> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/active-directory/group-policy.md).

# グループ ポリシー

この証明書登録は、 [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) および [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) プロトコルに基づいています。これらは、最近のすべてのWindowsバージョンでネイティブにサポートされています。Active Directory環境では、必要な設定をグループ ポリシー（GPO）経由で適用し、AD参加コンピューターがSCEPmanから証明書を登録できるようにします。

このシナリオでは、完全に自動化された証明書の展開のために 3 つのグループ ポリシー設定が必要です。

{% stepper %}
{% step %}

### CEP サーバーの登録

CEP（Certificate Enrollment Policy）サーバー（SCEPman の一部）は、認証済みクライアントに対して、Active Directory 登録用に SCEPman で構成されたすべての証明書テンプレートを含むポリシーを提供します。CEP サーバーは、クライアント上のレジストリに追加する必要があります。Windows には、GUI で必要な設定を構成するための GPO テンプレートが含まれています。

#### ポリシーの構成

証明書テンプレートについては `デバイス` および `DC`、次へ移動する必要があります *コンピューターの構成* ハイブ。User については、 `ユーザー`、 *ユーザーの構成* ハイブ内を移動します。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は 2 つの GPO を使用し、1 つは User Configuration でユーザーに適用し、もう 1 つは Computer Configuration でコンピューターに適用します。

<pre data-title="グループ ポリシー管理エディター（gpmc.msc）での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-Certificate Services Client - 証明書登録ポリシー サーバー
</strong></code></pre>

設定では、一覧に新しい CEP サーバーを追加し、対応する入力欄にポリシー サーバーの URI を入力します。この URI は SCEPman のホームページからコピーできます。形式は次のとおりです `https://scepman.contoso.com/step/policy`。CEP サーバーを入力して検証したら、追加してダイアログを確定すれば設定を完了できます。

{% hint style="warning" %}
構成プロセス中、クライアントはすでに CEP サーバーへの検証呼び出しを行います。そのため、構成に使用するアカウント コンテキストには、SCEPman の CEP エンドポイントにアクセスする権限、つまり Kerberos で認証する権限と、SCEPman の 443 番ポートへの送信ネットワーク アクセスが必要です。
{% endhint %}

<figure><img src="/files/bb46aa39622e47ca61df5a7654d6d82f79c1ce98" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
次を参照してください： [既知の問題](/ja/zheng-ming-shu-guan-li/active-directory/general-configuration.md#known-issues) CEP サーバーの検証中にエラーが発生した場合のセクション。
{% endhint %}

<figure><img src="/files/7bf34daf2b9a45ab4ce4e2d3961eed4a72383343" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
既存の ADCS と並行して SCEPman の CEP サーバーを使用している場合は、既定のサーバーを選択し、既存の登録ポリシーを維持するようにしてください。
{% endhint %}
{% endstep %}

{% step %}

### 自動登録を有効にする

登録済みの CEP サーバーがあれば、ユーザー/コンピューターは SCEPman から証明書を要求できます。通常は、ユーザー操作なしで自動的に実行させたいはずなので、そのためには自動登録を有効にする必要があります。以前に Microsoft Active Directory Certificate Services（AD CS）で Autoenrollment を使用していた場合は、すでに有効になっていることがあります。

<pre data-title="グループ ポリシー管理エディター（gpmc.msc）での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-証明書サービス クライアント - 自動登録
</strong></code></pre>

必ず確認してください `証明書テンプレートを使用する証明書を更新する` ことで、自動登録を有効にします。

<figure><img src="/files/8f4e2f3f80f275a9532c76ed9894a233457fc249" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### 信頼されたルート CA をインストールする

登録ポリシー サーバーと自動登録の設定が整ったら、あとは対象のデバイスまたはユーザーが SCEPman の CA 証明書を信頼していることを確認するだけです。そのためには、対応する GPO 設定に CA 証明書をインポートする必要があります。

<pre data-title="グループ ポリシー管理エディター（gpmc.msc）での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-信頼されたルート証明機関
<strong>          └- インポート（コンテキスト メニュー）
</strong></code></pre>

<figure><img src="/files/c227fd978b0dddab1f8b5d933121f6ec947726af" alt=""><figcaption></figcaption></figure>

SCEPman のホームページから CA 証明書をダウンロードし、このダイアログで必ずインポートしてください。
{% endstep %}
{% endstepper %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.scepman.com/ja/zheng-ming-shu-guan-li/active-directory/group-policy.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.