# macOS
以下の記事では、macOS デバイス向けにデバイス証明書または/およびユーザー証明書を展開する方法について説明します。SCEPman ルート証明書の展開は必須です。その後、デバイス証明書のみ、ユーザー証明書のみ、または両方の証明書タイプを展開するかを選択できます。
{% hint style="warning" %}
macOS は、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに、個別のクライアント認証証明書を登録することに注意してください。注記は [こちら](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## ルート証明書
SCEP 証明書を展開する基盤は、SCEPman のルート証明書を信頼することです。そのため、CA ルート証明書をダウンロードし、Microsoft Intune 経由で **信頼された証明書** プロファイルとして展開する必要があります:
* [ ] SCEPman ポータルから CA 証明書をダウンロードします:
* [ ] macOS 用のプロファイルを次の種類で作成します **信頼された証明書** Microsoft Intune 内:
* [ ] 先ほどダウンロードした **.cer ファイル**.
* [ ] これで、このプロファイルをデバイスに展開できます。割り当てには、すべてのユーザーおよび/またはすべてのデバイス、または専用のグループを選択してください。
{% hint style="info" %}
なお、 **割り当てには同じグループを使用する** 必要があることに注意してください。 **信頼された証明書** および **SCEP プロファイル**。そうしないと、Intune の展開が失敗する可能性があります。
{% endhint %}
## デバイス証明書
* [ ] SCEPman ポータルを開き、 **Intune MDM**:
* [ ] macOS 用のプロファイルを次の種類で作成します **SCEP 証明書** Microsoft Intune 内:
* [ ] プロファイルを次のように構成します:
証明書の種類: デバイス
このセクションでは、デバイス証明書を設定しています。
サブジェクト名の形式: CN={{DeviceName}} または CN={{DeviceId}} または CN={{AAD_Device_ID}}
**推奨:** CN RDN には `{{DeviceName}}`を使用して、デバイス上で、または証明書を検索する際に意味のある証明書名にしてください。
**任意:** もし次のように構成されている場合 `CN={{DeviceId}}` または `CN={{AAD_Device_ID}}`、SCEPman はサブジェクト名の CN フィールドを使用してデバイスを識別し、証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 種類の異なる ID を提供します:
* `{{DeviceId}}`: この ID は Intune によって生成および使用されます。\
\
(次の設定が必要です [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") を **Intune** または **AADAndIntune**)
* `{{AAD_Device_ID}}`: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。
いずれも `CN={{DeviceId}}` も `CN={{AAD_Device_ID}}` CN フィールドに使用されない場合(例: `CN={{DeviceName}})`、SCEPman は Intune Device ID に基づいてデバイスを識別します(`(URI)値:` `IntuneDeviceId://{{DeviceId}}`)これはサブジェクト代替名 (SAN) で提供されます。
**重要:** CN フィールドの選択は、 [自動失効動作](https://docs.scepman.com/ja/manage-certificates#automatic-revocation) に影響します。これは Intune 管理対象デバイスに発行された証明書に対するものです。
必要に応じて他の RDN を追加できます(例: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`)。サポートされている変数は、 [Microsoft のドキュメント](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
サブジェクト代替名: URI 値:IntuneDeviceId://{{DeviceId}}
URI フィールドは、 [Microsoft によって推奨されています](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) 。これは NAC ソリューションが Intune Device ID に基づいてデバイスを識別するためです。
この **URI フィールドは必須です** いずれも `CN={{DeviceId}}` も `CN={{AAD_Device_ID}}` が **サブジェクト名の形式** フィールドで使用されていない場合。
必要に応じて、DNS などの他の SAN 値を追加できます。
証明書の有効期間: 1 年
**重要:** macOS デバイスは、Intune 経由での有効期間設定を無視します。必ず [#appconfig-validityperioddays](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/certificates#appconfig-validityperioddays "mention") を固定値に設定してください。証明書の有効期間設定はどうせ無視されるため、1 年のままにしておいてかまいません。\
\ **重要:** また、 **macOS 上の証明書は更新されるのは** デバイスが **ロック解除され、オンラインで、同期中で、かつ更新しきい値の対象範囲内にある場合に Intune によってのみ**であることにも注意してください。証明書の有効期限が切れた場合(例: デバイスが長期間オフラインおよび/またはロックされていた場合)、それ以降は更新されません。そのため、ここではより大きな値を選択することをお勧めします。
キー使用法: デジタル署名 および 鍵の暗号化t
両方の暗号化操作を有効にしてください。
キー サイズ (ビット): 2048
SCEPman は 2048 ビットをサポートしています。
ルート証明書: 前の手順のプロファイル
から Intune プロファイルを選択してください [#ルート証明書](#root-certificate)
拡張キー使用法: クライアント認証, 1.3.6.1.5.5.7.3.2
次を選択してください **クライアント認証 (1.3.6.1.5.5.7.3.2)** の下の **定義済みの値**。他のフィールドは自動的に入力されます。
**重要:** macOS デバイスは、 `クライアント認証` 以外の拡張キー使用法 (EKU) をサポートしていません。つまり、このプロファイルで構成された他の EKU は無視されます。
更新しきい値 (%): 50
この値は、デバイスがいつ証明書を更新できるかを定義します(既存証明書の残存有効期間に基づく)。 **証明書の有効期間** の下の注記を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。50% の値であれば、有効期間 1 年の証明書を持つデバイスは有効期限の 182 日前から更新を開始できます。
SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM
**例**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
ここで記載した設定により、 [Apple の証明書要件](https://support.apple.com/en-us/HT210176).
{% endhint %}
### 例
* [ ] を満たします。これで、このプロファイルをデバイスに展開できます。割り当てには、信頼された証明書プロファイルと同じグループを選択してください。
## ユーザー証明書
次のセクションでは、macOS X 10.12(またはそれ以降)のデバイスで、Intune 証明書プロファイルを介してユーザー証明書を展開する方法を示します。
{% hint style="warning" %}
注意: SCEP プロトコルを通じてプロビジョニングされた証明書は、その種類(ユーザーまたはデバイス)に関係なく、常にデバイスのシステムキーチェーン(System ストア)に配置されます。
サードパーティ アプリケーションがそのような証明書へのアクセスを必要とする場合(例: サードパーティ VPN クライアント)、 **すべてのアプリに秘密キーへのアクセスを許可する** へのスライダーは **有効**.
{% endhint %}
に設定する必要があります。 [#デバイス証明書](#device-certificates) の手順に従い、次の違いに注意してください:
証明書の種類: ユーザー
このセクションでは、ユーザー証明書を設定しています。
サブジェクト名の形式: CN={{UserName}},E={{EmailAddress}}
必要に応じて RDN を定義できます。サポートされている変数は、 [Microsoft のドキュメント](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile)に一覧表示されています。ベースライン設定として、ユーザー名(例: janedoe)とメール アドレス(例: )を含めることをお勧めします。
サブジェクト代替名: UPN 値:{{UserPrincipalName}}
SCEPman は SAN 内の UPN を使用してユーザーを識別し、証明書シリアル番号生成のシードとして使用します(例: )。\
\
必要に応じて、メール アドレスなどの他の SAN 値を追加できます。
{% hint style="info" %}
ここで記載した設定により、 [Apple の証明書要件](https://support.apple.com/en-us/HT210176)
{% endhint %}
### 例
