Windows
SCEPman を使用して、Intune の SCEP 経由で Windows デバイスに証明書を展開します。
次の記事では、Windows デバイスにデバイス証明書および/またはユーザー証明書を展開する方法を説明します。SCEPman ルート証明書の展開は必須です。その後、デバイス証明書、ユーザー証明書、またはその両方を展開するかを選択できます。
ルート証明書
SCEP 証明書を展開するための基盤は、SCEPman のルート証明書を信頼することです。そのため、CA ルート証明書をダウンロードし、次のものとして展開する必要があります。 信頼された証明書 プロファイルを Microsoft Intune で:
信頼された証明書と SCEP プロファイルの割り当てには、同じグループを使用する必要があることに注意してください。そうしないと、Intune の展開が失敗する可能性があります。
デバイス証明書
サブジェクト名の形式: CN={{DeviceName}} または CN={{DeviceId}} または CN={{AAD_Device_ID}}
推奨: 次を使用してください {{DeviceName}}CN RDN には、デバイス上で証明書の意味のある名前になるよう、または証明書を検索するときに意味のある名前になるようにしてください。
任意: 次に設定されている場合 CN={{DeviceId}} または CN={{AAD_Device_ID}}、SCEPman はサブジェクト名の CN フィールドを使用してデバイスを識別し、証明書のシリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune では 2 つの異なる ID が提供されます:
{{DeviceId}}: この ID は Intune によって生成され、使用されます。 (SCEPman 2.0 以降が必要で、 AppConfig:IntuneValidation:DeviceDirectory を次に設定する必要があります Intune または AADAndIntune){{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成され、使用されます。
次のいずれも CN={{DeviceId}} も CN={{AAD_Device_ID}} CN フィールドに使用されない場合 (例: CN={{DeviceName}})、SCEPman はサブジェクト代替名 (SAN) に含まれる Intune デバイス ID ((URI) 値: IntuneDeviceId://{{DeviceId}}) に基づいてデバイスを識別します。
重要: CN フィールドの選択は、Intune で管理されているデバイスに発行された証明書の 自動失効動作 に影響します。
必要に応じて他の RDN を追加できます (例: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}})。サポートされている変数は次に一覧されています。 Microsoft ドキュメント.
サブジェクト代替名: (URI)値: IntuneDeviceId://{{DeviceId}}
URI フィールドは Microsoft により推奨されており 、NAC ソリューションが Intune デバイス ID に基づいてデバイスを識別するために使用します。値は次のようにする必要があります。
次の URI フィールドは必須です 場合、次のいずれも CN={{DeviceId}} も CN={{AAD_Device_ID}} が サブジェクト名の形式 フィールドで使用されないとき。
必要に応じて DNS などの他の SAN 値を追加できます。
証明書の有効期間: 1年
証明書の期限切れまでの残り時間です。既定値は 1 年に設定されています。
SCEPman は、設定 AppConfig:ValidityPeriodDaysにある最大値に証明書の有効期間を制限しますが、それ以外は要求で構成された有効期間を使用します。
キー ストレージ プロバイダー (KSP): Trusted Platform Module (TPM) KSP に登録する。それ以外は失敗する
この設定は、エンドユーザー証明書の秘密鍵の保存場所を決定します。TPM での保存は、TPM が鍵の盗難を防ぐ追加のセキュリティ層を提供するため、ソフトウェア保存よりも安全です。
注意: 一部の古い TPM ファームウェア バージョンには 、TPM ベースの秘密鍵で作成された一部の署名を無効にするバグがあります。そのような場合、Wi‑Fi や VPN 接続で一般的な EAP 認証に証明書を使用できません。さらに、Autopilot のオンボーディング プロセスが失敗する可能性があります。
影響を受ける TPM ファームウェアのバージョンには次が含まれます:
STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel: 11.8.50.3399, 2.0.0.2060
Infineon: 7.63.3353.0
IFX: バージョン 3.19 / 仕様 1.2
IFX バージョン 7.63.3353.0 仕様 2.0
このファームウェアで TPM を使用する場合は、ファームウェアを新しいバージョンに更新するか、キー ストレージ プロバイダーとして「Software KSP」を選択してください。
更新: 問題の原因となっている RSA-PSS 署名アルゴリズムをレジストリから削除することで、TPM のバグを回避できます。詳細については、 Richard Hicks の記事 および Microsoft Q&A
キー使用法: デジタル署名 および キーの暗号化
両方の暗号操作を有効にしてください。
SCEPman はキー使用法を自動的に次に設定します デジタル署名 および キーの暗号化 そして、設定 AppConfig:UseRequestedKeyUsages が true.
