Intune 検証

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

値: 常に または しない （既定）

説明: SCEPman が OCSP 要求を受信すると、SCEPman は必要に応じてデバイスのコンプライアンス状態を確認できます。次のように設定した場合 常に SCEPman はデバイスのコンプライアンス状態を照会し、デバイスが Azure AD でも準拠としてマークされている場合にのみ、OCSP の結果を GOOD にできます。

これを次のように設定すると しない コンプライアンス チェックは無効になります。

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

値: 整数 （既定値: 0）

説明: 登録直後は、デバイスはまだ Intune で準拠していないことがよくあります。この設定では、まだ準拠していなくてもデバイスを準拠していると見なす猶予期間を分単位で定義します。猶予期間後もデバイスが準拠していない場合、証明書は失効されます。これにより、登録直後の Windows デバイスが Windows Autopilot の登録を完了するために SCEP プロファイルを正常に完了する必要がある一方で、Intune で準拠状態になるのは少し後になる、という問題を防ぎます。

この設定は Intune の EnrolledDateTime プロパティを確認し、その時点からカウントを開始します。

これは Ephemeral Bootstrap Certificates を使用する代替手段です。0 より大きい値を構成すると、SCEPman は Ephemeral Bootstrap Certificates を発行しなくなります。

この設定は、次の場合にのみ有効です ComplianceCheck が 常に.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

値: String

使用可能なオプション:

• AAD （SCEPman 2.0 の既定）

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic （SCEPman 2.1 以降の既定）

• AADAndIntuneAndEndpointlist （SCEPman 2.2 以降で利用可能）

説明: デバイス証明書の OCSP 要求時に、どこでデバイスを検索するかを決定します。対応するディレクトリに対して、証明書のサブジェクト CN フィールドに書き込まれたデバイス ID と一致するデバイスが照会されます。デバイスが存在する場合にのみ証明書は有効です。 AADの場合は、そのデバイスが有効化されている必要もあります（Intune はデバイスの無効化をサポートしていません）。ComplianceCheck が有効な場合、デバイスは準拠している必要もあります。何も構成されておらず、SCEPman 1.9 以前では、 AAD が使用されます。

したがって、それに応じてデバイス用の Intune 構成プロファイルを構成する必要があります。 {{AAD_Device_ID}} は Entra/AAD デバイス ID であり、一方 {{DeviceID}} は Intune デバイス ID です。

については AADAndIntune、両方のディレクトリが並列に照会されます。この場合、2 つのディレクトリのいずれか一方にデバイスが存在していれば十分です。この設定により、両方の種類のディレクトリに対してまだ有効な証明書がある場合に、一方の設定からもう一方へ移行できます。また、プラットフォームごとに異なる構成をしているケースもサポートします。さらに、証明書登録時点では完全に Entra 参加していないために Intune ID が Entra ID オブジェクト ID の代わりに割り当てられる iOS または Android デバイスに対する回避策としても使用できます。

SCEPman 1.x から SCEPman 2.x にアップグレードしていて、まだ SCEPman のアクセス許可用の App Registrationを使用している場合、SCEPman には Intune でデバイスを照会する権限がありません。したがって、 AAD オプションに制限されます。オプション AADAndIntuneOpportunistic は、Intune を照会するための権限が SCEPman に付与されているかどうかを確認します。それらがあれば、これは AADAndIntuneのように動作します。それらがなければ、これは AAD.

値 AADAndIntuneAndEndpointlist は AADAndIntuneと同じように動作しますが、さらに Intune の発行済み証明書の一覧を照会します。Intune が 証明書の失効をトリガーした場合、これによりその証明書は SCEPman で失効状態になります。

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

値: true （既定）または false

説明: この設定は、Intune Device ID を使用する場合のデバイス検証を拡張します。Entra/AAD Device ID を使用する場合は機能しません。有効にすると、SCEPman はデバイス証明書の検証時に Intune Device の Management State プロパティを評価します。状態が次のいずれかの値を示す場合、証明書は失効されます。

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

特に、これは、管理者がデバイスに対して Wipe または Retire をトリガーした場合、証明書が直ちに失効されることを意味します。デバイスがシャットダウン中またはオフラインであるためその操作をデバイス上で実行できない場合でも、その証明書はもはや有効ではありません。

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

値: ユーザー リスク レベルのコンマ区切りリスト（例: Low, Medium, High.

