Configurar o Omnissa Workspace ONE para conector para SCEP - AWS Private Certificate Authority
Pré-requisitosEtapa 1: definir uma autoridade de certificação e um modelo no Omnissa Workspace ONEEtapa 2: Configurar uma configuração de perfil UEM do Omnissa Workspace ONEEtapa 3: cadastrar dispositivos no Omnissa Workspace ONEEtapa 4: emitir um certificadoSolução de problemasConsiderações sobre segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Omnissa Workspace ONE para conector para SCEP

Você pode usar AWS Private CA como uma autoridade de certificação externa (CA) com o sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Este guia fornece instruções sobre como configurar o Omnissa Workspace ONE depois de criar um conector SCEP no. AWS

Pré-requisitos

Antes de criar um conector SCEP para o Omnissa Workspace ONE, você deve preencher os seguintes pré-requisitos:

  • Crie uma CA privada no AWS console. Para obter mais informações, consulte Crie uma CA privada em AWS Private CA.

  • Crie um conector SCEP de uso geral. Para obter mais informações, consulte Criar um conector.

  • Tenha uma conta de administrador do ambiente Omnissa Workspace ONE ativa com um ID de grupo organizacional.

  • Se você estiver inscrevendo um dispositivo Apple, configure o Apple Push Notification Service (APNs) para MDM. Para obter mais informações, consulte APNs Certificados na documentação do Omnissa.

Etapa 1: definir uma autoridade de certificação e um modelo no Omnissa Workspace ONE

Depois de criar um conector privado de CA e SCEP no AWS console, defina a autoridade de certificação e o modelo no Omnissa Workspace ONE.

Adicionar AWS Private CA como autoridade de certificação

  1. No menu Sistema, escolha Integração Empresarial e, em seguida, escolha Autoridades de Certificação.

  2. Escolha + ADICIONAR e forneça as seguintes informações:

    • Nome: AWS-Private-CA.

    • Descrição: AWS Private CA para emissão do certificado do dispositivo.

    • Tipo de autoridade: Selecione SCEP genérico.

    • URL do SCEP: insira o URL do SCEP de. AWS Private CA

    • Tipo de desafio: Selecione STATIC.

    • Desafio estático: insira a senha de desafio estático do SCEP do conector para configuração do SCEP no console. AWS

    • Insira os valores de Tempo Limite de Repetição e Máximo de Tentativas.

  3. Salve a configuração.

Crie um modelo de certificado

  1. No menu Sistema, escolha Integração Empresarial, escolha Autoridades de Certificação e, em seguida, escolha Modelos.

  2. Escolha Adicionar modelos e forneça as seguintes informações:

    • Nome do modelo: Device-Cert-Template.

    • Autoridade de certificação: escolha AWS-Private-CA.

    • Nome do assunto: Este é um campo personalizável. Você pode escolher valores variáveis em uma lista de atributos. Por exemplo, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute

    • Comprimento da chave privada: 2048 bits.

    • Tipo de chave privada: selecione Assinatura e criptografia conforme necessário

    • Renovação automática: Enabled/Disabled (com base nas suas necessidades).

  3. Salve o modelo.

Etapa 2: Configurar uma configuração de perfil UEM do Omnissa Workspace ONE

Crie um perfil no Omnissa Workspace ONE UEM que direcione os dispositivos ao Connector for SCEP para emitir um certificado.

Crie um perfil de dispositivo SCEP para distribuição de certificados

  1. No menu Recursos, escolha Perfis e linhas de base e, em seguida, escolha Perfis.

  2. Escolha Adicionar e, em seguida, Adicionar perfil

  3. Selecione a plataforma do dispositivo (Android, iOS, macOS, Windows).

  4. Defina o tipo de gerenciamento e o contexto conforme apropriado.

  5. Defina o nome: Device-Cert-Profile.

  6. Role até SCEP Payload.

  7. Selecione SCEP e, em seguida, escolha +Adicionar.

  8. Use a seguinte configuração:

    • SCEP:

      • Em Fonte de credencial, selecione Autoridade de certificação definida (padrão).

      • Para Autoridade de Certificação, selecione AWS-Private-CA

      • Para Modelo de certificado, selecione o Device-Cert-Template definido na Etapa 1.

  9. Escolha Avançar e, na seção Tarefa, selecione o grupo inteligente correto na lista (grupo de tarefas para o dispositivo).

  10. Selecione o tipo de atribuição como Automático para ativar a renovação automática.

  11. Salve e publique o perfil.

nota

Para obter mais informações, consulte SCEP na documentação do Omnissa.

Etapa 3: cadastrar dispositivos no Omnissa Workspace ONE

Crie ou verifique um grupo inteligente

  1. Em Grupos e configurações, escolha Grupos e, em seguida, escolha Grupos de exercícios.

  2. Crie ou edite o grupo inteligente de dispositivos PoC:

    • Nome: Dispositivos PoC.

    • Tipo de dispositivo: selecione Tudo ou uma plataforma específica (Android ou iOS, por exemplo).

