Criar e atribuir perfis de Certificado SCEP no Intune

Depois de configurar a infraestrutura para dar suporte a certificados do protocolo SCEP, você poderá criar e, em seguida, atribuir perfis de Certificado SCEP a usuários e dispositivos no Intune.

Para que os dispositivos usem um perfil de Certificado SCEP, eles precisam confiar na AC (Autoridade de Certificação) raiz confiável. A confiança na AC raiz é mais bem estabelecida com a implantação de um perfil de certificado confiável no mesmo grupo que recebe o perfil de certificado SCEP. Os perfis de certificado confiável provisionam o certificado de AC raiz confiável.

Dispositivos que executam o Android Enterprise podem exigir um PIN para que o SCEP possa provisioná-los com um certificado. Para obter mais informações, confira os Requisitos de PIN do Android Enterprise.

Observação

Do Android 11 em diante, os perfis de certificado confiável não podem mais instalar o certificado raiz confiável em dispositivos registrados como administrador do dispositivo Android. Essa limitação não se aplica ao Samsung Knox.

Para obter mais informações sobre essa limitação, confira Perfis de certificado confiável para o administrador do dispositivo Android.

Dica

Os perfis de certificado SCEP têm suporte em Áreas de trabalho remotas multissessão do Windows 10 Enterprise.

Criar um perfil de certificado SCEP

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione e vá a Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: Escolha a plataforma dos dispositivos.

    • Perfil: selecione Certificado SCEP. Ou selecione Modelos > Certificado PKCS.

      Para Android Enterprise, o Tipo de perfil é dividido em duas categorias, Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa e Perfil de Trabalho de Propriedade Pessoal. Certifique-se de selecionar o perfil de certificado SCEP correto para os dispositivos que você gerencia.

      Os perfis de certificado SCEP do Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa têm as seguintes limitações:

      1. Em Monitoramento, o relatório de certificado não está disponível para perfis de certificado SCEP do Proprietário do Dispositivo.

      2. Você não pode usar o Intune para revogar certificados que foram provisionados por perfis de certificado SCEP para Proprietários de Dispositivo. Você pode gerenciar a revogação por meio de um processo externo ou diretamente com a autoridade de certificação.

      3. Para dispositivos Android Enterprise dedicados, os perfis de certificado SCEP têm suporte para autenticação, VPN e configuração de rede Wi-Fi. Os perfis de certificado SCEP em dispositivos Android Enterprise dedicados não têm suporte para autenticação de aplicativo.

  4. Selecione Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de SCEP para toda a empresa.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, conclua as seguintes configurações:

    • Tipo de certificado:

      (Aplica-se ao: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 e posterior e Windows 10 e posterior.)

      Selecione um tipo, dependendo de como você usará o perfil de certificado:

      • Usuário: Os certificados de usuário podem conter atributos de usuário e de dispositivo na entidade e no SAN do certificado.

      • Dispositivo: Os certificados de Dispositivo podem conter somente os atributos do dispositivo na entidade e no SAN do certificado.

        Use Dispositivo para cenários como dispositivos sem usuário (como quiosques) ou para dispositivos Windows. Em dispositivos Windows, o certificado é colocado no repositório de certificados do computador local.

      Observação

      Armazenamento de certificados provisionados pelo SCEP:

      • No macOS: os certificados provisionados com o SCEP sempre são colocados no conjunto de chaves do sistema (repositório do sistema) do dispositivo.

      • Android: os dispositivos têm um repositório de certificados VPN e aplicativos e um repositório de certificados WiFi. O Intune sempre armazena certificados SCEP na loja de aplicativos e VPN de um dispositivo. O uso da VPN e da loja de aplicativos torna o certificado disponível para uso por qualquer outro aplicativo.

        Contudo, quando um certificado SCEP também está associado a um perfil de Wi-Fi, o Intune também instala o certificado no repositório de Wi-Fi.

    • Formato de nome de entidade:

      Insira texto para informar ao Intune como criar automaticamente o nome da entidade na solicitação de certificado. As opções para o formato de nome da entidade dependem do Tipo de certificado selecionado, Usuário ou Dispositivo.

      Dica

      Se o comprimento do nome da entidade exceder 64 caracteres, talvez seja necessário desabilitar a imposição do comprimento do nome em sua autoridade de certificação interna. Para obter mais informações, consulte Desabilitar a imposição de comprimento DN

      Observação

      Há um problema conhecido no uso do SCEP para obter certificados quando o nome da entidade na CSR (Solicitação de Assinatura de Certificado) resultante inclui um dos seguintes caracteres como um caractere de escape (seguido por uma barra invertida \):

      • +
      • ;
      • ,
      • =
      • Tipo de certificado de usuário

        Use a caixa de texto para inserir um formato de nome de entidade personalizado, incluindo texto estático e variáveis. Há suporte para duas opções de variáveis: Nome Comum (NC) e Email (E) .

