Android
Intune と SCEPman を使用して SCEP 経由で Android デバイスに証明書を展開します。
次の記事では、Android 用のデバイスまたはユーザー証明書をデプロイする方法について説明します。Android の証明書デプロイは、Windows 10、macOS、および iOS の証明書デプロイと類似しています。
Android デバイス管理者(device administrator)による管理は、Android 2.2 で Android デバイスを管理する手段として導入されました。その後、Android 5 以降、より近代的な管理フレームワークである Android Enterprise がリリースされました(Google Mobile Services に確実に接続できるデバイス向け)。 Google は新しい Android リリースで管理サポートを減らすことで device administrator 管理からの移行を促進しています。詳細については、次を確認してください MS. Intune の Android device admin に対するサポートの縮小
ルート証明書
SCEP 証明書(デバイスまたはユーザー)をデプロイするための前提は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードして、次としてデプロイする必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:
注意:割り当てに同じ グループを使用する必要があります この 信頼された証明書 および SCEP プロファイル。そうしないと、Intune のデプロイが失敗する可能性があります。
デバイス証明書
サブジェクト名フォーマット: CN={{DeviceId}} または CN={{AAD_Device_ID}}
SCEPman はサブジェクトの CN フィールドをデバイスの識別と証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID(Azure AD)と Intune は 2 つの異なる ID を提供します:
{{DeviceId}}: この ID は Intune によって生成および使用されます (推奨)。 (SCEPman 2.0 以上と #AppConfig:IntuneValidation:DeviceDirectory が必要) が Intune または AADAndIntune
{{AAD_Device_ID}}: この ID は Microsoft Entra ID(Azure AD)によって生成および使用されます。
必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメント.
で確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}
値: URI フィールドは NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するための:
必要に応じて DNS のような他の SAN 値を追加できます。
証明書の有効期間: 1 年
証明書の有効期限までの残り期間。デフォルトは 1 年に設定されています。
SCEPman は設定で構成された最大値に証明書の有効期間を制限します: AppConfig:ValidityPeriodDaysただし、それ以外の場合はリクエストで構成された有効期間を使用します。
SCEPman は SHA-2 アルゴリズムをサポートします。 前のステップのプロファイル
次から Intune プロファイルを選択してください [Android](android.md#root-certificate)。
もしあなたが を使用している場合でも、ルート CA 用には信頼済み証明書プロファイルを選択しなければなりません、中間 CA ではありません! . 中間 CA を使用している場合は、ルート CA ではなく中間 CA 用の信頼された証明書プロファイルを選択する必要があります!#Intune MDM
更新閾値 (%): 20
この値は、デバイスが証明書の更新を許可されるタイミング(既存証明書の残存有効期間に基づく)を定義します。 証明書の有効期間 の注意を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。1 年の有効な証明書を持つデバイスが、有効期限の 73 日前に更新を開始できるようにするには、20% の値が適しています。
SCEP サーバー URL:SCEPman ポータルを開き、 あなたは
の URL をコピーしてください
の URL をコピーしてください
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。
ユーザー証明書 #Device certificates の手順に従い、次の相違点に注意してください:
サブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}
ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。
で確認できます。 (UPN)(URI) {{UserPrincipalName}}
ユーザー プリンシパル名を Subject alternative name として追加します。 一致する必要があります これにより SCEPman は AAD のユーザーオブジェクトに証明書をリンクできます。 Subject Alternative Name タイプの User principal name (UPN) として '{{UserPrincipalName}}' を追加してください。 SAN(Subject Alternative Name)を持つことが要求されます
必要に応じてメールアドレスのような他の SAN 値を追加できます。
SCEP 証明書、ユーザータイプ サブジェクト代替名 を 。SAN がないと、会社の Wi-Fi にアクセスできません。証明書の確認
の URL をコピーしてください
Android デバイス上で証明書が正しくデプロイされていることを確認するために、次の 2 つのオプションがあります:
新しい Android バージョン(例:14)では、設定の
セキュリティとプライバシー から証明書(ユーザーおよび信頼された証明書)を検証できます。 > 設定
サードパーティ製アプリ(例:)経由で X509 証明書ビューアーツール
最終更新
役に立ちましたか?