeviceName}})`, o SCEPman identificará o dispositivo com base no ID do dispositivo Intune (`(URI)Valor:` `IntuneDeviceId://{{DeviceId}}`) fornecido no nome alternativo do sujeito (SAN).
{% hint style="info" %}
Pode especificar estas variáveis e texto estático na caixa de texto. Por exemplo, o nome comum de um dispositivo denominado *Device1* pode ser adicionado como **CN={{DeviceName}}YourDomain.com**
{% endhint %}
**Importante:** A escolha do campo CN afeta o [comportamento automático de revogação](/pt/gestao-de-certificados/manage-certificates.md#automatic-revocation) dos certificados emitidos para os seus dispositivos geridos pelo Intune.
Pode adicionar outros RDNs, se necessário (por exemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nome alternativo do sujeito: (URI)Valor: IntuneDeviceId://{{DeviceId}}
O campo URI é [recomendado pela Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluções NAC identificarem os dispositivos com base no respetivo ID do dispositivo Intune. O valor deve ser:
```
IntuneDeviceId://{{DeviceId}}
```
O **campo URI é obrigatório** caso nem `CN={{DeviceId}}` nem `CN={{AAD_Device_ID}}` seja usado no campo **Formato do nome do sujeito** .
Outros valores SAN, como DNS, podem ser adicionados, se necessário.
Período de validade do certificado: 1 ano
A quantidade de tempo restante antes de o certificado expirar. O padrão é definido para um ano.
O SCEPman limita a validade do certificado ao máximo configurado na definição [***AppConfig:ValidityPeriodDays***](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays), mas, de resto, usa a validade configurada no pedido.
Fornecedor de armazenamento de chaves (KSP): Inscrever no Trusted Platform Module (TPM) KSP; caso contrário, falhar
Esta definição determina o local de armazenamento da chave privada para os certificados do utilizador final. O armazenamento no TPM é mais seguro do que o armazenamento por software, porque o TPM fornece uma camada adicional de segurança para evitar o roubo de chaves.
Nota: Existe **um erro em algumas versões antigas do firmware TPM** que invalida algumas assinaturas criadas com uma chave privada baseada em TPM. Nesses casos, o certificado não pode ser usado para autenticação EAP, como é comum em ligações Wi-Fi e VPN. Além disso, isto pode interromper o seu processo de integração do Autopilot.
As versões de firmware TPM afetadas incluem:
* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Versão 3.19 / Especificação 1.2
* IFX versão 7.63.3353.0 especificação 2.0
Se usar TPM com este firmware, atualize o firmware para uma versão mais recente ou selecione "Software KSP" como fornecedor de armazenamento de chaves.
**Atualização:** Pode contornar o erro do TPM removendo os algoritmos de assinatura RSA-PSS -que estão a causar o problema- do registo; para mais informações, consulte [o artigo de Richard Hicks](https://directaccess.richardhicks.com/2023/02/13/always-on-vpn-authentication-failed-reason-code-16/) e [Microsoft Q\&A](https://learn.microsoft.com/en-us/answers/questions/467673/windows-10-tpm-2-0-client-authentication-in-tls-1)
Uso da chave: Assinatura digital e Encapsulamento de chaves
Ative ambas as ações criptográficas.
O SCEPman define automaticamente o uso da chave para **Assinatura digital** e **Encapsulamento de chaves** e substitui a definição aqui, a menos que a definição [***AppConfig:UseRequestedKeyUsages***](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-userequestedkeyusages) seja definida como *true*.
Tamanho da chave (bits): 2048
O SCEPman suporta 2048 bits.
Algoritmo de hash: SHA-2
O SCEPman suporta o algoritmo SHA-2.
Certificado raiz: Perfil do passo anterior (perfil do certificado raiz)
Selecione o perfil do Intune em [#Certificado raiz](#root-certificate).\
Se estiver a usar uma [CA intermédia](/pt/implementacao-do-scepman/intermediate-certificate.md), tem de selecionar o perfil de certificado Confiável para a CA intermédia, e não para a CA raiz!
Uso prolongado da chave: Autenticação de cliente, 1.3.6.1.5.5.7.3.2
Escolha **Autenticação de cliente (1.3.6.1.5.5.7.3.2)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.
Limite de renovação (%): 20
Este valor define quando o dispositivo pode renovar o respetivo certificado (com base no tempo de vida restante de um certificado existente). Leia a nota em **Período de validade do certificado** e selecione um valor adequado que permita ao dispositivo renovar o certificado durante um longo período. Um valor de 20% permitiria que um dispositivo com um certificado válido por 1 ano iniciasse a renovação 73 dias antes da expiração.
URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDM
**Exemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
### Exemplo
* [ ] Agora pode implementar este perfil nos seus dispositivos. Escolha os mesmos grupos para a atribuição que para o perfil do certificado Confiável.
## Certificados de utilizador
Siga as instruções de [#Certificados de dispositivo](#device-certificates) e tenha em conta as seguintes diferenças:
Tipo de certificado: Utilizador
Nesta secção, estamos a configurar um certificado de utilizador.
