Skip to main content

デバイス認証

デバイス証明書には、コンピュータ(クライアント)からサーバー、サーバーからサーバー、およびデバイスからサーバーへの認証に一般的に必要となる ID 情報が含まれています。このタイプの証明書は、Device Authentication for Microsoft Intune (SCEP) ベーステンプレートを使用して、DigiCert​​®​​ Trust Lifecycle Manager から発行されます。

以下は、典型的な証明書構成の例です。特定のアプリケーション要件を満たさない場合があります。

サードパーティアプリケーションの技術的なx.509証明書プロファイル要件を満たすようにプロファイルを構成し、組織のその他のIT慣行、規約、証明書ポリシーに準拠しなければなりません。

Trust Lifecycle Manager で証明書プロファイルを作成する

これらのステップに従って、DigiCert​​®​​ Trust Lifecycle Manager で証明書プロファイル作成ウィザードを起動して対応します。[次へ]を選択して、ウィザード画面を進めて、組織固有の Intune 証明書発行ニーズについて選択を行います。

  1. Trust Lifecycle Manager で、左側のナビゲーションメニューから Policies > Certificate profiles を選択し、次にボタンを選択して、テンプレートからプロファイルを作成します。

  2. 証明書タイプの要件に応じて、Device authentication for Microsoft Intune (SCEP) または User client authentication for Microsoft Intune (SCEP) テンプレートを新しいプロファイル作成の基盤として選択します。

  3. [プライマリオプション]で、[プロファイル名]を入力して、ドロップダウンリストから[事業部門][発行 CA]を選択します。

  4. [認証方法]で、このプロファイルから証明書を要求する Intune テナント用に Microsoft Intune コネクタを選択します。

  5. [証明書フィールド]で、証明書の有効期限と単位([Certificate expires in]の下)、[アルゴリズム]、およびプロファイルの[鍵サイズ]を指定します。SCEP プロトコルは RSA の鍵タイプのみをサポートしています。

  6. フローオプションで、プロファイルが証明書の有効期間をAPI申請で上書きすることを許可するかどうか、およびプロファイルが証明書の複製を許可するかどうかを、相対するチェックボックスをオンにすることで指定します。

  7. [更新オプション]で、[更新ウィンドウ]の期間をデフォルトのドロップダウンリストのデフォルト値から選ぶか、[カスタム]を選択して 1 日から 90 日の間で指定します。

  8. [サブジェクト DN および SAN フィールド]で、次の操作を実行します。

    • 必要な証明書フィールドをドロップダウンリストから選択して、各フィールドの値のソース([SCEP 要求] または [固定値])を指定します。

    • 証明書にセキュリティ識別子(SID)を含めるには、SAN URI フィールドと SCEP 要求に設定されているフィールド値のソースを追加します。

  9. 拡張で、証明書プロファイルに必要な鍵使用方法 (KU) および 拡張鍵使用方法(EKU)値を選択します。KU拡張緊急度のデフォルトはTrueであり、EKU拡張緊急度のデフォルトはFalseですが、関連するラジオボタンを選択することでそれぞれの緊急度を変更できることにご留意ください。

  10. [追加オプション]画面では、[証明書の提供形式]は SCEP 証明書プロファイル用 X.509 PEM として事前選択されています。必要に応じて、追加の選択を行います。

  11. [詳細設定]で、シート ID にバインドする証明書フィールド([シート ID のマッピング])を選択します。[SCEP オプション]で、デフォルトの[暗号化アルゴリズム][SCEP 基準]を変更する必要がある場合は、選択します。

  12. [作成]を選択して、新しい証明書プロファイルと設定を保存します。

    この証明書プロファイルに対応する SCEP サーバー URL を含んだポップアップが開きます。これをコピーして安全な場所に保存します。Intune でデバイス設定プロファイルを構成するときに必要になります。

このセクションの内容: