Workspace ONEでWindowsの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。Windows

Microsoft Intuneを使用してWindowsの委任(動的)SCEPチャレンジタイプを構成する方法については、「Microsoft Intune でWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください。

目的(Purpose)

管理証明証明書

プラットフォーム

Windows

MDM

Omnissa Workspace ONE

SCEP URL

静的

開始する前の確認事項

以下にアクセスできることを確認してください:

  • Okta Admin Console

  • Workspace ONE Admin Console

手順

  1. CAを構成して、SCEP URLと秘密鍵を生成する

  2. x509証明書をダウンロードする

  3. 静的SCEPプロファイルを作成する

  4. 証明書テンプレートを追加する

  5. デバイスプロファイルを定義する

  6. 管理証明のユーザープロファイルを定義する

  7. 証明書のインストールを確認する

CAを構成して、SCEP URLと秘密鍵を生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. エンドポイント管理(Endpoint management)タブでプラットフォームを追加(Add Platform)(Add platform)をクリックします。

  3. Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))を選択して、次へ(Next)をクリックします。

  4. デバイス管理プラットフォームを追加(Add device management platform)ページで、次のオプションを選択します。

    • 認証局(Certificate Authority)Oktaを認証局として使用する(Use Okta as Certificate Authority)

    • SCEP URLチャレンジタイプ(SCEP URL challenge type)静的SCEP URL(Static SCEP URL)

  5. 生成(Generate)をクリックします。

  6. 次の値をコピーして安全な場所に保存します。

    • SCEP URL

    • 秘密鍵

    • Admin Consoleで秘密鍵を取得できるのはこのときだけです。秘密鍵をプレーンテキストで表示するには、パスワードを表示アイコンOpen eye icon that reveals the saved password when clicked.をクリックします。

      秘密鍵をリセットする必要がある場合は、デバイスアクセス(Device Access)ページのアクション(Actions)メニューにある 秘密鍵をリセット(Reset secret key)をクリックします。

  7. 保存(Save)をクリックします。

x509証明書をダウンロードする

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブを選択します。

  3. Okta CA 認証局の場合は、アクション(Actions)列にあるx509証明書のダウンロード(Download x509 certificate)アイコンをクリックします。

  4. ダウンロードした証明書ファイルを保存します。必要に応じて、ファイル名を.cer拡張子に変更します。

Oktaからダウンロードした証明書は、Organizationの中間証明書です。Workspace ONEでデバイスプロファイルを定義する際には、この証明書が必要です。

Workspace ONEで静的SCEPプロファイルを作成する

Workspace ONEOktaをCAとして構成し、管理チャネルを通して証明書プロファイルをデプロイできるようにします。

  1. Workspace ONE UEM管理コンソールにサインインします。

  2. デバイス(DEVICES) > 証明書(Certificates) > 認証局(Certificate Authorities)に移動します。

  3. +追加(+ADD)(+ ADD)をクリックします。

  4. 認証局 - 追加/編集(Certificate Authority - Add/Edit)ページで、次のように入力します。

    • 名前(Name):CAの名前を入力します。

    • 説明(Description):任意。CAの説明を入力します。

    • 権限のタイプ(Authority type)汎用SCEP(Generic SCEP)を選択します。

    • SCEPプロバイダー(SCEP Provider)基本項目(Basic)は自動的に入力され、変更できません。

    • SCEPのURL(SCEP URL):事前に生成したSCEPのURL(SCEP URL)を入力します。

    • チャレンジタイプ(Challenge Type)静的(STATIC)をクリックします。

    • 静的チャレンジ(Static Challenge):事前に生成した秘密鍵(Secret Key)を入力します。

    • チャレンジフレーズの確認(Confirm Challenge Phrase)秘密鍵(Secret Key)を再度入力します。

    • 再試行タイムアウト(Retry Timeout):デフォルト値の30を受け入れます。

    • 保留中の最大再試行回数(Max Retries When Pending):この値は、権限の保留中にシステムが許可する再試行回数を指定します。デフォルト値の5のままにするか、カスタムの数値を指定します。

    • プロキシを有効化(Enable Proxy):デフォルト値の無効(DISABLED)のままにするか、環境にプロキシが必要であれば有効(ENABLED)を選択します。

  5. 接続の試験(TEST CONNECTION)をクリックし、保存する前に接続をテストします。

    接続の試験(TEST CONNECTION)の前に保存(SAVE)を選択すると、テストが失敗しました(Test is unsuccessful)というエラーが表示されます。

  6. テストが成功しました(Test is successful)というメッセージが表示されたら、テンプレートを保存して追加(SAVE AND ADD TEMPLATE)をクリックします。

    テストが失敗した場合は、先ほど生成したSCEPのURL(SCEP URL)にアクセスできることを確認してください。

証明書テンプレートを追加する

静的SCEPプロファイルを作成してから、このタスクでCAリクエストテンプレートを追加します。

  1. Workspace ONEで、リクエストテンプレート(Request Templates)タブを選択します。

  2. +追加(+ADD)(+ ADD)をクリックします。

  3. 証明書テンプレート - 追加/編集(Certificate Template - Add/Edit)ページで、次のように入力します。

    • 名前(Name):テンプレートの名前を入力します。

    • 説明(Description):任意。テンプレートの説明を入力します。

    • 認証局 :前のステップで作成したCAを選択します。

    • テンプレートの発行(Issuing Template):空白のままにするか、実装に応じて構成します。

    • サブジェクト名(Subject Name):サブジェクト名を入力します。例:CN = {EmailAddress} managementAttestation {DeviceUid}

