翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Connector for SCEP の Microsoft Intune を設定する
Microsoft Intune モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、Connector for SCEP for Microsoft Intune を作成した後に Microsoft Intune を設定する方法について説明します。
前提条件
Connector for SCEP for Microsoft Intune を作成する前に、次の前提条件を満たす必要があります。
Entra ID を作成します。
Microsoft Intune テナントを作成します。
Microsoft Entra ID でアプリ登録を作成します。アプリケーション登録のアプリケーションレベルのアクセス許可を管理する方法については、Microsoft Entra ドキュメントの「Microsoft Entra ID でアプリケーションがリクエスト
したアクセス許可を更新する」を参照してください。アプリ登録には、次のアクセス許可が必要です。 Intune で scep_challenge_provider を設定します。
Microsoft Graph の場合、Application.Read.All と User.Read を設定します。
アプリケーション登録管理者の同意でアプリケーションを許可する必要があります。詳細については、Microsoft Entra ドキュメントの「テナント全体の管理者にアプリケーションへの同意を付与
する」を参照してください。 ヒント
アプリ登録を作成するときは、アプリケーション (クライアント) ID とディレクトリ (テナント) ID またはプライマリドメインを書き留めます。Connector for SCEP for Microsoft Intune を作成するときに、これらの値を入力します。これらの値を取得する方法については、Microsoft Entra ドキュメントの「リソースにアクセスできる Microsoft Entra アプリケーションおよびサービスプリンシパルを作成する
」を参照してください。
ステップ 1: Microsoft Entra ID アプリケーションを使用する AWS Private CA アクセス許可を付与する
Connector for SCEP for Microsoft Intune を作成したら、Connector for SCEP が Microsoft Intune と通信できるように、Microsoft アプリ登録でフェデレーション認証情報を作成する必要があります。
Microsoft Intune で を外部 CA AWS Private CA として設定するには
Microsoft Entra ID コンソールで、アプリ登録に移動します。
Connector for SCEP で使用するように作成したアプリケーションを選択します。クリックするアプリケーションのアプリケーション (クライアント) ID は、コネクタの作成時に指定した ID と一致する必要があります。
マネージドドロップダウンメニューから証明書とシークレットを選択します。
フェデレーティッド認証情報タブを選択します。
認証情報の追加 を選択します。
フェデレーティッド認証情報シナリオのドロップダウンメニューから、その他の発行者を選択します。
Connector for SCEP for Microsoft Intune の詳細から OpenID 発行者値をコピーして発行者フィールドに貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの Connectors for SCEP リストからコネクタ
を選択します。または、URL を呼び出して GetConnector を取得し、レスポンスから Issuer値をコピーすることもできます。Connector for SCEP for Microsoft Intune の詳細から OpenID オーディエンス値をコピーして、オーディエンスフィールドに貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの Connectors for SCEP リストからコネクタ
を選択します。または、URL を呼び出して GetConnector を取得し、レスポンスから Subject値をコピーすることもできます。(オプション) 名前フィールドにインスタンスの名前を入力します。例えば、 という名前を付けることができますAWS Private CA。
(オプション) 説明フィールドに説明を入力します。
オーディエンスフィールドで編集 (オプション) を選択します。OpenID のサブジェクト値をコネクタからサブジェクトフィールドにコピーして貼り付けます。OpenID 発行者の値は、 AWS コンソールのコネクタの詳細ページで確認できます。または、URL を呼び出して GetConnector を取得し、レスポンスから
Audience値をコピーすることもできます。[追加] を選択します。
ステップ 2: Microsoft Intune 設定プロファイルを設定する
Microsoft Intune を呼び出す AWS Private CA アクセス許可を付与したら、Microsoft Intune を使用して、証明書の発行のために Connector for SCEP に連絡するようにデバイスに指示する Microsoft Intune 設定プロファイルを作成する必要があります。
信頼できる証明書設定プロファイルを作成します。Connector for SCEP で使用しているチェーンのルート CA 証明書を Microsoft Intune にアップロードして、信頼を確立する必要があります。信頼できる証明書設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの「Microsoft Intune の信頼できるルート証明書プロファイル
」を参照してください。 デバイスが新しい証明書を必要とするときにコネクタを指す SCEP 証明書設定プロファイルを作成します。設定プロファイルのプロファイルタイプは SCEP 証明書である必要があります。設定プロファイルのルート証明書には、前のステップで作成した信頼できる証明書を使用していることを確認してください。
SCEP Server URLs の場合は、コネクタの詳細URLからパブリックSCEPをコピーして SCEP Server URLs フィールドに貼り付けます。コネクタの詳細を表示するには、Connectors for SCEP リストからコネクタ
を選択します。または、URL を呼び出して ListConnectors を取得し、レスポンスから Endpoint値をコピーすることもできます。Microsoft Intune で設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの「Microsoft Intune で SCEP 証明書プロファイルを作成して割り当てる」を参照してください。 注記
Mac 以外の OS および iOS デバイスの場合、設定プロファイルに有効期間を設定しないと、Connector for SCEP は有効期間が 1 年の証明書を発行します。設定プロファイルで拡張キー使用量 (EKU) 値を設定しない場合、Connector for SCEP は で設定された EKU で証明書を発行します
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)。macOS または iOS デバイスの場合、Microsoft Intune は設定プロファイルのExtendedKeyUsageまたはValidityパラメータを尊重しません。これらのデバイスの場合、Connector for SCEP はクライアント認証を通じてこれらのデバイスに 1 年間の有効期間を持つ証明書を発行します。
ステップ 3: Connector for SCEP への接続を確認する
Connector for SCEP エンドポイントを指す Microsoft Intune 設定プロファイルを作成したら、登録されたデバイスが証明書をリクエストできることを確認します。確認するには、ポリシーの割り当てに失敗していないことを確認します。確認するには、Intune ポータルでデバイス > デバイスの管理 > 設定に移動し、設定ポリシーの割り当ての失敗に何もリストされていないことを確認します。ある場合は、前の手順の情報を使用してセットアップを確認します。セットアップが正しく、それでも障害が発生した場合は、「モバイルデバイスから利用可能なデータを収集
デバイス登録の詳細については、Microsoft Intune ドキュメントの「デバイス登録とは
