As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configure seu sistema MDM para Connector for SCEP
<a name="using-connector-for-scep-with-mdm"></a>

O Simple Certificate Enrollment Protocol (SCEP) é um protocolo padrão usado para inscrição e renovação de certificados. O Connector for SCEP é um servidor SCEP baseado em [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) que emite certificados automaticamente para seus clientes SCEP. Autoridade de Certificação Privada da AWS Quando você cria um conector, o Connector for SCEP fornece um endpoint HTTPS para os clientes SCEP solicitarem certificados. Os clientes se autenticam usando uma senha de desafio incluída como parte da solicitação de assinatura de certificado (CSR) para o serviço. Você pode usar o Connector for SCEP com sistemas populares de gerenciamento de dispositivos móveis (MDM), incluindo Microsoft Intune, Omnissa Workspace ONE e Jamf Pro, para inscrever dispositivos móveis. Ele foi projetado para funcionar com qualquer cliente ou endpoint que ofereça suporte ao SCEP.

O Connector for SCEP oferece dois tipos de conectores: de uso geral e Connector for SCEP para Microsoft Intune. As seções a seguir descrevem como elas funcionam e como configurar seu sistema MDM para usá-las.

## Conector de uso geral
<a name="connector-for-scep-how-it-works-general-purpose"></a>

Um conector de uso geral foi projetado para funcionar com endpoints de dispositivos móveis que suportam SCEP, exceto o Microsoft Intune, que tem um conector dedicado. Com conectores de uso geral, como Jamf Pro ou Omnissa Workspace ONE, você gerencia as senhas de desafio do SCEP. O diagrama a seguir usa um sistema de gerenciamento de dispositivos móveis (MDM) como exemplo, mas a mesma funcionalidade se aplica a outros sistemas ou dispositivos compatíveis com SCEP.

![\[Descreve como funciona um conector para conector de uso geral do Connector for SCEP.\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/GenPurpose.jpg)


1. O sistema MDM (ou outro dispositivo ou sistema) envia um perfil SCEP para o cliente móvel. Um perfil SCEP contém parâmetros de configuração que definem o perfil do certificado, como período de validade do certificado, senha de contestação e outras informações relevantes para a emissão de certificados.

1. O cliente móvel solicita um certificado e também envia uma solicitação de assinatura de certificado (CSR) que inclui uma senha de desafio.

1. O conector para SCEP valida a senha do desafio. Se for válido, o serviço solicitará um certificado CA Privada da AWS em nome do cliente móvel.

1. CA Privada da AWS emite o certificado e o envia ao Connector for SCEP.

1. O conector para SCEP envia o certificado emitido para o cliente móvel.

## CA Privada da AWS Conector para SCEP para Microsoft Intune
<a name="connector-for-scep-how-it-works-intune"></a>

CA Privada da AWS O Connector for SCEP para Microsoft Intune foi projetado para uso com o Microsoft Intune. Com o tipo de conector Connector for SCEP para Microsoft Intune, você usará o Microsoft Intune para gerenciar suas senhas de desafio do SCEP. Para obter mais informações sobre como usar o Connector for SCEP com o Microsoft Intune, consulte. [Configurar o Microsoft Intune for Connector for SCEPConfigurar o Microsoft Intune](connector-for-scep-intune.md)

Para usar o Connector for SCEP com o Microsoft Intune, você deve habilitar funcionalidades específicas usando a API do Microsoft Intune e possuir uma licença válida do Microsoft Intune. Você também deve revisar as [Políticas de Proteção de Aplicativos do Microsoft Intune®](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy).

![\[Como funciona um conector para SCEP para Microsoft Intune.\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/Intune.jpg)


1. O Microsoft Intune envia um perfil SCEP para o cliente móvel. O perfil contém uma senha de desafio criptografada que o cliente móvel coloca na CSR.

1. O cliente móvel solicita um certificado e envia o CSR para o Connector for SCEP.

1. O Connector for SCEP envia o CSR ao Microsoft Intune para autorização.

1. O Microsoft Intune descriptografa a senha de desafio no CSR. Se for válido, o Microsoft Intune envia a aprovação ao Connector for SCEP para emitir o certificado para o cliente móvel.

