Skip to main content

ユーザークライアント認証

DigiCert証明書プロファイル

Trust Lifecycle Manager証明書プロファイルを参照してください。

Security identifier (SID)

To include the security identifier (SID) from Intune in client authentication certificates for users:

  • In Intune, the On-premises sync enabled flag must be set to Yes for the users. This setting is not available in free Entra ID tenants.

  • In the Trust Lifecycle Manager certificate profile, under Certificate options > Subject DN and SAN fields, add a SAN URIs field with the source of the field's value set to SCEP request.

  • In the Intune SCEP configuration profile, add a Subject alternative name field for attribute name URI and set the value set to this exact string: {{OnPremisesSecurityIdentifier}}

    警告

    The SID field is only supported for Azure AD–joined or Hybrid Azure AD–joined devices in a paid Entra ID tenant.

Microsoftデバイス構成プロファイル

Follow these steps to create a device configuration profile in Microsoft Intune to get certificates from a specific certificate profile in DigiCert​​®​​ Trust Lifecycle Manager.

  1. Microsoft Endpoint Manager管理センターで、デバイスを選択し、次に構成プロファイルプロファイルの作成を選択します。

  2. プロファイルを受け取るデバイスに任意のプラットフォームを構成し、ドロップダウンまたはテンプレートリストからSCEP 証明書を選択します。

  3. 構成の設定に関しては、該当するDigiCert証明書プロファイルと合致するように設定と値を構成します。

設定

コメント

証明書タイプ:ユーザー

DigiCertプロファイルタイプとデバイスシートタイプに対応します。

プラットフォームOSの動作により、対象となるデバイス上の鍵/証明書の保存場所が決定されます。

サブジェクト名の形式

DigiCert ONE証明書プロファイルによって、SCEP 申請から供給される属性と値を含みます。

サブジェクトの別名

DigiCert ONE証明書プロファイルによって、SCEP 申請から供給される属性と値を含みます。

To include the security identifier (SID) in certificates, add a SAN field for attribute name URI and set the value to this exact string: tag:microsoft.com,2022-09-14:sid:{{OnPremisesSecurityIdentifier}}

証明書有効期間

DigiCert ONE証明書プロファイルの構成と一致します。

鍵ストレージプロバイダ(KSP)

ターゲットプラットフォームの動作のみを決定します。

鍵使用方法

デジサートが発行する証明書には、Microsoft構成設定に関係なく、DigiCert ONE証明書プロファイルで設定された鍵使用方法(通常、デジタル署名と鍵暗号化)が含まれます。

ただし、この設定はターゲットデバイスOSがそのデバイス上でキーフラグの設定と使用を強制する方法にも影響する可能性があるため、DigiCert ONE証明書プロファイル設定の意図する目的に一致するように設定することが推奨されます。

鍵サイズ

DigiCert ONE証明書プロファイルの構成と一致します。

ハッシュアルゴリズム

接続デバイスがサポートする、最強のセキュリティレベルを選択します。

ルート証明書

DigiCert ONE証明書プロファイルで設定された、エンドエンティティ証明書を発行するCA証明書。

多階層のCA証明書階層を使用している場合は、発行者CA証明書ファイルを選択してください。

拡張鍵使用方法

デジサートが発行する証明書には、Microsoftの構成設定に関係なく、DigiCert証明書プロファイルで設定された拡張キー使用方法が含まれます。

ただし、この設定は、ターゲットプラットフォームのOSがそのデバイス上でキーフラグの設定および使用を強制する方法にも影響する可能性があるため、DigiCert証明書プロファイル設定の意図する目的に一致するように設定することが推奨されます。

更新閾値 (%)

この値は、DigiCert証明書プロファイルの更新登録設定と一致するように調整する必要があります。

SCEP サーバ URL

適切な形式については、表2の SCEP URL の形式を参照してください。

image33.png
このセクションの内容: