各テンプレートにグループ/ユーザーアクセスを割り当てる
自動申請構成ファイルを Autoenrollment Server にインポートした後、インポートしたテンプレートにアクセス権限を割り当てる必要があります。各テンプレートが必要とする権限は次で説明します。詳しい設定方法については、『DigiCert® Trust Lifecycle Manager | Autoenrollment Server 導入ガイド』のセクション「証明書テンプレートの準備について」と「グループの割り当て/テンプレートへのユーザーアクセスについて」を参照してください。
証明書テンプレート名 | ターゲットグループまたはユーザー | 必要なアクセス権限 | |||
ドメインコントローラ | ドメインのすべてのドメインコントローラがあるグループ。 デフォルトでは、[ドメインコントローラ]グループはすべてのドメインコントローラを含む必要があります。 | [読み取り]、[申請]、および[自動申請]にチェックを付けます。
| |||
Microsoft® Enrollment Agent | AD FS のアカウントユーザーを含むグループか、アカウントを直接指定します。 アカウントがサービスアカウントの場合、サービスアカウントのオブジェクトを表示するために、次の操作が必要です。 [追加]をクリックした後、[オブジェクトタイプ]を選択します。
[サービスアカウント]にチェックを付けます。
| [読取]と、[申請]にチェックを付けます。[自動申請]は必須ではありません。このテンプレートの証明書は、Windows Hello for Business フローの一部として自動的に AD FS ユーザーに対して発行されます。
| |||
Windows Hello for Business 認証 | これは、Microsoft 公式文書の 5-a.『Active Directory』中で作成された Windows Hello for Business Users グループです。名前は完全に一致しませんが、Windows Hello 認証を割り当てようとするユーザーのグループである必要があります。 | [読み取り]、[申請]、および[自動申請]にチェックを付けます。
|
