> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/microsoft-intune/macos.md).

# macOS

次の記事では、macOS デバイスにデバイス証明書および/またはユーザー証明書を展開する方法について説明します。SCEPman ルート証明書の展開は必須です。その後、デバイス証明書、ユーザー証明書、または両方の種類を展開するかを選択できます。

{% hint style="warning" %}
macOS では、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに、個別のクライアント認証証明書が登録されることに注意してください。注を参照 [こちら](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}

## ルート証明書

SCEP 証明書の展開の基本は、SCEPman のルート証明書を信頼することです。そのため、CA ルート証明書をダウンロードし、次のように展開する必要があります。 **信頼済み証明書** プロファイルを Microsoft Intune で:

* [ ] SCEPman ポータルから CA 証明書をダウンロードします:

![](/files/344eb387228d4d05887e8793281b10fff5e2e48d)

* [ ] macOS 用のプロファイルを次の種類で **信頼済み証明書** Microsoft Intune に作成します:

![](/files/1e10355451eab753ed15c24ba364cfbd1e112369)

* [ ] 以前にダウンロードした **.cer ファイル**.
* [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、すべてのユーザーおよび/またはすべてのデバイス、もしくは専用のグループを選択してください。

{% hint style="info" %}
注意: 次を使用する必要があります **割り当てに同じグループを** その **信頼済み証明書** と **SCEP プロファイル**。そうしないと、Intune の展開が失敗する可能性があります。
{% endhint %}

## デバイス証明書

* [ ] SCEPman ポータルを開き、次の URL をコピーします **Intune MDM**:

![](/files/bbc5aab1d39fb71c029d6c7d4ad35a6c3bb71487)

* [ ] macOS 用のプロファイルを次の種類で **SCEP 証明書** Microsoft Intune に作成します:

![](/files/4566f8d668d9861d5a17ea241051690d52332acb)

* [ ] 次のようにプロファイルを構成します:

<details>

<summary>証明書の種類: <code>デバイス</code></summary>

このセクションでは、デバイス証明書を設定しています。

</details>

<details>

<summary>サブジェクト名の形式: <code>CN={{DeviceName}}</code> または <code>CN={{DeviceId}}</code> または <code>CN={{AAD_Device_ID}}</code></summary>

**推奨:** 使用してください `{{DeviceName}}`CN RDN には、デバイス上で証明書に意味のある名前を付けたり、証明書を検索したりしやすくするために {{DeviceName}} を使用してください。

**任意:** 次に設定されている場合 `CN={{DeviceId}}` または `CN={{AAD_Device_ID}}`、SCEPman はサブジェクト名の CN フィールドを使用してデバイスを識別し、証明書シリアル番号生成のシードとしても使用します。Microsoft Entra ID (Azure AD) と Intune では 2 つの異なる ID が提供されています:

* `{{DeviceId}}`: この ID は Intune によって生成され、使用されます。\n\n（ [Intune 検証](/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) 次のいずれかに設定する必要があります **Intune** または **AADAndIntune**)
* `{{AAD_Device_ID}}`: この ID は Microsoft Entra ID (Azure AD) によって生成され、使用されます。

次のいずれも `CN={{DeviceId}}` も `CN={{AAD_Device_ID}}` が CN フィールドに使用されていない場合 (例: `CN={{DeviceName}})`、SCEPman はデバイスを Intune デバイス ID (`(URI) 値:` `IntuneDeviceId://{{DeviceId}}`) を、サブジェクト代替名 (SAN) に含まれるものとして使用して識別します。

**重要:** CN フィールドの選択は、 [証明書の自動失効動作](/ja/zheng-ming-shu-guan-li/manage-certificates.md#automatic-revocation) に影響します。Intune で管理されているデバイスに発行された証明書に対してです。

必要に応じて、他の RDN を追加できます (例: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`)。サポートされている変数は [Microsoft のドキュメント](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

</details>

<details>

<summary>サブジェクト代替名: <code>URI</code> 値:<code>IntuneDeviceId://{{DeviceId}}</code></summary>

URI フィールドは [Microsoft により推奨されています](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するために。

```
IntuneDeviceId://{{DeviceId}}
```

この **URI フィールドは必須です** 次のいずれも `CN={{DeviceId}}` も `CN={{AAD_Device_ID}}` が **サブジェクト名の形式** フィールドで使用されていない場合。