1. O Connector for SCEP solicita um certificado CA Privada da AWS em nome do cliente móvel.

1. CA Privada da AWS emite o certificado e o envia ao Connector for SCEP.

1. O conector para SCEP envia o certificado emitido para o cliente móvel.

**Topics**
+ [Conector de uso geral](#connector-for-scep-how-it-works-general-purpose)
+ [CA Privada da AWS Conector para SCEP para Microsoft Intune](#connector-for-scep-how-it-works-intune)
+ [Configurar o Jamf Pro para conector para SCEP](connector-for-scep-general-purpose.md)
+ [Configurar o Microsoft Intune for Connector for SCEP](connector-for-scep-intune.md)
+ [Configurar o Omnissa Workspace ONE para conector para SCEP](connector-for-scep-omnissa.md)

# Configurar o Jamf Pro para conector para SCEP
<a name="connector-for-scep-general-purpose"></a>

Você pode usar CA Privada da AWS como uma autoridade de certificação externa (CA) com o sistema Jamf Pro de gerenciamento de dispositivos móveis (MDM). Este guia fornece instruções sobre como configurar o Jamf Pro depois de criar um conector de uso geral.

## Configurar o Jamf Pro para conector para SCEP
<a name="connector-for-scep-jamf-pro"></a>

Este guia fornece instruções sobre como configurar o Jamf Pro para uso com o Connector for SCEP. Depois de configurar com sucesso o Jamf Pro e o Connector para SCEP, você poderá emitir CA Privada da AWS certificados para seus dispositivos gerenciados.

### Requisitos do Jamf Pro
<a name="connector-for-scep-jamf-pro-requirements"></a>

Sua implementação do Jamf Pro deve atender aos seguintes requisitos.
+ Você deve habilitar a configuração **Ativar autenticação baseada em certificado** no Jamf Pro. Você pode encontrar detalhes sobre essa configuração na página [Configurações de segurança](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) do Jamf Pro na documentação do Jamf Pro.

### Etapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

Uma impressão digital é um identificador exclusivo para sua CA privada que pode ser usada para verificar a identidade de sua CA ao estabelecer confiança com outros sistemas ou aplicativos. A incorporação de uma impressão digital de autoridade de certificação (CA) permite que os dispositivos gerenciados autentiquem a CA à qual estão se conectando e solicitem certificados somente da CA prevista. Recomendamos usar uma impressão digital CA com o Jamf Pro.

**Para gerar uma impressão digital para sua CA privada**

1. Obtenha o certificado CA privado de qualquer CA Privada da AWS console ou usando [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)o. Salve-o como `ca.pem` arquivo.

1. Instale os [utilitários de linha de comando do OpenSSL](https://wiki.openssl.org/index.php/Command_Line_Utilities).

1. No OpenSSL, execute o seguinte comando para gerar a impressão digital:

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### Etapa 2: Configurar CA Privada da AWS como uma CA externa no Jamf Pro
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

Depois de criar um conector para o SCEP, você deve definir CA Privada da AWS como uma autoridade de certificação (CA) externa no Jamf Pro. Você pode definir CA Privada da AWS como uma CA externa global. Como alternativa, você pode usar um perfil de configuração do Jamf Pro para emitir certificados diferentes CA Privada da AWS para diferentes casos de uso, como emitir certificados para um subconjunto de dispositivos em sua organização. A orientação sobre a implementação dos perfis de configuração do Jamf Pro está além do escopo deste documento.

**Para configurar CA Privada da AWS como uma autoridade de certificação externa (CA) no Jamf Pro**

1. No console Jamf Pro, acesse a página de configurações dos **certificados PKI acessando **Configurações**** > **Global** > Certificados **PKI**.

1. Selecione a guia **Modelo de certificado de gerenciamento**.

1. Selecione **CA externa**.

1. Selecione **Editar**.

1. (Opcional) Selecione **Ativar Jamf Pro como proxy SCEP para** perfis de configuração. Você pode usar os perfis de configuração do Jamf Pro para emitir diferentes certificados personalizados para casos de uso específicos. Para obter orientação sobre como usar perfis de configuração no Jamf Pro, consulte [Habilitando o Jamf Pro como proxy SCEP para perfis de configuração](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2) na documentação do Jamf Pro.

