Definições de carga útil de MDM dos certificados para dispositivos Apple
Pode configurar as definições de certificado para utilizadores de dispositivos Apple registados numa solução de gestão de dispositivos móveis (MDM). Use as cargas úteis de certificados para adicionar certificados e uma identidade ao dispositivo.
As cargas úteis de certificados suportam o seguinte. Encontrará informação adicional em Informação sobre a carga útil.
Identificadores de carga útil suportados: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Sistemas operativos e canais compatíveis: iOS, iPadOS, dispositivo iPad partilhado, dispositivo macOS, utilizador do macOS, tvOS, watchOS 10, visionOS 1.1.
Métodos de registo suportados: registo do utilizador, registo do dispositivo, registo automático de dispositivos.
Duplicados permitidos: verdadeiro — várias cargas úteis de certificados podem ser entregues a um utilizador ou dispositivo.
É possível usar as definições da tabela abaixo com as cargas úteis de certificados.
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name (Nome do certificado) | O nome de apresentação do certificado. | Sim | |||||||||
Certificate or identity data (Dados de identidade ou certificado) | Os dispositivos iPhone, iPad, Mac e Apple TV podem usar certificados X.509 com chaves RSA. Os formatos e extensões de ficheiro reconhecidos são:
Os ficheiros PKCS #12 também incluem a chave privada e contém exatamente uma identidade. Para garantir a proteção da chave privada, os ficheiros PKCS #12 são cifrados com uma senha. | Sim | |||||||||
Passphrase (Senha) | Uma senha que é usada para proteger as credenciais. | Não | |||||||||
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições do certificado são aplicadas aos seus dispositivos e utilizadores, consulte a documentação do seu fornecedor de MDM.
Ao adicionar um certificado ou identidade
Quando instala um certificado de raiz, também é possível instalar certificados intermédios para estabelecer uma cadeia para um certificado fidedigno que se encontre no dispositivo. Isso pode ser importante para tecnologias como 802.1X. Para visualizar uma lista de raizes pré-instaladas para dispositivos Apple. Encontrará mais informação no artigo do Suporte Apple Lista de certificados de raiz disponíveis no iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 e watchOS 11.
Se o certificado ou a identidade que pretende instalar se encontrar no seu porta-chaves, use o Acesso a Porta-chaves para o exportar em formato PKCS #12 (.p12). O Acesso a Porta-chaves está localizado em /Applications/Utilities/. Encontrará informação adicional no Manual de Utilização do Acesso a Porta-chaves.
Para adicionar uma identidade para usar com Microsoft Exchange ou Exchange ActiveSync, início de sessão único, VPN, e rede ou Wi-Fi, use essa carga útil específica.
Ao implementar um ficheiro PKCS #12 (.p12 ou .pfx), se omitir a senha de identidade do certificado, é solicitado aos utilizadores que a introduzam quando o perfil é instalado. O conteúdo da carga útil é ofuscado, mas não é cifrado. Se incluir a senha, certifique-se de que o perfil está disponível apenas para utilizadores autorizados.
Em vez de instalar certificados através de um perfil de configuração, pode permitir que os utilizadores usem o Safari para descarregar os certificados para o seu dispositivo a partir de uma página web usando esse certificado (não deve alojar o certificado). Em alternativa é possível enviar certificados a utilizadores numa mensagem de e-mail. Também é possível usar as definições de carga útil de MDM de SCEP do protocolo simples de registo para certificados para especificar como o dispositivo obtém os certificados quando o perfil está instalado.
Confiança de certificados
Um certificado tem plena confiança automática se for:
instalado por uma instância do Apple Configurator que tem a mesma identidade de supervisão que o dispositivo;
instalado automaticamente a partir de uma solução MDM compatível;
instalado manualmente por uma carga útil anexada a um perfil de registo a partir de uma solução MDM compatível.
Como boa prática, evite permitir que os utilizadores instalem certificados. Em vez disso, certifique-se de que a carga útil de certificados está no perfil de registo na MDM para remover a etapa de confiar manualmente no certificado.