この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

分割テナンシー

SCEPman Enterprise Edition のみ

概要

SCEPman は、証明書をユーザーおよび/またはデバイスに発行する Azure/Intune テナントとは別の Azure テナントから動作するようにセットアップできます。この構成は split-tenancy として知られており、特に MSP にとって便利です 。これにより、各顧客ごとに専用のバックエンドと固有の CA を維持しながら、顧客全体で Azure インフラストラクチャのコストを集約できます。

Split-tenancy には 大きな欠点が伴います: Managed Identities 。Graph API(Azure AD および Intune)に対する認証は、App registration と Client secret を使用して処理されるため、もはや使用できません。これらは期限切れになるため、(MSP により)管理する必要があります。

以下では、ホスティング テナントを home tenant, と呼び、顧客テナントを target tenantと呼びます。SCEPman のリソースは home tenantに存在し、管理対象デバイスは target tenant に存在します。下の図のとおりです:

構成手順

  1. 次の home tenant、当社の Getting Started Guide.

に記載されているとおり、SCEPman/Certificate Master の標準デプロイを実行します。

  1. SCEPman の App service に移動し、次に「Settings」-->「Environment variables」に進みます。以下のパラメーターを見つけて、 削除 します:

Environment Variables

AppConfig:AuthConfig:ManagedIdentityEnabledForWebsiteHostname

AppConfig:AuthConfig:ManagedIdentityEnabledOnUnixTime

AppConfig:AuthConfig:ManagedIdentityPermissionLevel

  1. 以下の設定の名前を変更します( 値は変更しないでください)。):

元の名前
新しい名前

AppConfig:AuthConfig:ApplicationId

AppConfig:AuthConfig:HomeApplicationId

AppConfig:AuthConfig:TenantId

AppConfig:AuthConfig:HomeTenantId

  1. 以下の手順に従って App registrationtarget tenant を作成します: Azure App Registration。これにより、SCEPman は App registration で Azure AD と Intune のディレクトリにアクセスできるようになります。 target tenant.

この client secret この App registration には有効期限があり、期限切れになる前に更新する必要があります。更新のリマインダーを設定してください。

作成 アプリ登録の作成時にまだ行っていない場合は、以下の新しい環境変数を設定します:

名前

AppConfig:AuthConfig:ApplicationId

GUID of the App registration that was created before (target tenant)。

AppConfig:AuthConfig:TenantId

Tenant ID of the target tenant.

AppConfig:AuthConfig:ApplicationKey

Client secret that was created as part of the App registrationtarget tenant.

  1. 変更を適用します。

  2. SCEPman を再起動します App service.

Certificate Master

  1. Certificate Master に移動し、次に「Settings」>「Environment variables」に進みます。 App service これで 2 つの विकल्पがあります:

  2. ユーザーに

    1. から Certificate Master にログインして証明書を発行してほしい場合、これにはホーム テナント内のゲスト ユーザーも含まれます。たとえば target tenant からのユーザーです。 home tenant オプション 1: Home Tenant のユーザーが Certificate Master にログイン

その場合は、

名前を変更 してください。 値は変更しないでください)。):

元の名前
新しい名前

AppConfig:AuthConfig:TenantId

AppConfig:AuthConfig:HomeTenantId

AppConfig:AuthConfig:ApplicationId

AppConfig:AuthConfig:HomeApplicationId

b. ユーザーに target tenant から Certificate Master にログインして証明書を発行してほしい場合、これにはターゲット テナント内のゲスト ユーザーも含まれます。たとえば home tenant からのユーザーです。

オプション 2: Target Tenant のユーザーが Certificate Master にログイン

その場合は、以下を実行します:

  • 開いて PowerShell または Azure Cloud Shelltarget tenant 次のコマンドを実行します:

置き換える <url> を Certificate Master の URL に置き換えます

  • この CMDletApplication IdTenant Idtarget tenantのもの)を出力します。これら 2 つの値を Certificate Master の設定に

    • AppConfig:AuthConfig:HomeApplicationId および

    • AppConfig:AuthConfig:HomeTenantId として入力します。

  • 次に 作成し 以下の新しいアプリケーション設定を、SCEPman と同じ値で、既存の設定を上書きする可能性も含めて作成します:

名前

AppConfig:AuthConfig:ApplicationId

GUID of the App registration 以前に作成されたもの。

AppConfig:AuthConfig:TenantId

Tenant ID of the target tenant.

AppConfig:AuthConfig:ApplicationKey

Client secret that was created as part of the App registration 以前。 必要であれば、Certificate Master 用に別の新しい Client secret を作成できます。

  1. 変更を保存します

  2. SCEPman Certificate Master を再起動します App service.

  3. を通じて証明書を要求する権限を付与します Certificate Master Web アプリについては、 こちら

概要として、以下は Certificate Master で使用されるアカウントと、その用途です:

アカウント
何に使用されますか?
備考

Managed Identity

  • SCEPman に送信された CSR を承認する

  • Storage Account へのアクセス

N/A

App ID が ApplicationId

Certificate Master はこのコンテキストで Microsoft Graph にアクセスし、Intune 経由でどの証明書が登録されたかを確認します

もし ApplicationKey が存在しない場合は、代わりに Managed Identity が使用されます。

App ID が HomeApplicationId

ユーザーは認証します から このアプリケーションに。Certificate Master にアクセスするユーザーが存在するテナントにある必要があります(ただし、他のテナントのゲストユーザーも承認できます)

もし HomeApplicationId が存在しない場合は、 ApplicationId が代わりに使用されます。

これで Split-Tenancy の構成は完了です。続いて、MDM に基づいて SCEP プロファイルを構成できます。詳細は こちら

複数の target tenant がある場合の考慮事項

異なる target tenant に証明書を発行する複数の SCEPman インスタンスを持ちたい場合、それらを相互に分離するために追加の構成手順を実行する必要があります。

考えられる構成としては、すべての SCEPman App Service にコンピューティング リソースを提供する単一の App Service Plan を保持する管理用リソース グループを含めることができます。複数のテナントに対してこれを行う場合は、次の点を考慮してください:

  • 各インスタンスには、それらを区別するための独自のリソース グループを持たせるべきです

  • 権限を分離するために、各インスタンスごとに App Registrations を作成する必要があります

  • App Service Plan は複数のインスタンスにサービスを提供するため、独立した管理用リソース グループに作成する必要があります

この図では、管理用テナントとその 2 つの SCEPman インスタンスが、Contoso と Tailwind のテナントに証明書を提供しています:

Unexpected error with integration mermaid: Integration is not installed on this space

既存の App Service Plan に新しい SCEPman インスタンスを追加する

次の enterprise deployment method を使用して新しい SCEPman インスタンスをデプロイする際、既存の App Service Plan の resource id を入力して、このインスタンスをそこに追加することができます。

この resource id は、既存の app service plan のプロパティで確認できます:

顧客ごとの App registrations を作成する

アプリの権限を分離するには、デプロイ後コマンドを調整してカスタム App Registrations を指定する必要があります:

このコマンドにより、以前のインスタンスから分離された完全に構成済みの SCEPman インスタンスが作成されます。これで、このインスタンスの split tenancy の構成に進むことができます。

Certificate Master に関する上記のセクションは、このサービスを顧客テナントからアクセス可能にしたい場合に、任意で適用できます。

最終更新

役に立ちましたか?