As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o Microsoft Intune for Connector for SCEP
Você pode usar CA Privada da AWS como uma autoridade de certificação (CA) externa com o sistema Microsoft Intune de gerenciamento de dispositivos móveis (MDM). Este guia fornece instruções sobre como configurar o Microsoft Intune depois de criar um conector para SCEP para Microsoft Intune.
## Pré-requisitos
Antes de criar um conector para SCEP para Microsoft Intune, você deve preencher os seguintes pré-requisitos.
+ Crie um ID Entra.
+ Crie um inquilino do Microsoft Intune.
+ Crie um registro de aplicativo em seu Microsoft Entra ID. Consulte [Atualizar as permissões solicitadas de um aplicativo no Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) na documentação do Microsoft Entra para obter informações sobre como gerenciar permissões em nível de aplicativo para seu Registro de Aplicativo. O registro do aplicativo deve ter as seguintes permissões:
+ No **Intune**, defina **scep\$1challenge\$1provider**.
+ **Para o **Microsoft Graph**, defina **Application.Read.All e User.Read.****
+ Você deve conceder ao aplicativo em seu consentimento de administrador do Registro do Aplicativo. Para obter informações, consulte [Conceder consentimento de administrador de todo o locatário a um aplicativo na documentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) do Microsoft Entra.
**dica**
Ao criar o Registro do Aplicativo, anote o ID do **Aplicativo (cliente) e o ID** do **Diretório (locatário) ou domínio principal**. Ao criar seu Connector for SCEP para Microsoft Intune, você inserirá esses valores. Para obter informações sobre como obter esses valores, consulte [Criar um aplicativo e um principal de serviço do Microsoft Entra que possa acessar recursos](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) na documentação do Microsoft Entra.
## Etapa 1: Conceder CA Privada da AWS permissão para usar seu aplicativo Microsoft Entra ID
Depois de criar um Conector para SCEP para Microsoft Intune, você deve criar uma credencial federada no Registro de Aplicativos da Microsoft para que o Conector para SCEP possa se comunicar com o Microsoft Intune.
**Para configurar CA Privada da AWS como uma CA externa no Microsoft Intune**
1. No console Microsoft Entra ID, navegue até os **registros do aplicativo**.
1. Escolha o aplicativo que você criou para usar com o Connector for SCEP. A ID do aplicativo (cliente) do aplicativo em que você clica deve corresponder à ID especificada ao criar o conector.
1. Selecione **Certificados e segredos** no menu suspenso **Gerenciado**.
1. Selecione a guia **Credenciais federadas**.
1. Selecione **Adicionar uma credencial**.
1. No menu suspenso **Cenário de credenciais federadas**, escolha **Outro** emissor.
1. **Copie e cole o valor do **emissor do OpenID** dos detalhes do Connector for SCEP for Microsoft Intune no campo Emissor.** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Issuer` valor da resposta.
1. Em **Tipo**, selecione **Identificador de assunto explícito**.
1. Copie e cole o valor do **assunto do OpenID** do seu conector no campo **Valor**. Você pode ver o valor do emissor do OpenID na página de detalhes do conector no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Audience` valor da resposta.
1. (Opcional) Insira o nome da instância no campo **Nome**. Por exemplo, você pode nomeá-lo **CA Privada da AWS**.
1. (Opcional) Insira uma descrição no campo **Descrição**.
1. **Copie e cole o valor do **OpenID Audience** dos detalhes do Connector for SCEP for Microsoft Intune no campo Audience.** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Subject` valor da resposta.
1. Selecione **Adicionar**.
## Etapa 2: Configurar um perfil de configuração do Microsoft Intune
Depois de dar CA Privada da AWS a permissão para chamar o Microsoft Intune, você deve usar o Microsoft Intune para criar um perfil de configuração do Microsoft Intune que instrua os dispositivos a entrar em contato com o Connector for SCEP para emissão de certificados.
1. Crie um perfil de configuração de certificado confiável. Você deve carregar o certificado CA raiz da cadeia que está usando com o Connector for SCEP no Microsoft Intune para estabelecer confiança. Para obter informações sobre como criar um perfil de configuração de certificado confiável, consulte [Perfis de certificado raiz confiáveis para o Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) na documentação do Microsoft Intune.
1. Crie um perfil de configuração do certificado SCEP que direcione seus dispositivos para o conector quando precisarem de um novo certificado. O **tipo de perfil do perfil de** configuração deve ser Certificado **SCEP.** Para o certificado raiz do perfil de configuração, certifique-se de usar o certificado confiável que você criou na etapa anterior.
**Para o **Servidor SCEP URLs**, copie e cole a **URL do SCEP** dos detalhes do seu conector no campo Servidor SCEP. URLs** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Como alternativa, você pode obter o URL chamando e [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), em seguida, copiar o `Endpoint` valor da resposta. Para obter orientação sobre a criação de perfis de configuração no Microsoft Intune, consulte [Criar e atribuir perfis de certificado SCEP no Microsoft Intune na documentação do Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**nota**
Para dispositivos que não sejam Mac OS e iOS, se você não definir um período de validade no perfil de configuração, o Connector for SCEP emitirá um certificado com validade de um ano. Se você não definir um valor de uso estendido da chave (EKU) no perfil de configuração, o Connector for SCEP emitirá um certificado com o EKU definido com. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Para dispositivos macOS `ExtendedKeyUsage` ou iOS, o Microsoft Intune não respeita nossos `Validity` parâmetros em seus perfis de configuração. Para esses dispositivos, o Connector for SCEP emite um certificado com um período de validade de um ano para esses dispositivos por meio da autenticação do cliente.
## Etapa 3: Verificar a conexão com o conector para SCEP
Depois de criar um perfil de configuração do Microsoft Intune que aponta para o endpoint Connector for SCEP, confirme se um dispositivo registrado pode solicitar um certificado. Para confirmar, certifique-se de que não haja falhas na atribuição de políticas. Para confirmar, no portal do Intune, navegue até **Dispositivos** > **Gerenciar dispositivos** > **Configuração** e verifique se não há nada listado em Falhas de **atribuição de política de configuração**. Se houver, confirme sua configuração com as informações dos procedimentos anteriores. Se sua configuração estiver correta e ainda houver falhas, consulte [Coletar dados disponíveis do dispositivo móvel](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).
Para obter informações sobre o registro de dispositivos, consulte [O que é registro de dispositivos](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)? na documentação do Microsoft Intune.