Partilhar via


Criar e atribuir perfis de certificado SCEP no Intune

Depois de configurar a sua infraestrutura para apoiar certificados de Protocolo de Inscrição de Certificados Simples (SCEP), pode criar e, em seguida, atribuir perfis de certificados SCEP aos utilizadores e dispositivos no Intune.

Para que os dispositivos utilizem um perfil de certificado SCEP, devem confiar na sua Autoridade de Certificação de Raiz Fidedigna (CA). A confiança da CA raiz é melhor estabelecida através da implementação de um perfil de certificado de confiança para o mesmo grupo que recebe o perfil de certificado SCEP. Perfis de certificado fidedignos prevêem o certificado Trust Root CA.

Os dispositivos que executam o Android Enterprise podem necessitar de um PIN antes do SCEP poder auê-los com um certificado. Para mais informações, consulte o requisito PIN para Android Enterprise.

Nota

A partir do Android 11, os perfis de certificados fidedignos já não podem instalar o certificado de raiz fidedigno em dispositivos que estão inscritos como administrador de dispositivos Android. Esta limitação não se aplica à Samsung Knox.

Para obter mais informações sobre esta limitação, consulte perfis de certificado fidedignos para administrador de dispositivos Android.

Dica

Os perfis de certificado SCEP são suportados para Windows 10 Enterprise ambientes de trabalho remotos com múltiplas sessões.

Criar um perfil de certificado SCEP

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione e vá para perfis de configuração de > dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos seus dispositivos.

    • Perfil: Selecione o certificado SCEP. Ou, selecione o certificado SCEP dos modelos. >

      Para Android Enterprise, o tipo de perfil é dividido em duas categorias, Totalmente Gerido, Dedicado e Corporate-Owned Perfil de Trabalho e Perfil de Trabalho De Propriedade Pessoal. Certifique-se de que seleciona o perfil de certificado SCEP correto para os dispositivos que gere.

      Os perfis de certificado SCEP para o perfil de perfil de trabalho totalmente gerido, dedicado e Corporate-Owned têm as seguintes limitações:

      1. No âmbito da Monitorização, o relatório de certificados não está disponível para os perfis de certificado SCEP do proprietário do dispositivo.

      2. Não pode utilizar o Intune para revogar certificados que foram a provisionados pelos perfis de certificados SCEP para os Proprietários de Dispositivos. Pode gerir a revogação através de um processo externo ou diretamente com a autoridade de certificação.

      3. Para dispositivos dedicados android Enterprise, os perfis de certificado SCEP são suportados para Wi-Fi configuração de rede, VPN e autenticação. Os perfis de certificados SCEP em dispositivos dedicados android Enterprise não são suportados para autenticação de aplicações.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é perfil SCEP para toda a empresa.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.
  6. Selecione Seguinte.

  7. Nas definições de configuração, complete as seguintes configurações:

    • Tipo de certificado:

      (Aplica-se a: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 e posterior, e Windows 10 e mais tarde.)

      Selecione um tipo dependendo da forma como utilizará o perfil do certificado:

      • Utilizador: Os certificados de utilizador podem conter os atributos do utilizador e do dispositivo no assunto e NA do certificado.

      • Dispositivo: Os certificados do dispositivo só podem conter atributos do dispositivo no sujeito e SAN do certificado.

        Utilize o Dispositivo para cenários como dispositivos sem utilizador, como quiosques ou para dispositivos Windows. Nos dispositivos Windows, o certificado é colocado na loja de certificados de Computador Local.

      Nota

      Armazenamento dos certificados previstos pelo SCEP:

      • macOS - Os certificados que fornece com o SCEP são sempre colocados no chaveiro do sistema (loja do sistema) do dispositivo.

      • Android - Os dispositivos têm uma loja de certificados VPN e apps e uma loja de certificados WIFI. A Intune armazena sempre certificados SCEP na VPN e loja de aplicações num dispositivo. A utilização da VPN e da loja de aplicações disponibiliza o certificado para utilização por qualquer outra aplicação.