        Email (E) normalmente seria definido com a variável {{EmailAddress}}. Por exemplo: E={{EmailAddress}}

        CN (Nome Comum) pode ser definido para qualquer uma das seguintes variáveis:

        • CN={{UserName}} : o nome de usuário do usuário, como leilagonçalves.

        • CN={{UserPrincipalName}} : o nome UPN do usuário, como janedoe@contoso.com.

        • CN={{AAD_Device_ID}} : Uma ID atribuída ao registrar um dispositivo no Azure AD (Active Directory). Essa ID normalmente é usada para autenticar com o Azure AD.

        • CN={{DeviceId}} : uma ID atribuída quando você registra um dispositivo no Intune.

        • CN={{SERIALNUMBER}} : O SN (número de série) exclusivo normalmente usado pelo fabricante para identificar um dispositivo.

        • CN={{IMEINumber}} : O número exclusivo do IMEI (Identidade Internacional de Equipamento Móvel) usado para identificar um celular.

        • CN={{OnPrem_Distinguished_Name}} : Uma sequência de nomes diferenciados relativos separados por vírgula, como CN=Leila Dias,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

          Para usar a variável {{OnPrem_Distinguished_Name}} :

          • Certifique-se de sincronizar o atributo de usuário onpremisesdistinguishedname usando o Azure AD Connect com seu Azure AD.
          • Se o valor CN contiver uma vírgula, o formato de nome da entidade deverá estar entre aspas. Por exemplo: CN="{{OnPrem_Distinguished_Name}}"
        • CN={{OnPremisesSamAccountName}} : Os administradores podem sincronizar o atributo samAccountName do Active Directory para o Azure AD usando o Azure AD Connect em um atributo chamado onPremisesSamAccountName. O Intune pode substituir essa variável como parte de uma solicitação de emissão de certificados na entidade de um certificado. O atributo samAccountName é o nome de entrada do usuário usado para dar suporte a clientes e servidores de uma versão anterior do Windows (pré-Windows 2000). O formato do nome de entrada do usuário é: DomainName\testUser ou apenas testUser.

          Para usar a variável {{OnPremisesSamAccountName}} , sincronize o atributo de usuário OnPremisesSamAccountName com o Azure AD usando o Azure AD Connect.

        Todas as variáveis de dispositivo listadas na seção Tipo de certificado de dispositivo a seguir também podem ser usadas em nomes de entidades de certificado do usuário.

        Ao usar uma combinação de uma ou mais dessas variáveis e cadeias de caracteres de texto estático, é possível criar um formato de nome de entidade personalizado, como: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        Este exemplo inclui um formato de nome de entidade que usa as variáveis CN e E e cadeias de caracteres para os valores Unidade Organizacional, Organização, Localização, Estado e País. Função CertStrToName descreve essa função e suas cadeias de caracteres compatíveis.

        Não há suporte para atributos de usuário em dispositivos que não têm associações de usuário, como dispositivos registrados como dedicados ao Android Enterprise. Por exemplo, um perfil que usa CN = {{UserPrincipalName}} no assunto ou SAN não poderá obter o nome UPN quando não houver nenhum usuário no dispositivo.

      • Tipo de certificado de dispositivo

        As opções de formato para o Formato de nome da entidade incluem as seguintes variáveis:

        • {{AAD_Device_ID}} ou {{AzureADDeviceId}} – qualquer variável pode ser usada para identificar um dispositivo por sua ID do Azure AD.
        • {{DeviceId}} – é a ID do dispositivo do Intune
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (Aplicável somente aos dispositivos Windows e ingressados no domínio)
        • {{MEID}}

        Você pode especificar essas variáveis e o texto estático na caixa de texto. Por exemplo, o nome comum para um dispositivo chamado Device1 pode ser adicionado como CN={{DeviceName}}Device1.

        Importante

        • Ao especificar uma variável, coloque o nome dela entre chaves duplas {{ }}, como mostrado no exemplo, para evitar um erro.
        • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no nome da entidade de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.
    • Nome alternativo da entidade:
      Selecione como o Intune cria automaticamente o SAN (nome alternativo da entidade) na solicitação de certificado. Você pode especificar vários nomes alternativos de entidade. Para cada um, é possível selecionar entre quatro atributos de SAN e inserir um valor de texto para esse atributo. O valor de texto pode conter variáveis e texto estático.

