Servidores SCEP

Ferramentas > Gerenciamento de Dispositivos Modernos > Configurações MDM > Configurações Comuns > SCEP.

Conectar-se a um servidor SCEP permite a você provisionar certificados de forma dinâmica. Toda vez que um dispositivo for adicionado, seu servidor SCEP distribuirá automaticamente um certificado a ele. Isso protege efetivamente sua rede corporativa e seus dispositivos contra registros e acessos aleatórios (não SCEP) de dispositivos.

A utilização deste recurso pressupõe que os seguintes serviços estejam instalados e completamente configurados:

Active Directory.

Serviços de Certificado, incluindo o Serviço de Inscrição de Dispositivos de Rede da Microsoft (NDES). É altamente recomendável que esse servidor esteja executando o Windows Server 2012 R2 ou mais recente.

O servidor NDES deve ser configurado para permitir mais de 5 senhas por hora. Recomendam-se 20 senhas por hora via configuração do registro.

Servidor de Políticas de Rede (RADIUS).

Infraestrutura sem fio baseada em EAP.

No console do LDMS, configure o Diretório para se conectar ao Active Directory; a autenticação de passagem de usuário não é suficiente.

Quando conectado a um servidor SCEP, o Endpoint Manager se comunica com ele através do CSA. O servidor SCEP deve então fazer quaisquer solicitações de certificado a uma autoridade de certificação, que então publica o certificado para um ponto de acesso. O certificado é então distribuído individualmente para cada dispositivo.

A caixa de diálogo Configuração do SCEP tem os seguintes campos:

URL do servidor SCEP: o nome do host ou o endereço IP do servidor NDES. Tanto HTTP como HTTPS são suportados, mas recomendamos o uso de HTTPS. Inclua somente o HTTPS seguido pelo nome do host ou IP; não inclua o caminho completo. Apenas o Microsoft NDES é suportado, portanto apenas a primeira parte do URL é necessária.

Nome de usuário: o nome de usuário que você criou ao instalar o NDES.

Senha: a senha do usuário do NDES.

Domínio: o domínio do usuário do NDES.

Para garantir uma conexão adequada com seu servidor SCEP, clique em Verificar. Se o resultado for bem-sucedido, clique em Aplicar.

O botão Verificar pode enviar um número limitado de IDs de desafio no período de uma hora para verificar conexões, então use-o com moderação. Para reiniciar o contador de senhas, reinicie o IIS no servidor NDES.

Criando perfis de dispositivo Apple com suporte a SCEP

Você pode implantar cargas SCEP em dispositivos Apple. A carga SCEP tem vários componentes que precisam ser configurados para funcionarem corretamente.

  1. Configure o SCEP, conforme descrito acima, em Ferramentas > Gerenciamento de Dispositivos Modernos > Configurações MDM > Configurações Comuns > SCEP.
  2. Em Ferramentas > Configuração > Configurações do agente, abra o perfil de configuração da Apple a ser modificado.
  3. No editor de perfil de configuração, clique na carga Certificados, e clique no botão Configurar caso não veja as opções de configuração.
  4. Importe o certificado raiz da CA do servidor SCEP.
  5. No editor de perfil de configuração, clique na carga SCEP, e clique no botão Configurar caso não veja as opções de configuração.
  6. No primeiro campo URL, é possível ver que ele aceita a variável de banco de dados ${SCEPURL}$. Esta variável será substituída pelo URL que você inseriu na etapa 1 no momento da implantação. Insira essa variável no URL.
  7. No campo Nome, especifique o nome do certificado CA Root.
  8. Na lista Tipo do Nome Alternativo da Entidade, selecione RFC 822 Name.
  9. Em Valor do Nome Alternativo da Entidade, digite ${EMAIL}$ para recuperar o e-mail do usuário que inscreveu o dispositivo ou especificar o endereço de e-mail do usuário manualmente.
  10. Em Nome Principal NT, digite ${UPN}$, para recuperar o UPN do usuário que inscreveu o dispositivo, ou digite o UPN do usuário manualmente.
  11. Selecione Dinâmico em Tipo de desafio.
  12. No campo URL do servidor de desafio SCEP, digite ${SCEPCHLGURL}$ para puxar o valor do servidor a partir do banco de dados. Esse é o URL do servidor SCEP, conforme configurado na etapa 1.
  13. No campo Nome de usuário do servidor de desafio SCEP, digite ${SCEPCHLGUSRNM}$ para puxar o valor do usuário a partir do banco de dados. Esse é o nome de usuário que tem acesso ao servidor SCEP, conforme configurado na etapa 1.
  14. No campo Senha do servidor de desafio SCEP, digite ${SCEPCHLGPSWD}$ para puxar a senha de usuário a partir do banco de dados. Essa é a senha para o nome de usuário que tem acesso ao servidor SCEP, conforme configurado na etapa 1.
  15. Selecione 2048 na lista Tamanho da chave.
  16. Selecione Assinatura Digital e Criptografia na lista Uso.
  17. No editor de perfil de configuração, clique na carga Rede (Wi-Fi).
  18. Na opção Tipo de segurança, selecione a opção de segurança empresarial desejada.
  19. Selecione o protocolo de autenticação TLS.
  20. Na opção Certificado de identidade, selecione o certificado CA Root adicionado na etapa 4.
  21. Clique na guia Confiar e selecione o certificado CA Root.
  22. Clique em OK e salve suas alterações.
  23. Implante o perfil.

Se você anexar vários certificados X.509 na página da carga Certificados, na primeira vez que os usuários se conectarem ao Wi-Fi eles serão solicitados a selecionar um certificado na lista disponível de certificados. Se os usuários selecionarem o certificado incorreto, a conexão vai fracassar. Nos dispositivos Apple, pode não ser óbvio qual certificado os usuários devem selecionar, então talvez você precise fornecer orientação.