Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurare Omnissa Workspace ONE per Connector for SCEP
È possibile utilizzarlo AWS Private CA come autorità di certificazione (CA) esterna con il sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Questa guida fornisce istruzioni su come configurare Omnissa Workspace ONE dopo aver creato un connettore SCEP in. AWS
## Prerequisiti
Prima di creare un connettore SCEP per Omnissa Workspace ONE, è necessario completare i seguenti prerequisiti:
+ Crea una CA privata nella console. AWS Per ulteriori informazioni, consulta [Crea una CA privata in AWS Private CA](create-CA.md).
+ Crea un connettore SCEP per uso generico. Per ulteriori informazioni, consulta [Creare un connettore](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Avere un account amministratore dell'ambiente Omnissa Workspace ONE attivo con un ID del gruppo organizzativo.
+ Se stai registrando un dispositivo Apple, configura l'Apple Push Notification Service () APNs per MDM. Per ulteriori informazioni, consulta [APNs Certificati nella documentazione](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) di Omnissa.
## Passaggio 1: definire un'autorità di certificazione e un modello in Omnissa Workspace ONE
Dopo aver creato un connettore CA e SCEP privati nella AWS console, definisci l'autorità di certificazione e il modello in Omnissa Workspace ONE.
**Aggiungi AWS Private CA come autorità di certificazione**
1. Dal menu **Sistema**, scegli **Enterprise Integration**, quindi scegli **Autorità di certificazione**.
1. Scegli **\$1 AGGIUNGI** e fornisci le seguenti informazioni:
+ **Nome**: AWS-Private-CA.
+ **Descrizione**: AWS Private CA per l'emissione del certificato del dispositivo.
+ **Tipo di autorità**: seleziona SCEP **generico**.
+ URL **SCEP: inserisci l'URL** SCEP da. AWS Private CA
+ **Tipo di sfida****: seleziona STATIC.**
+ **Sfida statica**: inserisci la password statica di sfida SCEP dal Connector per la configurazione SCEP nella AWS console.
+ **Inserisci i valori **Retry Timeout** e Max Retries.**
1. Salvare la configurazione.
**Crea un modello di certificato**
1. Dal menu **Sistema**, scegli **Enterprise Integration**, scegli **Autorità di certificazione**, quindi scegli **Modelli**.
1. Scegli **Aggiungi modelli** e fornisci le seguenti informazioni:
+ **Nome del modello**: Device-Cert-Template.
+ **Autorità di certificazione**: Scegli **AWS-Private-CA**.
+ **Nome dell'oggetto**: Questo è un campo personalizzabile. È possibile scegliere i valori delle variabili da un elenco di attributi. Ad esempio, CN= \$1DeviceReportedName\$1, O= \$1DevicePlatform\$1, OU= \$11\$1 CustomAttribute
+ **Lunghezza della chiave privata: 2048** bit.
+ **Tipo di chiave privata**: selezionare **Firma** e **crittografia** come richiesto
+ **Rinnovo automatico**: Enabled/Disabled (in base alle tue esigenze).
1. Salva il modello.
## Passaggio 2: configurare una configurazione del profilo Omnissa Workspace ONE UEM
Crea un profilo in Omnissa Workspace ONE UEM che indirizza i dispositivi a Connector for SCEP per emettere un certificato.
**Crea un profilo del dispositivo SCEP per la distribuzione dei certificati**
1. **Dal menu **Risorse**, scegliete **Profili e linee di base**, quindi scegliete Profili.**
1. **Scegliete **Aggiungi, quindi Aggiungi** profilo**
1. Seleziona la piattaforma del dispositivo (**Android**, **iOS**, **macOS**, **Windows**).
1. Imposta il **tipo di gestione** e il **contesto in base** alle esigenze.
1. Imposta il **nome**: Device-Cert-Profile.
1. Scorri fino a **SCEP Payload**.
1. **Seleziona **SCEP**, quindi scegli \$1Aggiungi.**
1. Utilizzate la seguente configurazione:
+ **SCEP**:
+ Per **Origine delle credenziali**, selezionare **Defined Certificate Authority** (impostazione predefinita).
+ **Per **Certificate Authority**, selezionate AWS-Private-CA**
+ Per Modello di **certificato, selezionate il **Device-Cert-Template**** definito nel passaggio 1.
1. Scegli **Avanti** e nella sezione **Assegnazione** seleziona il gruppo smart giusto dall'elenco (gruppo di assegnazione per il dispositivo).
1. Seleziona **Tipo di assegnazione** come **Automatico** per abilitare il rinnovo automatico.
1. Salva e pubblica il profilo.
**Nota**
Per ulteriori informazioni, consulta [SCEP nella documentazione](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) di Omnissa.
## Fase 3: Registrare i dispositivi in Omnissa Workspace ONE
**Crea o verifica un gruppo intelligente**
1. Da **Gruppi e impostazioni** scegli **Gruppi**, quindi scegli **Gruppi di assegnazione**.
1. Crea o modifica il gruppo smart POC-Devices:
+ **Nome: dispositivi POC**.
+ **Tipo di dispositivo**: seleziona **Tutto** o una piattaforma specifica (Android o iOS, ad esempio).
