circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Android

Intune と SCEPman を使用して SCEP 経由で Android デバイスに証明書を展開します。

次の記事では、Android 用のデバイスまたはユーザー証明書をデプロイする方法について説明します。Android の証明書デプロイは、Windows 10、macOS、および iOS の証明書デプロイと類似しています。

circle-info

Android は 2 つの異なるソリューションセットを提供します。1 つは ワークプロファイルarrow-up-right (として知られる 個人所有ワークプロファイル) もう 1 つは 完全管理デバイスarrow-up-right (またとして知られる 完全管理、専用、および法人所有ワークプロファイル)。両方のシナリオで、証明書構成プロファイルの設定は一貫しています。

circle-info

Android デバイス管理者(device administrator)による管理は、Android 2.2 で Android デバイスを管理する手段として導入されました。その後、Android 5 以降、より近代的な管理フレームワークである Android Enterprise がリリースされました(Google Mobile Services に確実に接続できるデバイス向け)。 Google は新しい Android リリースで管理サポートを減らすことで device administrator 管理からの移行を促進しています。詳細については、次を確認してください MS. Intune の Android device admin に対するサポートの縮小arrow-up-right

hashtag
ルート証明書

SCEP 証明書(デバイスまたはユーザー)をデプロイするための前提は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードして、次としてデプロイする必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:

circle-info

注意:割り当てに同じ グループを使用する必要があります この 信頼された証明書 および SCEP プロファイル。そうしないと、Intune のデプロイが失敗する可能性があります。

hashtag
デバイス証明書

chevron-right証明書タイプ: デバイスhashtag

このセクションでは、デバイス証明書を設定しています。

chevron-rightサブジェクト名フォーマット: CN={{DeviceId}} または CN={{AAD_Device_ID}}hashtag

SCEPman はサブジェクトの CN フィールドをデバイスの識別と証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID(Azure AD)と Intune は 2 つの異なる ID を提供します:

  • {{DeviceId}}: この ID は Intune によって生成および使用されます (推奨)。 (SCEPman 2.0 以上と #AppConfig:IntuneValidation:DeviceDirectory が必要)Intune または AADAndIntune

  • {{AAD_Device_ID}}: この ID は Microsoft Entra ID(Azure AD)によって生成および使用されます。

必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメントarrow-up-right.

chevron-rightで確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}hashtag

値: URI フィールドはarrow-up-right NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するための:

必要に応じて DNS のような他の SAN 値を追加できます。

chevron-right証明書の有効期間: 1 年hashtag

証明書の有効期限までの残り期間。デフォルトは 1 年に設定されています。

SCEPman は設定で構成された最大値に証明書の有効期間を制限します: AppConfig:ValidityPeriodDaysただし、それ以外の場合はリクエストで構成された有効期間を使用します。

chevron-rightキー使用法: デジタル署名 および 鍵暗号化(key encipherment)hashtag

両方の暗号操作を有効にしてください。

chevron-rightに設定されている場合は例外です。 4096hashtag

SCEPman は 4096 ビットをサポートします。

chevron-rightSCEPman は SHA-2 アルゴリズムをサポートします。 前のステップのプロファイルhashtag

次から Intune プロファイルを選択してください [Android](android.md#root-certificate)。

もしあなたが を使用している場合でも、ルート CA 用には信頼済み証明書プロファイルを選択しなければなりません、中間 CA ではありません! . 中間 CA を使用している場合は、ルート CA ではなく中間 CA 用の信頼された証明書プロファイルを選択する必要があります!#Intune MDM

chevron-right拡張キー用途: 次の項目からhashtag

を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。

chevron-right更新閾値 (%): 20hashtag

この値は、デバイスが証明書の更新を許可されるタイミング(既存証明書の残存有効期間に基づく)を定義します。 証明書の有効期間 の注意を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。1 年の有効な証明書を持つデバイスが、有効期限の 73 日前に更新を開始できるようにするには、20% の値が適しています。

chevron-rightSCEP サーバー URL:SCEPman ポータルを開き、 あなたはhashtag

の URL をコピーしてください

hashtag
の URL をコピーしてください

hashtag
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。

ユーザー証明書 #Device certificates の手順に従い、次の相違点に注意してください:

chevron-right証明書タイプ: ユーザーhashtag

このセクションではユーザー証明書を設定しています。

chevron-rightサブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}hashtag

ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントarrow-up-rightに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。

chevron-rightで確認できます。 (UPN)(URI) {{UserPrincipalName}}hashtag

ユーザー プリンシパル名を Subject alternative name として追加します。 一致する必要があります これにより SCEPman は AAD のユーザーオブジェクトに証明書をリンクできます。 Subject Alternative Name タイプの User principal name (UPN) として '{{UserPrincipalName}}' を追加してください。 SAN(Subject Alternative Name)を持つことが要求されます

必要に応じてメールアドレスのような他の SAN 値を追加できます。

circle-info

SCEP 証明書、ユーザータイプ サブジェクト代替名。SAN がないと、会社の Wi-Fi にアクセスできません。証明書の確認

hashtag
の URL をコピーしてください

hashtag
Android デバイス上で証明書が正しくデプロイされていることを確認するために、次の 2 つのオプションがあります:

新しい Android バージョン(例:14)では、設定の

最終更新

役に立ちましたか?