# アンインストール

SCEPman のアンインストール方法は、テナント内に SCEPman インスタンスが 1 つだけあるかどうか、またその SCEPman インスタンスが本番利用されていたかどうか、たとえば PoC として使われていたかどうかによって異なります。本番用証明書が登録されていた場合は、この SCEPman インスタンスの利用を徐々に終了してしばらく一部の SCEPman を稼働させ続けるのか、それとも完全に停止するのかを計画する必要があります。

1 つのテナントに複数の SCEPman インストールがあり、そのうち一部だけをアンインストールしたい場合は、ライブインスタンスで使用されているコンポーネントを残すよう注意する必要があります。特に App Registrations は、既定ではすべてのインスタンスで共有されているため注意が必要です。

このガイドは、以下のような構成をお使いの場合を想定していません [geo-redundant setup](https://docs.scepman.com/ja/azure-gou-cheng/geo-redundancy) で、SCEPman は残したまま特定リージョンのインスタンスだけを削除したい場合です。このような状況でご不明点がある場合は、サポートまでご連絡ください。

## Intune/Jamf/その他の構成プロファイル

SCEPman を使用したすべてのプラットフォームについて、おそらく次の構成プロファイルがあるはずです

* SCEPman Root CA の配布、
* SCEP によるクライアント証明書の登録、そして
* このクライアント証明書を使用する WiFi または VPN プロファイルです。

上の一覧にある各種類のプロファイルは、その上にあるものに依存しています。そのため、依存関係が残らないよう、下から上へ削除する必要があります。

なお、 [SCEP 登録プロファイルを削除すると、Intune はすぐにクライアントから登録済み証明書を削除します](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates)。そのため、証明書の利用を穏やかに終了させることはできず、強制的に切り替わります。

## Azure リソース

多くの場合、SCEPman 関連リソース専用の Azure Resource Group が 1 つあります。そのため、Resource Group 全体を削除すれば、すべての SCEPman リソースを除去できます。 [geo-redundant SCEPman installation](https://docs.scepman.com/ja/azure-gou-cheng/geo-redundancy)の場合は、追加の App Services と App Services plans 用のリソース グループがさらに存在することがあります。この場合、どこかに Traffic Manager もあります。

リソース グループを削除するには、Azure Key Vault および/または Storage Account から Delete Locks を削除する必要がある場合があります。リソース間の依存関係のために、リソース グループ全体の削除がうまくいかないケースがあります。その場合は、以下の順序で個別にリソースを削除することをお勧めします:

1. App Insights
2. App Services
3. Storage Account
4. Key Vault
5. App Service Plan
6. Resource Group 自体

SCEPman は [ソフト削除](https://learn.microsoft.com/en-us/azure/key-vault/general/soft-delete-overview) と Purge Protection を既定で 90 日間 Azure Key Vault に対して設定します。そのため、Resource Group 全体を削除しても、SCEPman が使用していた CA キーは設定された期間内であれば復元可能です。その後は CA キーは失われ、復元できなくなります。つまり、この SCEPman インスタンスを復元する方法はなく、かつ有効な OCSP 応答を作成するインスタンスも存在しないため、発行済みの証明書はすべて無効と見なされます。

Storage Account を削除すると、手動で作成された SCEPman Certificate Master 証明書に関する情報、特に失効情報が失われます。とはいえ、SCEPman インスタンスを削除すると OCSP 応答の失敗により発行済み証明書はすべて無効になるため、これは問題にならないかもしれません。

Storage Account には、 [SCEPman のログ ファイルが含まれている](https://docs.scepman.com/ja/azure-gou-cheng/log-configuration#app-service-logs-recommended-settings)場合もあります。これらを保持したい場合は、Storage Account を残して他の Azure リソースだけを削除するか、Storage Account を削除する前にログ ファイルを別の場所へコピーしてください。

## カスタム ドメイン

scepman.contoso.de のような SCEPman 用のカスタム ドメインを登録している場合があります。このエントリを DNS から削除し、もはやどのサービスにも不要であることを明確にしてください。

## アプリの登録

SCEPman と SCEPman Certificate Master はそれぞれ app registration を 1 つ使用します。既定では、テナント内のすべての SCEPman インスタンスがこれら 2 つの app registration を共有するため、これらを削除するのはテナント内に SCEPman インスタンスが 1 つだけの場合に限ります。ただし、オプションの `AzureADAppNameForSCEPman` および `AzureADAppNameForCertMaster` パラメーターを SCEPman Powershell モジュールで使用して、他の SCEPman インスタンスが別の app registration を使うようにしている場合は別です。

app registration の既定名は SCEPman-api と SCEPman-CertMaster です。Azure Portal の [App registrations in the Azure Portal](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/RegisteredApps)に移動して見つけ、削除できます。検索するには「All applications」に切り替えてください。