Microsoft IntuneでWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。Windows

目的(Purpose)

管理証明証明書

プラットフォーム

Windows

MDM

Microsoft Intune

SCEP URL

委任(Delegated)

開始する前の確認事項

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書が必要

  • Okta Admin Console

  • Microsoft Intune

  • Microsoft Azure

手順

  1. Microsoft AzureにOktaのAADアプリ資格情報を登録する

  2. Oktaで管理証明を構成し、SCEP URLを生成する

  3. Oktaからx509証明書をダウンロードする

  4. Microsoft Intune で信頼できる証明書プロファイルを作成する

  5. でSCEPプロファイルを作成するMicrosoft Intune

  6. Windowsコンピューターへの証明書のインストールを確認する

Microsoft AzureにOktaのAADアプリ資格情報を登録する

  1. Microsoft Azureで、Microsoftをクリックします。Azure

  2. +新規登録(+ New registration)をクリックします。

  3. アプリケーションの登録(Register an application)ページで、以下のように入力します。

    1. 名前(Name):アプリのわかりやすい名前を入力します。

    2. サポートされているアカウントの種類(Supported account types):サポートされている適切なアカウントの種類を選択します。

      以下の手順は、この組織のディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ - シングルテナント(Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)を使用します。

    3. リダイレクトURI(任意)(Redirect URI (optional)):このフィールドは空白のままにするか、Webを選択してリダイレクトURIを入力します。

    4. 登録(Register)をクリックします。

  4. アプリページの要点(Essentials)で、アプリケーション(クライアント)ID(Application (client) ID)をコピーします。

    The image indicates where to find the Application (client) ID.

    この値は、この先のタスクのOkta Admin Consoleで必要になります。

  5. クライアントシークレットを追加します。

    1. 左ペインで、証明書とシークレット(Certificates & secrets)をクリックします。

    2. クライアントシークレット(Client secrets)で、+新規クライアントシークレット(+ New client secret)をクリックします。

    3. クライアントシークレットを追加(Add a client secret)セクションで、以下のように入力します。

      • 説明(Description):任意。クライアントシークレットの説明を入力します。

      • 有効期限(Expires):有効期限を選択します。

    4. 追加(Add)をクリックします。

      クライアントシークレット(Client secrets)の下にシークレットが表示されます。

    5. クライアントシークレット(Client secrets)タブで、値(Value)をコピーします。

      The image indicates where to find the client secret value.

  6. scep_challenge_providerの権限を設定します。

    1. 左ペインで、APIのアクセス許可(API permissions)をクリックします。

    2. +アクセス許可を追加(+ Add a permission)をクリックします。

    3. APIのアクセス許可をリクエスト(Request API permissions)ページで、下にスクロールし、Intuneをクリックします。

    4. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(Application permissions)をクリックします。

    5. 権限を選択(Select permissions)検索フィールドにscepと入力します。scep_challenge_providerチェックボックスを選択します。

      The image shows the Request API permissions settings.

    6. アクセス許可の追加(Add permissions)をクリックします。

    7. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

      The image indicates the location of the Grant admin consent button.

    8. 表示されるメッセージではい(Yes)をクリックします。

  7. Microsoft Graphの権限を設定します。

    1. +アクセス許可を追加(+ Add a permission)をクリックします。

    2. APIのアクセス許可をリクエスト(Request API permissions)セクションで、Microsoft Graphをクリックします。

    3. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(What type of permissions does your application require?)(Application permissions)をクリックします。

    4. 権限を選択(Select permissions)検索フィールドにapplicationと入力します。アプリケーション(Application)リストを展開し、Application.Read.Allを選択します。

    5. アクセス許可の追加(Add permissions)をクリックします。

    6. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

    7. 表示されるメッセージではい(Yes)をクリックします。

Oktaで管理証明を構成し、SCEP URLを生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. エンドポイント管理(Endpoint management)タブを選択します。

  3. プラットフォームを追加(Add platform)をクリックします。

  4. Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))を選択します。

  5. 次へ(Next)をクリックします。

  6. 以下を構成します。

    • 認証局(Certificate authority)Oktaを認証局として使用する(Use Okta as certificate authority)を選択します。

    • SCEP URLチャレンジタイプ(SCEP URL challenge type)動的SCEP URL(Dynamic SCEP URL)を選択し、Microsoft Intune (delegated SCEP)(委任SCEP(Microsoft Intune))を選択します。

    • Microsoft AzureからAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アプリの資格情報を入力します。

      • AADクライアントID(AAD client ID):前のタスクでコピーした値を入力します。

      • AADテナント(AAD tenant):AADテナントのプライマリドメインを入力します(例:myAADDomain.onMicrosoft.com)。

      • AADシークレット(AAD secret):前のタスクでコピーしたシークレット値を入力します。

      An example of the management attestation.

  7. 生成(Generate)をクリックします。

  8. 生成されたSCEPのURL(SCEP URL)をコピーして保存します。

    このURLは、Microsoft IntuneでSCEPプロファイルを作成するときに必要になります。

Oktaからx509証明書をダウンロードする

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブをクリックします。

  3. Okta CAのアクション(Actions)列で、x509証明書のダウンロード(Download x509 certificate)アイコンをクリックします。

  4. ダウンロードしたファイルの拡張子が.cerになるように名前を変更します。

    Microsoft Intuneで信頼できる証明書プロファイルを作成する場合は、証明書(CER)ファイルが必要です。

Microsoft Intuneで信頼できる証明書プロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルの作成(Create a profile)ページで、以下を行います。

    1. プラットフォーム(Platform)Windows 10以降(Windows 10 and later)を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)セクションで、信頼できる証明書(Trusted certificate)をクリックします。

      The interface page for creating a profile in the Microsoft Endpoint Configuration Manager.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(Trusted certificate)ページの信頼できる証明書(Trusted certificate)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the trusted certificate screen in the Microsoft Intune configuration manager.

