Jamf Pro 用 SCEP 統合ガイド(手動シート作成)
DigiCert® Trust Lifecycle Manager により、Jamf Pro モバイルデバイス管理(MDM)環境を通じて証明書の発行を行うことができます。このガイドでは、SCEP(Simple Certificate Enrollment Protocol)とTrust Lifecycle Manager でのシートレコードの手動作成を使用して Jamf と統合する方法について説明します。
警告
手動シート作成により、シートレコードのセットアップ方法をより詳細に管理できますが、Trust Lifecycle Manager と Jamf Pro の両方でかなりの追加設定が必要になります。
セットアップを簡単にするため、デジサートは代わりに動的シート作成を使用することを推奨します。詳しくは、「SCEP 統合ガイド」を参照してください。
重要
SCEP サービスは動的または静的(グローバル)申請コードを使用して、デバイスを認証することができます。動的申請コードは最も安全なオプションで、強化されたトラッキングおよび管理機能を提供するため、デジサートはこの申請コードを使用することを推奨します。
このガイドは認証に動的申請コードを使用することに重点を置いていますが、必要に応じて静的申請コードオプションについても述べています。
前提条件
次の設定の検証にサポートが必要な場合は、デジサートアカウントの担当者に連絡します。
Trust Lifecycle Manager アカウントで SCEP 申請が有効化されている。
アカウントの発行 CA が CA で SCEP パケットを使用した復号および署名を許可するよう設定されている。
Jamf の設定および使用に関する質問について、ローカルの管理者または Jamf Pro の文書で確認します。
有効な申請対象のデバイスの Jamf Pro アカウントが追加されている。
Apple iOS デバイスに証明書を発行しようとする場合、Jamf Pro アカウントに Apple の MDM プッシュ証明書が設定されている。
(推奨)申請するデバイスまたはコンピュータの各ロジカルグループに Jamf Pro のスマートグループを作成する。詳しくは、公式の『Jamf Pro の文書』を参照してください。
ワークフロー
SCEP を通じて Jamf Pro の統合を設定するには、次のタスクを順に完了してください。
タスク | セクション | |
|---|---|---|
1. | Trust Lifecycle Manager アカウントへの API アクセスを有効にして、Jamf Pro からデバイス識別子をダウンロードします。 | |
2. | Jamf Pro のデバイス識別子を使用して、Trust Lifecycle Manager のシートレコードを作成します。 | |
3. | Trust Lifecycle Manager で発行する証明書のプロパティを定義します。 | |
4. | DigiCert から証明書を申請するのに必要な SCEP 設定がされた Jamf 設定プロファイルを作成します。 | |
5. | 証明書が Trust Lifecycle Manager で発行されて Jamf Pro でプロビジョニングされているか検証します。 |
統合の準備をする
動的な SCEP ベースの申請には、Jamf Pro から Trust Lifecycle Manager アカウントへの API アクセスと両方のプラットフォームでデバイスを識別する共通の方法が必要です。
動的申請コードを SCEP に使用するためには、Jamf Pro はクライアント認証の証明書を使って Trust Lifecycle Manager アカウントに API アクセスする必要があります。
注記
トラッキングの目的で、次の説明の通り統合専用の API サービスユーザーを使用することを、デジサートは推奨します。ユーザーおよび認証マネージャーロールまたはそれと同等の権限を持つ標準ユーザーに対して、クライアント認証の証明書を生成することもできます。
SCEP 統合では、DigiCert と Jamf の両方のデバイスを識別する共通の方法が必要です。申請するすべてのデバイスに存在すれば、どのような識別子でも Jamf Pro から使用することができます。この識別子を使用して、Trust Lifecycle Manager でデバイスのシートレコードを準備します。
すべてのデバイスに識別子が存在することを確認するため、デジサートは、一般的なデバイスのタイプに応じて次の Jamf Pro 識別子のいずれかを使用することを推奨しています。
デバイスタイプ | 推奨する Jamf Pro 識別子 |
|---|---|
機関所有 |
|
