macOS
SCEPman を使用して Intune の SCEP 経由で MacOS デバイスに証明書を展開します。
次の記事では、macOS デバイス向けにデバイスおよび/またはユーザー証明書をデプロイする方法を説明します。SCEPman ルート証明書のデプロイは必須です。その後、デバイス証明書のみ、ユーザー証明書のみ、または両方のタイプを選択してデプロイできます。
macOS は、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに個別のクライアント認証証明書を登録することに注意してください。注を参照してください。 こちら
ルート証明書
SCEP 証明書を展開するための基本は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードし、次として展開する必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:
ただし、次を使用する必要があることに注意してください 割り当てに同じグループを使用する この 信頼された証明書 および SCEP プロファイル。それ以外の場合、Intune の展開が失敗する可能性があります。
デバイス証明書
サブジェクト名フォーマット: CN={{DeviceName}} または CN={{DeviceId}} または CN={{AAD_Device_ID}}
推奨: を使用してください {{DeviceName}}を CN の RDN として使用すると、デバイス上や証明書検索時に証明書の名前がわかりやすくなります。
オプション: に設定されている場合、 CN={{DeviceId}} または CN={{AAD_Device_ID}}SCEPman はサブジェクト名の CN フィールドをデバイスを識別するため、および証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 つの異なる ID を提供します:
{{DeviceId}}: この ID は Intune によって生成および使用されます。 (これは SCEPman 2.0 以降を必要とし、 AppConfig:IntuneValidation:DeviceDirectory が Intune または AADAndIntune){{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。
CN フィールドに CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} のいずれも使用されない場合(例: CN={{DeviceName}})SCEPman はサブジェクト代替名(SAN)に提供された Intune デバイス ID を基にデバイスを識別します。(URI) 値: IntuneDeviceId://{{DeviceId}})
重要: CN フィールドの選択は、あなたの Intune 管理デバイスに発行された証明書の 自動失効動作 に影響します。
必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメント.
で確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}
値: URI フィールドは NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するためのものです。
NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります: この URI フィールドは必須です CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} Subject name format フィールドで が使用されていない場合。
必要に応じて DNS のような他の SAN 値を追加できます。
証明書の有効期間: 1 年
重要: macOS デバイスは Intune 経由での有効期間の構成を無視します。必ず、 AppConfig:ValidityPeriodDays を固定値に設定してください。証明書の有効期間設定は 1 年のままでも問題ありません。どのみち無視されます。 重要: また、次の点に注意してください。 macOS 上の証明書は、更新されるのは デバイスが ロック解除され、オンラインで、同期中で、更新しきい値の適用範囲内にある場合のみ Intune によって行われます。証明書が期限切れの場合(例:デバイスが長期間オフラインまたはロックされていた場合)、もはや更新されません。したがって、ここではより長い値を選択することを推奨します。
SCEPman は SHA-2 アルゴリズムをサポートします。 前の手順からのプロファイル
前のステップのプロファイル(ルート証明書プロファイル) #ルート証明書
拡張キー用途: 次の項目から
を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。
重要: macOS デバイスは、次以外の拡張キー使用目的(EKU)をサポートしていません クライアント認証 。つまり、このプロファイルで構成された他の EKU はすべて無視されます。
更新閾値 (%): 50
この値は、デバイスが証明書を更新できるタイミング(既存証明書の残存有効期間に基づく)を定義します。以下の注を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。 証明書の有効期間 有効期間 1 年の証明書を持つデバイスが有効期限の 182 日前に更新を開始できるようにするには、50% の値を選択します。
SCEP サーバー URL:SCEPman ポータルを開き、 Intune MDM
の URL をコピーしてください
当社の記載設定により、次の要件を満たします Apple の証明書要件.
の URL をコピーしてください
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。
次のセクションでは、macOS X 10.12(以降)デバイスで Intune 証明書プロファイルを介してユーザー証明書をデプロイする方法を示します。
注意: SCEP プロトコルを通じてプロビジョニングされた証明書は、種別(ユーザーまたはデバイス)に関わらず、常にデバイスのシステムキーチェーン(システムストア)に配置されます。
サードパーティ製アプリケーションがそのような証明書へのアクセスを必要とする場合(例:サードパーティの VPN クライアント)、キーチェーンの プライベートキーへのすべてのアプリのアクセスを許可 スライダーを 有効.
ユーザー証明書 #Device certificates の手順に従い、次の相違点に注意してください:
サブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}
ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。
で確認できます。 UPN (URI){{UserPrincipalName}}
SCEPman は SAN の UPN を使用してユーザーを識別し、証明書シリアル番号生成のシードとして使用します(例:[email protected])。 必要に応じて電子メールアドレスなどの他の SAN 値を追加できます。
当社の記載設定により、次の要件を満たします Apple の証明書要件
の URL をコピーしてください
最終更新
役に立ちましたか?