Windows

この場合、デバイス証明書を設定しています

推奨： を使用してください {{DeviceName}}を CN の RDN として使用すると、デバイス上や証明書検索時に証明書の名前がわかりやすくなります。

オプション： に設定されている場合、 CN={{DeviceId}} または CN={{AAD_Device_ID}}SCEPman はサブジェクト名の CN フィールドをデバイスを識別するため、および証明書シリアル番号生成のシードとして使用します。Microsoft Entra ID (Azure AD) と Intune は 2 つの異なる ID を提供します：

• {{DeviceId}}: この ID は Intune によって生成および使用されます。 (これは SCEPman 2.0 以降を必要とし、 AppConfig:IntuneValidation:DeviceDirectory が Intune または AADAndIntune)

• {{AAD_Device_ID}}: この ID は Microsoft Entra ID (Azure AD) によって生成および使用されます。

CN フィールドに CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} のいずれも使用されない場合（例： CN={{DeviceName}}）SCEPman はサブジェクト代替名（SAN）に提供された Intune デバイス ID を基にデバイスを識別します。(URI) 値： IntuneDeviceId://{{DeviceId}})

重要： CN フィールドの選択は、あなたの Intune 管理デバイスに発行された証明書の 自動失効動作 に影響します。

必要に応じて他の RDN を追加できます（例： CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}）。サポートされている変数は Microsoft ドキュメント.

値： URI フィールドは Microsoft によって推奨され、

NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります： この URI フィールドは必須です CN={{DeviceId}} もしくは CN={{AAD_Device_ID}} Subject name format フィールドで が使用されていない場合。

必要に応じて DNS のような他の SAN 値を追加できます。

証明書の有効期限までの残り期間。デフォルトは 1 年に設定されています。

SCEPman は設定で構成された最大値に証明書の有効期間を制限します： AppConfig:ValidityPeriodDaysただし、それ以外の場合はリクエストで構成された有効期間を使用します。

この設定はエンドユーザー証明書の秘密鍵の格納場所を決定します。TPM に格納する方がソフトウェア格納よりも安全です。TPM は鍵の窃取を防ぐ追加のセキュリティ層を提供します。

注： 一部の古い TPM ファームウェア バージョンにはバグがあり、 TPM バックの秘密鍵で作成された一部の署名を無効にするものがあります。そのような場合、証明書は Wi-Fi や VPN 接続で一般的な EAP 認証に使用できません。さらに、これにより Autopilot のオンボーディングプロセスが破綻する可能性があります。

影響を受ける TPM ファームウェアのバージョンには次が含まれます：

• STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

• Intel: 11.8.50.3399, 2.0.0.2060

• Infineon: 7.63.3353.0

• IFX: Version 3.19 / Specification 1.2

• IFX version 7.63.3353.0 specification 2.0

このファームウェアを搭載した TPM を使用する場合は、ファームウェアを新しいバージョンに更新するか、キー格納プロバイダーとして「Software KSP」を選択してください。

更新： レジストリから問題を引き起こしている RSA-PSS 署名アルゴリズムを削除することで TPM のバグを回避できます。詳細については次を確認してください： Richard Hicks の記事 および Microsoft Q&A

両方の暗号操作を有効にしてください。

SCEPman は自動的にキー使用法を デジタル署名 および 鍵暗号化 に設定し、ここでの設定を上書きします。ただし設定 AppConfig:UseRequestedKeyUsages が true.

鍵長（ビット）：

SHA-2

前のステップのプロファイル（ルート証明書プロファイル） から Intune プロファイルを選択してください。#Root Certificate . 中間 CA を使用している場合は、ルート CA ではなく中間 CA 用の信頼された証明書プロファイルを選択する必要があります！拡張キー用途：

を選択してください クライアント認証 (1.3.6.1.5.5.7.3.2) にある 事前定義済みの値。他のフィールドは自動的に入力されます。

この値は、デバイスが証明書の更新を許可されるタイミング（既存証明書の残存有効期間に基づく）を定義します。 証明書の有効期間 の注意を読み、デバイスが長期間にわたって証明書を更新できるように適切な値を選択してください。1 年の有効な証明書を持つデバイスが、有効期限の 73 日前に更新を開始できるようにするには、20% の値が適しています。

の URL をコピーしてください

このセクションではユーザー証明書を設定しています。

ニーズに応じて RDN を定義できます。サポートされている変数は Microsoft ドキュメントに記載されています。ベースライン設定としてユーザー名（例：janedoe）とメールアドレス（例：[email protected]）を含めることを推奨します。

サブジェクト代替名としてユーザー プリンシパル名を追加する必要があります。 Subject Alternative Name タイプの User principal name (UPN) として '{{UserPrincipalName}}' を追加してください。 これにより SCEPman が AAD のユーザーオブジェクトに証明書を紐付けることができます。「Subject name format」の設定は自由に選択できます。

必要に応じてメールアドレスのような他の SAN 値を追加できます。

• （必須）ユーザー プリンシパル名 (UPN)： {{UserPrincipalName}}

• （必須）メールアドレス： {{EmailAddress}}

デジタル署名証明書を展開する場合、UPN とメールアドレスを追加する必要があります。

を選択してください Secure Email (1.3.6.1.5.5.7.3.4) にある 事前定義済みの値。他のフィールドは自動的に入力されます。

S/MIME 署名証明書を発行する場合、証明書が有効期限の少なくとも 6 か月前に更新されるように更新閾値（%）を設定することを推奨します。期限切れの証明書で署名されたメールは Outlook で無効な署名として表示され、ユーザーを混乱させるためです。古いメールだけがその挙動を示すように、新しい証明書を古い証明書の有効期限より十分前に用意しておくことを推奨します。例えば、署名証明書の有効期間が 1 年であれば、更新閾値を少なくとも 50% に設定してください。