1. Selecione **Usar uma CA externa habilitada para SCEP para registro de computadores e dispositivos móveis**.

1. (Opcional) Selecione **Usar Jamf Pro como proxy SCEP para registro de computadores e dispositivos móveis**. Se você tiver falhas na instalação do perfil, consulte[Solucionar problemas de falhas na instalação do perfil](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).

1. Copie e cole o **URL do Conector para SCEP** dos detalhes do conector para o campo **URL no Jamf Pro**. Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Endpoint` valor da resposta.

1. (Opcional) Insira o nome da instância no campo **Nome**. Por exemplo, você pode nomeá-lo **CA Privada da AWS**.

1. Selecione **Estático** para o tipo de desafio.

1. Copie uma senha de desafio do seu conector e cole-a no campo **Desafio**. Um conector pode ter várias senhas de desafio. Para ver as senhas de desafio do seu conector, navegue até a página de detalhes do conector no AWS console e selecione o botão **Exibir senha**. Como alternativa, você pode obter a (s) senha (s) de desafio de um conector chamando [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)e copiando um `Password` valor da resposta. Para obter informações sobre o uso de senhas de desafio, consulte[Compreenda as considerações e limitações do Connector for SCEPConsiderações e limitações](c4scep-considerations-limitations.md).

1. Cole a senha do desafio no campo **Verificar desafio**.

1. Escolha um **tamanho de chave**. Recomendamos um tamanho de chave de 2048 ou superior.

1. (Opcional) Selecione **Usar como assinatura digital**. Selecione essa opção para fins de autenticação para conceder aos dispositivos acesso seguro a recursos como Wi-Fi e VPN.

1. (Opcional) Selecione **Usar para criptografia de chave.**

1. (Opcional - recomendado) Insira uma string hexadecimal no campo **Impressão digital**. Recomendamos que você adicione uma impressão digital da CA para permitir que os dispositivos gerenciados verifiquem a CA e solicitem somente certificados da CA. Para obter instruções sobre como gerar uma impressão digital para sua CA privada, consulte[Etapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada](#connector-for-scep-jamf-pro-ca-fingerprint).

1. Selecione **Salvar**.

### Etapa 3: Configurar um certificado de assinatura do perfil de configuração
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Para usar o Jamf Pro com o Connector for SCEP, você deve fornecer os certificados de assinatura e CA para a CA privada associada ao seu conector. Você pode fazer isso carregando um repositório de chaves de certificado de assinatura de perfil para o Jamf Pro que contém os dois certificados.

Aqui estão as etapas para criar um repositório de chaves de certificado e carregá-lo no Jamf Pro:
+ Gere uma solicitação de assinatura de certificado (CSR) usando seus processos internos.
+ Obtenha a CSR assinada pela CA privada associada ao seu conector.
+ Crie um repositório de chaves de certificado de assinatura de perfil que contenha a assinatura de perfil e os certificados CA.
+ Faça o upload do repositório de chaves do certificado para o Jamf Pro.

Seguindo essas etapas, você pode garantir que seus dispositivos possam validar e autenticar o perfil de configuração assinado por sua CA privada, permitindo o uso do Connector for SCEP com o Jamf Pro.

1. O exemplo a seguir usa OpenSSL AWS Certificate Manager e., mas você pode gerar uma solicitação de assinatura de certificado usando seu método preferido.

------
#### [ AWS Certificate Manager console ]

**Para criar um certificado de assinatura de perfil usando o console ACM**

   1. Use o ACM para [solicitar um certificado PKI privado](). Inclua o seguinte:
      + **Tipo** - Use o mesmo tipo de CA privada que serve como autoridade de certificação SCEP para seu sistema MDM.
      + Na seção **Detalhes da autoridade de certificação**, selecione o menu **Autoridade de certificação** e escolha a CA privada que serve como CA para o Jamf Pro.
      + **Nome de domínio** - Forneça um nome de domínio a ser incorporado ao certificado. Você pode usar um nome de domínio totalmente qualificado (FQDN), como`www.example.com`, ou um nome de domínio simples ou ápice, como `example.com` (o que exclui). `www.`

   1. Use o ACM para [exportar o certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) que você criou na etapa anterior. Escolha **Exportar um arquivo** para o certificado, a cadeia de certificados e a chave criptografada. Mantenha a **frase secreta** à mão, pois você precisará dela na próxima etapa.