個人所有(BYOD) |
|
Trust Lifecycle Manager でシートレコードの作成を行うために、選択したデバイス識別子を CSV 形式で Jamf Pro からダウンロードします。
デバイスのグループの識別子のある CSV ファイルをダウンロードするには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[インベントリ] >[Search Inventory]を選択します。
右側の[新規]ボタンを選択して、新しい検索を作成します。
(オプション)[Criteria]タブを使用して、含めるデバイスを指定するフィルタを適用します。デフォルトでは、すべての Jamf デバイスが含まれます。
[Display]タブを使用して、CSV ファイルに含める識別子を選択します。例:
Serial Number: [Hardware]パラメーターの一覧で、[シリアル番号]のチェックボックスを選択します。UDID (Unique Device Identifier): [Computer]パラメーターの一覧で、[UDID]のチェックボックスを選択します。
[レポート]で次を行います。
[ファイル形式]:
Comma-Separated Values (.csv)を選択します。[Download Report]を選択します。
ダウンロードした CSV ファイルを安全な場所に保存します。これを使用して、Trust Lifecycle Manager のデバイスに対応するシートレコードを作成します。
Trust Lifecycle Manager にシートレコードを作成する
動的申請コードを使用するには、 Trust Lifecycle Manager に申請するすべての Jamf デバイスを識別するシートレコードを準備する必要があります。CSV ファイルから複数のシートレコードを一括で作成することができます。
重要
Trust Lifecycle Manager アカウントが(別々のシートタイプの)レガシーライセンスモデルを使用する場合、シートを個別または一括で作成するときには、[シートタイプ]を選択する必要があります。シートタイプは、Trust Lifecycle Manager で証明書プロファイルを作成するために使用するベーステンプレートと一致する必要があります。詳しくは、「Legacy seat types」を参照してください。
Jamf デバイスの申請ように Trust Lifecycle Manager で複数のシートを一括作成するには、次の形式の CSV ファイルが必要です。
seat_name,seat_id,business_unit_id Admin Macbook Pro,K2YL4QH3FZ,2edf100e-0916-402d-835b-dc4915d4df28 j.smith iPhone,C02G80DHMD6R,2edf100e-0916-402d-835b-dc4915d4df28
「Prepare the integration」セクションで説明したようにデバイスで CSV ファイルのダウンロードに Jamf Pro を使用した場合は、上記の形式で以下の値が含まれるよう CSV ファイルを調整します。
seat_id: Trust Lifecycle Manager および Jamf Pro の各デバイスの識別子です。例えば、Serial NumberまたはUDID (Unique Device Identifier)です。seat_name: Jamf のデバイス名です。Trust Lifecycle Manager のシートレコードに別の名前を使うときに更新します。business_unit_id: 証明書を発行する Trust Lifecycle Manager の事業部門の GUID を追加します。
重要
CSV ファイルの最初の行には、上の例で示したように、Trust Lifecycle Manager の正確なフィールド識別名を含める必要があります。フィールド識別子の順番は、後続の行の値と一致する必要があります。
CSV ファイルから Trust Lifecycle Manager のシートレコードを一括作成するには、次の操作を実行します。
Trust Lifecycle Manager メニューから、[Account > Seats]に移動します。
右上の[シートの一括管理]を選択します。
次の通り、[シートの一括管理(CSV ファイルを使用)]フォームを完成します。
[操作]:: [シートの作成/更新]を選択します。
[このシートをプロファイルに申請しますか]: チェックを外したままにします。
[CSV ファイルの送信]: CSV ファイルを提供されたエリアにドラッグするか、[Browse files]を選択して、コンピュータから選択します。
