Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する

対象のWindowsデバイスにクライアント証明書を発行するように認証局(CA)を構成します。この手順では、Microsoft IntuneでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

注

Workspace ONEを使用してWindowsの静的SCEPチャレンジ・タイプを構成する方法については、Workspace ONEを使用して、Windowsの静的SCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。

前提条件

  • 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
  • Okta管理コンソール
  • Microsoft Endpoint Configuration Manager管理センター(MECM、旧SCCM)
  • Microsoft Azure

この手順を開始する

タスク1:Oktaからx509証明書をダウンロードする

  1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
  2. [認証局]タブをクリックします。
  3. [アクション]列で、[x509証明書をダウンロード]アイコンをクリックします。
    この証明書は、 で、Microsoft Endpoint Configuration Manager(MECM)にアップロードします。

タスク2:MECMで信頼できる証明書プロファイルを作成する

  1. Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
  2. [構成プロファイル]をクリックします。
  3. [+プロファイルの作成]をクリックします。
  4. [プロファイルの作成]で、以下を実行します。
    1. プラットフォーム[Windows 10以降]を選択します。
    2. プロファイル[信頼できる証明書]を選択します。
    3. [作成]をクリックします。
  5. 信頼できる証明書ウィザードで、以下を実行します。
    1. 名前と説明(省略可)を入力します。
    2. [次へ]をクリックします。
    3. Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成するで、Oktaからダウンロードしたx509証明書を選択します。
    4. [保存先ストア]で、[コンピューター証明書ストア - 中間]を選択します。
    5. [次へ]をクリックします。
    6. 信頼できる証明書プロファイルを1つ以上のユーザー・グループに割り当てます。ユーザー・グループは、タスク5:MECMでSCEPプロファイルを作成するで、SCEPプロファイルを割り当てるグループと同じである必要があります。
      7. 注

      両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。

    7. [次へ]をクリックします。
    8. 適用性ルールを設定します。
    9. [次へ]をクリックします。
    10. 構成を確認し、[作成]をクリックします。

タスク3:Microsoft AzureにOktaのAADアプリ認証情報を登録する

  1. Microsoft Azureで、[アプリの登録]に移動します。
  2. [新しい登録]をクリックします。
  3. Okta Verifyのユーザー向け表示名を入力します。
  4. [サポートされているアカウントの種類]で、[この組織ディレクトリー内のアカウントのみ(Oktaのみ-シングル・テナント)]を選択します。
  5. [登録]をクリックします。
  6. [アプリ]ページの[要点]で、[アプリケーション(クライアント)ID]をコピーしてメモします。
    この値は、 で、Okta管理コンソールに貼り付けます。
  7. クライアント・シークレットを追加します。
    1. 左ペインで、[証明書&シークレット]をクリックします。
    2. [クライアント・シークレット]で、[+新規クライアント・シークレット]をクリックします。
    3. [クライアントシークレットを追加]で、
      • [説明](省略可)を追加します。
      • 有効期限を指定します。
    4. [追加]をクリックします。[クライアント・シークレット]の下にシークレットが表示されます。
    5. [クライアント シークレット]セクションで、[値]をコピーしてメモします。
  8. API権限を設定します。
    1. 左ペインで、[APIのアクセス許可]をクリックします。
    2. [+アクセス許可を追加]をクリックします。
    3. [APIのアクセス許可をリクエスト]で下にスクロールし、[Intune]タイルをクリックします。
    4. [アプリケーションに必要なアクセス許可の種類]の下で、[アプリケーションのアクセス許可]をクリックします。
    5. [アクセス許可を選択]検索フィールドでscepを検索し、検索結果で[scep_challenge_provider]を選択します。
    6. [アクセス許可の追加]をクリックします。
    7. [構成済み権限]セクションで、[Oktaの管理者の同意を付与する]をクリックし、表示されるメッセージの[はい]をクリックします。
    8. [scep_challenge_proper権限]をクリックします。
    9. 左ペインを閉じます。

タスク4:Oktaで管理証明を構成し、SCEP URLを生成する

  1. 管理コンソールで、[セキュリティー] > に移動します [デバイス統合]
  2. [エンドポイント管理]タブをクリックします。
  3. [プラットフォームを追加]をクリックします。
    注