説明: この設定は、 UserRiskCheck から 常にを設定した場合にのみ有効です。このリスト内のリスク レベルを持つユーザーの証明書は無効と見なされます。

例: この設定に対して Medium,High を定義します。あるユーザーのリスク レベルは Lowです。そのユーザーの証明書は有効であり、その証明書を使用して企業 VPN に接続できます。その後、リスク イベントによりユーザー リスク レベルが Mediumに上昇します。ユーザーは VPN への接続を試みますが成功しません。これは、VPN Gateway が証明書の有効性をリアルタイムで確認し、SCEPman がそれは失効されていると応答するためです。

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

値: 常に または しない （既定）

説明: SCEPman が Intune ユーザーに発行された証明書に対する OCSP 要求を受信すると、SCEPman は必要に応じて ユーザー リスク レベルを確認できます。次のように設定した場合 常に SCEPman はユーザーのリスク状態を照会し、ユーザーのリスクが UntoleratedUserRisks.

これを次のように設定すると しない のリストに含まれていない場合にのみ、OCSP の結果を GOOD にできます。これに設定すると、ユーザー リスク チェックは無効になります。

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

値: true （既定）または false

説明: 証明書が正常に発行された後、SCEPman はその証明書に関する通知を Intune に送信します。Microsoft はその仕様において応答を待つことを推奨しています。しかし、一部のインスタンスでは長い遅延が見られ、時折タイムアウトの原因となります。そのため、 True が既定値です。

これを次のように設定すると False にすると、SCEPman は Intune が通知に応答する前に発行済み証明書を返します。これは仕様の文言には反しますが、パフォーマンスを向上させ、この問題が発生するインスタンスでタイムアウトを回避します。

AppConfig:IntuneValidation:ValidityPeriodDays

Linux: AppConfig__IntuneValidation__ValidityPeriodDays

値: 正 整数

説明: この設定は、Intune エンドポイントのグローバルな ValidityPeriodDays をさらに短縮します。

AppConfig:IntuneValidation:EnableCertificateStorage

Linux: AppConfig__IntuneValidation__EnableCertificateStorage

値: true または false （既定）

説明: Intune エンドポイント経由で証明書を要求する場合、これが trueに設定されていると、SCEPman は要求された証明書を Azure の Storage Account に保存します。これにより、発行された証明書が SCEPman Certificate Master に表示され、そこで表示および手動で失効できます。さらに、関連付けられた Entra または Intune オブジェクトが、他の設定で指定された無効な状態（無効化または削除など）になると、証明書は自動的に失効されます。 falseに設定されている場合、SCEPman は発行済み証明書を保存せず、証明書はログ内、または Certificate Master もしくは Intune portal のクラシック Intune ビューでのみ表示されます。これが設定されていない場合、動作はグローバル設定 AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

値: true または false （既定）

説明: これにより、 RenewalReq 操作をこの SCEP エンドポイントで使用できます。これは、 AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

この操作は、 SCEPmanClient PowerShell モジュール。

AppConfig:IntuneValidation:AllowRequestedSidExtension

値: true または false （既定）

説明: 証明書要求に SID 拡張機能（OID 1.3.6.1.4.1.311.25.2）が含まれている場合、この設定が true であれば発行された証明書にコピーされます。false の場合は除外されます。SID は、オンプレミス AD 認証シナリオで証明書を強力にマッピングするために重要です。しかし、Intune はどうやら 要求された SID の真正性を確認しない ようであるため、要求された SID 拡張機能を許可するとセキュリティ脆弱性をもたらす可能性があります。

によって追加された SID 拡張機能は AppConfig:AddSidExtension この設定の影響を受けません。さらに、SID を含む SAN URI として追加された SID も、SCEPman のバージョンが 2.11.1460 以降であれば影響を受けません — それ以前のバージョンの SCEPman では、この trueの場合にのみ SAN URI SID をコピーしますが、それらの既定値は true です。

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

値: この一覧からの証明書タイプをコンマ区切りで指定します:

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

• JamfComputer

説明: この設定で指定した種類の証明書の更新に SCEP エンドポイントを使用できます。値を指定しない場合、既定では種類なしになります。

たとえば、Certificate Master を通じて手動で発行された証明書を更新したい場合は、 Staticを指定します。Domain Controller 証明書も更新したい場合は、 DomainController,Static.