        No entanto, quando um certificado SCEP também está associado a um perfil de Wi-Fi, a Intune também instala o certificado na loja Wi-Fi.

    • Formato do nome do sujeito:

      Introduza texto para dizer ao Intune como criar automaticamente o nome do sujeito no pedido de certificado. As opções para o formato de nome sujeito dependem do tipo certificado que seleciona, utilizador ou dispositivo.

      Dica

      Se o comprimento do nome do seu sujeito exceder 64 caracteres, poderá ter de desativar a aplicação do comprimento do nome na sua Autoridade de Certificação Interna. Para mais informações, consulte Desativar a Aplicação do Comprimento DN

      Nota

      Existe um problema conhecido para a utilização do SCEP para obter certificados quando o nome do sujeito no pedido de assinatura de certificados resultante (RSE) inclui um dos seguintes caracteres como um personagem escapado (procededo por uma lomassa): \

      • +
      • ;
      • ,
      • =

      Nota

      Começando pelo Android 12, o Android já não suporta a utilização dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal:

      • Número de série
      • IMEI
      • MEID

      Os perfis de certificados intune para dispositivos de perfil de trabalho de propriedade pessoal que dependem destas variáveis no nome do sujeito ou SAN não irão obter um certificado em dispositivos que executam o Android 12 ou mais tarde no momento em que o dispositivo se matriculou com o Intune. Os dispositivos que se inscreveram antes do upgrade para o Android 12 ainda podem receber certificados desde que a Intune tenha obtido previamente os identificadores de hardware dos dispositivos.

      Para mais informações sobre esta e outras alterações introduzidas com o Android 12, consulte o Android Day Zero Support para Microsoft Endpoint Manager publicação de blog.

      • Tipo de certificado Utilizador

        Utilize a caixa de texto para introduzir um formato de nome de assunto personalizado, incluindo texto estático e variáveis. Duas opções variáveis são suportadas: Nome Comum (CN) e E-mail (E).

        O e-mail (E) seria normalmente definido com a variável {{EmailAddress}} . Por exemplo: E={{EmailAddress}}

        O Nome Comum (CN) pode ser definido para qualquer uma das seguintes variáveis:

        • CN={{UserName}}: O nome de utilizador do utilizador, tal como o janedoe.

        • CN={{UserPrincipalName}}: O nome principal do utilizador do utilizador, tal como janedoe@contoso.com .

        • CN={{AAD_Device_ID}}: um ID atribuído ao registar um dispositivo no Azure Active Directory (AD). Este ID é normalmente utilizado na autenticação com o Azure AD.

        • CN={{DeviceId}}: Um ID atribuído quando se inscreve um dispositivo no Intune.

        • CN={{{SERIALNUMBER}}: O número de série único (SN) normalmente utilizado pelo fabricante para identificar um dispositivo.

        • CN={{IMEINumber}}: O número exclusivo da Identidade Internacional do Equipamento Móvel (IMEI) utilizado para identificar um telemóvel.

        • CN={{{OnPrem_Distinguished_Name}}: Sequência de nomes relativos distintos separados por vírgula, tais como CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

          Para utilizar a variável {{OnPrem_Distinguished_Name}} :

          • Certifique-se de sincronizar o atributo do utilizador onpremisesdistinguishedme usando a Ligação AD Azure para o seu AD Azure.
          • Se o valor CN contiver uma vírgula, o formato nome do sujeito deve estar em aspas. Por exemplo: CN="{{OnPrem_Distinguished_Name}}}
        • CN={{OnPremisesSamAccountName}}: Os administradores podem sincronizar o atributo samAccountName de Ative Directory a Azure AD utilizando a Azure AD ligar-se a um atributo chamado PremisesSamAccountName. A Intune pode substituir essa variável como parte de um pedido de emissão de certificados no objeto de um certificado. O atributo samAccountName é o nome de login do utilizador usado para suportar clientes e servidores a partir de uma versão anterior de Windows (pré-Windows 2000). O formato de nome de entrada do utilizador é: DomainName\testUser, ou apenas testUser.