+ **Criteri**: utilizzo **UserGroup**, **piattaforma e sistema operativo**, **OEM e modello** per specificare i criteri per raggruppare i dispositivi di destinazione.
+ **Proprietà**: seleziona **Qualsiasi** per dispositivi personali o aziendali.
1. Salva e verifica che i dispositivi di destinazione vengano visualizzati nella scheda **Anteprima**.
### Registrazione manuale dei dispositivi
Android
+ Scarica l'app **Workspace ONE Intelligent Hub** da Google Play.
+ Apri l'app e inserisci l'URL di registrazione o scansiona un codice QR.
+ Accedi e segui le istruzioni per registrarti come dispositivo gestito da MDM.
iOS/macOS
+ Sul dispositivo, apri **Safari** e vai all'URL di registrazione (https:///enroll, ad esempio).
+ Accedi con le credenziali utente.
+ Scarica e installa l'app **Workspace ONE Intelligent Hub** dall'App Store.
+ ****Segui le istruzioni per installare il profilo MDM in **Impostazioni** > **Generali** > **Gestione VPN e dispositivi** > Profilo > Installa.****
Windows
+ Scarica **Workspace ONE Intelligent Hub** dal server Workspace ONE o da Microsoft Store.
+ Registrazione tramite l'Hub utilizzando l'URL e le credenziali di registrazione.
******Assegna i dispositivi registrati allo Smart Group di dispositivi POC in Dispositivi > **Visualizzazione elenco** > Altre azioni > Assegna a Smart Group.******
Per ulteriori informazioni, consulta Registrazione [automatica dei dispositivi nella documentazione di Omnissa](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html).
**Verifica l'iscrizione**
1. ****Nella console Omnissa Workspace ONE UEM, vai su Dispositivi, quindi su Visualizzazione elenco.****
1. **Conferma che i dispositivi registrati vengano visualizzati con lo stato impostato su Registrati.**
1. **Verifica che i dispositivi siano nel gruppo smart POC-Devices nella scheda **Gruppi** di Dettagli dispositivo.**
## Fase 4: Emettere un certificato
**Attiva l'emissione di un certificato**
1. Nella **visualizzazione elenco dei** **dispositivi**, seleziona il dispositivo registrato.
1. Scegli il pulsante **Query** per richiedere un check-in.
1. Device-Cert-ProfileDovrebbero emettere un certificato tramite. AWS Private CA
**Verifica l'installazione del certificato**
Android
Scegli **Impostazioni**, **Sicurezza**, **Credenziali attendibili** e quindi **Utente** per verificare il certificato.
iOS
Vai su **Impostazioni**, quindi scegli **Generale**, quindi **VPN e gestione dei dispositivi** e infine **Profilo di configurazione**. Verifica che il certificato di AWS-Private-CA sia presente.
macOS
Apri **Keychain Access**, quindi **System Keychain** e verifica il certificato.
Windows
**Apri **certmgr.msc**, quindi **Personale e quindi Certificati per verificare** il certificato.**
## Risoluzione dei problemi
Errori SCEP («22013 - Il server SCEP ha restituito una risposta non valida», ad esempio)
+ Verifica l'URL SCEP e la password di sfida statica in Workspace ONE Match. AWS Private CA
+ Verifica la connettività degli endpoint SCEP: curl.
+ Controlla AWS CloudTrail i log per individuare AWS Private CA eventuali errori (`IssueCertificate`errori, ad esempio).
APNs problemi (iOS/macOS)
+ Assicurati che il APNs certificato sia valido e assegnato al gruppo organizzativo corretto.
+ APNs Connettività di test: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.
Errori di installazione del profilo
+ Verifica che i dispositivi rientrino nel gruppo smart corretto (**Dispositivi**, quindi **Visualizzazione elenco** e quindi **Gruppi**).
+ Forza la sincronizzazione del profilo: **Altre azioni**, quindi **Invia**, quindi **Elenco profili**.
Log
+ Android: utilizza i **log Logcat** o Workspace ONE.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfiguratore).
+ Windows: **Visualizzatore eventi**, quindi **registri applicazioni e servizi e** quindi **Microsoft-Windows** -. DeviceManagement
+ **Workspace ONE UEM: **Monitor**, quindi **Reports & Analytics**, quindi **Events e infine Device Events**.**
Per informazioni dettagliate su Connettore per il monitoraggio SCEP in AWS, vedi [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) for SCEP.
## Considerazioni relative alla sicurezza
+ Archivia SCEP URLs e segreti in modo sicuro. [Per ulteriori informazioni, consulta il Gestione dei segreti AWS servizio.](https://docs.aws.amazon.com/secretsmanager/)
+ Limita i criteri del gruppo intelligente solo ai dispositivi di destinazione.
+ Rinnova regolarmente i certificati Apple Push Notifications (APNs) (validi per 1 anno).
+ Imposta brevi periodi di validità dei certificati per i progetti proof of concept per ridurre al minimo i rischi.
+ Per i dispositivi personali, assicurati che cleanup rimuova tutti i profili e i certificati.
[Per informazioni su come configurare l'integrazione di Omnissa Workspace ONE UEM e CA utilizzando un connettore SCEP, consulta la documentazione SCEP in Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)