Configurar o Microsoft Intune for Connector para SCEP - AWS Private Certificate Authority
Pré-requisitosEtapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra IDEtapa 2: Configurar um perfil de configuração do Microsoft IntuneEtapa 3: verificar a conexão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Microsoft Intune for Connector para SCEP

Você pode usar AWS Private CA como uma autoridade de certificação (CA) externa com o sistema de gerenciamento de dispositivos móveis (MDM) Microsoft Intune. Este guia fornece instruções sobre como configurar o Microsoft Intune depois de criar um conector SCEP para o Microsoft Intune.

Pré-requisitos

Antes de criar um conector SCEP para o Microsoft Intune, você deve preencher os seguintes pré-requisitos.

Etapa 1: Conceder AWS Private CA permissão para usar seu aplicativo Microsoft Entra ID

Depois de criar um Connector for SCEP for Microsoft Intune, você deve criar uma credencial federada no Microsoft App Registration para que o Connector for SCEP possa se comunicar com o Microsoft Intune.

Para configurar AWS Private CA como uma CA externa no Microsoft Intune

  1. No console Microsoft Entra ID, navegue até os registros do aplicativo.

  2. Escolha o aplicativo que você criou para usar com o Connector forSCEP. A ID do aplicativo (cliente) do aplicativo em que você clica deve corresponder à ID especificada ao criar o conector.

  3. Selecione Certificados e segredos no menu suspenso Gerenciado.

  4. Selecione a guia Credenciais federadas.

  5. Selecione Adicionar uma credencial.

  6. No menu suspenso Cenário de credenciais federadas, escolha Outro emissor.

  7. Copie e cole o valor do emissor do OpenID dos detalhes do Connector for SCEP Microsoft Intune no campo Emissor. Para ver os detalhes de um conector, escolha o conector na SCEP lista Conectores para no AWS console. Como alternativa, você pode obter o URL chamando GetConnectore depois copiar o Issuer valor da resposta.

  8. Copie e cole o valor do OpenID Audience dos detalhes do Connector for SCEP Microsoft Intune no campo Audience. Para ver os detalhes de um conector, escolha o conector na SCEP lista Conectores para no AWS console. Como alternativa, você pode obter o URL chamando GetConnectore depois copiar o Subject valor da resposta.

  9. (Opcional) Insira o nome da instância no campo Nome. Por exemplo, você pode nomeá-lo AWS Private CA.

  10. (Opcional) Insira uma descrição no campo Descrição.

  11. Selecione Editar (opcional) no campo Público. Copie e cole o valor do assunto do OpenID do seu conector no campo Assunto. Você pode ver o valor do emissor do OpenID na página de detalhes do conector no console. AWS Como alternativa, você pode obter o URL chamando GetConnectore depois copiar o Audience valor da resposta.

  12. Selecione Adicionar.

Etapa 2: Configurar um perfil de configuração do Microsoft Intune

Depois de dar AWS Private CA a permissão para chamar o Microsoft Intune, você deve usar o Microsoft Intune para criar um perfil de configuração do Microsoft Intune que instrua os dispositivos a entrarem em contato com o Connector para SCEP emissão de certificados.

  1. Crie um perfil de configuração de certificado confiável. Você deve carregar o certificado CA raiz da cadeia que você está usando com o Connector para SCEP no Microsoft Intune para estabelecer confiança. Para obter informações sobre como criar um perfil de configuração de certificado confiável, consulte Perfis de certificado raiz confiáveis para o Microsoft Intune na documentação do Microsoft Intune.

  2. Crie um perfil de configuração de SCEP certificado que direcione seus dispositivos para o conector quando precisarem de um novo certificado. O tipo de perfil do perfil de configuração deve ser SCEPCertificado. Para o certificado raiz do perfil de configuração, certifique-se de usar o certificado confiável que você criou na etapa anterior.

    Para SCEPServidor URLs, copie e cole o Público SCEP URL dos detalhes do seu conector no URLs campo SCEPServidor. Para ver os detalhes de um conector, escolha o conector na SCEP lista Conectores para. Como alternativa, você pode obter o URL chamando e ListConnectors, em seguida, copiar o Endpoint valor da resposta. Para obter orientação sobre a criação de perfis de configuração no Microsoft Intune, consulte Criar e atribuir perfis de SCEP certificado no Microsoft Intune na documentação do Microsoft Intune.

    nota

    Para dispositivos que não sejam Mac OS e iOS, se você não definir um período de validade no perfil de configuração, o Connector for SCEP emitirá um certificado com validade de um ano. Se você não definir um valor de Extended Key Usage (EKU) no perfil de configuração, o Connector for SCEP emitirá um certificado com o EKU conjunto comClient Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2). Para dispositivos macOS ExtendedKeyUsage ou iOS, o Microsoft Intune não respeita nossos Validity parâmetros em seus perfis de configuração. Para esses dispositivos, o Connector for SCEP emite um certificado com um período de validade de um ano para esses dispositivos por meio da autenticação do cliente.

Etapa 3: Verifique a conexão com o conector para SCEP

Depois de criar um perfil de configuração do Microsoft Intune que aponta para o conector para SCEP endpoint, confirme se um dispositivo registrado pode solicitar um certificado. Para confirmar, certifique-se de que não haja falhas na atribuição de políticas. Para confirmar, no portal do Intune, navegue até Dispositivos > Gerenciar dispositivos > Configuração e verifique se não há nada listado em Falhas de atribuição de política de configuração. Se houver, confirme sua configuração com as informações dos procedimentos anteriores. Se sua configuração estiver correta e ainda houver falhas, consulte Coletar dados disponíveis do dispositivo móvel.

Para obter informações sobre o registro de dispositivos, consulte O que é registro de dispositivos? na documentação do Microsoft Intune.