      Selecione um dos atributos de SAN disponíveis:

      • Endereço de email
      • Nome UPN
      • DNS
      • URI (Uniform Resource Identifier)

      As variáveis disponíveis para o valor de SAN dependem do Tipo de certificado selecionado: Usuário ou Dispositivo.

      • Tipo de certificado de usuário

        Com o tipo de certificado Usuário, você pode usar qualquer uma das variáveis de certificado de usuário ou dispositivo descritas acima na seção Nome da Entidade.

        Por exemplo, os tipos de certificado de usuário podem incluir o nome UPN no nome alternativo da entidade. Se um certificado do cliente for usado para se autenticar em um Servidor de Políticas de Rede, defina o nome alternativo da entidade como o UPN.

      • Tipo de certificado de dispositivo

        Com o tipo de certificado Dispositivo, você pode usar qualquer uma das variáveis descritas na seção Tipo de certificado Dispositivo para o Nome da Entidade.

        Para especificar um valor para um atributo, inclua o nome da variável com chaves, seguido pelo texto da variável. Por exemplo, um valor para o atributo DNS pode ser adicionado como {{AzureADDeviceId}}.domain.com, em que .domain.com é o texto. Para um usuário chamado User1, um endereço de email poderá ser exibido como {{FullyQualifiedDomainName}}User1@Contoso.com.

      Ao usar uma combinação de uma ou mais dessas variáveis e cadeias de caracteres de texto estático, é possível criar um formato de nome de entidade alternativo personalizado, como:

      • {{UserName}}-Home

        Importante

        • Ao usar uma variável de certificado do dispositivo, coloque o nome dela entre chaves duplas {{ }}.
        • Não use chaves { } , símbolos de barra vertical | nem ponto e vírgula ; no texto após a variável.
        • As propriedades do dispositivo usadas na entidade ou no SAN de um certificado de dispositivo, como IMEI, SerialNumber e FullyQualifiedDomainName, são propriedades que podem ser falsificadas por uma pessoa com acesso ao dispositivo.
        • Um dispositivo precisa dar suporte a todas as variáveis especificadas em um perfil de certificado para que esse perfil seja instalado nesse dispositivo. Por exemplo, se {{IMEI}} for usado no SAN de um perfil SCEP e for atribuído a um dispositivo que não tenha um número IMEI, o perfil não será instalado.
    • Período de validade do certificado:

      Você pode inserir um valor inferior ao período de validade no modelo de certificado, mas não superior. Se você configurou o modelo de certificado para dar suporte a um valor personalizado que pode ser definido no console do Intune, use essa configuração para especificar o tempo restante antes que o certificado expire.

      O Intune dá suporte a um período de validade de até 24 meses.

      Por exemplo, se o período de validade do certificado em um modelo de certificado for de dois anos, você poderá inserir um valor de um ano, mas não de cinco anos. O valor também tem que ser inferior ao período de validade restante do certificado da AC emissora.

      Planeje o uso de um período de validade de cinco dias ou mais. Quando o período de validade é inferior a cinco dias, há uma grande probabilidade de o certificado entrar em um estado quase expirando ou expirado, o que pode fazer com que o agente do MDM nos dispositivos rejeite o certificado antes de ele ser instalado.

    • KSP (provedor de armazenamento de chaves) :

      (Aplica-se ao: Windows 8.1 e posterior e Windows 10 e posterior)

      Especifique o local de armazenamento da chave para o certificado. Escolha um dos seguintes valores:

      • Registrar no KSP do TPM (Trusted Platform Module) se existir; caso contrário, no KSP de Software
      • Registrar no KSP do TPM (Trusted Platform Module); caso contrário, falha
      • Inscrever-se no Windows Hello para Empresas, caso contrário, falhar (Windows 10 e posterior)
      • Registrar no Software KSP
    • Uso de chave:

      Selecione as opções de uso de chave para o certificado:

      • Assinatura digital: Permita a troca de chaves apenas quando uma assinatura digital ajuda a proteger a chave.
      • Criptografia de chave: Permita a troca de chaves apenas quando a chave estiver criptografada.
    • Tamanho da chave (bits) :

      Selecione o número de bits contidos na chave:

      • Não configurado
      • 1024
      • 2.048
      • 4096 (compatível com iOS/iPadOS 14 e versões posteriores e com macOS 11 e versões posteriores)
    • Algoritmo de hash:

      (Aplica-se ao Android, Android Enterprise, Windows Phone 8.1 e posterior e Windows 10 e posterior)

      Selecione um dos tipos de algoritmo de hash disponíveis para uso com esse certificado. Selecione o nível mais alto de segurança que dá suporte aos dispositivos de conexão.