Formato do nome do sujeito: CN={{UserName}},E={{EmailAddress}}
Pode definir RDNs com base nas suas necessidades. As variáveis suportadas estão listadas nos [documentos da Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir o nome de utilizador (por exemplo: janedoe) e o endereço de e-mail (por exemplo: ) como definição de base.
Nome alternativo do sujeito: (UPN)Valor: {{UserPrincipalName}}
Tem de adicionar o nome principal do utilizador como o nome alternativo do sujeito. **Adicione '{{UserPrincipalName}}' como Nome Alternativo do Sujeito do tipo nome principal do utilizador (UPN).** Isto garante que o SCEPman pode associar certificados a objetos de utilizador no AAD. A definição para "Formato do nome do sujeito" é livremente selecionável.
Outros valores SAN, como um endereço de e-mail, podem ser adicionados, se necessário.
{% hint style="info" %}
Com base no feedback dos clientes, parece que alguns clientes VPN (por exemplo, Azure VPN Client for Virtual WAN) não conseguem descobrir o certificado do utilizador quando este está armazenado no TPM. Tente inscrevê-lo no software KSP em vez disso.
{% endhint %}
### Exemplo
## Certificado de assinatura digital de utilizador
Pode usar o SCEPman para assinaturas **digitais** isto é, para assinatura S/MIME no Microsoft Outlook. Se pretender usar os certificados para assinatura de mensagens, tem de adicionar os usos prolongados da chave correspondentes na configuração do perfil Intune.
{% hint style="warning" %}
**Não** use o SCEPman **para encriptação de e-mail** isto é, para encriptação de correio S/MIME no Microsoft Outlook (sem uma tecnologia separada para gestão de chaves). A natureza de **o protocolo SCEP não inclui um mecanismo para fazer backup ou arquivar material de chave privada.** Se usasse SCEP para encriptação de e-mail, poderá perder as chaves para desencriptar as mensagens mais tarde.
{% endhint %}
* [ ] Tem de definir estas variáveis de configuração; caso contrário, o uso de chave solicitado e o período de validade prolongado no perfil SCEP não serão respeitados pelo SCEPman:
- [*`AppConfig:UseRequestedKeyUsages`*](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-userequestedkeyusages) definido para *`true`*
- [*`AppConfig:ValidityPeriodDays`*](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityperioddays) *definido para `365` (é possível um valor máximo de 1825 - 5 anos)*
Para implementar certificados de utilizador usados para **Assinaturas digitais** siga as instruções de [#Certificados de utilizador](#user-certificates) e tenha em conta as seguintes diferenças e notas:
Nome alternativo do sujeito
* **(obrigatório) Nome principal do utilizador (UPN):** *`{{UserPrincipalName}}`*
* **(obrigatório) Endereço de e-mail:** *`{{EmailAddress}}`*
Ao implementar um certificado de assinatura digital, tem de adicionar o UPN e o endereço de e-mail.
Uso da chave: apenas Assinatura digitalUso prolongado da chave: Correio seguro (1.3.6.1.5.5.7.3.4)
Escolha **Correio seguro (1.3.6.1.5.5.7.3.4)** em **Valores predefinidos**. Os outros campos serão preenchidos automaticamente.
Limite de renovação (%): 50
Recomendamos definir o Limite de renovação (%) para um valor que garanta que os certificados sejam renovados pelo menos 6 meses antes da expiração ao emitir certificados de assinatura S/MIME. Isto deve-se ao facto de os e-mails assinados com certificados expirados aparecerem no Outlook como tendo assinaturas inválidas, o que confunde os utilizadores. Ter um novo certificado muito antes de o antigo expirar garante que apenas os e-mails mais antigos apresentem este comportamento, sendo mais improvável que os utilizadores os consultem. Por exemplo, se os seus certificados de assinatura forem válidos por um ano, deverá definir o Limite de renovação para pelo menos 50 %.
### **Exemplo**
Após uma sincronização de perfil bem-sucedida, deverá ver o certificado do utilizador em Finalidades pretendidas **Correio seguro**
O certificado estará disponível para uso de Assinatura digital, por exemplo, no Outlook. Abaixo está um exemplo do uso
### Ativar assinaturas S/MIME no Outlook
Depois de implementar certificados de assinatura S/MIME nas suas máquinas cliente, tem de configurar o Outlook para usar estes certificados antes de enviar e-mails assinados.
#### Novo Outlook
O S/MIME para o novo Outlook pode ser configurado [manualmente](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=new_outlook).
#### Outlook clássico
O S/MIME para o Outlook clássico pode ser configurado [manualmente](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=newer_versions) ou configurado rapidamente com o nosso [Script do PowerShell](https://github.com/glueckkanja-pki/PKI-Configuration-Tools/blob/master/README.md).
#### Outlook na Web
O S/MIME para o Outlook na Web pode ser configurado [manualmente](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=web) ou ativado usando o PowerShell com o seguinte comando:
```
Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true
```
Comandos adicionais do PowerShell podem ser consultados [aqui](https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig).
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/microsoft-intune/windows-10.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.