          Para utilizar a variável {{OnPremisesSamAccountName}} certifique-se de sincronizar o atributo do utilizador OnPremisesSamAccountName utilizando o Ligação AD Azure para o seu AD Azure.

        Todas as variáveis do dispositivo listadas na seguinte secção de certificado de dispositivo também podem ser utilizadas em nomes de certificados de utilizador.

        Ao utilizar uma combinação de uma ou muitas destas variáveis e cordas de texto estáticas, pode criar um formato de nome de assunto personalizado, como: CN={{UserName}}},E={{emailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        Este exemplo inclui um formato de nome de sujeito que usa as variáveis CN e E, e cadeias para valores de Unidade Organizacional, Organização, Localização, Estado e País. O artigo função CertStrToName descreve esta função e as cadeias suportadas da mesma.

        Os atributos dos utilizadores não são suportados para dispositivos que não possuam associações de utilizadores, como dispositivos que estão inscritos como o Android Enterprise dedicado. Por exemplo, um perfil que utilize CN={{UserPrincipalName}} no assunto ou SAN não será capaz de obter o nome principal do utilizador quando não houver utilizador no dispositivo.

      • Tipo de certificado Dispositivo

        As opções de formato para o formato nome subject incluem as seguintes variáveis:

        • {{AAD_Device_ID}} ou {{AzureADDeviceId}} - Qualquer variável pode ser utilizada para identificar um dispositivo pelo seu ID AD Azure.
        • {{DeviceId}} - O ID do dispositivo Intune
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (Apenas aplicável para dispositivos Windows e união de domínios)
        • {{MEID}}

        Pode especificar estas variáveis e texto estático na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}} Device1.

        Importante

        • Quando especificar uma variável, enrôde o nome variável em suportes duplos encaracolados {{ }} como visto no exemplo, para evitar um erro.
        • As propriedades do dispositivo utilizadas no sujeito ou SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo deve suportar todas as variáveis especificadas num perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for utilizado no nome do assunto de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não é instalado.
    • Denominação alternativa do sujeito:
      Selecione como a Intune cria automaticamente o nome alternativo do assunto (SAN) no pedido de certificado. Pode especificar vários nomes alternativos sujeitos. Para cada um, pode selecionar a partir de quatro atributos SAN e introduzir um valor de texto para esse atributo. O valor do texto pode conter variáveis e texto estático para o atributo.

      Selecione entre os atributos SAN disponíveis:

      • Endereço de e-mail
      • Nome principal do utilizador (UPN)
      • DNS
      • Identificador de Recursos Uniformes (URI)

      As variáveis disponíveis para o valor SAN dependem do tipo certificado que selecionou; utilizador ou dispositivo.

      Nota

      Começando pelo Android 12, o Android já não suporta a utilização dos seguintes identificadores de hardware para dispositivos de perfil de trabalho de propriedade pessoal:

      • Número de série
      • IMEI
      • MEID

      Os perfis de certificados intune para dispositivos de perfil de trabalho de propriedade pessoal que dependem destas variáveis no nome do sujeito ou SAN não irão obter um certificado em dispositivos que executam o Android 12 ou mais tarde no momento em que o dispositivo se matriculou com o Intune. Os dispositivos que se inscreveram antes do upgrade para o Android 12 ainda podem receber certificados desde que a Intune tenha obtido previamente os identificadores de hardware dos dispositivos.

      Para mais informações sobre esta e outras alterações introduzidas com o Android 12, consulte o Android Day Zero Support para Microsoft Endpoint Manager publicação de blog.

      • Tipo de certificado Utilizador

        Com o tipo de certificado utilizador, pode utilizar qualquer uma das variáveis de certificado do utilizador ou dispositivo acima descritas na secção Nome de Assunto.

        Por exemplo, os tipos de certificados de utilizador podem incluir o nome principal do utilizador (UPN) no nome alternativo do assunto. Se um certificado de cliente for utilizado para autenticar um Servidor de Políticas de Rede, defina o nome alternativo do requerente como UPN.