   1. Em um terminal, execute o comando a seguir em uma pasta contendo os arquivos exportados para gravar o pacote PKCS \$112 no `output.p12` arquivo codificado pela senha que você criou na etapa anterior.

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:your-passphrase \
        -passout pass:your-passphrase
      ```

------
#### [ AWS Certificate Manager CLI ]

**Para criar um certificado de assinatura de perfil usando a CLI do ACM**
   + O comando a seguir mostra como criar um certificado no ACM e depois exportar os arquivos como um pacote PKCS \$112.

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <any valid domain name, such as test.name> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name example \
       -out output.p12 \
       -passin pass:passphrase \
       -passout pass:passphrase
     ```

------
#### [ OpenSSL CLI ]

**Para criar um certificado de assinatura de perfil usando o OpenSSL CLI**

   1. Usando o OpenSSL, gere uma chave privada executando o comando a seguir.

      ```
      openssl genrsa -out local.key 2048
      ```

   1. Gere uma solicitação de assinatura de certificado (CSR):

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. Usando o AWS CLI, emita o certificado de assinatura usando o CSR que você gerou na etapa anterior. Execute o comando a seguir e anote o ARN do certificado na resposta.

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. Obtenha o certificado de assinatura executando o comando a seguir. Especifique o ARN do certificado da etapa anterior.

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. Obtenha o certificado CA executando o comando a seguir.

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. Usando o OpenSSL, imprima o repositório de chaves do certificado de assinatura no formato p12. Use os arquivos CRT que você gerou nas etapas quatro e cinco.

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. Quando solicitado, insira uma senha de exportação. Essa senha é a senha do seu keystore para fornecer ao Jamf Pro.

------

1. No Jamf Pro, navegue até o **Modelo de Certificado de Gerenciamento** e vá para o painel **CA externo**.

1. Na parte inferior do painel **CA externa**, selecione **Alterar assinatura e certificados CA**.

1. Siga as instruções na tela para carregar os certificados de assinatura e CA para a CA externa.

### Etapa 4: (Opcional) Instalar o certificado durante a inscrição iniciada pelo usuário
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

Para estabelecer confiança entre seus dispositivos cliente e sua CA privada, você deve garantir que seus dispositivos confiem nos certificados emitidos pelo Jamf Pro. Você pode usar as [configurações de inscrição iniciadas pelo usuário](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) do Jamf Pro para instalar automaticamente seu CA Privada da AWS certificado CA nos dispositivos clientes quando eles solicitarem um certificado durante o processo de inscrição.

### Solucionar problemas de falhas na instalação do perfil
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

Se você estiver enfrentando falhas na instalação do perfil após ativar o **Use Jamf Pro as SCEP Proxy para registro de computadores e dispositivos móveis**, consulte os registros do dispositivo e tente o seguinte.


| Mensagem de erro de registro do dispositivo | Mitigação | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | Se você receber essa mensagem de erro ao tentar se inscrever, tente se inscrever novamente. Podem ser necessárias várias tentativas até que a inscrição seja bem-sucedida. | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | Sua senha de desafio pode estar configurada incorretamente. Verifique se a senha de desafio no Jamf Pro corresponde à senha de desafio do seu conector. | 

# Configurar o Microsoft Intune for Connector for SCEP
<a name="connector-for-scep-intune"></a>

Você pode usar CA Privada da AWS como uma autoridade de certificação (CA) externa com o sistema Microsoft Intune de gerenciamento de dispositivos móveis (MDM). Este guia fornece instruções sobre como configurar o Microsoft Intune depois de criar um conector para SCEP para Microsoft Intune.