注記
システムによって CSV ファイルが正しい形式か検証されます。エラーになった場合は、CSV ファイルを更新して再度試してください。
CSV ファイルをアプロードすると、すぐに対応するシートレコードが作成されます。作成されたすべてのレコードと、個々の現在のステータスについてレポートを確認するには、下部の[ダウンロード結果の JSON]リンクを選択してください。
完了したら、[OK]ボタンを選択して、メインの[Account > Seats]ページに戻ります。作成したシートはここの表に表示されます。
Jamf デバイスの申請用に Trust Lifecycle Manager で単一のシートレコードを作成するには、次の操作を実行します。
Trust Lifecycle Manager のメインメニューで、[Account > Seats]を選択します。
右上の[作成]を選択します。
次の通り、[シートの作成]フォームを完成させます。
[事業部門]: 証明書を発行する Trust Lifecycle Manager の事業部門を選択します。
シート ID: このシートの識別子を入力します。例えば、Jamf Pro にデバイスの
Serial NumberまたはUDID (Unique Device Identifier)を入力します。[シート名]: Trust Lifecycle Manager でシート/デバイスを見つけるのに役立つフレンドリ名を入力します。
[シートの作成]を選択して、Jamf デバイス用のシートレコードを作成します。
Trust Lifecycle Manager に証明書プロファイルを作成する
証明書プロファイルは発行 CA および Trust Lifecycle Manager で発行できる証明書タイプの一般的なプロパティを定義します。ベーステンプレートを起点として使用し、Jamf Pro を通じて申請しようとする各証明書のタイプのプロファイルを作成します。
Jamf Pro と使用するために Trust Lifecycle Manager の証明書プロファイルを作成する際には、次のベーステンプレートのいずれかを起点として使用します。
両方のテンプレートは SCEP ベースの申請をサポートし、DigiCert® Private CA の CA からプライベートなトラスト証明書を発行します。
証明書を発行する Trust Lifecycle Manager の事業部門に配置された利用可能なシートライセンスがあることを確認してください。
テンプレート名 |
|---|
|
|
Trust Lifecycle Manager に証明書プロファイルを作成して Jamf Pro と使用するには、次の操作を実行します。
[Trust Lifecycle Manager]メニューで[Policies > Certificate profiles]を選択します。
[テンプレートからプロファイルを作成]ボタンを選択します。
利用可能なベーステンプレートセクションから、証明書プロファイル作成の基盤としてテンプレートを 1 つ選択します。
プロファイル作成ウィザードに従い、次に説明する Jamf 関連のオプションを重視して、自社のニーズに応じて他の選択を行います。
[プライマリオプション]画面は次のようになります。
[一般情報]:
[プロファイル名]: プロファイルには識別しやすい名前を付けます。Jamf Pro を設定する際には、プロファイルを名前で選択することになります。互換性を確保するため、プロファイル名には「((カッコ)」のような特殊文字の使用を避け、語を区切るときはスペースの代わりにハイフンを使い、34 文字以内の名前にしてください。
[事業部門]: Trust Lifecycle Manager で証明書の割り当てに該当する事業部門を選択します。
[発行 CA]: 証明書を発行する発行認証局(CA)を選択します。選択した発行 CA では、[CA で SCEP パケットを使用した復号化および署名を許可する]オプションが有効である必要があり、そうでない場合は、
SCEP申請方法が次の通り利用不可になります。
[申請方法]:
SCEPを選択します。[認証方法]: 次の認証タイプのいずれかを選択し、それに合わせてオプションを設定します。
[動的申請コードオプション]: 動的申請コードを使用して、各 Jamf デバイスを認証します。このオプションでは、各デバイスに固別の申請コードがあります。
重要
デジサートは認証に動的申請コードを使用することを強く推奨します。これは最も安全なオプションで、強化されたトラッキングおよび管理機能を提供します。