      • Tipo de certificado Dispositivo

        Com o tipo de certificado dispositivo, pode utilizar qualquer uma das variáveis descritas na secção de tipo certificado de dispositivo para nome de assunto.

        Para especificar um valor para um atributo, inclua o nome variável com parênteses encaracolados, seguido do texto para essa variável. Por exemplo, um valor para o atributo DNS pode ser adicionado {{{AzureADDeviceId}}.domain.com onde .domain.com é o texto. Para um utilizador chamado User1, um endereço de e-mail pode aparecer como {{FullyQualifiedDomainName}} User1@Contoso.com .

      Ao utilizar uma combinação de uma ou muitas destas variáveis e cadeias de texto estáticas, pode criar um formato de nome alternativo personalizado, como:

      • {{UserName}}-Home

        Importante

        • Ao utilizar uma variável de certificado de dispositivo, enrôde o nome variável em suportes duplos curly {{ }}}
        • Não utilize suportes encaracolados { } símbolos de | tubos e pontos e vírguis; no texto que segue a variável.
        • As propriedades do dispositivo utilizadas no sujeito ou SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo deve suportar todas as variáveis especificadas num perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for utilizado na SAN de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não instala.
    • Período de validade do certificado:

      Pode introduzir um valor inferior ao período de validade do modelo de certificado, mas não superior. Se configurar o modelo de certificado para suportar um valor personalizado que pode ser definido a partir da consola Intune,utilize esta definição para especificar o tempo restante antes do certificado expirar.

      A Intune suporta um período de validade de até 24 meses.

      Por exemplo, se o período de validade do certificado no modelo de certificado for dois anos, pode introduzir um valor de um ano, mas não um valor de cinco anos. O valor deve também ser inferior ao período de validade restante do certificado da AC emissora.

      Planeie utilizar um período de validade de cinco dias ou mais. Quando o prazo de validade for inferior a cinco dias, existe uma alta probabilidade de o certificado entrar num estado de quase expiração ou expirado, o que pode fazer com que o agente MDM nos dispositivos rejeite o certificado antes de ser instalado.

    • Fornecedor-chave de armazenamento (KSP):

      (Aplica-se a: Windows 8.1 e posterior, e Windows 10 e posteriormente)

      Especificar onde a chave do certificado está armazenada. Escolha entre os seguintes valores:

      • Inscrever em KSP de Trusted Platform Module (TPM) se estiver presente, caso contrário, KSP de Software
      • Inscrever em KSP de Trusted Platform Module (TPM), caso contrário, ocorre uma falha
      • Inscreva-se para Windows Hello para Negócios, caso contrário falhar (Windows 10 e posteriormente)
      • Inscrever em KSP de Software
    • Utilização de chaves:

      Selecione opções de utilização chave para o certificado:

      • Assinatura digital: permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.
      • Cifragem de chaves: permitir a troca de chaves apenas quando a chave for encriptada.
    • Tamanho da chave (bits):

      Selecione o número de bits contidos na chave:

      • Não configurado
      • 1024
      • 2048
      • 4096 (suportado com iOS/iPadOS 14 e posteriormente, e macOS 11 e posteriormente)
    • Algoritmo hash:

      (Aplica-se a Android, Empresa Android, Windows 8.1 e posterior, e Windows 10 e posteriormente)

      Selecione um dos tipos de algoritmo hash disponíveis para utilizar com este certificado. Selecione o maior nível de segurança que os dispositivos de ligação suportam.

    • Certificado de raiz:

      Selecione o perfil de certificado de confiança que previamente configurado e atribuído aos utilizadores e dispositivos aplicáveis para este perfil de certificado SCEP. O perfil de certificado fidedigno é utilizado para a provisionar utilizadores e dispositivos com o certificado Trust Root CA. Para obter informações sobre o perfil de certificado fidedigno, consulte Exporte o seu certificado de CA de raiz fidedigna e Crie perfis de certificados fidedignos em Certificados de Utilização para autenticação no Intune.

