SCEP 証明書の構成

この手順の目的は、Intuneデバイス構成プロファイルと連動するTrust Lifecycle Manager証明書プロファイルを構成することです。

DigiCert 証明書プロファイル

次のいずれかのベーステンプレートを使用して、SCEP を通じた Intune デバイスへの証明書の発行用に、Trust Lifecycle Manager の証明書プロファイルを作成します。

DigiCert ベーステンプレートの名前	トラストタイプ	発行 CA
`Device Authentication for Microsoft Intune (SCEP)`	プライベート	DigiCert® Private CA
`Generic Private Server Certificate`	プライベート	DigiCert® Private CA
`Microsoft CA Private Server Certificate`¹	プライベート	Microsoft CA
`Microsoft CA User Certificate`¹	プライベート	Microsoft CA
`Public S/MIME (Digital Signature only) for Intune (via CertCentral)`²	パブリック	DigiCert CertCentral®
`User Client Authentication for Microsoft Intune (SCEP)`	プライベート	DigiCert® Private CA
_{1.これらのテンプレートを使用するには、アカウントに Microsoft CA コネクタが必要です。} _{2.このテンプレートは限定的です。このテンプレートがまだない場合は、プラットフォーム担当者に連絡し、アカウントにテンプレートを割り当ててもらってください。}

プロファイル設定ウィザードで、申請方法がSCEPに設定されていて、認証方法がAzure Authになっていることを確認します。
［Authentication method］セクションで、SCEP サービスを通じて Trust Lifecycle Manager から証明書を要求する Intune テナント用に、Microsoft Intune コネクタを選択します。
Trust Lifecycle Manager で証明書プロファイルが作成されると、対応する SCEP Server URL を受け取ります。この URL は SCEP を通じてそのプロファイルから証明書を発行するのに使用できます。Intune で対応するデバイスの設定プロファイルを設定して、証明書をこの　DigiCert 証明書プロファイルから取得するには、これが必要です。

次の表は、Intune がサポートするデバイスプラットフォームで使用される SCEP URL の形式を説明するものです。

デバイスプラットフォーム	DigiCert SCEP Server URL 形式	例
iOS/iPadOS Android macOS	DigiCert証明書プロファイルに表示されている、デフォルトの SCEP サービスエンドポイントを使用します。 https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin/pkiclient.exe	`https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin/pkiclient.exe`
Windows (ユーザーストア)	HTTPSは必須 URLに"/pkiclient.exe "を含めないでください。 https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin	`https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin`
Windows (コンピュータストア)	HTTPSをサポートしていますが、必須ではありません URLに"/pkiclient.exe "を含めないでください。 https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin	`http://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin` or `https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin`

デバイスプラットフォーム

DigiCert SCEP Server URL 形式

例

iOS/iPadOS

Android

macOS

DigiCert証明書プロファイルに表示されている、デフォルトの SCEP サービスエンドポイントを使用します。

https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin/pkiclient.exe

https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin/pkiclient.exe

Windows (ユーザーストア)

https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin

https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin

Windows (コンピュータストア)

https://<HOST>/mpki/api/v1/scep/<UUID>/cgi-bin

http://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin

https://one.digicert.com/mpki/api/v1/scep/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/cgi-bin

Trust Lifecycle Managerの使用例に関する詳細情報は以下のセクションに記載されており、Microsoftのドキュメントと合わせて使用する必要があります。SCEP 証明書プロファイルをMicrosoft Intuneで使用する｜Microsoft Docs。

Intune　デバイス設定プロファイルを作成する一般的なワークフローは、以下のセクションで構成されています。

本ガイドの以下のセクションでは、対応する証明書プロファイルに関連する証明書の詳細を決定する構成設定に焦点を当てています。その他の証明書に関連しない面については、Microsoft の文書を参照してください。

このセクションの内容: