Jamf ProでmacOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局（CA）を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。macOS

目的（Purpose）	管理証明証明書
プラットフォーム	macOS
MDM	Jamf Pro
SCEP URL	静的

注:

Apple SCEP MDMペイロードのデプロイをサポートする任意のデバイス管理ソリューションを使用できます。ただし、この手順は、Jamf Proを使ったデバイス管理と、静的SCEPプロファイルの構成を対象としています。

開始する前に

以下にアクセスできることを確認してください：

Okta Admin Console
SCEPペイロードのデプロイメントをサポートする任意のデバイス管理ソリューション。この手順はJamf Proで検証されています。

手順

SCEP URLと秘密鍵を生成する
静的SCEPプロファイルを作成する

SCEP URLと秘密鍵を生成する

Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
エンドポイント管理（Endpoint management）タブでプラットフォームを追加（Add Platform）（Add platform）をクリックします。
デスクトップ（WindowsおよびmacOSのみ）（Desktop (Windows and macOS only)）を選択して、次へ（Next）をクリックします。
デバイス管理プラットフォームを追加（Add device management platform）ページで、次のオプションを選択します。
- 認証局（Certificate authority）：Oktaを認証局として使用する（Use Okta as certificate authority）
- SCEP URLチャレンジタイプ（SCEP URL challenge type）：静的SCEP URL（Static SCEP URL）
生成（Generate）をクリックします。
SCEP URLと秘密鍵をコピーして、安全な場所に保存してください。Okta Admin Consoleに表示されるのはこのときだけです。これらの値はJamf Proで必要になります。
保存（Save）をクリックします。

静的SCEPプロファイルを作成する

SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol（SCEP）を使用して認証局（CA）から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaでJamf Proを使用してSCEPプロファイルのデプロイをテスト済みであることから、以下のステップではJamf Proでプロファイルを作成する手順を説明します。

注:

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前に、プロファイルを再配布して期限切れの証明書を置き換えてください。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

Jamf Proでコンピューター（Computers） > 構成プロファイル（Configuration Profiles）に移動します。
新規（New）をクリックします。
一般（General）ページで、次の情報を入力します。
- 名前（Name）：プロファイルの名前を入力します。
- 説明（Description）：オプションです。プロファイルの説明を入力します。
- レベル（Level）：証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。Okta Verifyデバイスのすべてのユーザーが確実に管理されるようにするには、コンピューターレベル（Computer Level）を選択します。デバイスの特定のユーザーのみを管理対象として識別するときは、ユーザーレベル（User Level）を選択します。
SCEPをクリックし、次に構成（Configure）をクリックします。
SCEPプロファイル（SCEP proﬁle）（SCEP profile）に次の情報を入力します。
- URL：ステップ1で保存したSCEP URLを貼り付けます。
- 名前（Name）：SCEPプロファイルの名前を入力します。
- プロファイルの再配布（Redistribute Profile）：SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。Oktaは、証明書の自動更新をサポートしません。Oktaプロファイルを再配布して期限切れの証明書を置き換えます。
- 件名（Subject）：証明書を識別するための名前を入力します。
  
  注:
  このフィールドの文字数制限は64文字です。
  
  Jamf Proでは、プロファイルの再配布時に$PROFILE_IDENTIFIERが自動的に追加され、これも64文字の制限に含まれます。この制限を超えると、プロファイルの再配布や証明書の更新が失敗します。
  
  Oktaでは、この件名（Subject）フィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数（$UDIDや$EMAILなど）を含めることもできます。
  
  例（maは管理証明を示します）：
  - コンピュータレベル（Computer Level）：CN=$COMPUTERNAME ma $UDID
  - ユーザーレベル（User Level）：CN=$EMAIL ma $UDID
  SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。
- チャレンジタイプ（Challenge type）（Challenge Type）：静的（Static）を選択します。
- チャレンジ（Challenge）：ステップ1で保存した秘密鍵を貼り付けます。
- チャレンジの確認（Verify Challenge）：秘密鍵を再度貼り付けます。
- キーサイズ（Key Size）：2048を選択します。
- デジタル署名として使用する（Use as digital signature）：このオプションを選択します。
- キーチェーンからのエクスポートを許可する（Allow export from keychain）：このオプションの選択を解除します。
- すべてのアプリのアクセスを許可する（Allow all apps access）：このオプションを選択します。
保存（Save）をクリックします。

次の手順

デスクトップ用のアプリサインインポリシールールを追加する