      Nota

      Se tiver uma Infastrutura PKI de vários níveis, como uma Autoridade de Certificação de Raiz e uma Autoridade de Certificação emissora, selecione o perfil de certificado de raiz fidedigna de nível superior que valida a Autoridade de Certificação emissora.

    • Utilização alargada da chave:

      Adicione valores para o fim a que se destina o certificado. Na maioria dos casos, o certificado requer a autenticação do cliente para que o utilizador ou dispositivo possa autenticar num servidor. Pode adicionar utilizações adicionais de chaves conforme necessário.

    • Limiar de renovação (%)

      Introduza a percentagem do tempo de vida útil do certificado que permanece antes de o dispositivo solicitar a renovação do certificado. Por exemplo, se introduzir 20, a renovação do certificado será tentada quando o certificado expirar 80%. As tentativas de renovação continuam até que a renovação seja bem sucedida. A renovação gera um novo certificado, o que resulta num novo par de chaves público/privado.

    • URLs do servidor SCEP:

      Introduza um ou mais URLs para os Servidores NDES que emitem certificados via SCEP. Por exemplo, introduza algo como https://ndes.contoso.com/certsrv/mscep/mscep.dll.

      O URL pode ser HTTP ou HTTPS. No entanto, para suportar os seguintes dispositivos, o URL do servidor SCEP deve utilizar HTTPS:

      • Android device administrator (Administrador de dispositivos Android)
      • Proprietário de dispositivo Android Enterprise
      • Perfil de trabalho corporativo da Android Enterprise
      • Perfil de trabalho pessoal da Android Enterprise

      Pode adicionar URLs SCEP adicionais para equilibrar a carga conforme necessário. Os dispositivos fazem três chamadas separadas para o servidor NDES. A primeira é obter as capacidades dos servidores, a próxima para obter uma chave pública, e depois apresentar um pedido de assinatura. Quando utiliza vários URLs é possível que o equilíbrio de carga possa resultar na utilização de um URL diferente para chamadas subsequentes para um Servidor NDES. Se um servidor diferente for contactado para uma chamada posterior durante o mesmo pedido, o pedido falhará.

      O comportamento para gerir o URL do servidor NDES é específico de cada plataforma do dispositivo:

      • Android: O dispositivo aleatoriamente a lista de URLs recebidos na política SCEP e, em seguida, funciona através da lista até que seja encontrado um servidor NDES acessível. Em seguida, o dispositivo continua a utilizar o mesmo URL e servidor durante todo o processo. Se o dispositivo não conseguir aceder a nenhum dos servidores NDES, o processo falha.
      • iOS/iPadOS: Intune aleatoriamente os URLs e fornece um único URL a um dispositivo. Se o dispositivo não conseguir aceder ao servidor NDES, o pedido SCEP falha.
      • Windows: A lista de URLs NDES é aleatória e depois transmitida para o dispositivo Windows, que depois os experimenta na ordem recebida, até que seja encontrado um que esteja disponível. Se o dispositivo não conseguir aceder a nenhum dos servidores NDES, o processo falha.

      Se um dispositivo não alcançar o mesmo servidor NDES com sucesso durante uma das três chamadas para o servidor NDES, o pedido SCEP falha. Por exemplo, isto pode acontecer quando uma solução de equilíbrio de carga fornece um URL diferente para a segunda ou terceira chamada para o servidor NDES, ou fornece um servidor NDES diferente baseado num URL virtualizado para NDES. Após um pedido falhado, um dispositivo volta a tentar o processo no seu próximo ciclo de política, começando com a lista aleatória de URLs NDES (ou um único URL para iOS/iPadOS).

  8. Selecione Seguinte.

  9. Em Atribuições, selecione o utilizador ou grupos que receberão o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

  10. (Aplica-se apenas a Windows 10) Nas Regras de Aplicabilidade, especifique as regras de aplicabilidade para aperfeiçoar a atribuição deste perfil. Pode optar por atribuir ou não atribuir o perfil com base na edição de SISTEMA ou versão de um dispositivo.

Para obter mais informações, consulte as regras de aplicabilidade na Criação de um perfil do dispositivo em Microsoft Intune.