グローバル申請コードオプション: プロファイルに設定した静的コードを使用して Jamf デバイスを認証します。このオプションでは、すべての Jamf デバイスが同じ申請コードを共有するので、事前に Trust Lifecycle Manager に登録する必要はありません。
警告
認証にグローバル申請コードを使用する場合、コードを知っている任意のクライアントがプロファイルから証明書を発行する可能性があります。
[証明書オプション] > [サブジェクト DN および SAN フィールド]で、このプロファイルから発行された証明書を含めるようフィールドを設定します。
デフォルトでは、各証明書のサブジェクト DN にコモンネームが含まれています。このコモンネームは、SCEP 要求から値を取得しています。
(オプション)ドロップダウンを使用して、証明書にフィールドを追加します。[フィールドの値のソース]に、次のいずれかを選択します。
[SCEP 要求]: SCEP 申請要求から値を動的に割り当てます。
[固定値]: 静的な値をすべての証明書に割り当てます。
重要
重要な注記:
各証明書プロファイルには、SCEP 要求から値を取得するフィールド(例えば、[コモンネーム])を 1 つ以上含める必要があります。このフィールドは Jamf Pro からデバイス識別子を携行するために使用されます。
証明書プロファイルの再配信方法を使用して、有効期限が近づいた証明書が確実に再発行されるようにするには、[SCEP 要求]から値を取得するサブジェクト DN に、[部門名](OU)フィールドを追加します。
デバイスが証明書を要求するときには、[SCEP 要求]フィールドに対応する値を提供する Jamf 設定プロファイルを設定することになります。
[詳細設定] > [シート ID マッピング]で、次を行います。
シート ID: Jamf Pro デバイス識別子を携行する証明書のフィールドを選択します。Jamf Pro デバイス識別子は、Trust Lifecycle Manager の対応するシートレコードで、
Seat IDの値として使用されます。例えば、証明書のコモンネームからデバイス識別子を読み込むには、これをSubject DN: Common nameに設定します。
新規の証明書プロファイルを保存するには、最後のウィザード画面で[作成]を選択します。
Jamf Pro モバイルデバイスの設定プロファイルでの使用に向けて、証明書プロファイルの SCEP サーバー URL をコピーおよび保存します。
SCEP 申請用に Jamf を設定する
エンドポイントデバイスが DigiCert ONE から証明書を申請できるようにするには、Trust Lifecycle Manager の証明書プロファイルの SCEP 設定で Jamf Pro 設定プロファイルを作成する必要があります。Jamf Pro プロファイルには、ターゲットユーザーと申請するデバイスを含める必要があります。
注記
Jamf の設定プロファイルに関して詳しくは、公式の『Jamf Pro の文書』を参照してください。
Jamf Pro で設定プロファイルを作成するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
[新規]を選択して、新しい設定プロファイルを作成します。
[一般]タブで、次の設定を行います。
[名前]: この設定プロファイルを識別するのに役立つ名前を入力します。
[レベル]: 以下から 1 つ以上を選択します。
Device LevelまたはComputer Level: デバイスまたはコンピュータ上のすべてのユーザーが、プロファイルを使用できるようにします。ヒント
MDM の目的から、ほとんどの Jamf 設定プロファイルが
Device LevelまたはComputer Levelの設定を使用する必要があります。User Levelプロファイルをコンピュータ上の特定のユーザーアカウントに関連付けます。この設定は一般的には使用されず、主に複数のユーザーでコンピュータを共有するときに適用されます。
[配信方法]:
Install Automaticallyを選択します。
[SCEP]タブで、Trust Lifecycle Manager で作成した証明書プロファイルの SCEP 設定を行います。
[URL]: 対応するプロファイルの [SCEP Server URL] を入力して、Trust Lifecycle Manager で証明書を発行します。詳しくは、「Create certificate profiles」セクションを参照してください。
件名: サブジェクト DN 値の文字列を入力して、証明書を追加します。例えば、