    同じタイプのプラットフォームに複数の構成を追加する場合は、Identity EngineのDevice Trustに関する既知の問題を参照してください。

  4. [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
  5. [次へ]をクリックします。
  6. 以下を構成します。
    1. 認証局:[Oktaを認証局として使用する]を選択します。
    2. SCEPのURLチャレンジ・タイプ:[委任済みSCEPのURL(Microsoft Intuneのみ)]を選択します。
    3. Microsoft Azureからコピーした値を次のフィールドに入力します。
      • AADクライアントID の手順6でコピーした値を入力します。
      • AADテナント:AADテナント名に続けて.onMicrosoft.comと入力します。
      • AADシークレット の手順7eでコピーした値を入力します。

      4. 例:

      スクリーンショットは、管理者証明の例を示しています。

  7. [生成]をクリックします。
  8. Okta SCEPのURLと秘密鍵をコピーして保存します。このURLは、タスク5:MECMでSCEPプロファイルを作成するで、Microsoft Endpoint Configuration Managerに貼り付けます。
    9. 注

    SCEPのURLと秘密鍵がOktaに表示されるのは今回だけです。必ず保存してください。

タスク5:MECMでSCEPプロファイルを作成する

  1. Microsoft Endpoint Configuration Manager(MECM)で、[デバイス]に移動します。
  2. [構成プロファイル]をクリックします。
  3. [+プロファイルの作成]をクリックします。
  4. [プロファイルの作成]で、次のように入力します。
    1. プラットフォーム:Windows 10以降
    2. プロファイル:SCEP証明書
    3. [作成]をクリックします。
  5. SCEP証明書ウィザードで、名前と説明(省略可)を入力します。
  6. [次へ]をクリックします。
  7. 以下を入力します。
    1. 証明書の種類:ユーザー
    2. サブジェクト名の形式(推奨。ほかの形式も使用できます):CN={{UserPrincipalName}} ManagementAttestation {{AAD_Device_ID}}
    3. キー格納プロバイダー:Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します
    4. キー使用法:デジタル署名
    5. キーの長さ:2048
    6. ハッシュアルゴリズム:SHA-2を選択
  8. [+ルート証明書]をクリックします。
  9. [ルート証明書]ペインで、 で作成した信頼できる証明書を選択し、[OK]をクリックします。
  10. [拡張キー使用法]で、[定義済みの値][クライアント認証]に設定します。
  11. で生成したSCEPのURLをコピーし、[SCEPサーバーURL]フィールドに貼り付けます。
  12. [次へ]をクリックします。
  13. 信頼できる証明書プロファイルを割り当てたのと同じユーザー・グループにSCEP証明書を割り当てます。
    14. 注

    両方のプロファイルで指定されているユーザー・グループが同じであることを確認してください。

  14. [次へ]をクリックします。
  15. 適用性ルールを設定します。
  16. [次へ]をクリックします。
  17. 構成を確認し、[作成]をクリックします。

タスク6:Windowsコンピューターへの証明書のインストールを確認する

  1. クライアント証明書のインストールを確認します。
    1. Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
    2. [個人] > [証明書]を確認します。
  2. 認証局を確認します。
    1. Windowsコンピューターで[スタート]をクリックし、certと入力してから、[ユーザー証明書の管理]をクリックします。
    2. [中間認証局] > [証明書]を確認します。
    3. [発行先]で、[組織中間機関]を探してダブルクリックします。
    4. 「発行者:組織ルート機関」を参照してください。

    3. 証明書が見つからない場合は、手順3の説明に従ってログを確認します。

  3. SCEP証明書のインストールとフローが正常に行われたことを確認します。
    1. Windowsコンピューターで、[スタート]をクリックし、Eventと入力して、[イベント ビューアー]をクリックします。
    2. [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [DeviceManagement-Enterprise] > [Admin]を確認します。
    3. [一般]タブで、以下を見つけます。
      • SCEP:証明書が正常にインストールされました
      • SCEP:証明書要求が正常に生成されました

次の手順