Microsoft Intune コネクタ
Microsoft Intune テナントにリンクし、ユーザー、デバイス、サーバーへの配布のために DigiCert® Trust Lifecycle Manager から証明書を発行し、Intune 統合エンドポイント管理(UEM)プラットフォームに配信します。
このコネクタは以下のユースケースをサポートしています。
SCEP ベースの登録: Trust Lifecycle Manager の SCEP(Simple Certificate Enrollment Protocol)サービスを使用して Intune の証明書を登録します。コネクタを使用すると、Intune で管理されるシステムやユーザーが DigiCert に SCEP で証明書を要求する際の認証プロセスが容易になります。詳細については、「Intune SCEP integration guide」を参照してください。
S/MIME 配信(各種登録方法): ブラウザの PKCS12、DigiCert Trust Assistant、または REST API による登録方法を使用して Trust Lifecycle Manager から S/MIME 証明書を登録し、発行された証明書を Intune に配信します。このコネクタは、単一の S/MIME 預託証明書を複数のデバイスに配信する機能をサポートしており、ユーザーは、どのデバイスでも電子メールを復号化できます。
重要
前提条件と設定手順は、コネクタの使用方法に応じて異なります。条件付きの手順は以下に記載されています。上記のユースケースを両方ともサポートするには、すべての手順を完了してください。
Intune 環境を準備する
Azure アプリケーションをセットアップする
以下のステップは常に必須です。Trust Lifecycle Manager が Intune にアクセスするための必要な権限を持つ Azure アプリケーションが必須です。
Intune へのアクセスのために新しい Azure アプリケーションを登録するには、以下の手順に従います。
Azure portal で、いずれかのページから Azure Active Directory を検索するか、選択します。
[App registrations]を選択してから、[New registration]を選択します。
アプリケーションの名前を入力して[Register]を選択します。
新しいアプリケーションの[Application (client) ID]の値をコピーして保存します。
Azure アプリケーションにアクセスするための新しいクライアントシークレットを作成するには、以下の手順に従います。
Azure portal 上の登録アプリケーションのページで、左側のナビゲーションパネルから[Certificates & secrets]を選択します。
[Client secrets]タブで、[New client secret]を追加するためのリンクを選択します。
[Description]に入力し、新しいクライアントシークレットの有効期限日を選択して、[Add]を選択します。
新しいクライアントシークレットの[Value]をコピーして保存します。
重要
クライアントシークレットの値は、このビューが閉じられた後に再度表示することはできません。この値がわからなくなった場合は、新しいクライアントシークレットを作成しなければなりません。サービス中断を回避するために、クライアントシークレットの有効期限が切れる前に、Trust Lifecycle Manager の Intune コネクタで新しいクライアントシークレットを作成および更新する必要があります。
Trust Lifecycle Manager が Azure 経由で Intune テナントにアクセスするために必要な権限を割り当てるには、以下の手順に従います。
Azure portal 上の登録アプリケーションのページで、左側のナビゲーションパネルから[API permissions]を選択します。
[Configured permissions]で、[Add a permission]リンクを選択します。
[Request API permissions]メニューで、[Microsoft Graph]を選択します。
[Application]権限を展開し、以下の権限を有効にして、[Add permissions]ボタンを選択して権限を追加します。
コネクタを使用して SCEP で Intune ユーザーおよびデバイス認証証明書を要求するには、以下の権限を選択します。
Application.Read.All
コネクタを使用して S/MIME 証明書を Intune に配信するには、以下の権限を選択します。
Application.Read.AllDeviceManagementConfiguration.Read.AllDeviceManagementConfiguration.ReadWrite.AllDirectory.Read.AllDirectory.ReadWrite.AllUser.Read.AllUser.ReadBasic.AllUser.ReadWrite.All
コネクタを使用して SCEP で Intune ユーザーおよびデバイス認証証明書を要求するには、以下の手順に従って、必要なもう一つの権限を追加します。
登録アプリケーションの[API permissions]ページで、[Add a permission]リンクをもう一度選択します。
[Request API permissions]メニューで、[Intune]を選択します。
[Permissions]で以下の権限を有効にして、[Add permissions]ボタンを選択して権限を追加します。