  1. Em Rever + criar, rever as suas definições. Quando seleciona Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Evite pedidos de assinatura de certificado com caracteres especiais escapados

Há um problema conhecido para pedidos de certificado SCEP e PKCS que incluem um Nome de Assunto (CN) com um ou mais dos seguintes caracteres especiais como um personagem escapado. Nomes sujeitos que incluem um dos caracteres especiais como um personagem escapado resultam em uma RSE com um nome de sujeito incorreto. Um nome de sujeito incorreto resulta na falha de validação do desafio Intune SCEP e nenhum certificado emitido.

Os caracteres especiais são:

  • +
  • ,
  • ;
  • =

Quando o seu nome de assunto incluir um dos caracteres especiais, utilize uma das seguintes opções para contornar esta limitação:

  • Encapsular o valor CN que contém o carácter especial com aspas.
  • Retire o carácter especial do valor CN.

Por exemplo, tem um Nome de Assunto que aparece como utilizador de Teste (TestCompany, LLC). Um CSR que inclui um CN que tem a vírgula entre a TestCompany e a LLC apresenta um problema. O problema pode ser evitado colocando cotações em torno de todo o CN, ou removendo a vírgula entre a TestCompany e a LLC:

  • Adicione aspas: CN="Test User (TestCompany, LLC)"OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Remova a vírgula: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

No entanto, as tentativas de escapar à vírgula utilizando um personagem de backslash falharão com um erro nos registos crp:

  • Vírgula escapada: CN=Test User (TestCompany \ , LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

O erro é semelhante ao seguinte erro:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Atribuir o perfil de certificado

Atribua perfis de certificado SCEP da mesma forma que implementa perfis de dispositivos para outros fins.

Importante

Para utilizar um perfil de certificado SCEP, um dispositivo também deve ter recebido o perfil de certificado de confiança que o fornece com o seu certificado De raiz fidedigna. Recomendamos que implemente o perfil de certificado de raiz fidedigno e o perfil de certificado SCEP para os mesmos grupos.

Considere o seguinte antes de continuar:

  • Quando atribui perfis de certificado SCEP a grupos, o ficheiro de certificado Trust Root CA (conforme especificado no perfil de certificado fidedigno) é instalado no dispositivo. O dispositivo utiliza o perfil de certificado SCEP para criar um pedido de certificado para esse certificado De raiz fidedigna.

  • O perfil de certificado SCEP instala-se apenas em dispositivos que executam a plataforma que especificou quando criou o perfil do certificado.

  • Pode atribuir perfis de certificado a coleções de utilizadores ou de dispositivos.

  • Para publicar um certificado num dispositivo rapidamente após a inscrição do mesmo, atribua o perfil de certificado a um grupo de utilizadores, em vez de atribuir a um grupo de dispositivos. Se atribuir a um grupo de dispositivos, será preciso um registo do dispositivo completo antes de o dispositivo receber políticas.

  • Se utilizar a cogestão para o Intune e o Gestor de Configuração, no Gestor de Configuração definir o slider de carga de trabalho para políticas de acesso a recursos para Intune ou Pilot Intune. Esta definição permite Windows 10 clientes iniciarem o processo de solicitação do certificado.

Nota

  • Nos dispositivos iOS/iPadOS, quando um perfil de certificado SCEP ou um perfil de certificado PKCS está associado a um perfil adicional, como um perfil de Wi-Fi ou VPN, o dispositivo recebe um certificado para cada um desses perfis adicionais. Isto resulta no dispositivo iOS/iPadOS com vários certificados entregues pelo pedido de certificado SCEP ou PKCS.

    Os certificados entregues pela SCEP são únicos. Os certificados entregues por PKCS são o mesmo certificado, mas parecem diferentes, uma vez que cada instância de perfil é representada por uma linha separada no perfil de gestão.

  • No iOS 13 e no macOS 10.15, existem alguns requisitos de segurança adicionais que são documentados pela Apple para ter em conta.

Passos seguintes

Atribuir perfis

Resolução de problemas de perfis de certificados SCEP