プライベートエンドポイント
SCEPman 2.8 以降をインストールすると、Storage Account と Key Vault はプライベートエンドポイントを通じて VNET に接続されます。これら 2 つの Azure リソースのデータへのアクセスは、例外を定義しない限りこの VNET 経由でのみ可能です。
この VNET は他の SCEPman コンポーネントと同じリソースグループに配置されます。SCEPman および SCEPman Certificate Master の App Service は VNET に接続されており、ネットワークレベルで Storage Account と Key Vault にアクセスできます。
インストール後、例外は設定されていないため、他のエンティティが Key Vault の証明書と鍵や Storage Account の Table Storage にアクセスすることはできません。必要な場合、例えば サブオーディネート CA を生成する または Storage Account をクエリする場合は、各 Azure リソースの Networking ブレードで例外を追加する必要があります。
Key Vault と Storage Account の管理インターフェイスへのアクセスは影響を受けません。つまり、Storage Account の SKU を変更したり Key Vault のアクセスログを確認したりするなどの操作を行うために管理用マシンを例外リストに追加する必要はありません。
SCEPman および SCEPman Certificate Master の App Service には、SCEPman 2.8 以降をインストールしてもプライベートエンドポイントはありません。これらはネットワーク制限なくインターネットからアクセス可能なままです。SCEPman は通常ネットワーク接続を確立するために使用されるインフラの一部であり、まだ接続されていない場合でも利用可能であるべきため、ネットワークレベルでのアクセス制限は推奨しません。
必要に応じて、Conditional Access を使用して SCEPman Certificate Master へのアクセスをネットワーク条件を含むさまざまな制限で制限できます。SCEPman は通常、SCEP と OCSP の 2 つのエンドポイントが Entra 認証を使用しないため Conditional Access を使用しませんが、次のようなアクセス制限に Conditional Access を使うことは考えられます: SCEPman の REST API.
プライベートエンドポイントに使用される Azure リソース
既存の SCEPman インストールへプライベートエンドポイントを追加する
SCEPman 2.7 以下をインストールしている場合、SCEPman を 2.8 以上にアップデートしても Key Vault と Storage Account に自動でプライベートエンドポイントは追加されません。これらは明確な判断の上で手動で追加する必要があります。手順は以下のガイドに従ってください:
KeyVault のプライベートエンドポイントを作成する
SCEPman のリソースグループ > に移動し、 KeyVault > Settings > Networking > Private endpoint connections でプライベートエンドポイントを作成します
リソースの種類を選択: Microsoft.KeyVault/vaults
あなたの KeyVault を Resource として選択し、 vault をターゲットサブリソースとして選択します
仮想ネットワークとデフォルトサブネット(最初の手順で作成したサブネットではない)を選択します
有効にする プライベート DNS ゾーンと統合 を選択すると、Private DNS ゾーンが自動的に作成され接続されます
テストと結果
確認が取れたら、Key Vault と Storage Account のパブリックアクセスを無効にできます。
正しく接続されている場合、SCEPman のホームページにはすべての接続が「Connected」と表示されるはずです
MDM を使用して証明書を展開するなどして、プライベートエンドポイントの実装が成功していることをテストしてください Certificate Master
最終更新
役に立ちましたか?