本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定適用於 SCEP 連接器的 Omnissa Workspace ONE
<a name="connector-for-scep-omnissa"></a>

您可以使用 AWS 私有 CA 做為 Omnissa Workspace ONE UEM （統一端點管理） 系統的外部憑證授權機構 (CA)。本指南說明如何在建立 SCEP 連接器後設定 Omnissa Workspace ONE AWS。

## 先決條件
<a name="prerequisites"></a>

為 Omnissa Workspace ONE 建立 SCEP 連接器之前，您必須完成下列先決條件：
+ 在 AWS 主控台中建立私有 CA。如需詳細資訊，請參閱[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
+ 建立一般用途 SCEP 連接器。如需詳細資訊，請參閱[建立連接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 擁有具有組織群組 ID 的作用中 Omnissa Workspace ONE 環境管理員帳戶。
+ 如果您要註冊 Apple 裝置，請為 MDM 設定 Apple 推播通知服務 APNs)。如需詳細資訊，請參閱 Omnissa 文件中的 [APNs 憑證](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。

## 步驟 1：在 Omnissa Workspace ONE 中定義憑證授權單位和範本
<a name="step-1-define-certificate-authority-and-template"></a>

在 AWS 主控台中建立私有 CA 和 SCEP 連接器之後，請在 Omnissa Workspace ONE 中定義憑證授權單位和範本。

**新增 AWS 私有 CA 做為憑證授權單位**

1. 從**系統**功能表中，選擇**企業整合**，然後選擇**憑證授權機構**。

1. 選擇 **\$1 ADD** 並提供下列資訊：
   + **名稱**： AWS-Private-CA。
   + **描述**： AWS 私有 CA 裝置憑證發行。
   + **授權類型**：選取**一般 SCEP**。
   + **SCEP URL**：輸入 SCEP URL AWS 私有 CA。
   + **挑戰類型**：選取 **STATIC**。
   + **靜態挑戰**：從 AWS 主控台的 Connector for SCEP 組態輸入 SCEP 靜態挑戰密碼。
   + 輸入**重試逾時**和**重試次數上限**值。

1. 儲存組態。

**建立憑證範本**

1. 從**系統**功能表中，選擇**企業整合**，選擇**憑證授權機構**，然後選擇**範本**。

1. 選擇**新增範本**並提供下列資訊：
   + **範本名稱**：Device-Cert-Template。
   + **憑證授權單位**：選擇 **AWS-Private-CA**。
   + **主旨名稱**：這是可自訂的欄位。您可以從屬性清單中選擇變數值。例如，CN=\$1DeviceReportedName\$1、O=\$1DevicePlatform\$1、OU=\$1CustomAttribute1\$1
   + **私有金鑰長度**：2048 位元。
   + **私有金鑰類型**：視需要選取**簽署**和**加密** 
   + **自動續約**：已啟用/已停用 （根據您的需求）。

1. 儲存範本。

## 步驟 2：設定 Omnissa Workspace ONE UEM 設定檔組態
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

在 Omnissa Workspace ONE UEM 中建立設定檔，將裝置導向 Connector for SCEP 以發出憑證。

**建立憑證分佈的 SCEP 裝置設定檔**

1. 從**資源**功能表中，選擇**設定檔和基準**，然後選擇**設定檔**。

1. 選擇**新增**，然後選擇**新增設定檔**

1. 選取裝置平台 (**Android**、**iOS**、**macOS**、**Windows**)。

1. 視需要設定 **管理類型**和**內容**。

1. 設定**名稱**：Device-Cert-Profile。

1. 捲動至 **SCEP 承載**。

1. 選取 **SCEP**，然後選擇 **\$1新增**。

1. 使用下列組態：
   + **SCEP**：
     + 針對**登入資料來源**，選取**定義的憑證授權單位** （預設）。
     + 針對**憑證授權單位**選取 **AWS-Private-CA**
     + 針對**憑證範本**，選取步驟 1 中定義的 **Device-Cert-Template**。

1. 選擇**下一步**，然後在**指派**區段中，從清單中選擇正確的智慧群組 （裝置的指派群組）。

1. 選取**指派類型**為**自動**以啟用自動續約。

1. 儲存並發佈設定檔。

**注意**  
如需詳細資訊，請參閱 Omnissa 文件中的 [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。

## 步驟 3：在 Omnissa Workspace ONE 中註冊裝置
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**建立或驗證智慧群組**

1. 從**群組和設定**中選擇**群組**，然後選擇**指派群組**。

1. 建立或編輯 POC-Devices 智慧群組：
   + **名稱**：POC-Devices。
   + **裝置類型**：選取**全部**或特定平台 （例如 Android 或 iOS)。
   + **條件**：使用 **UserGroup**、**平台和作業系統**、**OEM 和模型**來指定將目標裝置分組的條件。
   + **擁有權**：為個人或公司裝置選取**任何**。

