As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o Omnissa Workspace ONE para conector para SCEP
Você pode usar CA Privada da AWS como uma autoridade de certificação externa (CA) com o sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Este guia fornece instruções sobre como configurar o Omnissa Workspace ONE depois de criar um conector SCEP no. AWS
## Pré-requisitos
Antes de criar um conector SCEP para o Omnissa Workspace ONE, você deve preencher os seguintes pré-requisitos:
+ Crie uma CA privada no AWS console. Para obter mais informações, consulte [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ Crie um conector SCEP de uso geral. Para obter mais informações, consulte [Criar um conector](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Tenha uma conta de administrador do ambiente Omnissa Workspace ONE ativa com um ID de grupo organizacional.
+ Se você estiver inscrevendo um dispositivo Apple, configure o Apple Push Notification Service (APNs) para MDM. Para obter mais informações, consulte [APNs Certificados](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) na documentação do Omnissa.
## Etapa 1: definir uma autoridade de certificação e um modelo no Omnissa Workspace ONE
Depois de criar um conector privado de CA e SCEP no AWS console, defina a autoridade de certificação e o modelo no Omnissa Workspace ONE.
**Adicionar CA Privada da AWS como autoridade de certificação**
1. No menu **Sistema**, escolha **Integração Empresarial** e, em seguida, escolha **Autoridades de Certificação**.
1. Escolha **\$1 ADICIONAR** e forneça as seguintes informações:
+ **Nome**: AWS-Private-CA.
+ **Descrição**: CA Privada da AWS para emissão do certificado do dispositivo.
+ **Tipo de autoridade**: Selecione **SCEP genérico**.
+ URL **do SCEP: insira o URL** do SCEP de. CA Privada da AWS
+ **Tipo de desafio**: Selecione **STATIC**.
+ **Desafio estático**: insira a senha de desafio estático do SCEP do conector para configuração do SCEP no console. AWS
+ Insira os valores de **Tempo Limite de Repetição e Máximo** **de Tentativas**.
1. Salve a configuração.
**Crie um modelo de certificado**
1. No menu **Sistema**, escolha **Integração Empresarial**, escolha **Autoridades de Certificação** e, em seguida, escolha **Modelos**.
1. Escolha **Adicionar modelos** e forneça as seguintes informações:
+ **Nome do modelo**: Device-Cert-Template.
+ **Autoridade de certificação**: escolha **AWS-Private-CA**.
+ **Nome do assunto**: Este é um campo personalizável. Você pode escolher valores variáveis em uma lista de atributos. Por exemplo, CN= \$1DeviceReportedName\$1, O= \$1DevicePlatform\$1, OU= \$11\$1 CustomAttribute
+ **Comprimento da chave privada**: 2048 bits.
+ **Tipo de chave privada**: selecione **Assinatura** e **criptografia** conforme necessário
+ **Renovação automática**: Enabled/Disabled (com base nas suas necessidades).
1. Salve o modelo.
## Etapa 2: Configurar uma configuração de perfil UEM do Omnissa Workspace ONE
Crie um perfil no Omnissa Workspace ONE UEM que direcione os dispositivos ao Connector for SCEP para emitir um certificado.
**Crie um perfil de dispositivo SCEP para distribuição de certificados**
1. **No menu **Recursos**, escolha **Perfis e linhas de base e**, em seguida, escolha Perfis.**
1. Escolha **Adicionar** e, em seguida, **Adicionar perfil**
1. Selecione a plataforma do dispositivo (**Android**, **iOS**, **macOS**, **Windows**).
1. Defina o **tipo de gerenciamento** e o **contexto** conforme apropriado.
1. Defina o **nome**: Device-Cert-Profile.
1. Role até **SCEP Payload.**
1. **Selecione **SCEP** e, em seguida, escolha \$1Adicionar.**
1. Use a seguinte configuração:
+ **SCEP:**
+ Em **Fonte de credencial**, selecione **Autoridade de certificação definida** (padrão).
+ Para **Autoridade de Certificação**, selecione **AWS-Private-CA**
+ Para **Modelo de certificado**, selecione o **Device-Cert-Template** definido na Etapa 1.
1. Escolha **Avançar** e, na seção **Tarefa**, selecione o grupo inteligente correto na lista (grupo de tarefas para o dispositivo).
1. Selecione o **tipo de atribuição** como **Automático** para ativar a renovação automática.
1. Salve e publique o perfil.
**nota**
Para obter mais informações, consulte [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) na documentação do Omnissa.
## Etapa 3: cadastrar dispositivos no Omnissa Workspace ONE
**Crie ou verifique um grupo inteligente**
1. Em **Grupos e configurações**, escolha **Grupos** e, em seguida, escolha **Grupos de exercícios.**
1. Crie ou edite o grupo inteligente de dispositivos PoC:
+ **Nome**: Dispositivos PoC.
+ **Tipo de dispositivo**: selecione **Tudo** ou uma plataforma específica (Android ou iOS, por exemplo).
+ **Critérios**: Use **UserGroup**, **plataforma e sistema operacional**, **OEM e modelo** para especificar os critérios para agrupar os dispositivos de destino.
