circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

macOS

SCEPman を使用して Intune の SCEP 経由で macOS デバイスに証明書を配布します。

次の記事では、macOS デバイス向けにデバイスおよび/またはユーザー証明書をデプロイする方法を説明します。SCEPman ルート証明書のデプロイは必須です。その後、デバイス証明書のみ、ユーザー証明書のみ、または両方のタイプを選択してデプロイできます。

circle-exclamation

macOS は、実際の SCEP 証明書プロファイルに加えて、SCEP プロファイルが参照されている各デバイス構成プロファイルごとに個別のクライアント認証証明書を登録することに注意してください。注を参照してください。 こちらarrow-up-right

hashtag
ルート証明書

SCEP 証明書を展開するための基本は、SCEPman のルート証明書を信頼することです。したがって、CA ルート証明書をダウンロードし、次として展開する必要があります。 信頼された証明書 Microsoft Intune 経由のプロファイル:

circle-info

ただし、次を使用する必要があることに注意してください 割り当てに同じグループを使用する この 信頼された証明書 および SCEP プロファイル。それ以外の場合、Intune の展開が失敗する可能性があります。

hashtag
デバイス証明書

chevron-right証明書タイプ: デバイスhashtag

このセクションではデバイス証明書を設定します。

chevron-rightサブジェクト名フォーマット: CN={{DeviceName}} または CN={{DeviceId}} または CN={{AAD_Device_ID}}hashtag

推奨: を使用してください {{DeviceName}}を CN の RDN として使用すると、デバイス上や証明書検索時に証明書の名前がわかりやすくなります。

オプション: に設定されている場合、 CN={{DeviceId}} または CN={{AAD_Device_ID}}SCEPman はサブジェクト名の CN フィールドをデバイスを識別するため、および証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 つの異なる ID を提供します:

  • {{DeviceId}}: この ID は Intune によって生成および使用されます。 (これは SCEPman 2.0 以降を必要とし、 AppConfig:IntuneValidation:DeviceDirectoryIntune または AADAndIntune)

  • {{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。

CN フィールドに CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} のいずれも使用されない場合(例: CN={{DeviceName}})SCEPman はサブジェクト代替名(SAN)に提供された Intune デバイス ID を基にデバイスを識別します。(URI) 値: IntuneDeviceId://{{DeviceId}})

重要: CN フィールドの選択は、あなたの Intune 管理デバイスに発行された証明書の 自動失効動作 に影響します。

必要に応じて他の RDN を追加できます(例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は Microsoft ドキュメントarrow-up-right.

chevron-rightで確認できます。 URI (URI)IntuneDeviceId://{{DeviceId}}hashtag

値: URI フィールドはarrow-up-right NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するためのものです。

NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります: この URI フィールドは必須です CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} Subject name format フィールドで が使用されていない場合。

必要に応じて DNS のような他の SAN 値を追加できます。

chevron-right証明書の有効期間: 1 年hashtag

重要: macOS デバイスは Intune 経由での有効期間の構成を無視します。必ず、 AppConfig:ValidityPeriodDays を固定値に設定してください。証明書の有効期間設定は 1 年のままでも問題ありません。どのみち無視されます。 重要: また、次の点に注意してください。 macOS 上の証明書は、更新されるのは デバイスが ロック解除され、オンラインで、同期中で、更新しきい値の適用範囲内にある場合のみ Intune によって行われます。証明書が期限切れの場合(例:デバイスが長期間オフラインまたはロックされていた場合)、もはや更新されません。したがって、ここではより長い値を選択することを推奨します。

chevron-rightキー使用法: デジタル署名 および 鍵暗号化thashtag

両方の暗号操作を有効にしてください。

chevron-rightに設定されている場合は例外です。 2048hashtag

鍵長(ビット):

chevron-rightSCEPman は SHA-2 アルゴリズムをサポートします。 前の手順からのプロファイルhashtag

前のステップのプロファイル(ルート証明書プロファイル) #ルート証明書

chevron-right拡張キー用途: 次の項目からhashtag

を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。

重要: macOS デバイスは、次以外の拡張キー使用目的(EKU)をサポートしていません クライアント認証 。つまり、このプロファイルで構成された他の EKU はすべて無視されます。

chevron-right更新閾値 (%): 50hashtag

この値は、デバイスが証明書を更新できるタイミング(既存証明書の残存有効期間に基づく)を定義します。以下の注を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。 証明書の有効期間 有効期間 1 年の証明書を持つデバイスが有効期限の 182 日前に更新を開始できるようにするには、50% の値を選択します。

chevron-rightSCEP サーバー URL:SCEPman ポータルを開き、 Intune MDMhashtag

の URL をコピーしてください

circle-info

当社の記載設定により、次の要件を満たします Apple の証明書要件arrow-up-right.

hashtag
の URL をコピーしてください

hashtag
これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。

次のセクションでは、macOS X 10.12(以降)デバイスで Intune 証明書プロファイルを介してユーザー証明書をデプロイする方法を示します。

circle-exclamation

注意: SCEP プロトコルを通じてプロビジョニングされた証明書は、種別(ユーザーまたはデバイス)に関わらず、常にデバイスのシステムキーチェーン(システムストア)に配置されます。

サードパーティ製アプリケーションがそのような証明書へのアクセスを必要とする場合(例:サードパーティの VPN クライアント)、キーチェーンの プライベートキーへのすべてのアプリのアクセスを許可 スライダーを 有効.

ユーザー証明書 #Device certificates の手順に従い、次の相違点に注意してください:

chevron-right証明書タイプ: ユーザーhashtag

このセクションではユーザー証明書を設定しています。

chevron-rightサブジェクト名フォーマット: CN={{UserName}},E={{EmailAddress}}hashtag

ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントarrow-up-rightに記載されています。ベースライン設定としてユーザー名(例:janedoe)とメールアドレス(例:[email protected])を含めることを推奨します。

chevron-rightで確認できます。 UPN (URI){{UserPrincipalName}}hashtag

SCEPman は SAN の UPN を使用してユーザーを識別し、証明書シリアル番号生成のシードとして使用します(例:[email protected])。 必要に応じて電子メールアドレスなどの他の SAN 値を追加できます。

circle-info

当社の記載設定により、次の要件を満たします Apple の証明書要件arrow-up-right

hashtag
の URL をコピーしてください

最終更新

役に立ちましたか?