scep_challenge_provider
登録アプリケーションのメインの[API permissions]ページに戻り、([Add a permission]リンクの右側にある)Intune テナント名に対する[Grant admin consent]のオプションを選択します。
Intune 証明書コネクタをセットアップする
以下の手順は、S/MIME 配信(各種登録方法)に Trust Lifecycle Manager コネクタを使用する場合にのみ必要です。PFX 証明書ファイルのセキュアな配信用の公開鍵/秘密鍵の鍵ペアを生成できる Windows サーバーで、Intune 証明書コネクタが実行されている必要があります。
重要
Trust Lifecycle Manager コネクタを SCEP ベースの登録の認証を容易にする目的のみに使用する場合は、以下のステップをスキップして構いません。
Windows Server 2019 または Server 2022 システムに Intune 証明書コネクタをインストールするには、以下の手順に従います。
Microsoft Intune 管理センターで、左側のナビゲーションパネルから[Tenant administration]を選択します。
メインの[Tenant admin]ページで、左側のサブメニューから、[Connectors and tokens]のオプションを選択します。
[Connectors and tokens]ページで、左側のサブメニューから、[Certificate connectors]のオプションを選択します。
[Add]ボタンを選択してから、右側のパネルで証明書コネクタのリンクを選択して、Intune 証明書コネクタの
.exeインストーラファイルを Windows サーバーにダウンロードします。ダウンロードした
.exeファイルを Windows サーバーで管理者として実行し、指示に従って Intune 証明書コネクタをインストールして設定します。コネクタの[機能]設定ページで、少なくとも[PKCS]および[PKCS imported certificates]オプションを有効にします。
Azure にサインインするよう求められたら、アクティブな Intune ライセンスと、グローバル管理者か Intune 管理者のどちらかのロールが割り当てられたアカウントのクレデンシャルを使用してサインインします。
注記
Intune 証明書コネクタをインストールおよび構成する方法の詳細については、『Microsoft の公式ドキュメント』を参照してください。
Intune 証明書コネクタをインストールしたのと同じ Windows Server 2019 または Server 2022 システムで、PFX ファイル暗号化に使用する鍵ペアを生成します。
次のリンクを使用して、PowerShell 用の Intune PFX インポートユーティリティを、Intune 証明書コネクタをインストールした Windows サーバーにダウンロードします。
ダウンロードした Zip ファイルを Windows サーバーのプライマリディスクドライブ(例: C: ドライブ)にコピーして解凍します。
Window サーバーで PowerShell セッションを管理者として開き、解凍された Intune PFX インポートユーティリティが格納されているフォルダ(例: C:\IntunePfxImportUtilities)に移動します。
上記のフォルダで次のコマンドを実行して Intune PFX インポートユーティリティを現在の PowerShell セッションに追加します。
Import-Module .\IntunePfxImport.psd1
次のコマンド構文を使用して PFX ファイル暗号化用の新しい鍵ペアを生成します。
-MakeExportableパラメータは任意です。省略しても、統合は機能しますが、鍵ペアから秘密鍵をエクスポートすることはできません。Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "<keypair-name>" -MakeExportable
新しい鍵ペアの名前を、
<keypair-name>パラメータに指定します。例:Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "my_encryption_key" -MakeExportable
使用する鍵ペア名をメモします。鍵ペア名は、公開鍵をエクスポートして Trust Lifecycle Manager でコネクタを構成する際に必要になります。
次のコマンド構文を使用して、作成した鍵ペアから公開鍵をエクスポートし、指定したファイルパスに保存します。
Export-IntunePublicKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "<keypair-name>" -FilePath <file-path> -FileFormat pem
例:
Export-IntunePublicKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "my_encryption_key" -FilePath C:\Release\my_encryption_key.pem -FileFormat pem
エクスポートした公開鍵ファイルを手元に用意しておきます。このファイルは、Trust Lifecycle Manager でコネクタを構成する際にアップロードする必要があります。
(任意)鍵ペア生成コマンドで
