# グループ ポリシー

この証明書登録は、 [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) および [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) プロトコルに基づいています。これらは最近のすべての Windows バージョンがネイティブにサポートしています。Active Directory 環境では、必要な設定をグループ ポリシー (GPO) 経由で適用し、AD 参加済みコンピューターが SCEPman から証明書を登録できるようにします。

このシナリオでは、完全に自動化された証明書配布のために 3 つのグループ ポリシー設定が必要です。

{% stepper %}
{% step %}

### CEP サーバーの登録

CEP (Certificate Enrollment Policy) サーバー (SCEPman の一部) は、認証済みクライアントに対して、Active Directory 登録用に SCEPman 上で構成されたすべての証明書テンプレートを含むポリシーを提供します。CEP サーバーは、クライアント側のレジストリに追加する必要があります。Windows には、GUI で必要な設定を構成するための GPO テンプレートが含まれています。

#### ポリシーの構成

証明書テンプレートについては `デバイス` および `DC`、 *コンピューターの構成* ツリーを開く必要があります。 `ユーザー`については、 *ユーザーの構成* ツリーで移動します。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は 2 つの GPO を使用し、1 つはユーザーに対して User Configuration を適用し、もう 1 つはコンピューターに対して Computer Configuration を適用します。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-Certificate Services Client - Certificate Enrollment Policy Server
</strong></code></pre>

この設定では、一覧に新しい CEP サーバーを追加し、対応する入力欄にポリシー サーバー URI を入力します。この URI は SCEPman のホームページからコピーできます。次の形式になっています。 `https://scepman.contoso.com/step/policy`。CEP サーバーを入力して検証したら、追加してダイアログを確認することで設定を完了できます。

{% hint style="warning" %}
構成プロセス中、クライアントはすでに CEP サーバーへの検証呼び出しを行います。そのため、構成に使用されるアカウント コンテキストには、SCEPman の CEP エンドポイントにアクセスする権限、つまり Kerberos で認証する権限と、SCEPman のポート 443 への外向きネットワーク アクセスが必要です。
{% endhint %}

<figure><img src="/files/bb46aa39622e47ca61df5a7654d6d82f79c1ce98" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
CEP サーバーの検証中にエラーが発生した場合は、 [既知の問題](/ja/zheng-ming-shu-guan-li/active-directory/general-configuration.md#known-issues) セクションを参照してください。
{% endhint %}

<figure><img src="/files/7bf34daf2b9a45ab4ce4e2d3961eed4a72383343" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
既存の ADCS と並行して SCEPman の CEP サーバーを使用している場合は、既定のサーバーを選択し、既存の登録ポリシーを保持していることを確認する必要があります。
{% endhint %}
{% endstep %}

{% step %}

### 自動登録を有効にする

CEP サーバーを登録すると、ユーザー/コンピューターは SCEPman から証明書を要求できるようになります。通常は、これをユーザー操作なしで自動的に行わせたいはずなので、そのために自動登録を有効にする必要があります。なお、以前に Microsoft Active Directory Certificate Services (AD CS) で自動登録を使用していた場合は、すでに有効になっている可能性があります。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-Certificate Services Client - 自動登録
</strong></code></pre>

必ず次の項目にチェックを入れてください `証明書テンプレートを使用する証明書を更新する` ことで、自動登録を有効にします。

<figure><img src="/files/8f4e2f3f80f275a9532c76ed9894a233457fc249" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### 信頼されたルート CA をインストールする

登録ポリシー サーバーと自動登録の設定が整ったら、対象デバイスまたはユーザーが SCEPman の CA 証明書を信頼していることを確認するだけです。そのためには、対応する GPO 設定に CA 証明書をインポートする必要があります。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-信頼されたルート証明機関
<strong>          └- インポート (コンテキスト メニュー)
</strong></code></pre>

<figure><img src="/files/c227fd978b0dddab1f8b5d933121f6ec947726af" alt=""><figcaption></figcaption></figure>

SCEPman のホームページから CA 証明書をダウンロードし、このダイアログで必ずインポートしてください。
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/ja/zheng-ming-shu-guan-li/active-directory/group-policy.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.