デバイス認証
デバイス証明書には、コンピュータ (クライアント) からサーバ、サーバからサーバ、およびデバイスからサーバへの認証に一般的に必要となるID情報が含まれています。このタイプの証明書は、アカウントからデバイスシートを消費するDevice Authentication for Microsoft Intune(SCEP)証明書プロファイルテンプレートを使用し、Trust Lifecycle Managerから発行されます。
以下は、典型的な証明書構成の例です。特定のアプリケーション要件を満たさない場合があります。
サードパーティアプリケーションの技術的なx.509証明書プロファイル要件を満たすようにプロファイルを構成し、組織のその他のIT慣行、規約、証明書ポリシーに準拠しなければなりません。
Trust Lifecycle Manager証明書プロファイル
Follow these steps to launch and work through the certificate profile creation wizard in DigiCert® Trust Lifecycle Manager. Select Next to progress through the wizard screens and make selections specific to your organization's Intune certificate issuance needs.
Trust Lifecycle Managerで、左側のナビゲーションメニューからプロファイルの管理を選択し、次にプロファイルの追加を選択します。
証明書タイプの要件に応じて、Device Authentication for Microsoft Intune (SCEP)またはMicrosoft Intune (SCEP) 用のユーザークライアント認証を証明書テンプレートのリストから選択します。
プライマリオプションで、プロファイル名を記入してドロップダウン リストからビジネスユニットと発行認証局を選択します。
承認方法に、Intuneテナントから事前に取得したアプリケーションID、アプリケーションキーとテナント名を入力します(Intune SCEP 証明書プロファイルタイプでは、登録方法と認証方法は事前に選択され、グレーで薄字表示されています)。
で証明書期限切れで、プロファイルの証明書の有効期間と単位、アルゴリズム、および鍵タイプと鍵サイズを指定します。
フローオプションで、プロファイルが証明書の有効期間をAPI申請で上書きすることを許可するかどうか、およびプロファイルが証明書の複製を許可するかどうかを、相対するチェックボックスをオンにすることで指定します。
更新オプションで、更新ウィンドウの期間をドロップダウンリストのデフォルト値から選択するか、カスタムを選択して1~30日の間で値を指定して選択します。
サブジェクト識別名およびSANフィールドで、ドロップダウンリストから必要な証明書サブジェクトフィールドを選択し、各フィールドの値のソース(SCEP 申請または固定値)を指定します。
拡張で、証明書プロファイルに必要な鍵使用方法 (KU) および 拡張鍵使用方法(EKU)値を選択します。KU拡張緊急度のデフォルトはTrueであり、EKU拡張緊急度のデフォルトはFalseですが、関連するラジオボタンを選択することでそれぞれの緊急度を変更できることにご留意ください。
追加オプションでは、SCEP証明書プロファイルの証明書配信形式は、X.509 PEM として事前に選択されています。次へを選択します。
詳細設定で、シートIDにバインドする証明書フィールド (シートIDマッピング) と)と暗号化アルゴリズムと SCEP と SCEP 規格 (SCEP オプション) を選択します。
作成を選択します。
A popup opens with the corresponding SCEP Server URL for this certificate profile. Copy and save it somewhere safe. You will need it when configuring device configuration profiles in Intune.