## Pré-requisitos
<a name="connector-for-scep-intune-prerequisites"></a>

Antes de criar um conector para SCEP para Microsoft Intune, você deve preencher os seguintes pré-requisitos.
+ Crie um ID Entra.
+ Crie um inquilino do Microsoft Intune.
+ Crie um registro de aplicativo em seu Microsoft Entra ID. Consulte [Atualizar as permissões solicitadas de um aplicativo no Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) na documentação do Microsoft Entra para obter informações sobre como gerenciar permissões em nível de aplicativo para seu Registro de Aplicativo. O registro do aplicativo deve ter as seguintes permissões:
  + No **Intune**, defina **scep\$1challenge\$1provider**.
  + **Para o **Microsoft Graph**, defina **Application.Read.All e User.Read.****
+ Você deve conceder ao aplicativo em seu consentimento de administrador do Registro do Aplicativo. Para obter informações, consulte [Conceder consentimento de administrador de todo o locatário a um aplicativo na documentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) do Microsoft Entra.
**dica**  
Ao criar o Registro do Aplicativo, anote o ID do **Aplicativo (cliente) e o ID** do **Diretório (locatário) ou domínio principal**. Ao criar seu Connector for SCEP para Microsoft Intune, você inserirá esses valores. Para obter informações sobre como obter esses valores, consulte [Criar um aplicativo e um principal de serviço do Microsoft Entra que possa acessar recursos](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) na documentação do Microsoft Entra.

## Etapa 1: Conceder CA Privada da AWS permissão para usar seu aplicativo Microsoft Entra ID
<a name="connector-for-scep-intune-configure-pca"></a>

Depois de criar um Conector para SCEP para Microsoft Intune, você deve criar uma credencial federada no Registro de Aplicativos da Microsoft para que o Conector para SCEP possa se comunicar com o Microsoft Intune.

**Para configurar CA Privada da AWS como uma CA externa no Microsoft Intune**

1. No console Microsoft Entra ID, navegue até os **registros do aplicativo**.

1. Escolha o aplicativo que você criou para usar com o Connector for SCEP. A ID do aplicativo (cliente) do aplicativo em que você clica deve corresponder à ID especificada ao criar o conector.

1. Selecione **Certificados e segredos** no menu suspenso **Gerenciado**.

1. Selecione a guia **Credenciais federadas**.

1. Selecione **Adicionar uma credencial**.

1. No menu suspenso **Cenário de credenciais federadas**, escolha **Outro** emissor.

1. **Copie e cole o valor do **emissor do OpenID** dos detalhes do Connector for SCEP for Microsoft Intune no campo Emissor.** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Issuer` valor da resposta.

1. Em **Tipo**, selecione **Identificador de assunto explícito**.

1. Copie e cole o valor do **assunto do OpenID** do seu conector no campo **Valor**. Você pode ver o valor do emissor do OpenID na página de detalhes do conector no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Audience` valor da resposta.

1. (Opcional) Insira o nome da instância no campo **Nome**. Por exemplo, você pode nomeá-lo **CA Privada da AWS**.

1. (Opcional) Insira uma descrição no campo **Descrição**.

1. **Copie e cole o valor do **OpenID Audience** dos detalhes do Connector for SCEP for Microsoft Intune no campo Audience.** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) no console. AWS Como alternativa, você pode obter o URL chamando [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)e copiando o `Subject` valor da resposta.

1. Selecione **Adicionar**.

## Etapa 2: Configurar um perfil de configuração do Microsoft Intune
<a name="connector-for-scep-intune-config-profile"></a>

Depois de dar CA Privada da AWS a permissão para chamar o Microsoft Intune, você deve usar o Microsoft Intune para criar um perfil de configuração do Microsoft Intune que instrua os dispositivos a entrar em contato com o Connector for SCEP para emissão de certificados.

1. Crie um perfil de configuração de certificado confiável. Você deve carregar o certificado CA raiz da cadeia que está usando com o Connector for SCEP no Microsoft Intune para estabelecer confiança. Para obter informações sobre como criar um perfil de configuração de certificado confiável, consulte [Perfis de certificado raiz confiáveis para o Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) na documentação do Microsoft Intune.

1. Crie um perfil de configuração do certificado SCEP que direcione seus dispositivos para o conector quando precisarem de um novo certificado. O **tipo de perfil do perfil de** configuração deve ser Certificado **SCEP.** Para o certificado raiz do perfil de configuração, certifique-se de usar o certificado confiável que você criou na etapa anterior.

