Intune 検証

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

値： 常に または 決して （既定）

説明： SCEPman が OCSP リクエストを受け取ったとき、SCEPman はオプションでデバイスのコンプライアンス状態を確認できます。設定が 常に の場合、SCEPman はデバイスのコンプライアンス状態を照会し、OCSP の結果はデバイスが Azure AD で準拠としてマークされている場合にのみ GOOD になります。

これを 決して に設定すると、コンプライアンスチェックは無効になります。

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

値： 整数 （既定：0）

説明： 登録直後、デバイスはしばしば Intune でまだ準拠していません。この設定は、たとえまだ準拠していなくてもデバイスを準拠と見なす猶予期間（分）を定義します。猶予期間後にデバイスが準拠していない場合、証明書は取り消されます。これは、Windows デバイスが登録中で SCEP プロファイルを正常に完了して Windows Autopilot 登録を終了する必要があるが、Intune で準拠となるのは後になる場合の問題を防ぎます。

この設定は Intune のプロパティ EnrolledDateTime をチェックし、その時点からカウントを開始します。

これはエフェメラル・ブートストラップ証明書を使用する代替手段です。0 より大きい値を設定すると、SCEPman はエフェメラル・ブートストラップ証明書を発行しなくなります。

この設定は ComplianceCheck が 常に.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

値： 文字列

選択肢：

• AAD （SCEPman 2.0 の既定）

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic （SCEPman 2.1 以降の既定）

• AADAndIntuneAndEndpointlist （SCEPman 2.2 以降で利用可能）

説明： デバイス証明書の OCSP リクエストでデバイスを検索する場所を決定します。対応するディレクトリは、証明書の subject CN フィールドに書かれたデバイス ID と一致するデバイスを照会します。デバイスが存在する場合にのみ証明書は有効です。の場合、（Intune はデバイスの無効化をサポートしていないため）それも有効である必要があります。ComplianceCheck が有効な場合、デバイスはさらに準拠している必要があります。何も構成されておらず SCEPman が 1.9 以下の場合、 AADが使用されます。 AAD したがって、デバイス向けの Intune 構成プロファイルを適切に構成する必要があります。

{{AAD_Device_ID}} は Entra/AAD のデバイス ID で、 {{DeviceID}} は Intune のデバイス ID です。 の場合、両方のディレクトリが並列に照会されます。この場合、いずれか一方のディレクトリにデバイスが存在すれば十分です。この設定は、両方の種類のディレクトリに対してまだ有効な証明書がある場合に、ある設定から別の設定への移行を可能にします。また、プラットフォームを異なる方法で構成しているケースをサポートします。さらに、iOS や Android デバイスがエンローされる時点で完全に Entra に参加しておらず Entra ID の代わりに Intune ID を受け取る場合の回避策としても使用できます。

SCEPman 1.x から 2.x にアップグレードしていて、まだ AADAndIntuneSCEPman の権限のためのアプリ登録

を使用している場合、SCEPman は Intune を照会する権限を持ちません。したがって、 オプションに制限されます。オプション AAD は SCEPman に Intune を照会する権限が付与されているかを確認します。権限がある場合、これは AADAndIntuneOpportunistic と同様に動作します。権限がない場合、これは AADAndIntuneと同様に動作します。 AAD.

値 AADAndIntuneAndEndpointlist は AADAndIntuneと同様に動作しますが、さらに Intune の発行済み証明書の一覧も照会します。Intune が 証明書の取り消しをトリガーした場合、これは SCEPman 側でその証明書を取り消されたものにします。

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

値： true （既定）または false

説明： この設定は Intune デバイス ID を使用する場合のデバイス検証を拡張します。Entra/AAD デバイス ID を使用する場合は機能しません。有効にすると、SCEPman はデバイス証明書が検証される際に Intune デバイスの Management State プロパティを評価します。状態が次のいずれかを示す場合、証明書は取り消されます：

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

特に、管理者がデバイスに対して Wipe や Retire をトリガーした場合、たとえデバイスがシャットダウン中またはオフラインでその操作をデバイス上で実行できない場合でも、証明書は即座に取り消されます。つまり証明書はもはや有効ではありません。

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

値： カンマ区切りのユーザーリスクレベルのリスト、例： Low, Medium, High.

