# 🆕 SCEPman SaaS

<code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> é uma implementação do SCEPman totalmente gerida, alojada e mantida inteiramente por nós. Está disponível como parte do RADIUSaaS & <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> Bundle, que combina ambos os serviços numa única subscrição. Isto elimina a necessidade de configurar e gerir a sua própria instância do SCEPman, oferecendo ao mesmo tempo autenticação baseada em certificados sem falhas para o seu ambiente RADIUS. O guia seguinte acompanha-o pelos passos iniciais de configuração para colocar a sua <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> instância em funcionamento com o RADIUSaaS

## Configuração <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>

{% hint style="info" %}
Se já estiver a utilizar uma implementação existente do SCEPman Enterprise no seu tenant com o RADIUSaaS, certifique-se de que consulta o nosso guia de migração: [Migrar do SCEPman Enterprise](/pt/configuracao/scepman-saas/migrar-do-scepman-enterprise.md)
{% endhint %}

{% stepper %}
{% step %}

### Registar <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>

Com uma <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> licença ativada, verá que a secção do menu em **Definições** > **SCEPman** contém opções para registar e configurar a sua CA do SCEPman.

No topo, tem a possibilidade de escolher a **Nome comum** bem como o **Organização** nome para a sua CA.

<figure><img src="/files/c60870f59efe737650d35719c9e124d32f7c5ec5" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
O Common Name e a Organization formarão o assunto do certificado da CA durante o registo.
{% endhint %}

Ao clicar em **Registar**, a configuração será iniciada e o estado é apresentado acima. Após alguns minutos, a implementação deverá ter sido concluída e verá que o menu principal do RADIUSaaS contém agora uma secção para [**SCEPman**](/pt/portal-de-administracao/scepman.md).

{% tabs %}
{% tab title="Estado" %}
O **Estado** a página mostra o estado atual da CA e das suas integrações, bem como os URLs de endpoint de que precisa para solicitar certificados.

<figure><img src="/files/3e9aa7e5b03b18d6a10ddc51f74c6c8ef81fbf8a" alt="This page is equivalent to the homepage of a SCEPman Enterprise deployment"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Gerir Certificados" %}
Em **Gerir Certificados** pode navegar pelos certificados emitidos, verificar a sua validade e também tem a opção de os revogar.

<figure><img src="/files/701d061d0cb35760d9c8f11dd4435ee6b2d887c7" alt="This page is equivalent to the Manage Certificates section in a SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Solicitar Certificados" %}
Em **Solicitar Certificados**, pode solicitar diferentes tipos de certificados para registo e instalação manual ou assinar CSRs.

{% hint style="info" %}
Dê uma vista de olhos na documentação dedicada do [Certificate Master](https://docs.scepman.com/certificate-management/certificate-master) para obter mais informações sobre os diferentes tipos de certificados que pode solicitar aqui.
{% endhint %}

<figure><img src="/files/5e0597c79559105376f898ec1313903166fecdc3" alt="This page is equivalent to the Request Certificates section in a  SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="Tarefas" %}
O **Tarefas** a secção mostra o estado atual do Certificate Master e ligações para as secções permitidas pela sua função.

<figure><img src="/files/f1593bbcbe3af2d4bde90a646bafb49326e9a7b4" alt="This page is equivalent to the home page in a SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}
{% endtabs %}

{% hint style="success" %}
O SCEPman está agora implementado e pronto para emitir certificados!
{% endhint %}
{% endstep %}

{% step %}

### Ligar o SCEPman ao seu Azure Tenant

{% hint style="info" %}
Só precisará de ligar o SCEPman ao seu Azure tenant se pretender implementar certificados através do Intune ou do endpoint StaticAAD.
{% endhint %}

Na maioria dos cenários, vai querer que o SCEPman possa emitir certificados usando perfis SCEP do Intune e também revogar certificados automaticamente, se um dispositivo tiver sido apagado, por exemplo.

Para que isto funcione como pretendido, o SCEPman requer funções específicas no seu tenant. Isto pode ser feito através do consentimento à nossa aplicação empresarial multi-tenant ou fornecendo você mesmo um registo de aplicação com as permissões necessárias.

