Intune 管理の Linux クライアント
SCEPman Enterprise Edition のみ
この方法は、Intune によって管理されているユーザーおよびデバイスの証明書を登録するために使用できます。
この場合、Intune は SCEPman REST API を活用するスクリプトをプッシュし、そのスクリプトが新しい証明書を登録するか、既に存在する証明書を更新します。
当社の開発者 Christoph は、この機能といくつかの背景情報を Workplace Ninja Usergroup Germany で紹介しました:
前提条件
1. セルフサービス登録
証明書を登録するには、ユーザーが自分の資格を確認するために認証されている必要があります。設定方法の手順については、このガイドに従ってください
セルフサービス登録2. アプリ サービス設定
構成
証明書の更新に必要です
SCEPman App Service を mTLS クライアント証明書を受け入れるように構成してください。設定セクションの構成ブレードで、受信クライアント証明書のクライアント証明書モードが次に設定されていることを確認してください オプション.
クライアント証明書モードを Require または Allow に設定しないでください。そうすると SCEP エンドポイントでの SCEPman の通常動作が破損します!
環境変数
このシナリオを利用するには、SCEPman アプリ サービスに次の環境変数を設定する必要があります。
証明書の登録と更新に必要です
この変数を次に設定してください true 証明書署名要求(CSR)の検証を有効にするには。
証明書の更新に必要です
この変数を次に設定してください true 証明書の更新を有効にするには。
証明書の更新に必要です
この変数を、更新を許可したい証明書タイプのカンマ区切りリストに設定してください。利用可能な証明書タイプの一覧はリンクされた変数のドキュメントを参照してください。
例: Static,IntuneUser,IntuneDevice
このシナリオは、タイプの証明書を登録します IntuneUser および IntuneDevice 選択に応じて。
3. クライアントの前提条件
Enrollment REST API を使用するためには、実行クライアント/ホストに次の前提条件が存在している必要があります。
Azure CLI (バージョン 2.61 以上)
Azure CLI は、登録ユーザーを認証してその適格性を確認し、アクセストークンを取得するために使用されます。
cURL
作成した CSR を SCEPman Enrollment API エンドポイントに送信し、証明書を受け取るために使用されます。
OpenSSL
OpenSSL は、秘密鍵を生成し、証明書を登録または更新するための CSR を作成するために使用されます。
リンクされたドキュメントに従って、Linux クライアントを Intune に登録してください。
登録および更新スクリプト
NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります: enrollrenewcertificate.sh スクリプトは最初に証明書を取得するため、および定期的なスケジュールでチェックしてしきい値に達した場合に更新を試みるために使用されます。
スクリプトは通常ターミナルでパラメータを渡して操作しますが、Intune 経由で展開するために一部を修正する必要があります。
渡されたターミナル引数を変数に代入しているスクリプトの部分を見つけて、必要に応じて調整してください:
設定例:
APPSERVICE_URL
SCEPman アプリ サービスの URL。
例: "https://scepman.contoso.net/"
API_SCOPE
これは、環境のアプリ登録で作成できる API スコープです。 SCEPman-api アプリ登録で作成できます。
ユーザーには希望する同意ダイアログが表示され、以降セルフサービス機能を使用できるようになります。
例: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"
CERT_DIR
証明書が作成されるか、更新が試行されるディレクトリ。秘密鍵とルート証明書もここに配置されます。
例: ~/certs/
CERT_NAME
作成されるか、更新のために読み取られる証明書のファイル名(拡張子なし)。
例: "myCertificate"
KEY_NAME
作成されるか、更新のために読み取られる秘密鍵のファイル名。
例: "myKey"
RENEWAL_THRESHOLD_DAYS
スクリプトが更新プロセスを開始するために、証明書の有効期限が残っている必要がある日数。
例: 30
CERT_TYPE
登録される証明書の種類。
"user" または "device" のいずれかになります。
CERT_COMMAND
これは、登録および更新に関するスクリプトの動作を定義します:
"auto" 最初に証明書を作成するか、既に存在していて有効期限が近づいている場合は証明書を更新します。
"renewal" 有効期限が近づいている場合に証明書を更新しますが、最初に証明書を作成することはありません。
"initial" 証明書を登録するだけで、既存の証明書を更新しません。
デバイス証明書を登録または更新する場合、DeviceId は から取得されます ~/.config/intune/registration.toml および認証されたユーザーは、構成されたオブジェクトの所有者と一致する必要があります。 DeviceDirectory.
考慮事項
このスクリプトは生成された鍵を暗号化しません(パスフレーズ入力が必要なため、自動更新を可能にするために暗号化は省略されています)。
Certificate Master からパスフレーズ保護された証明書を更新する場合、それらを更新するにはこのパスフレーズを入力する必要があります。
スクリプトの展開
Intune を使用して、修正したスクリプトをスケジュールで展開し、指定したパラメータで最初に証明書を登録し、定期的に更新が必要かどうかをチェックできます。
新しい Linux スクリプト展開を追加し、次を設定していることを確認してください。 実行コンテキスト へ ユーザー および前のセクションで作成した修正済みの bash スクリプトの内容をアップロードするか貼り付けてください。
を調整してください。 実行頻度 更新しきい値に従って調整してください。
最終更新
役に立ちましたか?