circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

iOS/iPadOS

SCEPman を使用して Intune の SCEP 経由で iOS および iPadOS デバイスに証明書を配布します。

次の記事では、iOSおよび iPadOS デバイス向けにデバイス証明書および/またはユーザー証明書を展開する方法を説明します。SCEPman ルート証明書の展開は必須です。その後、デバイス証明書のみ、ユーザー証明書のみ、または両方の証明書タイプを展開するかを選択できます。

circle-exclamation

iOS および iPadOS は、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに別個のクライアント認証証明書を登録することに注意してください。詳細は こちらarrow-up-right

hashtag
ルート証明書

SCEP 証明書を展開するための基本は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードし、次として展開する必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:

circle-info

を使用する必要があることに注意してください 割り当てに同じグループを信頼された証明書 および SCEP プロファイル. そうしないと、Intune の展開が失敗する可能性があります。

hashtag
デバイス証明書

chevron-right証明書タイプ: デバイスhashtag

このセクションではデバイス証明書を設定しています。

chevron-rightサブジェクト名フォーマット: CN={{DeviceId}} または CN={{AAD_Device_ID}}hashtag

SCEPman はサブジェクトの CN フィールドをデバイスを識別するためおよび証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 つの異なる ID を提供します:

  • {{DeviceId}}: この ID は Intune によって生成および使用されます (推奨) (SCEPman 2.0 以上および を必要とします AppConfig:IntuneValidation:DeviceDirectoryIntune または AADAndIntune)

  • {{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。 (注意: Apple Business Manager 経由の自動デバイス登録を使用する場合、デバイスセットアップ中にこの ID が変更されることがあります。その場合、SCEPman はその後デバイスを識別できない可能性があります。その場合、証明書は無効になります。)

必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメントarrow-up-right.

chevron-rightで確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}hashtag

値: URI フィールドはarrow-up-right NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するため。

必要に応じて DNS のような他の SAN 値を追加できます。

chevron-right証明書の有効期間: 1 年hashtag

重要: iOS/iPadOS は Intune を介した有効期間の構成を無視します。必ず、を固定値に設定するようにしてください。 AppConfig:ValidityPeriodDays 2 年を推奨します。そのため、SCEPman の設定でこの変数を 730 日に設定する必要があります。ただし、Intune はいずれにしても証明書の有効期間設定を無視するため、証明書の有効期間設定を 1 年のままにしておくことも可能です。 重要: また、次の点に注意してください、 iOS/iPadOS 上の証明書は更新されるのは デバイスが アンロックされ、オンラインで、同期中でかつ更新閾値の対象範囲内にある場合に限り Intune によって行われます。もし証明書が期限切れになっている場合(例: デバイスが長時間オフラインまたはロックされていた)、それらはもう更新されません。したがって、ここではより高い値を選択することをお勧めします。

chevron-rightキー使用法: デジタル署名 および 鍵暗号化(key encipherment)hashtag

両方の暗号操作を有効にしてください。

chevron-rightに設定されている場合は例外です。 2048hashtag

鍵長(ビット):

chevron-rightSCEPman は SHA-2 アルゴリズムをサポートします。 前の手順からのプロファイルhashtag

前のステップのプロファイル(ルート証明書プロファイル) iOS/iPadOS.

chevron-right拡張キー用途: 次の項目からhashtag

を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。

重要: iOS/iPadOS デバイスは、Client Authentication 以外の拡張キー使用法(EKU)をサポートしません。 クライアント認証 。つまり、このプロファイルで構成された他の EKU はすべて無視されます。

chevron-right更新閾値 (%): 50hashtag

この値は、デバイスが証明書を更新できる時期を定義します(既存証明書の残存有効期間に基づきます)。下の注を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。 証明書の有効期間 50% の値は、有効期間が 1 年の証明書を持つデバイスが有効期限の 182 日前に更新を開始できることを意味します。

chevron-rightSCEP サーバー URL:SCEPman ポータルを開き、 Intune MDMhashtag

の URL をコピーしてください

circle-info

我々の記載した設定により、我々は次の要件を満たしています Apple の証明書要件arrow-up-right.

hashtag
の URL をコピーしてください

hashtag
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。

ユーザー証明書 iOS/iPadOS の手順に従い、次の相違点に注意してください:

chevron-right証明書タイプ: ユーザーhashtag

このセクションではユーザー証明書を設定しています。

chevron-rightサブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}hashtag

ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントarrow-up-rightに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。

chevron-rightで確認できます。 UPN (URI) {{UserPrincipalName}}hashtag

SCEPman は SAN の UPN をユーザー識別および証明書シリアル番号生成のシードとして使用します(例: [email protected])。 必要に応じて、電子メールアドレスなどの他の SAN 値を追加することができます。

circle-info

我々の記載した設定により、我々は次の要件を満たしています Apple の証明書要件arrow-up-right

hashtag
の URL をコピーしてください

最終更新

役に立ちましたか?