Guia standard

Isto irá guiá-lo por todas as etapas necessárias para configurar o SCEPman no seu ambiente de PoC ou Produção com base nas nossas melhores práticas.

Implantação no Azure

Vamos começar com os requisitos e uma visão geral dos recursos. Tenha em mente que precisa de planear um design útil de recursos do Azure.

Pré-requisitos

Obrigatório

Subscrição do Azure (pelo menos direitos de Contributor nessa subscrição).
Direitos de proprietário do Azure (pelo menos ao nível do Resource Group).
Microsoft Entra ID (Azure AD) "Global administrator" (Consentimento para aceder à Graph API).
Certifique-se de definir as suas políticas do Azure de acordo com os requisitos do SCEPman (por exemplo, não impor TLS).

Opcional

CNAME de Domínio Público (scepman.seudominio.com), se for usado um domínio personalizado.
Certificado SSL (Wildcard-) (ou use App Service Managed Certificate), se for usado um domínio personalizado.

Visão geral dos recursos do Azure

Todos estes recursos são recomendados para um ambiente de produção.

Além disso, se estiver a usar Private Endpoints, tem mais sete recursos do Azure.

Etapas de configuração

Implementar os serviços base do SCEPman

Esta é uma etapa obrigatória .

Para iniciar a implantação, siga as nossas instruções de implantação:

Implementação no Marketplace

Executar as etapas pós-implantação (atribuições de permissões)

Esta é uma etapa obrigatória .

Para ligar corretamente todos os componentes do SCEPman, é necessário atribuir várias permissões. Siga estes passos para estabelecer as ligações relevantes:

Identidades geridas

Adicionar permissões do Certificate Master

Esta é uma etapa obrigatória etapa para clientes da Enterprise Edition . Os utilizadores da Community Edition podem ignorar esta etapa.

O Certificate Master é uma funcionalidade da Enterprise Edition que permite aos administradores gerar e revogar certificados manualmente. Siga estes passos para fornecer acesso ao Certificate Master.

RBAC do Certificate Master

Criar o certificado raiz

Esta é uma etapa obrigatória .

Após a conclusão da implantação e da atribuição de permissões, precisa de criar o certificado raiz para o SCEPman:

CA raiz

Configurar um Domínio Personalizado e um Certificado SSL

Esta é uma etapa opcional .

Para ter o SCEPman disponível no seu domínio específico, precisa de criar um Domínio Personalizado no App Service.

Domínio personalizado

Atualizações manuais

Esta é uma etapa opcional .

Por predefinição, o SCEPman adota uma abordagem evergreen relativamente às atualizações. Caso necessite de controlo total sobre as suas atualizações do SCEPman, configure um slot de implantação conforme descrito no seguinte guia, na secção Configuração do Deployment Slot.

Estratégia de atualização

Implementar o Application Insights

Isto é recomendado .

O Application Insights pode ser usado para obter uma visão geral do desempenho do App Service e obter informações mais detalhadas sobre o processamento de pedidos do SCEPman. Recomendamos configurar sempre o Application Insights para monitorizar, manter e otimizar o App Service.

Application Insights

Configurar a verificação de estado

Isto é recomendado .

Podemos configurar uma verificação de estado para o App Service para obter notificações diretas caso o SCEPman deixe de funcionar.

Verificação de saúde

Garanta que o SCEPman tem recursos suficientes

Esta é uma etapa obrigatória .

Quando տեղափոխar o SCEPman para um ambiente de produção, deve garantir que o SCEPman dispõe de capacidade de computação suficiente. Portanto, reveja o nosso guia de dimensionamento do Azure e atualize o nível do seu App Service Plan, se necessário. Pode adiar isto até depois da sua PoC ou fase de avaliação.

Dimensionamento do App Service

Configure os seus perfis de implantação MDM

Esta é uma etapa recomendado .

Com a conclusão dos passos acima, temos uma implementação funcional do SCEPman e podemos agora implementar certificados nos dispositivos.

Utilize um (ou mais) dos seguintes artigos para implementar certificados com a sua solução MDM preferida:

Microsoft Intune Jamf Pro Outras soluções MDM

Emitir certificados manualmente ou assinar CSRs usando o Certificate Master

Esta é uma etapa opcional .

Siga o link abaixo para saber como emitir certificados TLS de servidor ou outros certificados, ou como assinar qualquer CSR usando o componente Certificate Master.

Certificate Master

Última atualização há 2 meses

Isto foi útil?