   **Para o **Servidor SCEP URLs**, copie e cole a **URL do SCEP** dos detalhes do seu conector no campo Servidor SCEP. URLs** Para ver os detalhes de um conector, escolha o conector na lista [Conectores para SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Como alternativa, você pode obter o URL chamando e [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), em seguida, copiar o `Endpoint` valor da resposta. Para obter orientação sobre a criação de perfis de configuração no Microsoft Intune, consulte [Criar e atribuir perfis de certificado SCEP no Microsoft Intune na documentação do Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**nota**  
Para dispositivos que não sejam Mac OS e iOS, se você não definir um período de validade no perfil de configuração, o Connector for SCEP emitirá um certificado com validade de um ano. Se você não definir um valor de uso estendido da chave (EKU) no perfil de configuração, o Connector for SCEP emitirá um certificado com o EKU definido com. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Para dispositivos macOS `ExtendedKeyUsage` ou iOS, o Microsoft Intune não respeita nossos `Validity` parâmetros em seus perfis de configuração. Para esses dispositivos, o Connector for SCEP emite um certificado com um período de validade de um ano para esses dispositivos por meio da autenticação do cliente.

## Etapa 3: Verificar a conexão com o conector para SCEP
<a name="connector-for-scep-verify"></a>

Depois de criar um perfil de configuração do Microsoft Intune que aponta para o endpoint Connector for SCEP, confirme se um dispositivo registrado pode solicitar um certificado. Para confirmar, certifique-se de que não haja falhas na atribuição de políticas. Para confirmar, no portal do Intune, navegue até **Dispositivos** > **Gerenciar dispositivos** > **Configuração** e verifique se não há nada listado em Falhas de **atribuição de política de configuração**. Se houver, confirme sua configuração com as informações dos procedimentos anteriores. Se sua configuração estiver correta e ainda houver falhas, consulte [Coletar dados disponíveis do dispositivo móvel](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).

Para obter informações sobre o registro de dispositivos, consulte [O que é registro de dispositivos](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)? na documentação do Microsoft Intune.

# Configurar o Omnissa Workspace ONE para conector para SCEP
<a name="connector-for-scep-omnissa"></a>

Você pode usar CA Privada da AWS como uma autoridade de certificação externa (CA) com o sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Este guia fornece instruções sobre como configurar o Omnissa Workspace ONE depois de criar um conector SCEP no. AWS

## Pré-requisitos
<a name="prerequisites"></a>

Antes de criar um conector SCEP para o Omnissa Workspace ONE, você deve preencher os seguintes pré-requisitos:
+ Crie uma CA privada no AWS console. Para obter mais informações, consulte [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ Crie um conector SCEP de uso geral. Para obter mais informações, consulte [Criar um conector](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Tenha uma conta de administrador do ambiente Omnissa Workspace ONE ativa com um ID de grupo organizacional.
+ Se você estiver inscrevendo um dispositivo Apple, configure o Apple Push Notification Service (APNs) para MDM. Para obter mais informações, consulte [APNs Certificados](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) na documentação do Omnissa.

## Etapa 1: definir uma autoridade de certificação e um modelo no Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Depois de criar um conector privado de CA e SCEP no AWS console, defina a autoridade de certificação e o modelo no Omnissa Workspace ONE.

**Adicionar CA Privada da AWS como autoridade de certificação**

1. No menu **Sistema**, escolha **Integração Empresarial** e, em seguida, escolha **Autoridades de Certificação**.

1. Escolha **\$1 ADICIONAR** e forneça as seguintes informações:
   + **Nome**: AWS-Private-CA.
   + **Descrição**: CA Privada da AWS para emissão do certificado do dispositivo.
   + **Tipo de autoridade**: Selecione **SCEP genérico**.
   + URL **do SCEP: insira o URL** do SCEP de. CA Privada da AWS
   + **Tipo de desafio**: Selecione **STATIC**.
   + **Desafio estático**: insira a senha de desafio estático do SCEP do conector para configuração do SCEP no console. AWS 
   + Insira os valores de **Tempo Limite de Repetição e Máximo** **de Tentativas**.