    • Critérios: Use UserGroup, plataforma e sistema operacional, OEM e modelo para especificar os critérios para agrupar os dispositivos de destino.

    • Propriedade: selecione Qualquer para dispositivos pessoais ou corporativos.

  3. Salve e verifique se os dispositivos de destino aparecem na guia Visualizar.

Registro manual de dispositivos

Android

  • Baixe o aplicativo Workspace ONE Intelligent Hub do Google Play.

  • Abra o aplicativo e insira o URL de inscrição ou digitalize um código QR.

  • Faça login e siga as instruções para se inscrever como um dispositivo gerenciado por MDM.

iOS/macOS

  • No dispositivo, abra o Safari e navegue até o URL de registro (https://<Workspace ONEUEMHostname >/enroll, por exemplo).

  • Faça login com as credenciais do usuário.

  • Baixe e instale o aplicativo Workspace ONE Intelligent Hub na App Store.

  • Siga as instruções para instalar o perfil MDM em Configurações > Geral > Gerenciamento de VPN e dispositivos > Perfil > Instalar.

Windows

  • Baixe o Workspace ONE Intelligent Hub do servidor Workspace ONE ou da Microsoft Store.

  • Inscreva-se por meio do Hub usando o URL de inscrição e as credenciais.

Atribua dispositivos registrados ao Grupo Inteligente de Dispositivos PoC em Dispositivos > Exibição de lista > Mais ações > Atribuir ao Grupo Inteligente.

Para obter mais informações, consulte Registro automatizado de dispositivos na documentação da Omnissa.

Verifique a inscrição

  1. No console do Omnissa Workspace ONE UEM, acesse Dispositivos e depois Visualização de lista.

  2. Confirme se seus dispositivos registrados aparecem com o status definido como Registrado.

  3. Verifique se os dispositivos estão no grupo inteligente de dispositivos PoC na guia Grupos dos Detalhes do dispositivo.

Etapa 4: emitir um certificado

Acionador emitindo um certificado

  1. Na Visualização da lista de dispositivos, selecione o dispositivo registrado.

  2. Escolha o botão Consultar para solicitar um check-in.

  3. Eles Device-Cert-Profile devem emitir um visto certificado. AWS Private CA

Verifique a instalação do certificado

Android

Escolha Configurações, depois Segurança, depois Credenciais Confiáveis e, em seguida, Usuário para verificar o certificado.

iOS

Vá para Configurações, escolha Geral, depois Gerenciamento de VPN e Dispositivo e, em seguida, Perfil de Configuração. Verifique se o certificado AWS-Private-CA está presente.

macOS

Abra o Keychain Access e depois o System Keychain e verifique o certificado.

Windows

Abra certmgr.msc, depois Pessoal e, em seguida, Certificados para verificar o certificado.

Solução de problemas

Erros SCEP (“22013 - O servidor SCEP retornou uma resposta inválida”, por exemplo)

  • Verifique se o URL do SCEP e a senha estática do desafio no Workspace ONE correspondem. AWS Private CA

  • <SCEP_URL>Teste a conectividade do endpoint SCEP: curl.

  • Verifique AWS CloudTrail os registros em busca de AWS Private CA erros (IssueCertificatefalhas, por exemplo).

APNs problemas (iOS/macOS)

  • Verifique se o APNs certificado é válido e está atribuído ao grupo organizacional correto.

  • Teste a APNs conectividade: telnet gateway.push.apple.com 2195.

Falhas na instalação do perfil

  • Confirme se os dispositivos estão no Grupo Inteligente correto (Dispositivos, Exibição em Lista e, em seguida, Grupos).

  • Forçar uma sincronização de perfil: Mais ações, depois Enviar e, em seguida, Lista de perfis.

Logs

  • Android: use os registros do Logcat ou do Workspace ONE.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurador).

  • Windows: Visualizador de Eventos, depois Registros de Aplicativos e Serviços e, em seguida, Microsoft-Windows -. DeviceManagement

  • Workspace ONE UEM: Monitor, depois Relatórios e análises, depois Eventos e, em seguida, Eventos do dispositivo.

Para obter detalhes sobre o conector para monitoramento de SCEP em AWS, consulte Conector de monitor para SCEP.

Considerações sobre segurança

  • Armazene o SCEP URLs e os segredos com segurança. Para obter mais informações, consulte o AWS Secrets Manager serviço.

  • Restrinja os critérios do grupo inteligente somente aos dispositivos de destino.

  • Renove regularmente os certificados Apple Push Notifications (APNs) (válidos por 1 ano).

  • Defina períodos curtos de validade do certificado para projetos de prova de conceito para minimizar os riscos.

  • Para dispositivos pessoais, certifique-se de que a limpeza remova todos os perfis e certificados.

Para obter informações sobre como configurar a integração do Omnissa Workspace ONE UEM e CA usando um conector SCEP, consulte a documentação do SCEP no Omnissa Workspace ONE.