デバイス ディレクトリ

SCEPman は、デバイス証明書を検証するための 2 つのオプションを提供します（例: OCSP リクエスト用）。どちらのディレクトリも、SCEPman が存在確認を行うための異なる ID を持つデバイス オブジェクトを保持します:

• Microsoft Entra ID (Azure AD) デバイス ID

• Intune (Intune デバイス ID)

これらの ID は、Intune の各デバイスの「Hardware」タブで表示できます:

発行済み証明書の背後にあるデバイスを識別するために、SCEPman は対応する ID をサブジェクト名に必要とします:

• Microsoft Entra ID (Azure AD): CN={{AAD_Device_ID}}

• Intune: CN={{DeviceId}}

Intune で SCEPman と証明書プロファイルを設定する際は、どのインベントリを使用するかを 決定することが重要です.

Entra ID (AAD) vs. Intune

どちらのディレクトリにも長所と短所があります。一般的に、私たちは Intune を推奨します SCEPman 2.0 以降ではインベントリとして:

• Entra Device ID は登録中に変更される場合があります（iOS/iPadOS/macOS で確認されています）： Entra Device ID は、デバイスが最終的に AAD 登録されるまで、Intune デバイス ID に設定されます。Intune は、デバイスが最終的な ID を取得する前にすでに証明書を発行します。その結果、この ID 変更後は SCEPman が AAD 内でデバイスを見つけられなくなります。

• Intune は Entra ID (AAD) よりも適切に管理されていることが多い： 理論上、AAD と Intune のデバイス オブジェクトは互いに独立しています。Intune でデバイスを削除しても、対応する AAD オブジェクトは削除されません。さらに、Autopilot デバイスは Microsoft Entra ID (Azure AD) ではなく Intune でのみ削除できます。したがって、証明書は依然として有効です。

SCEPman の構成

SCEPman は、検証にどのディレクトリを使用すべきかを知る必要があります。そのため、設定オプションAppConfig:IntuneValidation:DeviceDirectoryを提供しています。必要に応じてこの値を調整してください。

Certificate Profiles

また、「Certificate Profiles」で説明されているように、必要に応じてサブジェクト名も調整してください Microsoft Intune.

ご注意ください、 CN={{DeviceId}} は現在、「Certificate Profiles」に記載されているように Android Enterprise Fully Managed、Dedicated、Corporate-Owned Work Profile ではサポートされていません Microsoft docs。これらのデバイスタイプを使用している場合は、両方のディレクトリを確認するか、Microsoft Entra ID (Azure AD) のみを確認することを検討してください。

については 移行 Microsoft Entra ID (Azure AD) から Intune ID へ、またはその逆へ、 証明書 は すべてのクライアントで再発行する必要があります。この変更中は、SCEPman を AppConfig:IntuneValidation:DeviceDirectory で両方のディレクトリを確認するように構成してください（つまり、両方の ID を有効にします）。移行後は、Intune または AAD のいずれか一方のみをディレクトリとして使用するよう切り替えることができます。