必要に応じて、DNS などの他の SAN 値を追加できます。

</details>

<details>

<summary>証明書の有効期間: <code>1年</code></summary>

<mark style="color:オレンジ色;">**重要:**</mark> <mark style="color:オレンジ色;">macOS デバイスは、Intune を介した有効期間の構成を無視します。</mark> [証明書](/ja/scepman-gou-cheng/application-settings/certificates.md#appconfig-validityperioddays) <mark style="color:オレンジ色;">そのため、必ず固定値に設定してください。証明書の有効期間設定は 1 年のままにしておいても問題ありません。いずれにせよ無視されます。</mark>\
\ <mark style="color:オレンジ色;">**重要:**</mark> <mark style="color:オレンジ色;">また、</mark> <mark style="color:オレンジ色;">**macOS 上の証明書は、**</mark> <mark style="color:オレンジ色;">デバイスが</mark> <mark style="color:オレンジ色;">**ロック解除済み、オンライン、同期中、かつ更新しきい値の範囲内にある場合にのみ、Intune によって更新されます**</mark><mark style="color:オレンジ色;">。証明書が期限切れになっている場合 (例: デバイスが長期間オフラインおよび/またはロックされていた場合)、それ以上更新されません。そのため、ここではより高い値を選ぶことをお勧めします。</mark>

</details>

<details>

<summary>キー使用法: <code>デジタル署名</code> と <code>鍵の暗号化</code></summary>

両方の暗号操作を有効にしてください。

</details>

<details>

<summary>鍵サイズ (ビット): <code>2048</code></summary>

SCEPman は 2048 ビットをサポートしています。

</details>

<details>

<summary>ルート証明書: <code>前の手順のプロファイル</code></summary>

次の Intune プロファイルを選択してください [#ルート証明書](#root-certificate)

</details>

<details>

<summary>拡張キー使用法: <code>クライアント認証、1.3.6.1.5.5.7.3.2</code></summary>

選択してください **クライアント認証 (1.3.6.1.5.5.7.3.2)** の下の **定義済みの値**。他のフィールドは自動的に入力されます。

<mark style="color:オレンジ色;">**重要:**</mark> <mark style="color:オレンジ色;">macOS デバイスは、</mark> <mark style="color:オレンジ色;">`クライアント認証`</mark> <mark style="color:オレンジ色;">以外の拡張キー使用法 (EKU) をサポートしていません。つまり、このプロファイルで構成された他の EKU は無視されます。</mark>

</details>

<details>

<summary>更新しきい値 (%): <code>50</code></summary>

この値は、デバイスが証明書を更新できる時点を定義します（既存証明書の残り有効期間に基づきます）。下の「証明書の有効期間」の注記を読んでください **証明書の有効期間** を参照し、デバイスが長期間にわたって証明書を更新できる適切な値を選択してください。50% に設定すると、有効期間 1 年の証明書を持つデバイスは、期限切れの 182 日前に更新を開始できます。

</details>

<details>

<summary>SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします <a href="#device-certificates"><strong>Intune MDM</strong></a></summary>

**例**

```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```

</details>

{% hint style="info" %}
ここで示した設定により、 [Apple の証明書要件を満たします](https://support.apple.com/en-us/HT210176).
{% endhint %}

### 例

<figure><img src="/files/130a64709835c32d26a54d7a57c2ba95b94bd539" alt=""><figcaption></figcaption></figure>

* [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、信頼済み証明書プロファイルと同じグループを選択してください。

## ユーザー証明書

次のセクションでは、macOS X 10.12（以降）デバイス上で、Intune の証明書プロファイルを使用してユーザー証明書を展開する方法を説明します。

{% hint style="warning" %}
注意: SCEP プロトコルを通じてプロビジョニングされた証明書は、種類（ユーザーまたはデバイス）に関係なく、常にデバイスのシステムキーチェーン（System store）に配置されます。

サードパーティ製アプリケーションがそのような証明書へのアクセスを必要とする場合（例: サードパーティ製 VPN クライアント）、 **プライベート キーへのすべてのアプリのアクセスを許可** のキーチェーン内のスライダーを **有効**.
{% endhint %}

次の手順に従ってください [#デバイス証明書](#device-certificates) を参照し、次の違いに注意してください:

<details>

<summary>証明書の種類: <code>ユーザー</code></summary>

このセクションでは、ユーザー証明書を設定しています。

</details>

<details>

<summary>サブジェクト名の形式: <code>CN={{UserName}},E={{EmailAddress}}</code></summary>

必要に応じて RDN を定義できます。サポートされている変数は [Microsoft のドキュメント](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)。ベースライン設定として、ユーザー名（例: janedoe）とメールアドレス（例: <janedoe@contoso.com>）を含めることをお勧めします。

</details>

<details>

<summary>サブジェクト代替名: <code>UPN</code> 値:<code>{{UserPrincipalName}}</code></summary>

SCEPman は SAN 内の UPN を使用してユーザーを識別し、証明書シリアル番号生成のシードとしても使用します（例: <janedoe@contoso.com>）。\n\n必要に応じて、メールアドレスなどの他の SAN 値を追加できます。

</details>

{% hint style="info" %}
ここで示した設定により、 [Apple の証明書要件を満たします](https://support.apple.com/en-us/HT210176)
{% endhint %}

### 例

![](/files/52a750683402c98d57c671199f7ff8526e1d25ff)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/ja/zheng-ming-shu-guan-li/microsoft-intune/macos.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.