#### Confirmar Tenant

{% hint style="info" %}
Recomendamos a abordagem de Consentimento de Administrador / aplicação empresarial multi-tenant para se ligar ao seu Azure tenant, uma vez que não requer um segredo de cliente que tenha de ser monitorizado quanto à expiração.
{% endhint %}

O primeiro passo do **Consentimento de administrador** fluxo é introduzir o ID do seu tenant e confirmá-lo.

<figure><img src="/files/30640e0b4689f4d0464f80025f61ddfae2504e39" alt=""><figcaption></figcaption></figure>

Ao clicar em **Confirmar Tenant** será redirecionado para a página de consentimento da Microsoft para autenticação e para aprovar inicialmente esta aplicação:

<figure><img src="/files/eb9070762a00bd6f7aa35c009e4b0c08dcd8c78d" alt=""><figcaption></figcaption></figure>

Ao aceitar este consentimento, a <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> aplicação empresarial será adicionada ao seu tenant, mas ainda não as permissões necessárias.

#### Consentimento de Administrador

<figure><img src="/files/82ac19e696cf4a8c931a5e9050b6a7266383f340" alt=""><figcaption></figcaption></figure>

Depois de confirmar o tenant, ao clicar em **Consentimento de Administrador** será novamente redirecionado para a página de consentimento da Microsoft e será pedida a sua confirmação se a aplicação deve receber as permissões listadas. Para mais informações sobre as permissões necessárias, consulte as nossas [Perguntas e Respostas de Segurança e Privacidade](https://docs.radiusaas.com/pt/configuracao/pages/675f8cf2173edf80e246d26c7bf7144e24bd36aa#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).

<figure><img src="/files/8772cdadd648e606b2f9d3650e3c30c169e30077" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
O SCEPman já consegue ligar-se ao seu Azure tenant e obter informações para associação de certificados!
{% endhint %}
{% endstep %}

{% step %}

### Ativar Endpoints de Certificado

Na maioria dos cenários, os certificados serão implementados através de perfis de certificado SCEP do Intune para acionar os dispositivos a solicitarem certificados ao SCEPman. Para ativar este endpoint, navegue novamente para **Definições** > **SCEPman** e ative a definição **Validação do Intune** e guarde a configuração:

<figure><img src="/files/cb55dba6b5f61d90bd3e42b736aa75eafa739cf1" alt=""><figcaption></figcaption></figure>

#### Verificação de conformidade

Tal como com o SCEPman Enterprise, o SCEPman pode avaliar a validade de um certificado verificando o estado de conformidade de um dispositivo associado. Consulte a  [documentação do SCEPman sobre esta definição](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-compliancecheck) para mais informações.

#### Diretório de dispositivos

A seleção do diretório do dispositivo depende da associação específica que escolher no perfil SCEP:

* `{{DeviceId}}` será procurado em **Intune**
* `{{AAD_DeviceID}}` será procurado em **AAD** (Entra ID)
* `{{UserPrincipalName}}` (UPN) será procurado em **AAD** (Entra ID)

Consulte a [documentação do SCEPman](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) para mais detalhes sobre os diretórios de dispositivos.

{% hint style="success" %}
A validação do Intune está agora ativada e o respetivo endpoint de certificado está disponível!
{% endhint %}
{% endstep %}

{% step %}

### Implementar Certificados

Com a validação do Intune ativada, verá que a página de estado do SCEPman mostra agora um URL de endpoint para o Intune MDM:

<figure><img src="/files/a4cce72b0618920d4bfb316684d2b8fc6754e210" alt=""><figcaption></figcaption></figure>

Este URL será utilizado no perfil de certificado SCEP do Intune para o **SCEP Server URL**.

#### Certificado Raiz

Certifique-se de criar um perfil de **Certificado Confiável** no Intune antes de avançar para o perfil **Certificado SCEP** e implementar o certificado da CA de <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> nos seus clientes.

[Documentação do SCEPman: Certificado Raiz](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10#root-certificate)

<figure><img src="/files/a36bd3110b0a4dde07dc7098f900f5fc309976d0" alt=""><figcaption></figcaption></figure>

#### Certificado SCEP

O processo de criação do perfil de certificado SCEP é idêntico ao do SCEPman Enterprise.