    • Certificado Raiz:

      Selecione o perfil de certificado confiável configurado anteriormente e atribuído aos usuários e dispositivos aplicáveis nesse perfil de Certificado SCEP. O perfil de certificado confiável é usado para provisionar usuários e dispositivos com o Certificado de Autoridade de Certificação raiz confiável. Para obter informações sobre o perfil de certificado confiável, confira Exportar o Certificado de Autoridade de Certificação raiz confiável e Criar perfis de certificado confiável em Usar certificados para autenticação no Intune.

      Observação

      Se você tiver um infraestrutura de PKI de vários níveis, como uma Autoridade de Certificação Raiz e uma Autoridade de Certificação Emissora, selecione o perfil certificado Raiz Confiável de nível superior que valida a Autoridade de Certificação Emissora.

    • Uso estendido de chave:

      Adicione valores para a finalidade desejada do certificado. Na maioria dos casos, o certificado exige a autenticação de cliente, de modo que o usuário ou o dispositivo possa se autenticar em um servidor. Adicione mais usos de chave, conforme necessário.

    • Limite de renovação (%) :

      Insira o percentual do tempo de vida restante do certificado antes da renovação das solicitações de dispositivo do certificado. Por exemplo, se você inserir 20, haverá uma tentativa de renovação do certificado quando o certificado estiver 80% expirado. As tentativas de renovação continuarão até que a renovação seja bem-sucedida. A renovação gera um novo certificado, o que resulta em um novo par de chaves pública/privada.

    • URLs de servidor SCEP:

      Insira uma ou mais URLs para os servidores NDES que emitem certificados por meio do protocolo SCEP. Por exemplo, insira algo como https://ndes.contoso.com/certsrv/mscep/mscep.dll.

      A URL pode ser HTTP ou HTTPS. No entanto, para dar suporte aos seguintes dispositivos, a URL do servidor SCEP deve usar HTTPS:

      • Administrador do dispositivo Android
      • Proprietário do dispositivo Android Enterprise
      • Perfil de trabalho de propriedade corporativa do Android Enterprise
      • Perfil de trabalho do Android Enterprise de propriedade pessoal

      Adicione outras URLs SCEP para balanceamento de carga, conforme necessário. Os dispositivos fazem três chamadas separadas ao servidor NDES. A primeira é para obter as funcionalidades dos servidores, a segunda é para obter uma chave pública e a última para enviar uma solicitação de assinatura. Quando você usa várias URLs, é possível que o balanceamento de carga resulte no uso de uma URL diferente nas chamadas seguintes a um servidor NDES. Se um servidor diferente for contatado para uma chamada seguinte durante a mesma solicitação, a solicitação falhará.

      O comportamento para gerenciar a URL do servidor NDES é específico para cada plataforma de dispositivo:

      • Android: o dispositivo faz uma escolha aleatória na lista de URLs recebidas na política SCEP e percorre a lista até que um servidor NDES acessível seja encontrado. Em seguida, o dispositivo continua usando essa mesma URL e esse mesmo servidor durante todo o processo. Se o dispositivo não puder acessar nenhum dos servidores NDES, o processo falhará.
      • iOS/iPadOS: o Intune escolhe aleatoriamente as URLs e fornece uma só URL para um dispositivo. Se o dispositivo não puder acessar o servidor NDES, a solicitação SCEP falhará.
      • Windows: a lista de URLs do NDES é percorrida aleatoriamente e é passada para o dispositivo Windows, que as experimenta na ordem recebida, até que uma disponível seja encontrada. Se o dispositivo não puder acessar nenhum dos servidores NDES, o processo falhará.

      Se um dispositivo não conseguir acessar o mesmo servidor NDES com êxito durante uma das três chamadas ao servidor NDES, a solicitação SCEP falhará. Por exemplo, isso pode acontecer quando uma solução de balanceamento de carga fornece uma URL diferente na segunda ou na terceira chamada ao servidor NDES ou fornece outro servidor NDES com base em uma URL virtualizada para o NDES. Após uma solicitação com falha, um dispositivo tenta executar o processo novamente no próximo ciclo de política, começando com a lista aleatória de URLs do NDES (ou uma só URL para o iOS/iPadOS).