    • 秘密鍵の長さ(Private Key Length)2048を選択します。

    • 秘密鍵のタイプ(Private Key Type)署名(Signing)を選択します。

    • SANのタイプ(SAN Type):該当なし。

    • 証明書の自動更新(Automatic Certificate Renewal)有効(ENABLED)をクリックします。

    • 秘密鍵の公開(Publish Private Key)無効(DISABLED)をクリックします。

  4. 保存(SAVE)をクリックします。

デバイスプロファイルを定義する

このデバイスプロファイルは、Okta中間CAをデバイスの中間ストアにデプロイするために使用されます。

  1. Workspace ONEで、リソース(RESOURCES) > プロファイルとベースライン(Profiles & Baselines) > プロファイル(Profiles)に移動します。

  2. 追加(ADD)をクリックし、プロファイルを追加(Add Profile)を選択します。

  3. Windows > Windowsデスクトップ(Windows Desktop) > デバイスプロファイル(Device Profiles)を選択します。

  4. 一般(General)ページで、次のように入力します。

    • 名前(Name):デバイスプロファイルの名前を入力します。

    • 説明(Description):任意。デバイスプロファイルの説明を入力します。

    • デプロイ(Deployment)管理対象(Managed)を選択します。

    • 割り当てのタイプ(Assignment Type):デフォルトのままにするか、実装に応じて構成します。

    • 削除を許可(Allow Removal):デフォルトのままにするか、実装に応じて構成します。

    • 管理者(Managed By):プロファイルへの管理アクセス権を持つ個人またはグループを入力します。

    • [Smart Groups(スマートグループ)]:対象となるデバイスが含まれるグループを選択します。グループの名前の入力を始め、リストからグループを選択します。

    • 除外(Exclusions):プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。

    • 追加の割り当て基準(Additional Assignment Criteria):デプロイのスケジュールを作成できます。

    • 削除日(Removal Date):プロファイルをデバイスから削除する日付を指定します。

  5. 左側のペインの資格情報(Credentials)をクリックします。

  6. 構成(CONFIGURE)をクリックします。

  7. 資格情報(Credentials)ページで、次のように入力します。

    • 資格情報ソース(Credential Source)アップロード(Upload)を選択します。

    • 証明書(Certificate)アップロード(Upload)をクリックして、前にダウンロードしたx509証明書を参照します。

    • キーの場所(Key Location):デフォルトのままにするか、実装に応じて構成します。

    • 証明書ストア(Certificate Store)中間(Intermediate)を選択します。

  8. 保存して公開(SAVE AND PUBLISH)をクリックします。

管理証明のユーザープロファイルを定義する

このタスクでは、クライアント証明書情報と資格情報をクライアントにプッシュする管理ペイロードが作成されます。これにより、クライアントがOktaに接続して新しいクライアント証明書を要求できるようになります。

クライアント証明書は、Okta Verify対応フローの一環として管理証明に使用されます。

  1. Workspace ONEで、リソース(RESOURCES) > プロファイルとベースライン(Profiles & Baselines) > プロファイル(Profiles)に移動します。

  2. 追加(ADD)をクリックし、プロファイルを追加(Add Profile)を選択します。

  3. Windows > Windowsデスクトップ(Windows Desktop) > ユーザープロファイル(User Profile)を選択します。

  4. 一般(General)ページで、次のように入力します。

    • 名前(Name):ユーザープロファイルの名前を入力します。

    • 説明(Description):任意。ユーザープロファイルの説明を入力します。

    • デプロイ(Deployment)管理対象(Managed)を選択します。

    • 割り当てのタイプ(Assignment Type)自動(Auto)を選択します。

    • 削除の許可(Allow Removal)常に(Always)を選択します。

    • 管理者(Managed By):任意。その他の管理者名を入力します。

    • スマートグループ(Smart Groups):前のタスクで指定したものと同じグループを入力します。

    • 除外(Exclusions):プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。

    • 追加の割り当て基準(Additional Assignment Criteria):デプロイのスケジュールを作成できます。

    • 削除日(Removal Date):プロファイルをデバイスから削除する日付を指定します。

  5. 左側のペインの資格情報(Credentials)をクリックします。

  6. 構成(CONFIGURE)をクリックします。

  7. 資格情報(Credentials)ページで、次のように入力します。

    • 資格情報ソース(Credential Source)定義済みの認証局(Defined Certificate Authority)を選択します。

    • 認証局 :タスク3で構成したものと同じ認証局を選択します。

    • キーの場所(Key Location):TPMの有無にかかわらず、存在する場合はTPM(TPM If Present)を選択してデバイスをサポートします。

    • 証明書ストア(Certificate Store)個人(Personal)を選択します。

  8. 保存して公開(SAVE AND PUBLISH)をクリックします。

証明書のインストールを確認する

Windowsコンピューターで、クライアント証明書がインストールされたことを確認します。

  1. 開始(Start)をクリックし、certと入力します。

  2. ユーザー証明書の管理(Manage user certificates)をクリックします。

  3. 証明書 - 現在のユーザー(Certificates - Current User)で、個人(Personal) > 証明書(Certificates)をクリックします。

  4. クライアント証明書が存在することを確認します。

認証局(CA)を確認します。

  1. 証明書 - ローカルコンピューター(Certificates - Local Computer)で、中間認証局(Intermediate Certificate Authority) > 証明書(Certificates)を選択します。

  2. 発行先(Issued To)列で、Organization中間機関(Organization Intermediate Authority)を探します。

  3. 発行者(Issued By)列で、組織中間機関(Organization Intermediate Authority)(Organization Root Authority)組織ルート機関(Organization Root Authority)(Organization Intermediate Authority)が指定されていることを確認します。

次の手順

デスクトップ用のアプリサインインポリシールールを追加する