翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Connector for SCEP の Omnissa Workspace ONE を設定する
<a name="connector-for-scep-omnissa"></a>

Omnissa Workspace ONE UEM (Unified Endpoint Management) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、SCEP コネクタを作成した後に Omnissa Workspace ONE を設定する方法について説明します AWS。

## 前提条件
<a name="prerequisites"></a>

Omnissa Workspace ONE 用の SCEP コネクタを作成する前に、次の前提条件を満たす必要があります。
+  AWS コンソールでプライベート CA を作成します。詳細については、「[でプライベート CA を作成する AWS Private CA](create-CA.md)」を参照してください。
+ 汎用 SCEP コネクタを作成します。詳細については、[「コネクタの作成](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)」を参照してください。
+ Organization Group ID を持つアクティブな Omnissa Workspace ONE 環境管理者アカウントがある。
+ Apple デバイスを登録する場合は、MDM の Apple Push Notification Service (APNs) を設定します。詳細については、Omnissa ドキュメント[APNs 証明書](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)」を参照してください。

## ステップ 1: Omnissa Workspace ONE で認証機関とテンプレートを定義する
<a name="step-1-define-certificate-authority-and-template"></a>

 AWS コンソールでプライベート CA と SCEP コネクタを作成したら、Omnissa Workspace ONE で認証機関とテンプレートを定義します。

**認証機関 AWS Private CA として を追加する**

1. **システム**メニューからエンタープライズ**統合**を選択し、**認証機関**を選択します。

1. **\+ ADD** を選択し、次の情報を指定します。
   + **名前**: AWS-Private-CA。
   + **説明**: デバイス証明書の発行 AWS Private CA 用。
   + **権限タイプ**: **汎用 SCEP **を選択します。
   + **SCEP URL**: SCEP URL を入力します AWS Private CA。
   + **チャレンジタイプ**: **STATIC** を選択します。
   + **静的チャレンジ**: AWS コンソールで Connector for SCEP 設定から SCEP 静的チャレンジパスワードを入力します。
   + **再試行タイムアウト**値と**最大再試行**値を入力します。

1. 設定を保存します。

**証明書テンプレートを作成する**

1. **システム**メニューから、**エンタープライズ統合**を選択し、**認証機関**を選択し、**テンプレート**を選択します。

1. **テンプレートの追加**を選択し、次の情報を指定します。
   + **テンプレート名**: Device-Cert-Template。
   + **認証機関**: **AWS-Private-CA** を選択します。
   + **サブジェクト名**: これはカスタマイズ可能なフィールドです。属性のリストから変数値を選択できます。例えば、CN={DeviceReportedName}、O={DevicePlatform}、OU={CustomAttribute1}
   + **プライベートキーの長さ**: 2048 ビット。
   + **プライベートキータイプ**: 必要に応じて**署名**と**暗号化**を選択します
   + **自動更新**: 有効/無効 (必要に応じて）。

1. テンプレートを保存します。

## ステップ 2: Omnissa Workspace ONE UEM プロファイル設定を設定する
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Omnissa Workspace ONE UEM でプロファイルを作成し、デバイスを Connector for SCEP に指示して証明書を発行します。

**証明書配布用の SCEP デバイスプロファイルを作成する**

1. **リソース**メニューから、**プロファイルとベースライン**を選択し、**プロファイル**を選択します。

1. **追加**を選択し、**プロファイルを追加する**

1. デバイスプラットフォーム (**Android**、**iOS**、**macOS**、**Windows**) を選択します。

1. 必要に応じて**管理タイプ**と**コンテキスト**を設定します。

1. **名前** Device-Cert-Profile を設定します。

1. **SCEP ペイロード**までスクロールします。

1. **SCEP** を選択し、**\+Add** を選択します。

1. 次の設定を使用します。
   + **SCEP**:
     + **認証情報ソース** で、**定義済み認証局** (デフォルト) を選択します。
     + **認証機関**の場合は、**AWS-Private-CA** を選択します。
     + **証明書テンプレート**で、ステップ 1 で定義した **Device-Cert-Template** を選択します。

1. **次へ** を選択し、**「割り当て**」セクションで、リストから適切なスマートグループ (デバイスの割り当てグループ) を選択します。

1. 自動更新を有効にするには、**割り当てタイプ**を**自動**として選択します。

1. プロファイルを保存して公開します。

**注記**  
詳細については、Omnissa ドキュメントの[「SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)」を参照してください。

## ステップ 3: Omnissa Workspace ONE にデバイスを登録する
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**スマートグループを作成または検証する**

1. **「グループと設定**」から**「グループ**」を選択し、**「割り当てグループ**」を選択します。

1. POC-Devices スマートグループを作成または編集します。
   + **名前**: POC-Devices。
   + **デバイスタイプ**: **すべて**または特定のプラットフォーム (Android や iOS など) を選択します。
   + **基準**: **UserGroup**、**プラットフォームと OS**、**OEM、モデル**を使用して、ターゲットデバイスをグループ化する基準を指定します。
   + **所有権**: 個人デバイスまたは企業デバイスの場合は**任意の** を選択します。

