Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する

対象のWindowsデバイスにクライアント証明書を発行するように認証局(CA)を構成します。この手順では、Microsoft IntuneでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

注

Workspace ONEを使用してWindowsの静的SCEPチャレンジ・タイプを構成する方法については、Workspace ONEを使用して、Windowsの静的SCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。

前提条件

  • 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
  • Okta管理コンソール
  • Microsoft Endpoint Configuration Manager管理センター(MECM、旧SCCM)
  • Microsoft Azure

この手順を開始する

タスク1:Oktaからx509証明書をダウンロードする

  1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
  2. [認証局]タブをクリックします。
  3. [アクション]列で、[x509証明書をダウンロード]アイコンをクリックします。
    この証明書は、タスク2:MECMで信頼できる証明書プロファイルを作成するで、Microsoft Endpoint Configuration Manager(MECM)にアップロードします。

タスク2:MECMで信頼できる証明書プロファイルを作成する

  1. Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
  2. [構成プロファイル]をクリックします。
  3. [+プロファイルの作成]をクリックします。
  4. [プロファイルの作成]で、以下を実行します。
    1. プラットフォーム[Windows 10以降]を選択します。
    2. プロファイル[信頼できる証明書]を選択します。
    3. [作成]をクリックします。
  5. 信頼できる証明書ウィザードで、以下を実行します。
    1. 名前と説明(省略可)を入力します。
    2. [次へ]をクリックします。
    3. Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成するで、Oktaからダウンロードしたx509証明書を選択します。
    4. [保存先ストア]で、[コンピューター証明書ストア - 中間]を選択します。
    5. [次へ]をクリックします。
    6. 信頼できる証明書プロファイルを1つ以上のユーザー・グループに割り当てます。ユーザー・グループは、タスク5:MECMでSCEPプロファイルを作成するで、SCEPプロファイルを割り当てるグループと同じである必要があります。
    7. 注

      両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。

    8. [次へ]をクリックします。
    9. 適用性ルールを設定します。
    10. [次へ]をクリックします。
    11. 構成を確認し、[作成]をクリックします。

タスク3:Microsoft AzureにOktaのAADアプリ認証情報を登録する

  1. Microsoft Azureで、[アプリの登録]に移動します。
  2. [新しい登録]をクリックします。
  3. Okta Verifyのユーザー向け表示名を入力します。
  4. [サポートされているアカウントの種類]で、[この組織ディレクトリー内のアカウントのみ(Oktaのみ-シングル・テナント)]を選択します。
  5. [登録]をクリックします。
  6. [アプリ]ページの[要点]で、[アプリケーション(クライアント)ID]をコピーしてメモします。
    この値は、タスク4:Oktaで管理証明を構成し、SCEP URLを生成するで、Okta管理コンソールに貼り付けます。
  7. クライアント・シークレットを追加します。
    1. 左ペインで、[証明書&シークレット]をクリックします。
    2. [クライアント・シークレット]で、[+新規クライアント・シークレット]をクリックします。
    3. [クライアントシークレットを追加]で、
      • [説明](省略可)を追加します。
      • 有効期限を指定します。
    4. [追加]をクリックします。[クライアント・シークレット]の下にシークレットが表示されます。
    5. [クライアント シークレット]セクションで、[値]をコピーしてメモします。
  8. API権限を設定します。
    1. 左ペインで、[APIのアクセス許可]をクリックします。
    2. [+アクセス許可を追加]をクリックします。
    3. [APIのアクセス許可をリクエスト]で下にスクロールし、[Intune]タイルをクリックします。
    4. [アプリケーションに必要なアクセス許可の種類]の下で、[アプリケーションのアクセス許可]をクリックします。
    5. [アクセス許可を選択]検索フィールドでscepを検索し、検索結果で[scep_challenge_provider]を選択します。
    6. [アクセス許可の追加]をクリックします。
    7. [構成済み権限]セクションで、[Oktaの管理者の同意を付与する]をクリックし、表示されるメッセージの[はい]をクリックします。
    8. [scep_challenge_proper権限]をクリックします。
    9. 左ペインを閉じます。