説明： この設定は、次を UserRiskCheck に設定した場合にのみ効果があります。 常にこのリストに含まれるリスクレベルのユーザーの証明書は無効と見なされます。

例：この設定に Medium,High を定義したとします。あるユーザーのリスクレベルが Lowであり、そのユーザーの証明書は有効であり企業の VPN へ接続するために使用できます。その後、リスクイベントによりユーザーのリスクレベルが Mediumに上昇します。ユーザーが VPN に接続を試みますが、VPN ゲートウェイが証明書の有効性をリアルタイムでチェックし、SCEPman が取り消されたと応答するため接続は成功しません。

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

値： 常に または 決して （既定）

説明： SCEPman が Intune ユーザーに発行された証明書の OCSP リクエストを受け取ったとき、SCEPman はオプションで ユーザーのリスクレベルを確認できます。これが 常に に設定されている場合、SCEPman はユーザーリスク状態を照会し、OCSP の結果はユーザーのリスクが UntoleratedUserRisks のリストに含まれていない場合にのみ GOOD になります。.

これを 決して を設定するとユーザーリスクチェックは無効になります。

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

値： true （既定）または false

説明： 証明書が正常に発行された後、SCEPman はその証明書に関する通知を Intune に送信します。Microsoft は仕様内で応答を待つことを推奨しています。しかし、一部の環境では遅延が長くなりタイムアウトが発生することがあります。したがって True がデフォルトです。

これを False に設定すると、SCEPman は Intune が通知に応答する前に発行された証明書を返します。これは仕様の趣旨には反しますが、パフォーマンスを向上させ、この問題が発生する環境でのタイムアウトを回避します。

AppConfig:IntuneValidation:ValidityPeriodDays

Linux: AppConfig__IntuneValidation__ValidityPeriodDays

値： 正の数 整数

説明： この設定は Intune エンドポイントに対するグローバルな ValidityPeriodDays をさらに短縮します。

AppConfig:IntuneValidation:EnableCertificateStorage

Linux: AppConfig__IntuneValidation__EnableCertificateStorage

値： true または false （既定）

説明： Intune エンドポイントを介して証明書を要求する際、これが trueに設定されていると、SCEPman は要求された証明書を Azure のストレージアカウントに保存します。これにより、発行された証明書は SCEPman Certificate Master に表示され、手動で表示および取り消すことができます。さらに、関連する Entra または Intune オブジェクトが他の設定で指定された無効状態（無効化や削除など）になると、証明書は自動的に取り消されます。が falseに設定されている場合、SCEPman は発行された証明書を保存せず、証明書はログまたは Certificate Master の従来の Intune 表示や Intune ポータルでのみ確認可能です。これが設定されていない場合、動作はグローバル設定 AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

値： true または false （既定）

説明： これにより、 RenewalReq 操作をこの SCEP エンドポイントで使用できるようになります。これは次に追加された証明書タイプに対してのみ機能します： AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

この操作は SCEPmanClient PowerShell モジュールで使用できます。

AppConfig:IntuneValidation:AllowRequestedSidExtension

値： true または false （既定）

説明： 証明書要求に SID 拡張（OID 1.3.6.1.4.1.311.25.2）が含まれている場合、この設定が true のときは発行される証明書にコピーされます。false の場合はフィルタリングされます。SID はオンプレミスの AD 認証シナリオで証明書を強力にマッピングするために重要です。ただし、Intune は拡張内の要求された SID の真正性を確認していないように見えるため、要求された SID 拡張を許可するとセキュリティの脆弱性を招く可能性があります。 が拡張内の要求された SID の真正性をチェックしていないように見える ため、要求された SID 拡張の許可はセキュリティ上の脆弱性をもたらす可能性があります。

SID を追加するための AppConfig:AddSidExtension による拡張はこの設定の影響を受けません。さらに、SCEPman のバージョンが 2.11.1460 以降であれば、SAN URI として SID を含む形で追加された SID も影響を受けません — 古いバージョンの SCEPman はこの trueのみをコピーしますが、デフォルト値は true です。

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

値： 次のリストからの証明書タイプのカンマ区切りリスト：

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

• JamfComputer

説明： この設定で指定されたタイプの証明書の更新に SCEP エンドポイントを使用できます。値を指定しない場合、デフォルトではタイプはありません。

たとえば、Certificate Master を通じて手動で発行された証明書を更新したい場合は、 Staticを指定します。ドメインコントローラー証明書も更新したい場合は、 DomainController,Static.