Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する
対象のWindowsデバイスにクライアント証明書を発行するように認証局(CA)を構成します。この手順では、Microsoft IntuneでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

Workspace ONEを使用してWindowsの静的SCEPチャレンジ・タイプを構成する方法については、Workspace ONEを使用して、Windowsの静的SCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。
前提条件
- 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
- Okta管理コンソール
- Microsoft Endpoint Configuration Manager管理センター(MECM、旧SCCM)
- Microsoft Azure
この手順を開始する
タスク1:Oktaからx509証明書をダウンロードする
- Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
- [認証局]タブをクリックします。
- [アクション]列で、[x509証明書をダウンロード]アイコンをクリックします。
この証明書は、 で、Microsoft Endpoint Configuration Manager(MECM)にアップロードします。
タスク2:MECMで信頼できる証明書プロファイルを作成する
- Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
- [構成プロファイル]をクリックします。
- [+プロファイルの作成]をクリックします。
- [プロファイルの作成]で、以下を実行します。
- プラットフォーム:[Windows 10以降]を選択します。
- プロファイル:[信頼できる証明書]を選択します。
- [作成]をクリックします。
- 信頼できる証明書ウィザードで、以下を実行します。
- 名前と説明(省略可)を入力します。
- [次へ]をクリックします。
- Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成するで、Oktaからダウンロードしたx509証明書を選択します。
- [保存先ストア]で、[コンピューター証明書ストア - 中間]を選択します。
- [次へ]をクリックします。
- 信頼できる証明書プロファイルを1つ以上のユーザー・グループに割り当てます。ユーザー・グループは、タスク5:MECMでSCEPプロファイルを作成するで、SCEPプロファイルを割り当てるグループと同じである必要があります。
- [次へ]をクリックします。
- 適用性ルールを設定します。
- [次へ]をクリックします。
- 構成を確認し、[作成]をクリックします。
両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。
タスク3:Microsoft AzureにOktaのAADアプリ認証情報を登録する
- Microsoft Azureで、[アプリの登録]に移動します。
- [新しい登録]をクリックします。
- Okta Verifyのユーザー向け表示名を入力します。
- [サポートされているアカウントの種類]で、[この組織ディレクトリー内のアカウントのみ(Oktaのみ-シングル・テナント)]を選択します。
- [登録]をクリックします。
- [アプリ]ページの[要点]で、[アプリケーション(クライアント)ID]をコピーしてメモします。
この値は、 で、Okta管理コンソールに貼り付けます。 - クライアント・シークレットを追加します。
- 左ペインで、[証明書&シークレット]をクリックします。
- [クライアント・シークレット]で、[+新規クライアント・シークレット]をクリックします。
- [クライアントシークレットを追加]で、
- [説明](省略可)を追加します。
- 有効期限を指定します。
- [追加]をクリックします。[クライアント・シークレット]の下にシークレットが表示されます。
- [クライアント シークレット]セクションで、[値]をコピーしてメモします。
- API権限を設定します。
- 左ペインで、[APIのアクセス許可]をクリックします。
- [+アクセス許可を追加]をクリックします。
- [APIのアクセス許可をリクエスト]で下にスクロールし、[Intune]タイルをクリックします。
- [アプリケーションに必要なアクセス許可の種類]の下で、[アプリケーションのアクセス許可]をクリックします。
- [アクセス許可を選択]検索フィールドでscepを検索し、検索結果で[scep_challenge_provider]を選択します。
- [アクセス許可の追加]をクリックします。
- [構成済み権限]セクションで、[Oktaの管理者の同意を付与する]をクリックし、表示されるメッセージの[はい]をクリックします。
- [scep_challenge_proper権限]をクリックします。
- 左ペインを閉じます。
タスク4:Oktaで管理証明を構成し、SCEP URLを生成する
- 管理コンソールで、[セキュリティー] > に移動します [デバイス統合]。
- [エンドポイント管理]タブをクリックします。
- [プラットフォームを追加]をクリックします。
同じタイプのプラットフォームに複数の構成を追加する場合は、Identity EngineのDevice Trustに関する既知の問題を参照してください。
- [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
- [次へ]をクリックします。
- 以下を構成します。
- [生成]をクリックします。
- Okta SCEPのURLと秘密鍵をコピーして保存します。このURLは、タスク5:MECMでSCEPプロファイルを作成するで、Microsoft Endpoint Configuration Managerに貼り付けます。

SCEPのURLと秘密鍵がOktaに表示されるのは今回だけです。必ず保存してください。
タスク5:MECMでSCEPプロファイルを作成する
- Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
- [構成プロファイル]をクリックします。
- [+プロファイルの作成]をクリックします。
- [プロファイルの作成]で、次のように入力します。
- プラットフォーム:Windows 10以降
- プロファイル:SCEP証明書
- [作成]をクリックします。
- SCEP証明書ウィザードで、名前と説明(省略可)を入力します。
- [次へ]をクリックします。
- 以下を入力します。
- 証明書の種類:ユーザー
- サブジェクト名の形式(推奨。ほかの形式も使用できます):CN={{UserPrincipalName}} ManagementAttestation {{AAD_Device_ID}}
- キー格納プロバイダー:Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します
- キー使用法:デジタル署名
- キーの長さ:2048
- ハッシュアルゴリズム:SHA-2を選択
- [+ルート証明書]をクリックします。
- [ルート証明書]ペインで、 で作成した信頼できる証明書を選択し、[OK]をクリックします。
- [拡張キー使用法]で、[定義済みの値]を[クライアント認証]に設定します。
- で生成したSCEPのURLをコピーし、[SCEPサーバーURL]フィールドに貼り付けます。
- [次へ]をクリックします。
- で信頼できる証明書プロファイルを割り当てたのと同じユーザー・グループにSCEP証明書を割り当てます。
- [次へ]をクリックします。
- 適用性ルールを設定します。
- [次へ]をクリックします。
- 構成を確認し、[作成]をクリックします。

両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。
タスク6:Windowsコンピューターへの証明書のインストールを確認する
- クライアント証明書のインストールを確認します。
- Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
- [個人] > [証明書]を確認します。
- 認証局を確認します。
- Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
- [中間認証局] > [証明書]を確認します。
- [発行先]で、[組織中間機関]を探してダブルクリックします。
- 「発行者:組織ルート機関」を参照してください。
- SCEP証明書のインストールとフローが正常に行われたことを確認します。
- Windowsコンピューターで、[スタート]をクリックし、Eventと入力して、[イベント ビューアー]をクリックします。
- [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [DeviceManagement-Enterprise] > [Admin]を確認します。
- [一般]タブで、以下を見つけます。
- SCEP:証明書が正常にインストールされました。
- SCEP:証明書要求が正常に生成されました
証明書が見つからない場合は、手順3の説明に従ってログを確認します。