タスク4:Oktaで管理証明を構成し、SCEP URLを生成する

  1. 管理コンソールで、[セキュリティー] > に移動します [デバイス統合]
  2. [エンドポイント管理]タブをクリックします。
  3. [プラットフォームを追加]をクリックします。
    注

    同じタイプのプラットフォームに複数の構成を追加する場合は、Identity EngineのDevice Trustに関する既知の問題を参照してください。

  4. [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
  5. [次へ]をクリックします。
  6. 以下を構成します。
    1. 認証局:[Oktaを認証局として使用する]を選択します。
    2. SCEPのURLチャレンジ・タイプ:[委任済みSCEPのURL(Microsoft Intuneのみ)]を選択します。
    3. Microsoft Azureからコピーした値を次のフィールドに入力します。
    4. 例:

      スクリーンショットは、管理者証明の例を示しています。

  7. [生成]をクリックします。
  8. Okta SCEPのURLと秘密鍵をコピーして保存します。このURLは、タスク5:MECMでSCEPプロファイルを作成するで、Microsoft Endpoint Configuration Managerに貼り付けます。
  9. 注

    SCEPのURLと秘密鍵がOktaに表示されるのは今回だけです。必ず保存してください。

タスク5:MECMでSCEPプロファイルを作成する

  1. Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
  2. [構成プロファイル]をクリックします。
  3. [+プロファイルの作成]をクリックします。
  4. [プロファイルの作成]で、次のように入力します。
    1. プラットフォーム:Windows 10以降
    2. プロファイル:SCEP証明書
    3. [作成]をクリックします。
  5. SCEP証明書ウィザードで、名前と説明(省略可)を入力します。
  6. [次へ]をクリックします。
  7. 以下を入力します。
    1. 証明書の種類:ユーザー
    2. サブジェクト名の形式(推奨。ほかの形式も使用できます):CN={{UserPrincipalName}} ManagementAttestation {{AAD_Device_ID}}
    3. キー格納プロバイダー:Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します
    4. キー使用法:デジタル署名
    5. キーの長さ:2048
    6. ハッシュアルゴリズム:SHA-2を選択
  8. [+ルート証明書]をクリックします。
  9. [ルート証明書]ペインで、タスク2:MECMで信頼できる証明書プロファイルを作成するで作成した信頼できる証明書を選択し、[OK]をクリックします。
  10. [拡張キー使用法]で、[定義済みの値][クライアント認証]に設定します。
  11. タスク3:Microsoft AzureにOktaのAADアプリ認証情報を登録するで生成したSCEPのURLをコピーし、[SCEPサーバーURL]フィールドに貼り付けます。
  12. [次へ]をクリックします。
  13. タスク2:MECMで信頼できる証明書プロファイルを作成する信頼できる証明書プロファイルを割り当てたのと同じユーザー・グループにSCEP証明書を割り当てます。
  14. 注

    両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。

  15. [次へ]をクリックします。
  16. 適用性ルールを設定します。
  17. [次へ]をクリックします。
  18. 構成を確認し、[作成]をクリックします。

タスク6:Windowsコンピューターへの証明書のインストールを確認する

  1. クライアント証明書のインストールを確認します。
    1. Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
    2. [個人] > [証明書]を確認します。
  2. 認証局を確認します。
    1. Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
    2. [中間認証局] > [証明書]を確認します。
    3. [発行先]で、[組織中間機関]を探してダブルクリックします。
    4. 「発行者:組織ルート機関」を参照してください。
  3. 証明書が見つからない場合は、手順3の説明に従ってログを確認します。

  4. SCEP証明書のインストールとフローが正常に行われたことを確認します。
    1. Windowsコンピューターで、[スタート]をクリックし、Eventと入力して、[イベント ビューアー]をクリックします。
    2. [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [DeviceManagement-Enterprise] > [Admin]を確認します。
    3. [一般]タブで、以下を見つけます。
      • SCEP:証明書が正常にインストールされました
      • SCEP:証明書要求が正常に生成されました

次の手順