その他の MDM ソリューション

SCEPman を使用して Intune 以外の MDM システム経由で証明書を発行することができます。SCEPman と MDM システムの両方で静的なチャレンジパスワード（詳細は RFC 8894、セクション 7.3 をご参照ください）を構成する必要があります。ほとんどの MDM システムはこのモードの SCEP 認証をサポートしています。

ただし、これは Intune と組み合わせて使用する認証モードと同じレベルのセキュリティを提供するものではないことに注意してください。チャレンジパスワードは MDM システムからの要求を認証し、SCEPman がそれらが信頼できるソースから来ていることを確認します。しかし攻撃者がチャレンジパスワードを盗むと、任意の証明書要求を認証でき、SCEPman に望む証明書を発行させることが可能になります。

したがって、チャレンジパスワードを安全に保つことが非常に重要です。これは、MDM システムが SCEP クライアントとして動作し、証明書と秘密鍵を含む最終パッケージをエンドユーザーのデバイスに配布する場合に実現できます。この方法では、チャレンジパスワードは SCEPman と MDM システムだけが利用可能であり、エンドユーザーデバイス上では使用されません。

SCEPman の構成

Intune と Jamf Pro 以外の MDM システム向けに SCEPman を構成する際には、選択できる SCEP エンドポイントが 2 つあります：

• Static-AAD

• Static

Static-AAD エンドポイントは、Kandji や Google Workspace のような Entra ID 統合を持つ MDM システムに推奨されます。 ユーザー Static-AAD エンドポイントから配布される証明書は、次の利点を享受します： 自動失効 該当するユーザーが Entra ID で無効化されたとき。

Static エンドポイントは、その他のすべての MDM システムに推奨されます。

MDM の構成

具体的な手順は使用している MDM システムによって異なります。MDM システムのどこかに次の URL を SCEP URL として追加し、チャレンジパスワードを MDM システムの SCEP 構成に追加する必要があります。セキュリティ上の理由から、MDM システムを SCEP プロキシにしてください。 https://scepman.contoso.de/static 上記を SCEP URL として追加し、チャレンジパスワードを MDM システムの SCEP 設定に追加する必要があります。セキュリティ上の理由から、MDM システムを SCEP プロキシにすることを推奨します。

この構成には SCEP プロキシ実装のバリアントが 2 種類あり、そのうちの 1 つだけが安全であることに注意してください：

1. MDM システムが SCEP クライアントとして動作し、秘密鍵ペアを生成して、証明書と秘密鍵を含む完全なパッケージをエンドユーザーデバイスに配布する場合。これは安全です。チャレンジパスワードは MDM システムと SCEPman の間でのみ使用されます。

2. MDM システムがエンドユーザーデバイスと SCEPman の間で SCEP メッセージを中継する場合。エンドユーザーデバイスが秘密鍵ペアを生成し、 証明書要求にチャレンジパスワードを追加する この方法は安全性が低く、単一のエンドユーザーデバイスを掌握した攻撃者がチャレンジパスワードを盗み、SCEPman からあらゆる種類の証明書を要求できる可能性があります。さらに、MDM システムはクライアントが正しく証明書を要求したかどうか、あるいは証明書要求が不正確であるかどうかを制御できないため、なりすましやその他の脅威を許す可能性があります。