Ajustes do payload MDM de Certificados em dispositivos Apple
É possível configurar os ajustes de Certificados em dispositivos iPhone, iPad, Mac e Apple TV registrados em uma solução MDM. Use os payloads de Certificados para adicionar certificados e uma identidade ao dispositivo.
Os payloads de Certificados são compatíveis com os itens a seguir. Para obter mais informações, consulte Informações do payload.
Identificadores de payload compatíveis: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Sistemas operacionais compatíveis e canais: iOS, iPadOS, dispositivo iPad Compartilhado, dispositivo com macOS, usuário de macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de registro compatíveis: Registro de Usuário, Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de Certificados pode ser entregue a um usuário ou dispositivo.
Você pode usar os ajustes da tabela abaixo com os payloads de Certificados.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | O nome de exibição do certificado. | Sim | |||||||||
Certificate or identity data | Dispositivos iPhone, iPad, Mac e Apple TV podem usar certificados X.509 com chaves RSA. Os formatos e extensões de arquivo reconhecidos são:
Os arquivos PKCS #12 também incluem a chave privada e contêm exatamente uma identidade. Para garantir a proteção da chave privada, os arquivos PKCS #12 são criptografados com uma frase-senha. | Sim | |||||||||
Passphrase | A frase-senha usada para proteger as credenciais. | Não | |||||||||
Nota: cada fornecedor de MDM implementa esses ajustes de maneira diferente. Para saber como diferentes ajustes de Certificados são aplicados aos dispositivos e usuários, consulte a documentação do fornecedor do MDM.
Ao adicionar um certificado ou identidade
Quando você instala um certificado raiz, também pode instalar os certificados intermediários para estabelecer um vínculo com um certificado confiável que esteja no dispositivo. Isso pode ser importante para tecnologias como 802.1X. Para ver uma lista de raízes pré-instaladas em dispositivos Apple e outras informações, consulte o artigo de Suporte da Apple Lista de certificados raiz confiáveis disponíveis no iOS 17, iPadOS 17, macOS 14, tvOS 17 e watchOS 10.
Se o certificado ou identidade que você deseja instalar estiver nas suas chaves, use o Acesso às Chaves para exportá-lo no formato PKCS #12 (.p12). O "Acesso às Chaves" encontra-se em /Aplicativos/Utilitários/. Para obter mais informações, consulte o Manual de Uso do Acesso às Chaves.
Para adicionar uma identidade para usar com o Microsoft Exchange ou o Exchange ActiveSync, início de sessão único, VPN e rede ou Wi-Fi, use o respectivo payload.
Ao implantar um arquivo PKCS #12 (.p12 ou .pfx), se você omitir a frase‑senha da identidade do certificado, os usuários serão solicitados a digitá‑la quando o perfil for instalado. O conteúdo do payload ficará oculto, mas não criptografado. Se você incluir a frase‑senha, certifique-se de que o perfil esteja disponível somente para usuários autorizados.
Em vez de instalar certificados usando um perfil de configuração, você pode deixar que os usuários utilizem o Safari para transferir os certificados para seus respectivos dispositivos a partir de um site, usando o certificado correspondente (você não precisa hospedar o certificado). Ou você pode enviar certificados aos usuários em uma mensagem de e-mail. Você também pode usar os ajustes do payload MDM de SCEP (Protocolo de Registro de Certificado Simples) para especificar como o dispositivo obtém certificados quando o perfil é instalado.
Confiabilidade de certificado
Um certificado possui confiabilidade total automática se for:
Instalado por uma instância do Apple Configurator que possui a mesma identidade de supervisão que o dispositivo
Instalado automaticamente a partir de uma solução MDM compatível
Instalado manualmente por um payload anexado a um perfil de registro a partir de uma solução MDM compatível
Uma prática recomendada é evitar que os usuários instalem certificados manualmente. Em vez disso, certifique-se de que o payload Certificados esteja no perfil de registro do MDM para remover a etapa de confiar manualmente no certificado.