  8. Selecione Avançar.

  9. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  10. (Aplica-se somente ao Windows 10) Em Regras de Aplicabilidade, especifique regras de aplicabilidade para refinar a atribuição desse perfil. Você pode optar por atribuir ou não atribuir o perfil com base na edição ou na versão do sistema operacional de um dispositivo.

Para obter mais informações, confira Regras de aplicabilidade em Criar um perfil de dispositivo no Microsoft Intune.

  1. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, as alterações são salvas, e o perfil é atribuído. A política também é mostrada na lista de perfis.

Evitar solicitações de assinatura de certificado com caracteres especiais de escape

Há um problema conhecido em solicitações de certificado SCEP e PKCS que incluem um Nome de Entidade (CN) com um ou mais dos caracteres especiais a seguir como um caractere de escape. Os nomes de entidades que incluem um dos caracteres especiais como um caractere de escape resultam em um CSR com um nome de entidade incorreto. Um nome de entidade incorreto resulta em falha na validação do desafio SCEP do Intune e na não emissão do certificado.

Os caracteres especiais são:

  • +
  • ,
  • ;
  • =

Quando o nome da entidade incluir um dos caracteres especiais, use uma das seguintes opções para contornar essa limitação:

  • Encapsule com aspas o valor de CN que contém o caractere especial.
  • Remova o caractere especial do valor de CN.

Por exemplo, você tem um nome de entidade que aparece como Usuário de teste (TestCompany, LLC) . Um CSR que inclui um CN que tem a vírgula entre TestCompany e LLC apresenta um problema. O problema pode ser evitado com o uso de aspas em todo o CN ou com a remoção da vírgula entre TestCompany e LLC:

  • Adicione aspas: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Remova a vírgula: CN=Usuário de teste (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

No entanto, as tentativas de retirar a vírgula usando um caractere de barra invertida falharão com um erro nos logs do CRP:

  • Vírgula com escape: CN=Usuário de teste (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

O erro é semelhante ao seguinte:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Atribuir o perfil de certificado

Atribua perfis de Certificado SCEP da mesma maneira que você implanta perfis de dispositivo para outras finalidades.

Importante

Para usar um perfil de certificado SCEP, o dispositivo também deve ter recebido o perfil de certificado confiável que o provisiona com o certificado de AC raiz confiável. Recomendamos que você implante tanto o perfil de certificado raiz confiável quanto o perfil de certificado SCEP nos mesmos grupos.

Considere o seguinte antes de continuar:

  • Quando você atribui perfis de Certificado SCEP a grupos, o arquivo do Certificado de Autoridade de Certificação raiz confiável (conforme especificado no perfil do certificado confiável) é instalado no dispositivo. O dispositivo usa o perfil de Certificado SCEP para criar uma solicitação de certificado para esse Certificado de Autoridade de Certificação raiz confiável.

  • O perfil de Certificado SCEP é instalado somente em dispositivos que executam a plataforma especificada durante a criação do perfil de certificado.

  • Você pode atribuir perfis de certificado para coleções de usuários ou coleções de dispositivos.

  • Para publicar um certificado em um dispositivo rapidamente depois que o dispositivo for registrado, atribua o perfil de certificado a um grupo de usuários em vez de um grupo de dispositivos. Se você atribuir um grupo de dispositivos, um registro de dispositivo completo será necessário para que o dispositivo receba políticas.

  • Se você usar o cogerenciamento para o Intune e o Configuration Manager, no Configuration Manager, defina o controle deslizante da carga de trabalho para as Políticas de Acesso ao Recurso como Intune ou Piloto do Intune. Essa configuração permite que os clientes do Windows 10 iniciem o processo de solicitar o certificado.

Observação

  • Em dispositivos iOS/iPadOS, quando um perfil de certificado SCEP ou um perfil de certificado PKCS é associado a um perfil adicional, como um perfil Wi-Fi ou VPN, o dispositivo recebe um certificado para cada um dos perfis adicionais. Isso resulta em um dispositivo iOS/iPadOS ter vários certificados entregues pela solicitação de certificado SCEP ou PKCS.

    Os certificados entregues pelo SCEP são exclusivos. Os certificados entregues pelo PKCS são o mesmo certificado, mas parecem diferentes, pois cada instância de perfil é representada por uma linha separada no perfil de gerenciamento.

  • No iOS 13 e no macOS 10.15, há alguns requisitos de segurança adicionais documentados pela Apple a considerar.

Próximas etapas

Atribuir perfis

Solucionar problemas de implantação de perfis de certificado SCEP