# Desinstalação

A forma de desinstalar o SCEPman depende de haver apenas uma instância do SCEPman no seu tenant e de essa instância do SCEPman ter sido usada em produção ou não, por exemplo, como uma PoC. Se foram inscritos certificados de produção, deve planear se quer sair gradualmente da utilização desta instância do SCEPman e manter algumas partes do SCEPman em execução durante algum tempo, ou se quer encerrar de forma abrupta.

Se tiver várias instalações do SCEPman num único tenant e quiser desinstalar apenas algumas delas, deve prestar atenção para manter os componentes usados pelas instâncias ativas. Isto é especialmente o caso dos App Registrations, que por predefinição são partilhados por todas as instâncias.

Este guia não se destina a situações em que tem uma [configuração georredundante](https://docs.scepman.com/pt/configuracao-do-azure/geo-redundancy) e quer manter o SCEPman, mas remover uma instância para uma região específica. Nessa situação, contacte o nosso suporte se tiver dúvidas.

## Perfis de Configuração do Intune/Jamf/Outros

Para todas as plataformas em que utilizou o SCEPman, provavelmente terá perfis de configuração para

* A distribuição da SCEPman Root CA,
* a inscrição de certificados de cliente via SCEP, e
* perfis de WiFi ou VPN que utilizam este certificado de cliente.

Cada tipo de perfil na lista anterior depende dos que estão acima dele. Assim, deve eliminá-los de baixo para cima, para não ficar com dependências abertas.

Note que [o Intune removerá os certificados inscritos do cliente assim que remover os perfis de inscrição SCEP](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates), pelo que não existe uma eliminação gradual do uso do certificado, mas sim uma interrupção abrupta.

## Recursos do Azure

Em muitos casos, existe um único Resource Group do Azure dedicado para todos os recursos relacionados com o SCEPman. Assim, pode simplesmente eliminar todo o Resource Group para se livrar de todos os recursos do SCEPman. No caso de uma [instalação georredundante do SCEPman](https://docs.scepman.com/pt/configuracao-do-azure/geo-redundancy), podem existir Resource Groups adicionais para os App Services e planos de App Services extra. Nesse caso, também terá um Traffic Manager algures.

Para eliminar os Resource Groups, pode ser necessário remover Delete Locks do Azure Key Vault e/ou do Storage Account. Há casos em que eliminar todo o Resource Group não funciona devido às dependências entre recursos. Nesse caso, recomendamos eliminar os recursos individualmente pela seguinte ordem:

1. App Insights
2. App Services
3. Contas de Armazenamento
4. Key Vault
5. App Service Plan
6. o próprio Resource Group

O SCEPman configura [soft-delete](https://learn.microsoft.com/en-us/azure/key-vault/general/soft-delete-overview) e Purge Protection durante 90 dias por predefinição para o seu Azure Key Vault. Assim, mesmo que elimine todo o Resource Group, a chave CA usada pelo SCEPman ficará recuperável durante o período de tempo configurado. Depois disso, a chave CA desaparece e não a pode recuperar. Isto significa que não há forma de restaurar esta instância do SCEPman e, como não existe nenhuma instância para criar respostas OCSP válidas, todos os certificados emitidos são invariavelmente considerados inválidos.

Eliminar o Storage Account resulta na perda das informações sobre certificados SCEPman Certificate Master criados manualmente, especialmente informações de revogação. Como, de qualquer forma, eliminar as suas instâncias do SCEPman invalida todos os certificados emitidos devido às respostas OCSP falhadas, isto poderá não ser um problema.

O seu Storage Account também pode [conter os ficheiros de registo do SCEPman](https://docs.scepman.com/pt/configuracao-do-azure/log-configuration#app-service-logs-recommended-settings). Se quiser mantê-los, ou mantenha o Storage Account e elimine apenas os outros recursos do Azure, ou copie os ficheiros de registo para outro local antes de eliminar o Storage Account.

## Domínio Personalizado

Pode ter registado um domínio personalizado para o SCEPman, como scepman.contoso.de. Remova esta entrada do DNS para deixar claro que já não é necessária para nenhum serviço.

## Registos de aplicações

O SCEPman e o SCEPman Certificate Master utilizam cada um um app registration. Por predefinição, todas as instâncias do SCEPman num tenant partilham estes dois app registrations, por isso só os elimine se esta for a única instância do SCEPman no seu tenant — exceto quando tiver usado os parâmetros opcionais `AzureADAppNameForSCEPman` e `AzureADAppNameForCertMaster` no módulo Powershell do SCEPman para fazer com que as suas outras instâncias do SCEPman utilizem app registrations diferentes.

Os nomes predefinidos dos app registrations são SCEPman-api e SCEPman-CertMaster. Pode encontrá-los e eliminá-los navegando para [App registrations no Azure Portal](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/RegisteredApps). Mude para "All applications" para os procurar.