# Android 次の記事では、Android 向けにデバイス証明書またはユーザー証明書を展開する方法について説明します。Android の証明書展開は、Windows 10、macOS、iOS の証明書展開に似ています。 {% hint style="info" %} Android には 2 つの異なるソリューションセットがあります。1 つは [ワークプロファイル](https://developers.google.com/android/work/requirements/work-profile) （ *Personal-Owned Work Profile として知られる）* で、もう 1 つは [完全管理対象デバイス](https://developers.google.com/android/work/requirements/fully-managed-device) （ *Fully Managed, Dedicated, and Corporate-Owned Work Profile としても知られる*）です。どちらのシナリオでも、証明書構成プロファイルの設定は一貫しています。 {% endhint %} {% hint style="info" %} Android のデバイス管理者管理は、Android デバイスを管理する方法として Android 2.2 でリリースされました。その後、Android 5 以降、より आधुनिकな Android Enterprise の管理フレームワークがリリースされました（Google Mobile Services に確実に接続できるデバイス向け）。 **Google は、新しい Android リリースでの管理サポートを減らすことで、デバイス管理者管理からの移行を促しています**。詳細については、次を確認してください [MS. Intune が Android デバイス管理者のサポートを段階的に縮小](https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935) {% endhint %} ## ルート証明書 SCEP 証明書（デバイスまたはユーザー）を展開するための基本は、SCEPman のルート証明書を信頼することです。そのため、CA ルート証明書をダウンロードし、次のように展開する必要があります。 **信頼された証明書** として Microsoft Intune 経由でプロファイルとして展開する必要があります: * [ ] SCEPman ポータルから CA 証明書をダウンロードする ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9170eb0435726398eb43f6fac8abd0d5f35e8cc4%2FSCEPmanHomePage.png?alt=media) * [ ] 種類が **信頼された証明書** の Android Enterprise 用プロファイルを Microsoft Intune で作成します（Android デバイスの登録オプションに基づく）

* [ ] 以前にダウンロードした **.cer ファイルをアップロードします**. * [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、すべてのユーザーおよび/またはすべてのデバイス、または専用のグループを選択してください。 {% hint style="info" %} 次を使用する必要がある点に注意してください **同じグループを使用して割り当てる** 必要があることに注意してください **信頼された証明書** および **SCEP プロファイル**。そうしないと、Intune の展開が失敗する可能性があります。 {% endhint %} ## デバイス証明書 * [ ] SCEPman ポータルを開き、次の項目の下にある URL をコピーします **Intune MDM**

* [ ] 種類が **SCEP 証明書** の Android Enterprise 用プロファイルを Microsoft Intune で作成します（繰り返しますが、Android デバイスの登録オプションに基づきます）

* [ ] プロファイルを次のように構成します

証明書の種類: デバイス

このセクションでは、デバイス証明書を設定します。

サブジェクト名の形式: CN={{DeviceId}} または CN={{AAD_Device_ID}}

SCEPman は、サブジェクトの CN フィールドを使用してデバイスを識別し、証明書のシリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune では 2 つの異なる ID が提供されます: * {{DeviceId}}: この ID は Intune によって生成され、使用されます **（推奨）。** （必要） [#AppConfig:IntuneValidation:DeviceDirectory](https://docs.scepman.com/ja/scepman-no/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) を **Intune** または **AADAndIntune** * {{AAD\_Device\_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成され、使用されます。必要に応じて、他の RDN を追加できます（例: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`）。サポートされる変数は [Microsoft docs](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

サブジェクトの代替名: URI 値:IntuneDeviceId://{{DeviceId}}

``` IntuneDeviceId://{{DeviceId}} ``` URI フィールドは [Microsoft によって推奨されています](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するため: 必要に応じて、DNS などの他の SAN 値を追加できます。

証明書の有効期間: 1 年

証明書の有効期限が切れるまでの残り時間です。既定値は 1 年に設定されています。 SCEPman は、設定 [***AppConfig:ValidityPeriodDays***](https://docs.scepman.com/ja/scepman-no/application-settings/certificates#appconfig-validityperioddays)で構成された最大値に証明書の有効期間を制限しますが、それ以外は要求で構成された有効期間を使用します。

キー使用法: デジタル署名 および 鍵暗号化

両方の暗号操作を有効にしてください。

キーサイズ（ビット）: 4096

SCEPman は 4096 ビットをサポートしています。

ルート証明書: 前の手順のプロファイル

\[[#root-certificate](#root-certificate "mention")]\(android.md#root-certificate) から Intune プロファイルを選択してください。を使用している場合でも [中間 CA](https://docs.scepman.com/ja/scepman-depuroi/intermediate-certificate)、Root CA 用の Trusted certificate プロファイルを選択する必要があります。Intermediate CA ではありません。

拡張キー使用法: クライアント認証, 1.3.6.1.5.5.7.3.2

次を選択してください **クライアント認証 (1.3.6.1.5.5.7.3.2)** の下で **既定の値**。他のフィールドは自動的に入力されます。

更新しきい値（%）: 20

この値は、デバイスが証明書を更新できる時期を定義します（既存証明書の残存有効期間に基づく）。下の注意をお読みいただき **証明書の有効期間** 、デバイスが長期間にわたって証明書を更新できる適切な値を選択してください。20% の値であれば、有効期間 1 年の証明書を持つデバイスは、有効期限の 73 日前から更新を開始できます。

SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします #Intune MDM

**例** ``` https://scepman.contoso.com/certsrv/mscep/mscep.dll ```

### **例**

## ユーザー証明書次の手順に従ってください [#デバイス証明書](#device-certificates) そして、次の違いに注意してください:

証明書の種類: ユーザー

このセクションでは、ユーザー証明書を設定します。

サブジェクト名の形式: CN={{UserName}},E={{EmailAddress}}

必要に応じて RDN を定義できます。サポートされる変数は [Microsoft docs](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)に一覧があります。基本設定として、ユーザー名（例: janedoe）とメールアドレス（例: ）を含めることを推奨します。

サブジェクトの代替名: (UPN)値: {{UserPrincipalName}}

あなたは **必ず** ユーザープリンシパル名を Subject alternative name として追加する必要があります。 **User principal name (UPN) の種類で Subject Alternative Name として '{{UserPrincipalName}}' を追加します。** これにより、SCEPman は証明書を AAD 内のユーザーオブジェクトに関連付けることができます。必要に応じて、電子メールアドレスなどの他の SAN 値を追加できます。

{% hint style="info" %} 次を持つことが必要です **Subject alternative name** を **SCEP Certificate, User Type**。SAN がないと、会社の Wi-Fi にアクセスできません。 {% endhint %} ### **例**

## 証明書チェック Android デバイスに証明書を正しく展開するために、2 つのオプションがあります。 * Android の新しいバージョン（例: 14）では、次の場所から証明書（ユーザー証明書および信頼済み証明書）を確認できます。 **設定** > **セキュリティとプライバシー** * 次のようなサードパーティ製アプリを介して [X509 Certificate Viewer Tool](https://play.google.com/store/apps/details?id=com.rdupletlabs.certificateviewer)