CN=$SERIALNUMBERと入力して、各デバイスのシリアルナンバーを SCEP 申請要求のコモンネームとして動的に入力します。[サブジェクトの別名]: (オプション)Trust Lifecycle Manager の証明書プロファイルに、SCEP 要求から値を取得するサブジェクトの別名(SAN)エクステンションのフィールドが含まれる場合、[追加]ボタンを使用して一致するフィールドタイプを追加し、それらの値の文字列を入力します。
次の例では、Jamf プロファイルの SCEP 証明書設定が、サブジェクトのコモンネームの各デバイスのシリアル番号を含む他、シリアル番号が電子メールアドレスの一部となっている SAN RFC 822 フィールドも含まれます。
重要
重要な注記:
Trust Lifecycle Manager 証明書プロファイルに設定されている各証明書フィールドは、SCEP 要求から値を取得しますが、対応する値を Jamf 設定プロファイルに持つ必要があります。
Jamf 設定プロファイルで使用可能なペイロード変数の一覧に関しては、公式の『Jamf Pro の文書』を参照してください。ペイロード変数は大文字と小文字を区別します。
Trust Lifecycle Manager 証明書プロファイルで固定値で設定された証明書フィールドは、Jamf 設定プロファイルに存在してはいけません。
証明書プロファイルの再配信方法を使用して、有効期限前に証明書が確実に再発行されるようにするため、
OU=$PROFILEIDENTIFIERを[件名]フィールドに追加します。これによって、各証明書の組織ユニットとして、Jamf の設定プロファイルの ID 値が追加されます。これは証明書のコモンネームをTrust Lifecycle Manager のシート ID 値にマッピングするときに特に重要です。
[チャレンジタイプ]: 次のいずれかを選択し、オプションを入力します。
[静的]: Trust Lifecycle Manager の証明書プロファイルが[グローバル申請コード]を使用するよう設定されている場合は、こちらを選択します。申請コードを[チャレンジ]および[Verify Challenge]インプットに入力します。
[Dynamic-DigiCert Trust Lifecycle Manager]: 証明書プロファイルが動的申請コードを使用する場合は、こちらを選択します。次のフィールドを設定します。
[PKI インスタンス]: グローバル Jamf Pro 設定に構成されているように、Trust Lifecycle Manager アカウントに適切な統合を選択します。詳しくは、「Prepare the integration」セクションを参照してください。
[証明書プロファイル]: Trust Lifecycle Manager から証明書を発行するための、プロファイルの名前を選択します。選択を行うと、プロファイルの GUID が検証用に表示されるので、Trust Lifecycle Manager の証明書プロファイルと照合できます。
シート ID: Trust Lifecycle Manager の対応するシートレコードの
Seat IDの値に使用するフィールドを選択します。例えば、次のように選択します。Serial Number: シート ID に使用する Jamf シリアル番号です。Device UDID: シート ID として使用する Jamf UDID(Unique Device Identifier)の値です。
[シートタイプ]:
Otherを選択します。
(オプション)Trust Lifecycle Manager の証明書プロファイルの設定と一致させる必要がある場合は、追加の選択をします。
右下の[保存]を選択して、新しい Jamf 設定プロファイルを保存します。
Jamf プロファイルからコンピュータ/デバイスおよびユーザーの申請を開始するには、次のようにプロファイルの範囲を設定します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
設定プロファイルを選択します。
右下の[編集]を選択します。
上部のプロファイル名の下にある[範囲]タブを選択します。
範囲を設定するには、コンピュータ/デバイスまたはユーザーの[ターゲット]の選択を、以下のいずれかに更新します。
[All]: すべてのコンピュータ/デバイスまたはユーザーがプロファイルから申請可能にします。
[Specific]: 特定のコンピュータ/デバイスまたはユーザーのみ申請可能にします。
[追加]ボタンを使用して、この設定プロファイルから証明書を取得できるターゲットのコンピュータ/デバイスまたはユーザーを追加します。
[Add Deployment Targets]で、申請する個別のターゲットまたはターゲットグループを選択します。
重要
重要な注記:
デジサートは範囲を[Specific]に設定して Smart Groups を使用して証明書を取得できるコンピュータ/デバイスまたはユーザーを管理することを推奨しています。