    3. 次へ(Next)をクリックします。

  6. 信頼できる証明書(Trusted certificate)ページの構成設定(Configuration settings)タブで、以下を選択します。

    1. 証明書ファイル(Certificate file)Oktaからダウンロードしたx509証明書(CER)ファイルを選択します。

    2. 保存先ストア(Destination store)コンピューター証明書ストア - 中間(Computer certificate store - Intermediate)を選択します。

    3. 次へ(Next)をクリックします。

  7. 信頼できる証明書(Trusted certificate)ページの割り当て(Assignments)タブで、以下を実行します。

    1. 包含グループ(Included groups):信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、SCEPプロファイル(SCEP profile)を割り当てるグループと同じである必要があります。

    2. 次へ(Next)をクリックします。

  8. 信頼できる証明書(Trusted certificate)ページの適用性ルール(Applicability Rules)タブで、以下を実行します。

    1. 必要なルールを構成します。

    2. 次へ(Next)をクリックします。

  9. 信頼できる証明書(Trusted certificate)ページの確認して作成(Review + create)タブで、構成を確認し、作成(Create)をクリックします。

Microsoft IntuneでSCEPプロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルを作成(Create a profile)ページで、次を選択します。

    1. プラットフォーム(Platform)Windows 10以降(Windows 10 or later)を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)SCEP証明書(SCEP certificate)を選択します。

      The image shows the Create a profile screen.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(SCEP certificate)ページの基本情報(Basics)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the SCEP certificate screen.

    3. 次へ(Next)をクリックします。

  6. SCEP証明書(SCEP certificate)ページの構成設定(Configuration settings)タブで、以下を実行します。

    1. 証明書タイプ(Certificate type):プロファイルをどのように使用するかに応じて、証明書タイプを選択します。

      • ユーザー(User):CAとしてOktaを構成する場合は、ユーザー(User)を選択します。

      • デバイス(Device)デバイスアクセスのSCEP証明書を設定する場合は、デバイス(Device)を使用します。

    2. サブジェクト名の形式(Subject name format):証明書のサブジェクト名を入力します例:CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}

    3. 証明書の有効期間(Certificate validity period)1年に設定します。

    4. Key storage provider (KSP)(キー格納プロバイダー(KSP))Enroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP(Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します)を選択します。

    5. キー使用法(Key usage)デジタル署名(Digital signature)を選択します。

    6. キーの長さ(Key length)2048を選択します。

    7. ハッシュアルゴリズム([Hash algorithm)]:SHA-2を選択

    8. +ルート証明書(+ Root Certificate)をクリックします。

    9. ルート証明書(Root Certificate)ページで、前のタスクで作成した信頼できる証明書を選択します。

    10. OKをクリックします。

    11. 拡張キー使用法(Extended key usage)で、定義済みの値(Predefined values)クライアント認証(Client Authentication)に設定します。

    12. 更新しきい値(Renewal threshold):この割合を20に設定します。これは、証明書の有効期限が80%になったときに、MDMがデバイス上の証明書を更新することを意味します。

    13. SCEPサーバーURL(SCEP Server URLs)Oktaで生成したSCEPのURLを入力します。

      Microsoft Endpoint Configuration Manager SCEP certificate screen.

    14. 次へ(Next)をクリックします。

  7. SCEP証明書(SCEP certificate)ページの割り当て(Assignments)タブで、信頼できる証明書プロファイルを割り当てたのと同じユーザーグループに証明書を割り当てます。次へ(Next)をクリックします。

  8. SCEP証明書(SCEP certificate) ページの 適用性ルール(Applicability Rules)タブで、必要なルールを構成して次へ(Next)をクリックします。

  9. SCEP証明書(SCEP certificate)ページのレビューと作成(Review + create)タブで、設定内容を確認し、作成(Create)をクリックします。

Windowsデバイスで証明書のインストールを確認する

Windowsコンピューターで、クライアント証明書がインストールされたことを確認します。

  1. [Start(スタート)]をクリックし、 cert[]と入力します。

  2. ユーザー証明書の管理(Manage user certificates)をクリックします。

  3. 証明書 - 現在のユーザー(Certificates - Current User)で、個人(Personal) > 証明書(Certificates)をクリックします。

  4. クライアント証明書が存在することを確認します。

認証局(CA)を確認します。

  1. 証明書 - ローカルコンピューター(Certificates - Local Computer)で、中間認証局(Intermediate Certificate Authority) > 証明書(Certificates)を選択します。

  2. 発行先(Issued To)列で、Organization中間機関(Organization Intermediate Authority)を探します。

  3. 発行者(Issued By)列で、組織中間機関(Organization Intermediate Authority)(Organization Root Authority)組織ルート機関(Organization Root Authority)(Organization Intermediate Authority)が指定されていることを確認します。

証明書が見つからない場合は、以下の手順でWindowsのイベントログを確認します。

  1. Windowsコンピューターで、Windowsをクリックし、Event(Start)と入力して、イベントビューアー(Event Viewer)をクリックします。

  2. DeviceManagement-Enterprise管理者(Admin) Microsoft Windows を確認します。

  3. 一般(General)タブで、以下を見つけます。

    • SCEP:証明書が正常にインストールされました(SCEP: Certificate installed successfully)

    • SCEP:証明書要求が正常に生成されました(SCEP: Certificate request generated successfully)

次の手順

デスクトップ用のアプリサインインポリシールールを追加する