1. ターゲットデバイスを保存して**プレビュー**タブに表示されることを確認します。

### 手動デバイス登録
<a name="manual-device-enrollment"></a>

Android  
+ Google Play から **Workspace ONE Intelligent Hub **アプリをダウンロードします。
+ アプリを開き、登録 URL を入力するか、QR コードをスキャンします。
+ ログインし、プロンプトに従って MDM 管理デバイスとして登録します。

iOS/macOS  
+ デバイスで **Safari** を開き、登録 URL (https://<WorkspaceONEUEMHostname>/enroll など) に移動します。
+ ユーザー認証情報を使用してログインします。
+ App Store **から Workspace ONE Intelligent Hub** アプリをダウンロードしてインストールします。
+ プロンプトに従って、**設定** > **全般** > **VPN & デバイス管理** > **プロファイル** > ****インストールで MDM プロファイルをインストールします。

Windows  
+ **Workspace ONE Intelligent Hub **を Workspace ONE サーバーまたは Microsoft Store からダウンロードします。
+ 登録 URL と認証情報を使用して Hub 経由で登録します。

デバイス > **リストビュー** > **その他のアクション** > スマートグループへの割り当てで、登録済み**デバイスを** POC-Devices **スマートグループに割り当てます**。

詳細については、Omnissa ドキュメントの[「自動デバイス登録](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)」を参照してください。

**登録の確認**

1. Omnissa Workspace ONE UEM コンソールで、**デバイス**に移動し、**ビューを一覧表示**します。

1. 登録済みデバイスが表示され、ステータスが**登録**済みに設定されていることを確認します。

1. デバイス**の詳細**の**グループ**タブで、デバイスが POC-Devices スマートグループにあることを確認します。

## ステップ 4: 証明書を発行する
<a name="step-4-certificate-issuance"></a>

**証明書の発行をトリガーする**

1. **デバイス****リストビュー**で、登録されたデバイスを選択します。

1. **クエリ**ボタンを選択して、チェックインを促します。

1. Device-Cert-Profile は、 を介して証明書を発行する必要があります AWS Private CA。

**証明書のインストールを確認する**

Android  
**「設定**」、**「セキュリティ****」、「信頼できる認証情報」、「ユーザー**」を選択して証明書を検証します。 ****

iOS  
**「設定**」に移動し、**「全般**」、**「VPN & デバイス管理**」、**「設定プロファイル**」を選択します。AWS-Private-CA の証明書が存在することを確認します。

macOS  
**Keychain Access** を開き、**System Keychain** を開いて証明書を検証します。

Windows  
**certmgr.msc** を開き、次に **Personal** を開き、次に **Certificates** を開いて証明書を検証します。

## トラブルシューティング
<a name="troubleshooting"></a>

SCEP エラー (「22013 - SCEP サーバーが無効なレスポンスを返しました」など)  
+ Workspace ONE の SCEP URL と静的チャレンジパスワードが一致していることを確認します AWS Private CA。
+ SCEP エンドポイント接続をテストする: curl <SCEP\_URL>。
+ エラー ( AWS Private CA `IssueCertificate` の失敗など) がないか AWS CloudTrail ログを確認します。

APNsの問題 (iOS/macOS)  
+ APNs 証明書が有効で、正しい組織グループに割り当てられていることを確認します。
+ APNs接続のテスト: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195。

プロファイルのインストール失敗  
+ デバイスが正しいスマートグループ (**デバイス**、**リストビュー**、**グループ**) にあることを確認します。
+ プロファイルの同期を強制する: **その他のアクション**、**送信**、**プロファイルリスト**。

ログ  
+ Android: **Logcat** または Workspace ONE ログを使用します。
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (Xcode/Apple Configurator 経由）。
+ Windows: **イベントビューワー**、アプリケーション**とサービスログ**、**Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM: **モニタリング**、**レポートと分析**、**イベント**、**デバイスイベント**。

での SCEP モニタリング用コネクタの詳細については AWS、「[https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)」を参照してください。

## セキュリティに関する考慮事項
<a name="security-considerations"></a>
+ SCEP URLs とシークレットを安全に保存します。詳細については、 [AWS Secrets Manager サービス](https://docs.aws.amazon.com/secretsmanager/)を参照してください。
+ スマートグループ基準をターゲットデバイスのみに制限します。
+ Apple Push Notifications (APNs) 証明書を定期的に更新します (1 年間有効です）。
+ 概念実証プロジェクトの証明書の有効期間を短く設定して、リスクを最小限に抑えます。
+ 個人用デバイスの場合は、クリーンアップによってすべてのプロファイルと証明書が削除されていることを確認します。

SCEP コネクタを使用して Omnissa Workspace ONE UEM と CA の統合を設定する方法については、[「Omnissa Workspace ONE ドキュメント」の「SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)」を参照してください。