一度に申請するデバイスが多くなりすぎるのを避けるため、ターゲットの Smart Group を 1 つずつ選択して適用するか、少ないバッチで実行します。詳しくは、下の「Distribute the Jamf profile to more targets」を参照してください。
右下の[保存]を選択して、変更を適用します。
Jamf 設定プロファイルは選択したすべてのターゲットに配信され、Trust Lifecycle Manager から証明書を申請するよう指示されます。
一度に申請するデバイスが多すぎる問題を回避するため、Jamf 設定プロファイルを一度に Smart Group に配布するか、小さなバッチで配布します。1 つのグループのデバイスに申請した後、プロファイルの範囲を更新して次のグループに配布します。
Jamf プロファイルを次のデバイスのグループに配信するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
設定プロファイルを選択します。
右下の[編集]を選択します。
上部のプロファイル名の下にある[範囲]タブを選択します。
申請する新しいターゲットのコンピュータ/デバイスまたはユーザーを追加するため、[ターゲット]の選択を更新します。
右下の[保存]を選択して、変更を適用します。
[Redistribution Options]ダイアログで、次のいずれかのオプションを選択します。
[Distribute to All]: Jamf 設定プロファイルは、すでにプロファイルがインストールされているものも含めてすべてのターゲットデバイスに配信されます。これにより、すべてのデバイスが Trust Lifecycle Manager から新しい証明書を申請することになります。
[Distribute to Newly Assigned Devices Only]: Jamf 設定プロファイルは、新しく選択されたターゲットデバイスのみに配信されます。新しく追加したデバイスのみが Trust Lifecycle Manager から証明書を申請することになります。
重要
デジサートは[Distribute to Newly Assigned Devices Only]オプションを使用して、流動的なグループで証明書を申請することを推奨します。
[保存]を選択して完了し、選択した配信オプションに基づいて、設定プロファイルを選択したターゲットに配信します。
このプロセスを繰り返して、次のデバイスのグループを登録してください。
証明書の申請を検証する
ターゲットのデバイスを申請した後、Trust Lifecycle Manager で発行されて Jamf Pro にプロビジョニングされた証明書を検証します。
Trust Lifecycle Manager で発行された証明書を表示するには、次の操作を実行します。
[Inventory] ページに移動します。
表示機能を使用して証明書を表示し、[コモンネーム] または[シート ID]などのフィールドでフィルタリングします。
証明書を[コモンネーム]で選択して、詳細を確認します。
Jamf Pro ポータルのいずれかのコンピュータやデバイスでプロファイルの配信と証明書発行を検証するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[インベントリ] >[Search Inventory]を選択します。
右上にある[検索]ボタンを選択します。
一覧からコンピュータまたはデバイスを選択して、詳細を確認します。
コンピュータまたはデバイスのレコードの詳細を検証します。
[インベントリ] > [プロファイル]: デバイスにインストールされているすべての設定プロファイルを、各識別子も含めて一覧表示します。SCEP 再配信を有効化するようプロファイルを設定している場合、証明書サブジェクトの組織ユニット(OU)として追加されるのは IDENTIFIER の値です。
[インベントリ] > [証明書]: デバイスにインストールされているすべての証明書を、有効期間とそれぞれのステータスも含めて一覧表示します。詳細を確認する証明書を選択します。
[Management] >[Management Commands]: このタブをレビューして、デジサートから Jamf Pro に報告されたエラーを含む、Jamf 設定プロファイルの導入ステータスを確認します。
Jamf Pro アカウントで Trust Lifecycle Manager を通じて発行されたすべての証明書を表示するには、次の操作を実行します。
詳細情報
統合について詳しくは、次の Jamf の技術ペーパーを参照してください。『Jamf Pro を使用した DigiCert との統合』。