Intune 管理の Linux クライアント

この方法は、Intune によって管理されているユーザーおよびデバイスの証明書を登録するために使用できます。

この場合、Intune は SCEPman REST API を活用するスクリプトをプッシュし、そのスクリプトが新しい証明書を登録するか、既に存在する証明書を更新します。

当社の開発者 Christoph は、この機能といくつかの背景情報を Workplace Ninja Usergroup Germany で紹介しました:

前提条件

1. セルフサービス登録

2. アプリ サービス設定

このシナリオは、タイプの証明書を登録します IntuneUser および IntuneDevice 選択に応じて。

3. クライアントの前提条件

Intune 登録

リンクされたドキュメントに従って、Linux クライアントを Intune に登録してください。

登録および更新スクリプト

NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります： enrollrenewcertificate.sh スクリプトは最初に証明書を取得するため、および定期的なスケジュールでチェックしてしきい値に達した場合に更新を試みるために使用されます。

スクリプトは通常ターミナルでパラメータを渡して操作しますが、Intune 経由で展開するために一部を修正する必要があります。

渡されたターミナル引数を変数に代入しているスクリプトの部分を見つけて、必要に応じて調整してください:

設定例:

APPSERVICE_URL

SCEPman アプリ サービスの URL。

例: "https://scepman.contoso.net/"

API_SCOPE

これは、環境のアプリ登録で作成できる API スコープです。 SCEPman-api アプリ登録で作成できます。

ユーザーには希望する同意ダイアログが表示され、以降セルフサービス機能を使用できるようになります。

例: "api://b7d17d51-8b6d-45eb-b42b-3dae638cd5bc/Cert.Enroll"

CERT_DIR

証明書が作成されるか、更新が試行されるディレクトリ。秘密鍵とルート証明書もここに配置されます。

例: ~/certs/

CERT_NAME

作成されるか、更新のために読み取られる証明書のファイル名（拡張子なし）。

例: "myCertificate"

KEY_NAME

作成されるか、更新のために読み取られる秘密鍵のファイル名。

例: "myKey"

RENEWAL_THRESHOLD_DAYS

スクリプトが更新プロセスを開始するために、証明書の有効期限が残っている必要がある日数。

例: 30

CERT_TYPE

登録される証明書の種類。

"user" または "device" のいずれかになります。

CERT_COMMAND

これは、登録および更新に関するスクリプトの動作を定義します:

"auto" 最初に証明書を作成するか、既に存在していて有効期限が近づいている場合は証明書を更新します。

"renewal" 有効期限が近づいている場合に証明書を更新しますが、最初に証明書を作成することはありません。

"initial" 証明書を登録するだけで、既存の証明書を更新しません。

考慮事項

• このスクリプトは生成された鍵を暗号化しません（パスフレーズ入力が必要なため、自動更新を可能にするために暗号化は省略されています）。

• Certificate Master からパスフレーズ保護された証明書を更新する場合、それらを更新するにはこのパスフレーズを入力する必要があります。

スクリプトの展開

Intune を使用して、修正したスクリプトをスケジュールで展開し、指定したパラメータで最初に証明書を登録し、定期的に更新が必要かどうかをチェックできます。

新しい Linux スクリプト展開を追加し、次を設定していることを確認してください。 実行コンテキスト へ ユーザー および前のセクションで作成した修正済みの bash スクリプトの内容をアップロードするか貼り付けてください。

を調整してください。 実行頻度 更新しきい値に従って調整してください。