1. Salve a configuração.

**Crie um modelo de certificado**

1. No menu **Sistema**, escolha **Integração Empresarial**, escolha **Autoridades de Certificação** e, em seguida, escolha **Modelos**.

1. Escolha **Adicionar modelos** e forneça as seguintes informações:
   + **Nome do modelo**: Device-Cert-Template.
   + **Autoridade de certificação**: escolha **AWS-Private-CA**.
   + **Nome do assunto**: Este é um campo personalizável. Você pode escolher valores variáveis em uma lista de atributos. Por exemplo, CN= \$1DeviceReportedName\$1, O= \$1DevicePlatform\$1, OU= \$11\$1 CustomAttribute
   + **Comprimento da chave privada**: 2048 bits.
   + **Tipo de chave privada**: selecione **Assinatura** e **criptografia** conforme necessário
   + **Renovação automática**: Enabled/Disabled (com base nas suas necessidades).

1. Salve o modelo.

## Etapa 2: Configurar uma configuração de perfil UEM do Omnissa Workspace ONE
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Crie um perfil no Omnissa Workspace ONE UEM que direcione os dispositivos ao Connector for SCEP para emitir um certificado.

**Crie um perfil de dispositivo SCEP para distribuição de certificados**

1. **No menu **Recursos**, escolha **Perfis e linhas de base e**, em seguida, escolha Perfis.**

1. Escolha **Adicionar** e, em seguida, **Adicionar perfil**

1. Selecione a plataforma do dispositivo (**Android**, **iOS**, **macOS**, **Windows**).

1. Defina o **tipo de gerenciamento** e o **contexto** conforme apropriado.

1. Defina o **nome**: Device-Cert-Profile.

1. Role até **SCEP Payload.**

1. **Selecione **SCEP** e, em seguida, escolha \$1Adicionar.**

1. Use a seguinte configuração:
   + **SCEP:**
     + Em **Fonte de credencial**, selecione **Autoridade de certificação definida** (padrão).
     + Para **Autoridade de Certificação**, selecione **AWS-Private-CA**
     + Para **Modelo de certificado**, selecione o **Device-Cert-Template** definido na Etapa 1.

1. Escolha **Avançar** e, na seção **Tarefa**, selecione o grupo inteligente correto na lista (grupo de tarefas para o dispositivo).

1. Selecione o **tipo de atribuição** como **Automático** para ativar a renovação automática.

1. Salve e publique o perfil.

**nota**  
Para obter mais informações, consulte [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) na documentação do Omnissa.

## Etapa 3: cadastrar dispositivos no Omnissa Workspace ONE
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Crie ou verifique um grupo inteligente**

1. Em **Grupos e configurações**, escolha **Grupos** e, em seguida, escolha **Grupos de exercícios.**

1. Crie ou edite o grupo inteligente de dispositivos PoC:
   + **Nome**: Dispositivos PoC.
   + **Tipo de dispositivo**: selecione **Tudo** ou uma plataforma específica (Android ou iOS, por exemplo).
   + **Critérios**: Use **UserGroup**, **plataforma e sistema operacional**, **OEM e modelo** para especificar os critérios para agrupar os dispositivos de destino.
   + **Propriedade**: selecione **Qualquer** para dispositivos pessoais ou corporativos.

1. Salve e verifique se os dispositivos de destino aparecem na guia **Visualizar**.

### Registro manual de dispositivos
<a name="manual-device-enrollment"></a>

Android  
+ Baixe o aplicativo **Workspace ONE Intelligent Hub** do Google Play.
+ Abra o aplicativo e insira o URL de inscrição ou digitalize um código QR.
+ Faça login e siga as instruções para se inscrever como um dispositivo gerenciado por MDM.

iOS/macOS  
+ No dispositivo, abra o **Safari** e navegue até o URL de registro (https://<Workspace ONEUEMHostname >/enroll, por exemplo).
+ Faça login com as credenciais do usuário.
+ Baixe e instale o aplicativo **Workspace ONE Intelligent Hub** na App Store.
+ **Siga as instruções para instalar o perfil MDM em **Configurações** > **Geral** > **Gerenciamento de VPN e dispositivos** > **Perfil** > Instalar.**

Windows  
+ Baixe o **Workspace ONE Intelligent Hub** do servidor Workspace ONE ou da Microsoft Store.
+ Inscreva-se por meio do Hub usando o URL de inscrição e as credenciais.

