circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

アンインストール

SCEPman をアンインストールする方法は、テナント内に SCEPman インスタンスが 1 つだけ存在するかどうか、そしてその SCEPman インスタンスが PoC のような検証用途か本番利用かによって異なります。本番用の証明書が発行されている場合は、この SCEPman インスタンスの利用を徐々に終了して一部のコンポーネントをしばらく稼働させ続けるのか、完全にシャットダウンするのかを計画する必要があります。

単一テナント内に複数の SCEPman インストールがあり、そのうちの一部のみをアンインストールしたい場合は、稼働中インスタンスが使用しているコンポーネントを維持するよう注意する必要があります。これは特に、デフォルトで全インスタンス間で共有される App Registration に当てはまります。

このガイドは、次のような状況を想定したものではありません: 地理的冗長構成 で SCEPman を維持しつつ特定リージョンのインスタンスのみを削除したい場合は、このような状況ではサポートにお問い合わせください。

hashtag
Intune/Jamf/その他の構成プロファイル

SCEPman を使用していたすべてのプラットフォームについて、次のような構成プロファイルを持っている可能性があります:

  • SCEPman ルート CA の配布、

  • SCEP 経由でのクライアント証明書の登録、そして

  • このクライアント証明書を使用する WiFi や VPN プロファイル。

前のリストの各種プロファイルは上位のプロファイルに依存しています。したがって、依存関係を残さないように下から上へ順に削除するべきです。

注意点として Intune は SCEP 登録プロファイルを削除すると、クライアントから登録済みの証明書を直ちに削除しますarrow-up-right。そのため、証明書利用の穏やかなフェーズアウトではなく、即時の切断となります。

hashtag
Azure リソース

多くの場合、SCEPman 関連のすべてのリソースは専用の単一の Azure リソース グループにまとめられています。したがって、SCEPman 関連リソースを一括で削除するにはリソース グループ全体を削除すればよいことが多いです。ただし、 地理的冗長な SCEPman インストールの場合は、追加の App Service や App Service プラン用のリソース グループが存在することがあります。この場合、どこかに Traffic Manager も存在します。

リソース グループを削除するには、Azure Key Vault や Storage Account から削除ロック(Delete Locks)を解除する必要がある場合があります。リソース間の依存関係によりリソース グループ全体の削除ができない場合もあります。その場合は、次の順序で個別にリソースを削除することをお勧めします:

  1. App Insights

  2. App Services

  3. ストレージ アカウント

  4. キー コンテナー(Key Vault)

  5. App Service プラン

  6. まずリソース グループ自体

SCEPman は Azure Key Vault に対して ソフトデリートarrow-up-right およびデフォルトで 90 日間のパージ保護を構成します。したがって、リソース グループを削除しても SCEPman が使用していた CA キーは設定された期間内であれば復元可能です。その後は CA キーは消失し復元できなくなります。これはこの SCEPman インスタンスを復元する方法がなくなり、有効な OCSP 応答を作成するインスタンスが存在しないため、発行済みのすべての証明書は不可避的に無効と見なされることを意味します。

Storage Account を削除すると、手動で作成された SCEPman Certificate Master 証明書に関する情報、特に失効(リボケーション)情報が失われます。とはいえ、SCEPman インスタンスを削除すると OCSP 応答の失敗により発行済み証明書が無効化されるため、必ずしも問題にならない場合があります。

あなたの Storage Account はまた SCEPman のログファイルを含んでいる可能性があります。ログを保持したい場合は、Storage Account を維持してその他の Azure リソースのみ削除するか、Storage Account を削除する前にログファイルを別の場所にコピーしてください。

hashtag
カスタムドメイン

scepman.contoso.de のような SCEPman 用のカスタムドメインを登録している場合は、もはやサービスに必要ないことを明確にするために DNS からそのエントリを削除してください。

hashtag
アプリの登録

SCEPman と SCEPman Certificate Master はそれぞれアプリ登録を使用します。デフォルトではテナント内のすべての SCEPman インスタンスはこれら二つのアプリ登録を共有するため、テナント内にこの SCEPman インスタンスのみが存在する場合に限り削除してください。ただし、オプションのパラメータを使用して他の SCEPman インスタンスに別のアプリ登録を使わせている場合は例外です。 SCEPman 用の AzureADAppNameForSCEPman および CertMaster 用の AzureADAppNameForCertMaster というパラメータを SCEPman の PowerShell モジュールで使用して他の SCEPman インスタンスに異なるアプリ登録を使用させている場合は別のアプリ登録を維持していることになります。

アプリ登録のデフォルト名は SCEPman-api と SCEPman-CertMaster です。次の場所に移動してそれらを見つけて削除できます: Azure ポータルの「アプリ登録」arrow-up-right。検索する際は「すべてのアプリケーション」に切り替えてください。

最終更新

役に立ちましたか?