デバイス認証
デバイス証明書には、コンピュータ (クライアント) からサーバ、サーバからサーバ、およびデバイスからサーバへの認証に一般的に必要となるID情報が含まれています。このタイプの証明書は、アカウントからデバイスシートを消費するDevice Authentication for Microsoft Intune(SCEP)証明書プロファイルテンプレートを使用し、Trust Lifecycle Managerから発行されます。
以下は、典型的な証明書構成の例です。特定のアプリケーション要件を満たさない場合があります。
サードパーティアプリケーションの技術的なx.509証明書プロファイル要件を満たすようにプロファイルを構成し、組織のその他のIT慣行、規約、証明書ポリシーに準拠しなければなりません。
Trust Lifecycle Manager証明書プロファイル
Trust Lifecycle Managerで、左側のナビゲーションメニューからプロファイルの管理を選択し、次にプロファイルの追加を選択します。
証明書タイプの要件に応じて、Device Authentication for Microsoft Intune (SCEP)またはMicrosoft Intune (SCEP) 用のユーザークライアント認証を証明書テンプレートのリストから選択します。
プライマリオプションで、プロファイル名を記入してドロップダウン リストからビジネスユニットと発行認証局を選択します。
承認方法に、Intuneテナントから事前に取得したアプリケーションID、アプリケーションキーとテナント名を入力します(Intune SCEP 証明書プロファイルタイプでは、登録方法と認証方法は事前に選択され、グレーで薄字表示されています)。
接続のテストを選択して、DigiCert ONEが提供したIntuneテナントの詳細と正常に接続できることを確認します。正常に行われると、画面の右上にダイアログメッセージが表示されます。
次へを選択します。
IntuneポータルでIntuneテナント値が変更されるたびに、更新する必要があることにご注意ください。これらの資格情報が更新されたら、接続を再テストして更新が正常に行われたことを確認できます。
で証明書期限切れで、プロファイルの証明書の有効期間と単位、アルゴリズム、および鍵タイプと鍵サイズを指定します。
SCEP プロトコルは RSA 鍵のみをサポートしていることにご注意ください。Trust Lifecycle ManagerのSCEP証明書プロファイルには、鍵タイプにRSAが事前に入力されています。
フローオプションで、プロファイルが証明書の有効期間をAPI申請で上書きすることを許可するかどうか、およびプロファイルが証明書の複製を許可するかどうかを、相対するチェックボックスをオンにすることで指定します。
更新オプションで、更新ウィンドウの期間をドロップダウンリストのデフォルト値から選択するか、カスタムを選択して1~30日の間で値を指定して選択します。
サブジェクト識別名およびSANフィールドで、ドロップダウンリストから必要な証明書サブジェクトフィールドを選択し、各フィールドの値のソース(SCEP 申請または固定値)を指定します。
拡張で、証明書プロファイルに必要な鍵使用方法 (KU) および 拡張鍵使用方法(EKU)値を選択します。KU拡張緊急度のデフォルトはTrueであり、EKU拡張緊急度のデフォルトはFalseですが、関連するラジオボタンを選択することでそれぞれの緊急度を変更できることにご留意ください。
追加オプションでは、SCEP証明書プロファイルの証明書配信形式は、X.509 PEM として事前に選択されています。次へを選択します。
詳細設定で、シートIDにバインドする証明書フィールド (シートIDマッピング) と)と暗号化アルゴリズムと SCEP と SCEP 規格 (SCEP オプション) を選択します。
作成を選択します。