+ **Propriedade**: selecione **Qualquer** para dispositivos pessoais ou corporativos.
1. Salve e verifique se os dispositivos de destino aparecem na guia **Visualizar**.
### Registro manual de dispositivos
Android
+ Baixe o aplicativo **Workspace ONE Intelligent Hub** do Google Play.
+ Abra o aplicativo e insira o URL de inscrição ou digitalize um código QR.
+ Faça login e siga as instruções para se inscrever como um dispositivo gerenciado por MDM.
iOS/macOS
+ No dispositivo, abra o **Safari** e navegue até o URL de registro (https:///enroll, por exemplo).
+ Faça login com as credenciais do usuário.
+ Baixe e instale o aplicativo **Workspace ONE Intelligent Hub** na App Store.
+ **Siga as instruções para instalar o perfil MDM em **Configurações** > **Geral** > **Gerenciamento de VPN e dispositivos** > **Perfil** > Instalar.**
Windows
+ Baixe o **Workspace ONE Intelligent Hub** do servidor Workspace ONE ou da Microsoft Store.
+ Inscreva-se por meio do Hub usando o URL de inscrição e as credenciais.
Atribua dispositivos registrados ao Grupo Inteligente de Dispositivos PoC em **Dispositivos** > **Exibição de lista** > **Mais ações** > **Atribuir ao** Grupo Inteligente.
Para obter mais informações, consulte [Registro automatizado de dispositivos na documentação](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) da Omnissa.
**Verifique a inscrição**
1. **No console do Omnissa Workspace ONE UEM, acesse **Dispositivos** e depois Visualização de lista.**
1. Confirme se seus dispositivos registrados aparecem com o status definido como **Registrado**.
1. Verifique se os dispositivos estão no grupo inteligente de dispositivos PoC na guia **Grupos** dos Detalhes do **dispositivo**.
## Etapa 4: emitir um certificado
**Acionador emitindo um certificado**
1. Na **Visualização da lista** de **dispositivos**, selecione o dispositivo registrado.
1. Escolha o botão **Consultar** para solicitar um check-in.
1. Eles Device-Cert-Profile devem emitir um visto certificado. CA Privada da AWS
**Verifique a instalação do certificado**
Android
Escolha **Configurações**, depois **Segurança**, depois **Credenciais Confiáveis** e, em seguida, **Usuário** para verificar o certificado.
iOS
Vá para **Configurações**, escolha **Geral**, depois **Gerenciamento de VPN e Dispositivo** e, em seguida, **Perfil de Configuração**. Verifique se o certificado AWS-Private-CA está presente.
macOS
Abra o **Keychain Access** e depois o **System Keychain** e verifique o certificado.
Windows
**Abra **certmgr.msc**, depois **Pessoal** e, em seguida, Certificados para verificar o certificado.**
## Solução de problemas
Erros SCEP (“22013 - O servidor SCEP retornou uma resposta inválida”, por exemplo)
+ Verifique se o URL do SCEP e a senha estática do desafio no Workspace ONE correspondem. CA Privada da AWS
+ Teste a conectividade do endpoint SCEP: curl.
+ Verifique AWS CloudTrail os registros em busca de CA Privada da AWS erros (`IssueCertificate`falhas, por exemplo).
APNs problemas (iOS/macOS)
+ Verifique se o APNs certificado é válido e está atribuído ao grupo organizacional correto.
+ Teste a APNs conectividade: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.
Falhas na instalação do perfil
+ Confirme se os dispositivos estão no Grupo Inteligente correto (**Dispositivos**, **Exibição de Lista** e **Grupos**).
+ Forçar uma sincronização de perfil: **Mais ações**, depois **Enviar** e, em seguida, **Lista de perfis**.
Logs
+ Android: use os registros do **Logcat** ou do Workspace ONE.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurador).
+ Windows: **Visualizador de Eventos**, depois **Registros de Aplicativos e Serviços e**, em seguida, **Microsoft-Windows** -. DeviceManagement
+ Workspace ONE UEM: **Monitor**, depois **Relatórios e análises**, depois **Eventos e, em seguida, Eventos** **do dispositivo**.
Para obter detalhes sobre o conector para monitoramento de SCEP em AWS, consulte [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) SCEP.
## Considerações sobre segurança
+ Armazene o SCEP URLs e os segredos com segurança. Para obter mais informações, consulte o [AWS Secrets Manager serviço](https://docs.aws.amazon.com/secretsmanager/).
+ Restrinja os critérios do grupo inteligente somente aos dispositivos de destino.
+ Renove regularmente os certificados Apple Push Notifications (APNs) (válidos por 1 ano).
+ Defina períodos curtos de validade do certificado para projetos de prova de conceito para minimizar os riscos.
+ Para dispositivos pessoais, certifique-se de que a limpeza remova todos os perfis e certificados.
[Para obter informações sobre como configurar a integração do Omnissa Workspace ONE UEM e CA usando um conector SCEP, consulte a documentação do SCEP no Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)