拡張ガイド

SCEPman 基本サービスのデプロイ

Windows または Linux のどちらの Windows または Linux App Service プランでデプロイするか選択してください。両方のデプロイ方法でオペレーティングシステムを選択できます。

デプロイを開始するには、次のいずれかを利用したセットアップ手順に従う必要があります。 ARM テンプレート

または代わりに当社の Terraform スクリプト:

デプロイ後の手順を実行する（権限割り当て）

SCEPman のすべてのコンポーネントを適切に接続するために、いくつかの権限を割り当てる必要があります。関連する接続を確立するために、次の手順に従ってください:

Certificate Master の権限を追加する

Certificate Master は エンタープライズエディションの 機能で、管理者が手動で証明書を発行および取り消しできるようにします。Certificate Master へのアクセスを提供するために、次の手順に従ってください。

ルート証明書を作成する

デプロイおよび権限割り当てが完了したら、SCEPman のルート証明書を作成する必要があります:

カスタムドメインと SSL 証明書を構成する

SCEPman を特定のドメインで利用可能にするには、 カスタムドメイン を App Service に作成する必要があります。

手動更新

既定では、SCEPman は更新に対して エバーグリーン方式 を採用します。SCEPman の更新を完全に制御する必要がある場合は、次のガイドの「 デプロイメントスロットの構成.

」のセクションで説明されているようにデプロイメントスロットを構成してください。

これは

Application Insights は App Service のパフォーマンス概要を取得し、SCEPman のリクエスト処理の詳細な洞察を得るために使用できます。App Service を監視、保守、最適化するために、常に Application Insights を構成することを推奨します。

ヘルスチェックを構成する

ヘルスチェックは、SCEPman App Service が応答しない場合に管理者に通知するよう構成できます。

SCEPman に十分なリソースがあることを確認する

SCEPman を本番環境に移行する際は、SCEPman に十分な計算リソースが備わっていることを確認してください。そのため、当社の Azure サイズガイドを確認し、必要に応じて App Service プランの階層をアップグレードしてください。これは PoC またはトライアル段階の後に延期することもできます。

オートスケーリングを構成する

SCEPman ソリューションには2つの異なるタスクとパフォーマンス要件があります。 1つ目のタスクは証明書発行プロセスです: SCEPman ソリューションの構成後、全てのデバイスに証明書を展開する必要があります（ユーザーおよび/またはデバイス証明書）が、これは一度限りのタスクであり、初期デプロイ後は新しいデバイスが登録された場合や証明書を更新する必要がある場合にのみ発生します。そのような状況では、SCEPman は SCEP リクエストのピークに直面します。

2つ目のタスクは証明書検証です: デバイスに証明書を展開した後、それらの証明書は使用されるたびに検証される必要があります。証明書ベースの認証ごとに、クライアント、ゲートウェイ、または RADIUS システム（使用する構成による）は SCEPman App Service に OCSP リクエストを送信します。これにより App Service に対する恒常的なリクエスト負荷が発生します。

最適なパフォーマンスを確保しコストを管理するために、App Service のオートスケーリング機能の設定を推奨します。この機能により、アプリケーションはメトリクスに基づいてスケールアウトおよびスケールインできます。

ジオ冗長性を構成する

SCEPman のジオ冗長インスタンスを構成すると、複数の Azure リージョンにワークロードを分散することでサービスの可用性と回復力を向上させることができます。

ただし、この構成は追加のリソースやデータ複製を伴うため、Azure コストの増加につながる可能性があることに注意してください。Microsoft は Azure App Services に対して 99.95% の SLA を提供しており、ほとんどのシナリオで十分です。

MDM 展開プロファイルを構成する

上記の手順が完了したら、稼働中の SCEPman 実装ができあがり、デバイスに証明書を展開できるようになります。

好みの MDM ソリューションで証明書を展開するには、次のいずれかのドキュメントを使用してください:

Certificate Master を使用して証明書を手動で発行するか CSR に署名する

以下のリンクに従って、FQDN のリストに基づく TLS サーバー証明書の発行方法や、Certificate Master コンポーネントを使用して任意の CSR に署名する方法を確認してください。

Enrollment REST API を使用して証明書を発行する

SCEPman には証明書を登録するための REST API が用意されています。これは SCEP 方式の認証を必要とする SCEP エンドポイントの代替手段であり、REST API は認証に Microsoft Identities を使用します。プロトコルも SCEP よりはるかにシンプルです。

SCEPman Azure リソースにロックを作成する

• デフォルトでは、SCEPman は Azure リソースに対してロックを適用しません。リソースロックを使用しており、それらを構成したい場合は、次の一覧が各 SCEPman リソースに適用できるロックの種類を示しています。 Key Vault: ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 ReadOnlyLock

• は技術的には可能です。 Storage Account: SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは DeleteLock

• のみです。Storage Account が誤って削除されると、すでに発行された証明書に関する情報を失います。 App Services: ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 は理論的には可能ですが、SCEPman の構成を変更するたびに削除する必要があります。削除された App Service は簡単に再インストールできますが、デフォルト構成しか持たないため、すべての手動変更を再設定する必要があります。 SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは そして ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 の組み合わせがこのリスクを軽減するのに役立ちます。

• Log Analytics Workspace: App Services: SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは は技術的には可能ですが、保持期間中に収集されたログしか失われないため、SCEPman サービスの可用性には影響しません。

• その他の Azure リソース: これらはデータを保存しないため、情報を失うことなく再作成できます。いくつかのリソースには SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは そして ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 が有用な場合があります。上記のいずれかのコアサービスに依存関係があるため、削除できないものもあります。