Certificate Master RBAC
SCEPman Enterprise Edition のみ
SCEPman Certificate Master バージョン 2.5 以降に適用されます
ユーザーが SCEPman Certificate Master にアクセスすると、その役割によって実行できる操作と表示できる証明書が決まります。役割は Enterprise Application を通じて決定されます SCEPman-CertMaster Microsoft Entra ID (Azure AD) 内で。SCEPman を 2.5 より前のバージョンでインストールしている場合、Microsoft Entra Portal で役割を表示するには、SCEPman PS Module から Complete-SCEPmanInstallation CMDlet を再度実行する必要があります。利用可能な役割は次のとおりです:
利用可能な役割
Admin.Full: この役割のメンバーは SCEPman Certificate Master であらゆる操作を行えます。将来のバージョンの SCEPman Certificate Master に新機能が追加された場合、この役割のメンバーはそれらの機能にアクセスできます。
Manage.All: この役割のメンバーは、すべての証明書を表示および失効できます。これには、Certificate Master データベース内の証明書と Intune 経由で登録された証明書の両方が含まれます。
Manage.All.Read: メンバーはすべての証明書を表示できますが、失効はできません。
Manage.Intune: メンバーは Intune 経由で登録された証明書を表示および失効できます。
Manage.Intune.Read: メンバーは Intune 経由で登録された証明書を表示できますが、失効はできません。
Manage.Storage: メンバーは Certificate Master データベース内の証明書を表示および失効できます。
Manage.Storage.Read: メンバーは Certificate Master データベース内の証明書を表示できますが、失効はできません。
Request.All: メンバーはあらゆる種類の証明書を要求できます。これには、任意の種類の CSR 要求の送信が含まれます。ユーザーが CSR 要求を送信する必要がある場合、この役割が必要です。
Request.Client: 要求はクライアント証明書、つまり手動で作成されたデバイス証明書に限定されます。これらには Client Authentication Extended Key Usage (EKU) と、カスタマイズ可能なサブジェクトがあります。
Request.CodeSigning: 要求はコード署名証明書にのみ行えます。
Request.Server: メンバーはサーバー証明書のみ要求できます。これらには Server Authentication EKU があります。
Request.SubCa: メンバーは下位 CA 用の証明書を要求できます。ただし、Extended Key Usage により、これらの CA は Server Authentication 証明書のみを発行できます。これにより、ファイアウォールで使用される TLS インターセプトには利用できますが、他の目的には利用できません。これはセキュリティ機能です。別の目的で下位 CA が必要な場合は、CSR を作成して Certificate Master に送信する必要がありますが、その場合は Request.All 役割が必要です。
Request.User: メンバーはユーザー証明書のみ要求できます。これらには Client Authentication EKU と、要求者が選択した UPN があります。SCEPman 2.6 以降では、Smart Card Logon EKU も使用できます。この役割を持つユーザーは他のユーザーの証明書を要求できることに注意してください。AD または AAD で Certificate Based Authentication を有効にし、この目的で SCEPman CA を AD または AAD で信頼済みとして追加している場合、他のユーザーになりすますために使用される可能性があります。
これは、インストール後の構成で追加される既定の役割セットです。必要に応じて、さらに高度な役割を追加できます: CSR とフォームの役割
役割の割り当て
最終更新
役に立ちましたか?