Outras soluções MDM
Você pode usar o SCEPman para emitir certificados por meio de sistemas MDM além do Intune. Você deve configurar uma senha de desafio estática (veja RFC 8894, Seção 7.3 para a especificação formal) tanto no SCEPman quanto no sistema MDM. Praticamente todos os sistemas MDM suportam esse modo de autenticação SCEP.
Observe, no entanto, que isso não oferece o mesmo nível de segurança que o modo de autenticação empregado com o Intune. A senha de desafio autentica as solicitações do sistema MDM, então o SCEPman sabe que elas vêm de uma fonte confiável. Mas, se atacantes roubarem a senha de desafio, poderão autenticar qualquer solicitação de certificado e fazer com que o SCEPman emita qualquer certificado que quiserem.
Portanto, é crucial manter a senha de desafio segura. Isso pode ser alcançado quando o sistema MDM atua como cliente SCEP e entrega o pacote final, composto por certificado e chave privada, aos dispositivos do usuário final. Dessa forma, a senha de desafio é usada apenas entre o SCEPman e o sistema MDM, e não nos dispositivos do usuário final.
Configuração do SCEPman
Há dois endpoints SCEP para escolher ao configurar o SCEPman para sistemas MDM além do Intune e do Jamf Pro:
Static-AAD
Static
O endpoint Static-AAD é recomendado para sistemas MDM com integração ao Entra ID, como Kandji e Google Workspace. Utilizador os certificados distribuídos pelo endpoint Static-AAD serão beneficiados por Revogação Automática quando o respectivo usuário tiver sido desativado no Entra ID.
O endpoint Static é recomendado para todos os outros sistemas MDM.
Adicione as seguintes definições à sua App Service do SCEPman > Variáveis de Ambiente > Adicionar.
Depois que as definições forem adicionadas, salve as definições e reinicie o seu App Service do SCEPman.
Ativar validação Static-AAD
true para ativar, falso para desativar
As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura Recomendação: Armazene este segredo no Azure KeyVault.
gere uma senha de 32 caracteres
Dias de validade dos certificados emitidos pelo endpoint Static-AAD
365
Armazene os certificados solicitados na Storage Account, para poder mostrá-los no SCEPman Certificate Master
true para ativar, falso para desativar
Adicione as seguintes definições à sua App Service do SCEPman > Variáveis de Ambiente > Adicionar.
Depois que as definições forem adicionadas, salve as definições e reinicie o seu App Service do SCEPman.
Ativar validação de terceiros
true para ativar, falso para desativar
As solicitações de assinatura de certificado enviadas ao SCEPman para assinatura são autenticadas com esta senha estática segura Recomendação: Armazene este segredo no Azure KeyVault.
gere uma senha de 32 caracteres
Dias de validade dos certificados emitidos pelo endpoint Static
365
Armazene os certificados solicitados na Storage Account, para poder mostrá-los no SCEPman Certificate Master
true para ativar, falso para desativar
Configuração do MDM
Os passos específicos dependem do sistema MDM que você está usando. Você deve adicionar https://scepman.contoso.de/static como URL SCEP em algum lugar e você deve adicionar a senha de desafio à configuração SCEP do seu sistema MDM. Por motivos de segurança, torne o seu sistema MDM um proxy SCEP.
Observe que existem duas variantes de implementações de proxy SCEP, das quais apenas uma é segura nesta configuração:
O seu sistema MDM pode atuar como cliente SCEP, gerar o par de chaves secreto e entregar o pacote completo, composto por certificado e chave privada, aos dispositivos do usuário final. Isso é seguro, pois a senha de desafio é usada apenas entre o sistema MDM e o SCEPman.
O seu sistema MDM encaminha mensagens SCEP entre o dispositivo do usuário final e o SCEPman. O dispositivo do usuário final gera o par de chaves secreto e adiciona a senha de desafio à solicitação de certificado. Isso é menos seguro, pois um atacante com controle sobre um único dispositivo do usuário final pode roubar a senha de desafio e solicitar todos os tipos de certificados ao SCEPman. Além disso, o sistema MDM não pode controlar se o cliente solicitou corretamente um certificado ou se a solicitação de certificado está incorreta, podendo permitir roubo de identidade ou outras ameaças.
Last updated
Was this helpful?