Atribua dispositivos registrados ao Grupo Inteligente de Dispositivos PoC em **Dispositivos** > **Exibição de lista** > **Mais ações** > **Atribuir ao** Grupo Inteligente.

Para obter mais informações, consulte [Registro automatizado de dispositivos na documentação](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) da Omnissa.

**Verifique a inscrição**

1. **No console do Omnissa Workspace ONE UEM, acesse **Dispositivos** e depois Visualização de lista.**

1. Confirme se seus dispositivos registrados aparecem com o status definido como **Registrado**.

1. Verifique se os dispositivos estão no grupo inteligente de dispositivos PoC na guia **Grupos** dos Detalhes do **dispositivo**.

## Etapa 4: emitir um certificado
<a name="step-4-certificate-issuance"></a>

**Acionador emitindo um certificado**

1. Na **Visualização da lista** de **dispositivos**, selecione o dispositivo registrado.

1. Escolha o botão **Consultar** para solicitar um check-in.

1. Eles Device-Cert-Profile devem emitir um visto certificado. CA Privada da AWS

**Verifique a instalação do certificado**

Android  
Escolha **Configurações**, depois **Segurança**, depois **Credenciais Confiáveis** e, em seguida, **Usuário** para verificar o certificado.

iOS  
Vá para **Configurações**, escolha **Geral**, depois **Gerenciamento de VPN e Dispositivo** e, em seguida, **Perfil de Configuração**. Verifique se o certificado AWS-Private-CA está presente.

macOS  
Abra o **Keychain Access** e depois o **System Keychain** e verifique o certificado.

Windows  
**Abra **certmgr.msc**, depois **Pessoal** e, em seguida, Certificados para verificar o certificado.**

## Solução de problemas
<a name="troubleshooting"></a>

Erros SCEP (“22013 - O servidor SCEP retornou uma resposta inválida”, por exemplo)  
+ Verifique se o URL do SCEP e a senha estática do desafio no Workspace ONE correspondem. CA Privada da AWS
+ <SCEP\$1URL>Teste a conectividade do endpoint SCEP: curl.
+ Verifique AWS CloudTrail os registros em busca de CA Privada da AWS erros (`IssueCertificate`falhas, por exemplo).

APNs problemas (iOS/macOS)  
+ Verifique se o APNs certificado é válido e está atribuído ao grupo organizacional correto.
+ Teste a APNs conectividade: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

Falhas na instalação do perfil  
+ Confirme se os dispositivos estão no Grupo Inteligente correto (**Dispositivos**, **Exibição de Lista** e **Grupos**).
+ Forçar uma sincronização de perfil: **Mais ações**, depois **Enviar** e, em seguida, **Lista de perfis**.

Logs  
+ Android: use os registros do **Logcat** ou do Workspace ONE.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurador).
+ Windows: **Visualizador de Eventos**, depois **Registros de Aplicativos e Serviços e**, em seguida, **Microsoft-Windows** -. DeviceManagement
+ Workspace ONE UEM: **Monitor**, depois **Relatórios e análises**, depois **Eventos e, em seguida, Eventos** **do dispositivo**.

Para obter detalhes sobre o conector para monitoramento de SCEP em AWS, consulte [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) SCEP.

## Considerações sobre segurança
<a name="security-considerations"></a>
+ Armazene o SCEP URLs e os segredos com segurança. Para obter mais informações, consulte o [AWS Secrets Manager serviço](https://docs.aws.amazon.com/secretsmanager/).
+ Restrinja os critérios do grupo inteligente somente aos dispositivos de destino.
+ Renove regularmente os certificados Apple Push Notifications (APNs) (válidos por 1 ano).
+ Defina períodos curtos de validade do certificado para projetos de prova de conceito para minimizar os riscos.
+ Para dispositivos pessoais, certifique-se de que a limpeza remova todos os perfis e certificados.

[Para obter informações sobre como configurar a integração do Omnissa Workspace ONE UEM e CA usando um conector SCEP, consulte a documentação do SCEP no Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)