翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Microsoft Intune for Connector for SCEP を設定する
Microsoft Intune モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、Connector for SCEP for Microsoft Intune を作成した後に Microsoft Intune を設定する方法について説明します。
前提条件
Connector for SCEP for Microsoft Intune を作成する前に、次の前提条件を満たす必要があります。
Entra ID を作成します。
Microsoft Intune テナントを作成します。
Microsoft Entra ID でアプリ登録を作成します。アプリ登録のアプリケーションレベルのアクセス許可を管理する方法については、Microsoft Entra ドキュメントの「Microsoft Entra ID でアプリのリクエスト
されたアクセス許可を更新する」を参照してください。アプリ登録には、次のアクセス許可が必要です。 Intune で scep_challenge_provider を設定します。
Microsoft Graph の場合、Application.Read.All と User.Read を設定します。
アプリケーション登録管理者の同意でアプリケーションを許可する必要があります。詳細については、Microsoft Entra ドキュメントの「テナント全体の管理者にアプリケーションへの同意を付与
する」を参照してください。 ヒント
アプリ登録を作成するときは、アプリケーション (クライアント) ID とディレクトリ (テナント) ID またはプライマリドメインを書き留めます。Connector for SCEP for Microsoft Intune を作成するときは、これらの値を入力します。これらの値を取得する方法については、Microsoft Entra ドキュメントの「Create a Microsoft Entra application and service principal that can access resources
」を参照してください。
ステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与する
Connector for SCEP for Microsoft Intune を作成したら、Microsoft App Registration でフェデレーティッド認証情報を作成して、Connector for SCEP が Microsoft Intune と通信できるようにする必要があります。
Microsoft Intune で を外部 CA AWS Private CA として設定するには
Microsoft Entra ID コンソールで、アプリ登録に移動します。
Connector for SCEP で使用するように作成したアプリケーションを選択します。クリックするアプリケーションのアプリケーション (クライアント) ID は、コネクタの作成時に指定した ID と一致する必要があります。
マネージドドロップダウンメニューから証明書とシークレットを選択します。
フェデレーティッド認証情報タブを選択します。
認証情報の追加 を選択します。
フェデレーティッド認証情報のシナリオドロップダウンメニューから、その他の発行者を選択します。
Connector for SCEP for Microsoft Intune の詳細から発行者フィールドに OpenID 発行者値をコピーして貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの Connectors for SCEP リストからコネクタ
を選択します。または、GetConnector を呼び出して URL を取得し、レスポンスから Issuer値をコピーすることもできます。Type で、明示的なサブジェクト識別子を選択します。
コネクタから OpenID サブジェクト値をコピーして Value フィールドに貼り付けます。OpenID 発行者の値は、 AWS コンソールのコネクタの詳細ページで表示できます。または、GetConnector を呼び出して URL を取得し、レスポンスから
Audience値をコピーすることもできます。(オプション) Name フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができますAWS Private CA。
(オプション) 説明フィールドに説明を入力します。
Connector for SCEP for Microsoft Intune の詳細から OpenID Audience 値をコピーして、Audience フィールドに貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの Connectors for SCEP リストからコネクタ
を選択します。または、GetConnector を呼び出して URL を取得し、レスポンスから Subject値をコピーすることもできます。[追加] を選択します。
ステップ 2: Microsoft Intune 設定プロファイルを設定する
Microsoft Intune を呼び出す AWS Private CA アクセス許可を付与したら、Microsoft Intune を使用して、証明書の発行のために Connector for SCEP に連絡するようにデバイスに指示する Microsoft Intune 設定プロファイルを作成する必要があります。
信頼できる証明書設定プロファイルを作成します。Connector for SCEP で使用しているチェーンのルート CA 証明書を Microsoft Intune にアップロードして、信頼を確立する必要があります。信頼できる証明書設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの「Microsoft Intune の信頼できるルート証明書プロファイル
」を参照してください。 デバイスが新しい証明書を必要とするときにコネクタを指す SCEP 証明書設定プロファイルを作成します。設定プロファイルのプロファイルタイプは SCEP 証明書である必要があります。設定プロファイルのルート証明書については、前のステップで作成した信頼された証明書を使用していることを確認してください。
SCEP サーバー URLs の場合は、コネクタの詳細からパブリック SCEP URL をコピーして SCEP サーバー URLs。コネクタの詳細を表示するには、コネクタ for SCEP リストからコネクタ
を選択します。または、ListConnectors を呼び出して URL を取得し、レスポンスから Endpoint値をコピーすることもできます。Microsoft Intune で設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの「Microsoft Intune で SCEP 証明書プロファイルを作成して割り当てる」を参照してください。 注記
非 mac OS および iOS デバイスの場合、設定プロファイルで有効期間を設定しないと、Connector for SCEP は有効期間が 1 年の証明書を発行します。設定プロファイルで拡張キー使用量 (EKU) 値を設定しない場合、Connector for SCEP は で設定された EKU を使用して証明書を発行します
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)。macOS または iOS デバイスの場合、Microsoft Intune は設定プロファイルのExtendedKeyUsageパラメータまたはValidityパラメータを尊重しません。これらのデバイスの場合、Connector for SCEP はクライアント認証を通じてこれらのデバイスに 1 年間の有効期間を持つ証明書を発行します。
ステップ 3: Connector for SCEP への接続を確認する
Connector for SCEP エンドポイントを指す Microsoft Intune 設定プロファイルを作成したら、登録されたデバイスが証明書をリクエストできることを確認します。確認するには、ポリシーの割り当てに失敗していないことを確認します。確認するには、Intune ポータルで Device > Manage Devices > Configuration に移動し、Configuration Policy Assignment Failures に何もリストされていないことを確認します。ある場合は、前の手順の情報を使用してセットアップを確認します。セットアップが正しく、それでも失敗する場合は、「モバイルデバイスから利用可能なデータを収集
デバイス登録の詳細については、Microsoft Intune ドキュメントの「デバイス登録とは
