iOS/iPadOS
SCEPman を使用して Intune の SCEP 経由で iOS および iPadOS デバイスに証明書を展開します。
次の記事では、iOSおよび iPadOS デバイス向けにデバイス証明書および/またはユーザー証明書を展開する方法を説明します。SCEPman ルート証明書の展開は必須です。その後、デバイス証明書のみ、ユーザー証明書のみ、または両方の証明書タイプを展開するかを選択できます。
iOS および iPadOS は、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに別個のクライアント認証証明書を登録することに注意してください。詳細は こちら
ルート証明書
SCEP 証明書を展開するための基本は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードし、次として展開する必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:
を使用する必要があることに注意してください 割り当てに同じグループを を 信頼された証明書 および SCEP プロファイル. そうしないと、Intune の展開が失敗する可能性があります。
デバイス証明書
サブジェクト名フォーマット: CN={{DeviceId}} または CN={{AAD_Device_ID}}
SCEPman はサブジェクトの CN フィールドをデバイスを識別するためおよび証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 つの異なる ID を提供します:
{{DeviceId}}: この ID は Intune によって生成および使用されます (推奨) (SCEPman 2.0 以上および を必要とします AppConfig:IntuneValidation:DeviceDirectory が Intune または AADAndIntune)
{{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。 (注意: Apple Business Manager 経由の自動デバイス登録を使用する場合、デバイスセットアップ中にこの ID が変更されることがあります。その場合、SCEPman はその後デバイスを識別できない可能性があります。その場合、証明書は無効になります。)
必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメント.
で確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}
値: URI フィールドは NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するため。
必要に応じて DNS のような他の SAN 値を追加できます。
証明書の有効期間: 1 年
重要: iOS/iPadOS は Intune を介した有効期間の構成を無視します。必ず、を固定値に設定するようにしてください。 AppConfig:ValidityPeriodDays 2 年を推奨します。そのため、SCEPman の設定でこの変数を 730 日に設定する必要があります。ただし、Intune はいずれにしても証明書の有効期間設定を無視するため、証明書の有効期間設定を 1 年のままにしておくことも可能です。 注重要: また、次の点に注意してください、 iOS/iPadOS 上の証明書は更新されるのは デバイスが アンロックされ、オンラインで、同期中でかつ更新閾値の対象範囲内にある場合に限り Intune によって行われます。もし証明書が期限切れになっている場合(例: デバイスが長時間オフラインまたはロックされていた)、それらはもう更新されません。したがって、ここではより高い値を選択することをお勧めします。
SCEPman は SHA-2 アルゴリズムをサポートします。 前の手順からのプロファイル
前のステップのプロファイル(ルート証明書プロファイル) iOS/iPadOS.
拡張キー用途: 次の項目から
を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。
重要: iOS/iPadOS デバイスは、Client Authentication 以外の拡張キー使用法(EKU)をサポートしません。 クライアント認証 。つまり、このプロファイルで構成された他の EKU はすべて無視されます。
更新閾値 (%): 50
この値は、デバイスが証明書を更新できる時期を定義します(既存証明書の残存有効期間に基づきます)。下の注を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。 証明書の有効期間 50% の値は、有効期間が 1 年の証明書を持つデバイスが有効期限の 182 日前に更新を開始できることを意味します。
SCEP サーバー URL:SCEPman ポータルを開き、 Intune MDM
の URL をコピーしてください
我々の記載した設定により、我々は次の要件を満たしています Apple の証明書要件.
の URL をコピーしてください
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。
ユーザー証明書 iOS/iPadOS の手順に従い、次の相違点に注意してください:
サブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}
ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。
で確認できます。 UPN (URI) {{UserPrincipalName}}
SCEPman は SAN の UPN をユーザー識別および証明書シリアル番号生成のシードとして使用します(例: [email protected])。 必要に応じて、電子メールアドレスなどの他の SAN 値を追加することができます。
我々の記載した設定により、我々は次の要件を満たしています Apple の証明書要件
の URL をコピーしてください
最終更新
役に立ちましたか?