デバイスディレクトリ

SCEPman はデバイス証明書の検証（例：OCSP リクエスト）に関して 2 つのオプションを提供します。両方のディレクトリは、SCEPman によって存在が確認される異なる ID を持つデバイス オブジェクトを格納します：

• Microsoft Entra ID (Azure AD) デバイス ID

• Intune (Intune デバイス ID)

これらの ID は各デバイスの Intune の「ハードウェア」タブで確認できます：

発行された証明書の背後にあるデバイスを識別するために、SCEPman は対応する サブジェクト名の ID:

• Microsoft Entra ID (Azure AD)： CN={{AAD_Device_ID}}

• Intune： CN={{DeviceId}}

SCEPman と Intune での証明書プロファイルを設定する際には、 どのインベントリを使用するか決定することが重要です.

Entra ID (AAD) と Intune の比較

両方のディレクトリには利点と欠点があります。一般的に、私たちは Intune を推奨します SCEPman 2.0 以降のインベントリとして：

• Entra デバイス ID は登録中に変わることがある（iOS/iPadOS/macOS で観察）： Entra デバイス ID は、デバイスが最終的に AAD 登録されるまで Intune デバイス ID に設定されます。Intune はデバイスが最終的な ID を取得する前に既に証明書を発行します。その結果、この ID 変更後に SCEPman は AAD 内でデバイスを見つけられなくなります。

• Intune はしばしば Entra ID (AAD) よりも管理が行き届いている： 理論的には、AAD と Intune のデバイス オブジェクトは互いに独立しています。Intune でデバイスを削除しても対応する AAD オブジェクトは削除されません。さらに、Autopilot デバイスは Intune でのみ削除でき、Microsoft Entra ID (Azure AD) では削除できません。したがって、証明書は依然として有効なままとなります。

SCEPman の構成

SCEPman はどのディレクトリ／ディレクトリ群を検証に使用するかを知る必要があります。そこで、構成オプションAppConfig:IntuneValidation:DeviceDirectoryを提供します。必要に応じてその値を調整してください。

証明書プロファイル

また、サブジェクト名は下記に記載されているように必要に応じて調整してください Microsoft Intune.

ご注意ください、 CN={{DeviceId}} は現在、Android Enterprise の Fully Managed、Dedicated、および Corporate-Owned Work Profile ではサポートされていません（以下に記載）： Microsoft ドキュメント。これらのデバイスタイプを使用している場合は、両方のディレクトリを確認するか、または Microsoft Entra ID (Azure AD) のみを検討してください。

の場合、両方のディレクトリが並列に照会されます。 から移行する Microsoft Entra ID (Azure AD) から Intune ID、またはその逆へ、 証明書は 必要があります すべてのクライアントで再発行するの間、SCEPman を AppConfig:IntuneValidation:DeviceDirectory に設定して両方のディレクトリを確認するようにしてください（つまり両方の ID が有効になるように）。移行後は、Intune または AAD のどちらか単独のディレクトリに切り替えることができます。