Certificate Master RBAC
SCEPman Enterprise Edition のみ
SCEPman Certificate Master バージョン 2.5 以降に適用されます
ユーザーが SCEPman Certificate Master にアクセスする際、ユーザーの役割により実行できる操作や表示できる証明書が決まります。役割は Enterprise Application SCEPman-CertMaster (Microsoft Entra ID (Azure AD))で決定されます。SCEPman をバージョン 2.5 より前にインストールしている場合、Microsoft Entra ポータルに役割を表示するために SCEPman PS モジュールから Complete-SCEPmanInstallation CMDlet を再実行する必要があります。利用可能な役割は次のとおりです:
利用可能な役割
Admin.Full:この役割のメンバーは SCEPman Certificate Master 内であらゆる操作が可能です。将来のバージョンで新機能が追加された場合、この役割のメンバーはそれらの機能にアクセスできます。
Manage.All:この役割のメンバーはすべての証明書を表示および取り消すことができます。これには Certificate Master データベース内の証明書と Intune 経由で登録された証明書が含まれます。
Manage.All.Read:メンバーはすべての証明書を表示できますが、取り消すことはできません。
Manage.Intune:メンバーは Intune 経由で登録された証明書を表示および取り消すことができます。
Manage.Intune.Read:メンバーは Intune 経由で登録された証明書を表示できますが、取り消すことはできません。
Manage.Storage:メンバーは Certificate Master データベース内の証明書を表示および取り消すことができます。
Manage.Storage.Read:メンバーは Certificate Master データベース内の証明書を表示できますが、取り消すことはできません。
Request.All:メンバーはあらゆる種類の証明書を要求できます。これには任意の種類の CSR リクエストの提出が含まれます。ユーザーが CSR リクエストを提出する必要がある場合、この役割が必要です。
Request.Client:リクエストはクライアント証明書、つまり手動で作成されたデバイス証明書に限定されます。これらはクライアント認証の拡張キー使用法(EKU)を持ち、サブジェクトはカスタマイズ可能です。
Request.CodeSigning:リクエストはコード署名用証明書のみ可能です。
Request.Server:メンバーはサーバー証明書のみ要求できます。これらはサーバー認証の EKU を持ちます。
Request.SubCa:メンバーは下位認証局(Subordinate CA)用の証明書を要求できます。ただし、拡張キー使用法によりこれらの CA はサーバー認証証明書のみを発行できるよう制限されます。これにより、ファイアウォールで使用される TLS インターセプトのような目的には使用できますが、他の目的には使用できません。これはセキュリティ上の機能です。もし他の目的で使用するための下位認証局が必要な場合は、CSR を作成して Certificate Master に提出する必要があり、そのためには Request.All 役割が必要です。
Request.User:メンバーはユーザー証明書のみ要求できます。これらはクライアント認証の EKU を持ち、要求者によって選択された UPN を持ちます。SCEPman 2.6 以降では Smart Card Logon EKU も可能です。注意すべき点として、この役割を持つ人物は他のユーザーのために証明書を要求できることです。AD や AAD で証明書ベース認証を有効にし、SCEPman CA をこの目的のために AD または AAD で信頼済みとして追加している場合、これを使って他のユーザーになりすますことが可能になります。
これはポストインストール構成中に追加されるデフォルトの役割セットです。必要に応じて追加できるより複雑な役割がいくつかあります: CSR およびフォームのロール
役割の割り当て
最終更新
役に立ちましたか?