拡張キー使用法: クライアント認証, 1.3.6.1.5.5.7.3.2
次を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) の下で 定義済みの値。他のフィールドは自動的に入力されます。
更新しきい値 (%): 20
この値は、デバイスが証明書を更新できる時点を定義します (既存証明書の残り有効期間に基づく)。 証明書の有効期間 の下の注意を読み、デバイスが長期間にわたって証明書を更新できる適切な値を選択してください。20% の値であれば、有効期間が 1 年の証明書を持つデバイスは、有効期限の 73 日前から更新を開始できます。
SCEP サーバーの URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM
例
例
ユーザー証明書
次の手順に従ってください #デバイス証明書 および次の違いに注意してください:
サブジェクト名の形式: CN={{UserName}},E={{EmailAddress}}
必要に応じて RDN を定義できます。サポートされている変数は次に一覧されています。 Microsoft ドキュメント。ベース設定として、ユーザー名 (例: janedoe) とメール アドレス (例: [email protected]) を含めることを推奨します。
サブジェクト代替名: (UPN)値: {{UserPrincipalName}}
サブジェクト代替名としてユーザー プリンシパル名を追加する必要があります。 『{{UserPrincipalName}}』を、種類がユーザー プリンシパル名 (UPN) のサブジェクト代替名として追加します。 これにより、SCEPman は証明書を AAD のユーザー オブジェクトにリンクできます。『サブジェクト名の形式』の設定は自由に選択できます。
必要に応じてメール アドレスなどの他の SAN 値を追加できます。
お客様からのフィードバックによると、一部の VPN クライアント (例: Virtual WAN 用 Azure VPN Client) は、TPM に保存されているユーザー証明書を検出できないようです。代わりにソフトウェア KSP に登録してみてください。
例
ユーザー デジタル署名証明書
SCEPman をトランザクションの デジタル署名 に使用できます。つまり、Microsoft Outlook での S/MIME 署名です。メッセージ署名に証明書を使用する予定がある場合は、Intune プロファイル構成に対応する拡張キー使用法を追加する必要があります。
使用しないでください SCEPman を メール暗号化に つまり、Microsoft Outlook での S/MIME メール暗号化に使用しないでください (鍵管理のための別の技術がない場合)。 SCEP プロトコルの性質上、秘密鍵素材をバックアップまたはアーカイブする仕組みは含まれていません。 メール暗号化に SCEP を使用すると、後でメッセージを復号するための鍵を失う可能性があります。
AppConfig:UseRequestedKeyUsages次に設定trueAppConfig:ValidityPeriodDays次に設定365(最大値 1825 - 5 年が可能)
次に使用するユーザー証明書を展開するには デジタル署名 次の手順に従ってください #ユーザー証明書 および次の違いと注意事項に留意してください:
サブジェクト代替名
(必須) ユーザー プリンシパル名 (UPN):
{{UserPrincipalName}}(必須) メール アドレス:
{{EmailAddress}}
デジタル署名証明書を展開するには、UPN とメール アドレスを追加する必要があります。
拡張キー使用法: セキュア メール (1.3.6.1.5.5.7.3.4)
次を選択してください セキュア メール (1.3.6.1.5.5.7.3.4) の下で 定義済みの値。他のフィールドは自動的に入力されます。
更新しきい値 (%): 50
S/MIME 署名証明書を発行する場合は、証明書の有効期限の少なくとも 6 か月前までに更新される値に更新しきい値 (%) を設定することを推奨します。これは、期限切れの証明書で署名されたメールが Outlook で無効な署名として表示され、ユーザーが混乱するためです。古い証明書が期限切れになるかなり前に新しい証明書を用意しておけば、古いメールだけがこの動作を示し、ユーザーが確認する可能性は低くなります。たとえば、署名証明書の有効期間が 1 年の場合、更新しきい値は少なくとも 50% に設定してください。
例
プロファイルの同期に成功すると、目的の用途としてユーザー証明書が表示されるはずです セキュア メール
この証明書は、たとえば Outlook でデジタル署名の用途に使用できます。以下は使用例です
Outlook で S/MIME 署名を有効にする
クライアント マシンに S/MIME 署名証明書を展開したら、署名付きメールを送信する前に、Outlook をこれらの証明書を使用するように構成する必要があります。
新しい Outlook
新しい Outlook の S/MIME は次のように設定できます 手動で.
クラシック Outlook
クラシック Outlook の S/MIME は次のように設定できます 手動で または、次の方法で迅速にセットアップできます PowerShell スクリプト.
Outlook on the Web
Outlook on the Web の S/MIME は次のように設定できます 手動で または、次のコマンドを使用して PowerShell で有効にできます:
追加の PowerShell コマンドは次の場所で確認できます こちら.
最終更新
役に立ちましたか?