[Documentação do SCEPman: SCEP - Intune - Windows](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10)

<figure><img src="/files/131f56019e26a5a3b925becdbc0949e5610af88e" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
Os seus clientes deverão agora receber certificados emitidos pelo SCEPman!
{% endhint %}
{% endstep %}
{% endstepper %}

## Estabelecer Confiança

Para permitir que os dispositivos se autentiquem usando certificados da sua <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> CA e para permitir que os seus pontos de acesso estabeleçam ligações RadSec à sua instância do RADIUSaaS, terá de confiar no respetivo certificado da CA. Para isso, primeiro transfira o certificado da sua CA a partir da **SCEPman** > **Estado** .

<figure><img src="/files/1b85e3e1762313fb389135991f67ba01de27fda0" alt=""><figcaption></figcaption></figure>

Tendo o certificado da CA em vigor, navegue para **Definições** > **Certificados confiáveis** e adicione um novo certificado.

<figure><img src="/files/b0670103fe7c3442a47d13a1728ebcfb4baa5c25" alt=""><figcaption></figcaption></figure>

Carregue o ficheiro de certificado transferido e guarde:

<figure><img src="/files/8a4811f01d61f5681963c73db4e7ca14b7019f50" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
O RADIUSaaS aceitará agora as ligações recebidas que usem certificados emitidos pelo SCEPman!
{% endhint %}

## Ativar a Gestão do Certificado do Servidor RADIUSaaS

Depois de ter registado <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>, notará que a secção SCEPman Connection em **Definições** > **Definições do Servidor** permite pré-gerar um certificado e configurar uma ligação.

<figure><img src="/files/237ff1d1d5b53e51abb15d889dfd6ec9aa7232a6" alt=""><figcaption></figcaption></figure>

Nesta altura, já foi estabelecida uma ligação à sua instância do SCEPman e o RADIUSaaS pode solicitar certificados de servidor. A forma correta de prosseguir agora depende de se já utiliza o RADIUSaaS para autenticar clientes neste momento ou se esta é uma configuração nova.

#### Pré-gerar Certificado

O RADIUSaaS solicitará um certificado de servidor e adicioná-lo-á à lista de certificados, mas **não o ativará nem ativará a gestão automática.**

Caso tenha atualmente clientes a autenticar-se no RADIUSaaS, isto permite-lhe verificar se o seu perfil Wi-Fi tem os nomes corretos para validação do servidor, bem como o certificado raiz correto para validação do servidor.

<figure><img src="/files/64fdfa4a951806f8d704da7836de32f93a8e4ee6" alt=""><figcaption></figcaption></figure>

#### Configurar Ligação

Se esta for uma configuração nova ou depois de verificar que os seus clientes usam a informação correta para validar o certificado do servidor, pode ativar a gestão automática do certificado do servidor ao clicar em **Configurar Ligação**.

<figure><img src="/files/4027d690471cf8a89f825abaaf596b41eb5311b3" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
O RADIUSaaS solicitará agora um certificado de servidor ao SCEPman, ativá-lo-á e renová-lo-á atempadamente antes de expirar!
{% endhint %}

## Outros Endpoints de Certificado

A configuração de outros endpoints de certificado é semelhante à forma como são configurados com o SCEPman Enterprise. Certifique-se de consultar a documentação relevante:

#### Geral

{% content-ref url="/pages/f5534778d74085611a37c11e12d6ee57e0277d48" %}
[SCEPman](/pt/portal-de-administracao/settings/scepman.md)
{% endcontent-ref %}

#### Jamf

{% embed url="<https://docs.scepman.com/certificate-management/jamf/general>" %}

#### Validação estática

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/static-validation>" %}

#### Validação Static-AAD

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/staticaad-validation>" %}

#### DC

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/dc-validation>" %}

## Registos

Pode encontrar todos os registos de aplicação que esperaria no SCEPman Enterprise na secção **Registos** . Estes incluem:

* Mensagens de Integridade do Serviço
* Certificados Emitidos
* Respostas OCSP
* Avisos e Erros durante a Validação e Emissão

<figure><img src="/files/412ff4ed3608cb869f98dbbb727b83bd828580b5" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/pt/configuracao/scepman-saas.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.