circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

アンインストール

SCEPman のアンインストール方法は、テナント内に SCEPman インスタンスが一つだけかどうか、またその SCEPman インスタンスが PoC のような試験的利用か実稼働で使用されていたかによって異なります。実稼働用の証明書が登録されている場合、この SCEPman インスタンスの使用を段階的に停止して一部の SCEPman コンポーネントを当面稼働させ続けるか、あるいは完全に停止するかを計画する必要があります。

単一テナント内に複数の SCEPman インストールがあり、そのうち一部のみをアンインストールしたい場合、稼働中のインスタンスが使用しているコンポーネントを保持するよう注意する必要があります。これは特に、デフォルトで全インスタンス間で共有される App Registration に当てはまります。

このガイドは、次のような状況には適していません: ジオ冗長構成 で SCEPman を維持しつつ特定リージョンのインスタンスだけを削除したい場合です。このような状況で質問がある場合はサポートにご連絡ください。

hashtag
Intune/Jamf/その他の構成プロファイル

SCEPman を使用していたすべてのプラットフォームについて、以下の構成プロファイルを持っている可能性が高いです:

  • SCEPman ルート CA の配布、

  • SCEP によるクライアント証明書の登録、そして

  • このクライアント証明書を使用する WiFi や VPN プロファイル。

前のリストの各プロファイルタイプは、それより上にあるものに依存しています。したがって、依存関係が残らないよう下から上へ削除するべきです。

注意してください: SCEP 登録プロファイルを削除すると Intune はクライアントから登録済み証明書を直ちに削除しますarrow-up-rightので、証明書使用の段階的なフェードアウトはなく、即座の切断になります。

hashtag
Azure リソース

多くの場合、SCEPman 関連リソースは専用の単一の Azure リソースグループにまとめられています。そのため、SCEPman 関連のすべてのリソースを一掃するにはリソースグループごと削除すれば済みます。もし ジオ冗長な SCEPman インストールであれば、追加の App Service や App Service プラン用の追加リソースグループが存在することがあります。その場合、どこかに Traffic Manager もあるはずです。

リソースグループを削除するには、Azure Key Vault や Storage Account の Delete Lock を解除する必要がある場合があります。リソース間の依存関係が原因でリソースグループ全体の削除ができないケースもあります。その場合は、次の順序で個別にリソースを削除することを推奨します:

  1. App Insights

  2. App Services

  3. Storage Accounts

  4. Key Vault

  5. App Service プラン

  6. リソースグループ自体

SCEPman はデフォルトで Azure Key Vault に対して ソフトデリートarrow-up-right と 90 日間のパージ保護を構成します。したがって、リソースグループ全体を削除しても、SCEPman が使用していた CA キーは設定された期間は復元可能です。その後、CA キーは消失し復元できなくなります。これはこの SCEPman インスタンスを復元する方法がなくなり、有効な OCSP 応答を生成するインスタンスが存在しないため、発行済みのすべての証明書が不可避的に無効と見なされることを意味します。

Storage Account を削除すると、手動で作成された SCEPman Certificate Master 証明書に関する情報(特に失効情報)が失われます。とはいえ、SCEPman インスタンスを削除すると OCSP 応答が失敗するため発行済みの証明書は無効化されるので、これは問題にならない場合もあります。

あなたの Storage Account はまた SCEPman のログファイルを含んでいる可能性があります。ログを保持したい場合は、Storage Account を残して他の Azure リソースだけを削除するか、Storage Account を削除する前にログファイルを別の場所へコピーしてください。

hashtag
カスタムドメイン

scepman.contoso.de のような SCEPman 用のカスタムドメインを登録している場合、そのエントリを DNS から削除して、もはやどのサービスにも必要ないことを明確にしてください。

hashtag
アプリ登録(App Registrations)

SCEPman と SCEPman Certificate Master はそれぞれアプリ登録を使用します。デフォルトではテナント内のすべての SCEPman インスタンスはこれら二つのアプリ登録を共有するため、テナント内でこれが唯一の SCEPman インスタンスである場合に限り削除してください。例外は、SCEPman PowerShell モジュールのオプションパラメータ AzureADAppNameForSCEPman および AzureADAppNameForCertMaster を使用して他の SCEPman インスタンスに別のアプリ登録を使わせている場合です。

アプリ登録のデフォルト名は SCEPman-api と SCEPman-CertMaster です。Azure ポータルの アプリ登録arrow-up-rightに移動して見つけ、削除できます。検索する際は「すべてのアプリケーション」に切り替えてください。

最終更新

役に立ちましたか?