1. 儲存並確認目標裝置會出現在**預覽**索引標籤中。

### 手動裝置註冊
<a name="manual-device-enrollment"></a>

Android  
+ 從 Google Play 下載 **Workspace ONE Intelligent Hub** 應用程式。
+ 開啟應用程式並輸入註冊 URL 或掃描 QR 碼。
+ 登入並依照提示註冊為 MDM 受管裝置。

iOS/macOS  
+ 在裝置上，開啟 **Safari** 並導覽至註冊 URL （例如 https://<WorkspaceONEUEMHostname>/enroll)。
+ 使用使用者登入資料登入。
+ 從 App Store 下載並安裝 **Workspace ONE Intelligent Hub** 應用程式。
+ 依照**設定** > **一般** > **VPN & 裝置管理** > 設定檔 > 安裝中的提示**安裝** MDM **設定檔**。

Windows  
+ 從**工作區 ONE 伺服器或 Microsoft Store 下載工作區 ONE Intelligent Hub**。
+ 使用註冊 URL 和登入資料透過 Hub 註冊。

在裝置 > **列出檢視** > **更多動作** > 指派給智慧群組中，將已註冊**的裝置**指派給 POC-Devices **智慧群組**。

如需詳細資訊，請參閱 Omnissa 文件中的[自動化裝置註冊](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。

**驗證註冊**

1. 在 Omnissa Workspace ONE UEM 主控台中，前往**裝置**，然後**列出檢視**。

1. 確認您的已註冊裝置顯示狀態設為**已註冊**。

1. 確認裝置位於**裝置詳細資訊**的**群組**索引標籤中的 POC-Devices 智慧群組中。

## 步驟 4：發行憑證
<a name="step-4-certificate-issuance"></a>

**發出憑證的觸發**

1. 在**裝置****清單檢視**中，選取已註冊的裝置。

1. 選擇**查詢**按鈕以提示簽入。

1. Device-Cert-Profile 應該透過 發出憑證 AWS 私有 CA。

**驗證憑證安裝**

Android  
選擇**設定**，然後選擇**安全性**，然後選擇**信任的登入**資料，然後選擇**使用者**來驗證憑證。

iOS  
前往**設定**，然後選擇**一般**，然後選擇 **VPN 和裝置管理**，然後選擇**組態設定檔**。確認來自 AWS-Private-CA 的憑證存在。

macOS  
開啟 **Keychain Access**，然後開啟 **System Keychain** 並驗證憑證。

Windows  
開啟 **certmgr.msc**，然後開啟 **Personal**，然後開啟 **Certificates** 來驗證憑證。

## 疑難排解
<a name="troubleshooting"></a>

SCEP 錯誤 （例如「22013」-SCEP 伺服器傳回無效的回應」)  
+ 驗證工作區 ONE 中的 SCEP URL 和靜態挑戰密碼相符 AWS 私有 CA。
+ 測試 SCEP 端點連線能力：curl <SCEP\$1URL>。
+ 檢查 AWS CloudTrail 日誌是否有 AWS 私有 CA 錯誤 (`IssueCertificate` 失敗等）。

APNs問題 (iOS/macOS)  
+ 確定 APNs憑證有效並指派給正確的組織群組。
+ 測試 APNs連線能力：telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195。

設定檔安裝失敗  
+ 確認裝置位於正確的智慧群組 (**裝置**、**清單檢視**，以及**群組**)。
+ 強制設定檔同步：**更多動作**，然後**傳送**，然後**設定檔清單**。

日誌  
+ Android：使用 **Logcat** 或工作區 ONE 日誌。
+ iOS/macOS：log show --predicate 'process == "mdmclient"' --last 1h （透過 Xcode/Apple Configurator)。
+ Windows：**事件檢視器**，然後**是應用程式和服務日誌**，然後是 **Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM：**監控**，然後**報告和分析**，然後是**事件**，然後是**裝置事件**。

如需 中用於 SCEP 監控的詳細 Connector AWS，請參閱 [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)。

## 安全考量
<a name="security-considerations"></a>
+ 安全地存放 SCEP URLs 和秘密。如需詳細資訊，請參閱 [AWS Secrets Manager 服務](https://docs.aws.amazon.com/secretsmanager/)。
+ 將智慧型群組條件限制為僅限目標裝置。
+ 定期續約 Apple 推播通知 (APNs) 憑證 （有效期為 1 年）。
+ 為概念驗證專案設定短憑證有效期間，以將風險降至最低。
+ 對於個人裝置，請確定清除會移除所有設定檔和憑證。

如需有關如何使用 SCEP 連接器設定 Omnissa Workspace ONE UEM 和 CA 整合的資訊，請參閱 [Omnissa Workspace ONE 文件中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。