-MakeExportableパラメータを指定した場合は、次のコマンド構文を使用して鍵ペアから秘密鍵をエクスポートし、指定したファイルパスに保存します。Export-IntunePrivateKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "<keypair-name>" -FilePath <file-path>
例:
Export-IntunePrivateKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "my_encryption_key" -FilePath C:\Release\my_encryption_key.key
必須の統合パラメータ
上記のステップを完了した後、以下の情報を用意しておきます。これらはTrust Lifecycle Manager で Intune コネクタを構成する際に使用します。
Intune インスタンスのテナント名
上記の Intune テナントへのアクセスに使用する、登録された Azure アプリケーションのアプリケーション(クライアント)ID
上記の Azure アプリケーションにリモートアクセスするためのクライアントシークレットの値
コネクタを使用して S/MIME 証明書を Intune に配信する場合は、以下の情報も必要です。
Intune 証明書コネクタを実行している Windows サーバーで生成される暗号鍵の鍵ペア名
Windows サーバーで上記の鍵ペアからエクスポートされた公開鍵ファイル
Microsoft Intune コネクタを追加する
Intune 環境を準備した後、以下の手順に従って Trust Lifecycle Manager で Intune コネクタを追加します。
Intune コネクタを使用するように証明書プロファイルを構成する
Intune の使用を開始するには、Trust Lifecycle Manager で証明書プロファイル構成に Intune を追加します。該当するベーステンプレートと構成方法は、コネクタのユースケースに応じて異なります。
このユースケースの場合、Trust Lifecycle Manager で以下のいずれかのベーステンプレートから証明書プロファイルを作成します。
プロファイル構成ウィザードで、[プライマリオプション]>[認証方法]セクションのドロップダウンメニューを使用して、SCEP ベースの登録要求の認証、および発行された証明書の Intune テナントへの配信のための Intune コネクタを選択します。
セキュリティ識別子(SID)
Intuneo からセキュリティ識別子(SID)をユーザーのクライアント認証証明書に含めるには、以下の手順に従います。
Intune で、該当するユーザーについて[On-premises sync enabled]フラグが[はい]に設定されている必要があります。
Trust Lifecycle Manager 証明書プロファイルの[証明書オプション]>[サブジェクト DN および SAN フィールド]で、SAN の URI フィールドを追加し、フィールド値のソースを[SCEP request]に設定します。
Intune SCEP 構成プロファイルで、属性名の URI にサブジェクトの別名フィールドを追加し、値を次の文字列のとおりに設定します。
tag:microsoft.com,2022-09-14:sid:{{OnPremisesSecurityIdentifier}}警告
The SID field is only supported for Azure AD–joined or Hybrid Azure AD–joined devices in a paid Entra ID tenant.
このユースケースの場合、Trust Lifecycle Manager で以下のいずれかのベーステンプレートから証明書プロファイルを作成します。
テンプレート名 | トラストタイプ | 発行 CA |
|---|---|---|
| プライベート | DigiCert® Private CA |
| パブリック | DigiCert CertCentral® |
プロファイル構成ウィザードで、以下の選択を行います。
[プライマリオプション]>[登録方法]セクションで、サポートされている登録方法(
Browser PKCS12、DigiCert Trust Assistant、REST API)のいずれかを選択します。[証明書オプション]>[フローオプション]セクションで、ユーザーデバイスへの配布に向けて S/MIME 証明書を預託し Intune に配信するための選択を行います。
[鍵預託オプション]で、[デジサートクラウドキーエスクロー]オプションを選択します。
[Microsoft Intune に証明書を配信]チェックボックスを選択します。
ドロップダウンメニューを使用して、Intune テナントに S/MIME 証明書を配信する [Microsoft Intune コネクタ]を選択します。
次の手順
Trust Lifecycle Manager 証明書プロファイルから Intune 認証証明書を要求するために SCEP の使用を開始するには、追加の構成が必要です。詳細については、「Intune SCEP integration guide」を参照してください。
証明書を預託および Intune に配信するよう設定されたプロファイルに基づき発行された S/MIME 証明書の場合、Trust Lifecycle Manager により非同期ジョブが 2 時間おきに実行され、接続された Intune テナントに新しい S/MIME 証明書が配信されます。