# iOS/iPadOS 次の記事では、iOS および iPadOS デバイスにデバイス証明書および/またはユーザー証明書を展開する方法を説明します。SCEPman のルート証明書の展開は必須です。その後、デバイス証明書、ユーザー証明書、またはその両方を展開するかを選択できます。 {% hint style="warning" %} なお、iOS および iPadOS では、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに、別個のクライアント認証証明書が登録されることに注意してください。詳細は [こちら](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile) {% endhint %} ## ルート証明書 SCEP 証明書を展開するための基盤は、SCEPman のルート証明書を信頼することです。そのため、CA ルート証明書をダウンロードし、 **信頼された証明書** として Microsoft Intune 経由でプロファイルとして展開する必要があります: * [ ] SCEPman ポータルから CA 証明書をダウンロードします: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9170eb0435726398eb43f6fac8abd0d5f35e8cc4%2FSCEPmanHomePage.png?alt=media) * [ ] 次の種類で iOS/iPadOS 用のプロファイルを作成します **信頼された証明書** を Microsoft Intune で: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b938690451e27e4d5cb48ef9d212f14a1e791637%2Fimage.png?alt=media) * [ ] 以前にダウンロードした **.cer ファイルをアップロードします**. * [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、すべてのユーザーおよび/またはすべてのデバイス、または専用グループを選択してください。 {% hint style="info" %} 次の項目には **同じグループを使用して割り当てる** 必要があることに注意してください **信頼された証明書** および **SCEP プロファイル**。そうしないと、Intune の展開が失敗する可能性があります。 {% endhint %} ## デバイス証明書 * [ ] SCEPman ポータルを開き、次の項目の下にある URL をコピーします **Intune MDM**: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-e72dec344ae0106207cac3c5039842bea56f2558%2FSCEPmanMDMURL.png?alt=media) * [ ] 次の種類で iOS/iPadOS 用のプロファイルを作成します **SCEP 証明書** を Microsoft Intune で: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-6036fbb80858385826e7d91835662d489c40cd30%2Fimage.png?alt=media) * [ ] 次のとおりにプロファイルを構成します:

証明書の種類: デバイス

このセクションでは、デバイス証明書を設定します。

サブジェクト名の形式: CN={{DeviceId}} または CN={{AAD_Device_ID}}

SCEPman は、サブジェクトの CN フィールドを使用してデバイスを識別し、証明書のシリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune では 2 つの異なる ID が提供されます: * {{DeviceId}}: この ID は Intune によって生成され、使用されます **(推奨)**\ \ ( [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") を **Intune** または **AADAndIntune**) * {{AAD\_Device\_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成され、使用されます。\ \ (注: Apple Business Manager を使用した自動デバイス登録を行う場合、この ID はデバイス設定中に変更されることがあります。その場合、SCEPman はその後デバイスを識別できない可能性があります。その場合、証明書は無効になります。) 必要に応じて、他の RDN を追加できます（例: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`）。サポートされる変数は [Microsoft docs](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

サブジェクトの代替名: URI 値:IntuneDeviceId://{{DeviceId}}

URI フィールドは [Microsoft によって推奨されています](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) NAC ソリューションが、Intune デバイス ID に基づいてデバイスを識別するために使用します。必要に応じて、DNS などの他の SAN 値を追加できます。

証明書の有効期間: 1 年

**重要:** iOS/iPadOS デバイスは、Intune 経由の有効期間の設定を無視します。必ず [#appconfig-validityperioddays](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/certificates#appconfig-validityperioddays "mention") を固定値に設定してください。2 年を推奨します。そのため、この変数を SCEPman の構成で 730 日に設定する必要があります。ただし、Intune はいずれにせよ無視するため、証明書の有効期間の設定は 1 年のままでもかまいません。\ \ **重****要:** また、 **iOS/iPadOS の証明書は、** デバイスが **ロック解除済み、オンライン、同期中、かつ更新しきい値の範囲内にある場合にのみ、Intune によって更新される**ことにも注意してください。証明書の有効期限が切れている場合（例: デバイスが長期間オフラインおよび/またはロックされていた場合）、それ以降は更新されません。そのため、ここではより高い値を選択することを推奨します。

キー使用法: デジタル署名 および 鍵暗号化

両方の暗号操作を有効にしてください。

キーサイズ（ビット）: 2048

SCEPman は 2048 ビットをサポートしています。

ルート証明書: 前の手順のプロファイル

次から Intune プロファイルを選択してください [#root-certificate](#root-certificate "mention").

拡張キー使用法: クライアント認証, 1.3.6.1.5.5.7.3.2

次を選択してください **クライアント認証 (1.3.6.1.5.5.7.3.2)** の下で **既定の値**。他のフィールドは自動的に入力されます。 **重要:** iOS/iPadOS デバイスは、 `クライアント認証` 以外の拡張キー使用法（EKU）をサポートしていません。つまり、このプロファイルで構成された他の EKU はすべて無視されます。

更新しきい値（%）: 50

この値は、デバイスが証明書を更新できるタイミングを定義します（既存証明書の残り有効期間に基づく）。 **証明書の有効期間** の下にある注意事項を読み、長期間にわたってデバイスが証明書を更新できる適切な値を選択してください。50% の値では、有効期間 1 年の証明書を持つデバイスは、有効期限の 182 日前に更新を開始できます。

SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM

**例** ``` https://scepman.contoso.com/certsrv/mscep/mscep.dll ```

{% hint style="info" %} ここで示した設定により、 [Apple の証明書要件を満たします](https://support.apple.com/en-us/HT210176). {% endhint %} ### 例 ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-c36a0e8cd7d01e42e6a99117cc5a5947fd8ee935%2FReplaceDeviOS.png?alt=media) * [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、信頼された証明書プロファイルと同じグループを選択してください。 ## ユーザー証明書次の手順に従ってください [#device-certificates](#device-certificates "mention") そして、次の違いに注意してください:

証明書の種類: ユーザー

このセクションでは、ユーザー証明書を設定します。

サブジェクト名の形式: CN={{UserName}},E={{EmailAddress}}

必要に応じて RDN を定義できます。サポートされる変数は [Microsoft docs](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)に一覧があります。基本設定として、ユーザー名（例: janedoe）とメールアドレス（例: ）を含めることを推奨します。

サブジェクトの代替名: UPN 値: {{UserPrincipalName}}

SCEPman は、SAN 内の UPN を使用してユーザーを識別し、証明書のシリアル番号生成のシードとして使用します（例: ）。\ \ 必要に応じて、メールアドレスなどの他の SAN 値を追加できます。

{% hint style="info" %} ここで示した設定により、 [Apple の証明書要件を満たします](https://support.apple.com/en-us/HT210176) {% endhint %} ### 例 ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-518a4a75c2bf5b53a3262f1e06a95742a9eaaf03%2FReplaceUsriOS.png?alt=media)