MEM(旧Intune)でWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する

対象のWindowsデバイスにクライアント証明書を発行するように認証局(CA)を構成します。この手順では、Microsoft Endpoint Manager(MEM)を使用してSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

前提条件

  • 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
  • Okta Admin Console
  • Microsoft Endpoint Manager(MEM)

    Microsoft Endpoint Manager(MEM)は、複数のサービスを統合するソリューションプラットフォームです。これには、クラウドベースのデバイス管理用のMicrosoft Intune、オンプレミスデバイス管理用のConfiguration Manager、共同管理、Desktop Analytics、Windows Autopilot、Azure Active Directory、Windows Autopilot、およびEndpoint Manager管理センターが含まれます。これらのサービスのいずれかを使用している場合は、この手順を使用できます。たとえば、Microsoft Intuneを使用している場合は、この手順を使用できます。

  • Microsoft Azure

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。プロファイルの再配布が許可されるには、すべてのMDM SCEPポリシーが構成されている必要があります。

この手順を開始する

タスク1:Microsoft AzureにOktaのAADアプリ認証情報を登録する

  1. Microsoft Azureで、[App registrations(アプリの登録)]をクリックします。
  2. [+ New registration(+新しい登録)]をクリックします。
  3. [Register an application(アプリケーションの登録)]ページで、以下のように入力します。
    1. [Name(名前)]:アプリケーションのわかりやすい名前を入力します。
    2. [Supported account types(サポートされているアカウントの種類)]:サポートされている適切なアカウントの種類を選択します。Oktaでは、[Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)(この組織ディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ-シングルテナント))]を選択してテストしました。
    3. [Redirect URI(リダイレクトURI)](任意):空白のままにするか、[Web]を選択して、リダイレクトURIを入力します。
    4. [Enrollment(登録)]をクリックします。
  4. [app(アプリ)]ページの[Essentials(要点)]で、[Application (client) ID(アプリケーション(クライアント)ID)]をコピーしてメモします。

    タスク2で、この値をOkta Admin Consoleに貼り付けます。

    この画像はアプリケーション(クライアント)IDの場所を示しています。

  5. クライアントシークレットを追加します。
    1. 左ペインで、[Certificates & secrets(証明書とシークレット)]をクリックします。
    2. [Client secrets(クライアントシークレット)]で、[+ New client secret(+新規クライアントシークレット)]をクリックします。
    3. [Add a client secret(クライアントシークレットを追加)]セクションで、以下のように入力します。
      • [Description(説明)]:任意。クライアントシークレットの説明を入力します。
      • [Expires(有効期限)]:有効期限を選択します。
    4. [Add(追加)]をクリックします。

      [Client secrets(クライアントシークレット)]の下にシークレットが表示されます。

    5. [Client secrets(クライアントシークレット)]セクションで、[Value(値)]をコピーしてメモします。

      この画像はクライアントシークレット値の場所を示しています。

  6. Intuneのscep_challenge_provider権限を設定します。
    1. 左ペインで、[API permissions(APIのアクセス許可)]をクリックします。
    2. [+ Add a permission(+アクセス許可を追加)]をクリックします。
    3. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、下にスクロールし、[Intune]をクリックします。
    4. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[Application permissions(アプリケーションのアクセス許可)]をクリックします。
    5. [Select permissions(アクセス許可を選択)]検索フィールドで、scepと入力し、[scep_challenge_provider]チェックボックスを選択します。

      この画像は[Request API permissions(APIのアクセス許可をリクエスト)]の設定を示しています。

    6. [Add permissions(アクセス許可の追加)]をクリックします。
    7. [Configured permissions(構成済み権限)]セクションで[P][Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします。

      この画像は[Grant admin consent(管理者の同意を付与する)]ボタンの場所を示しています。

    8. 表示されるメッセージで[Yes(はい)]をクリックします。

  7. Microsoft GraphのApplication.Read.All権限を設定します。

    1. [+ Add a permission(+アクセス許可を追加)]をクリックします。
    2. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、[Microsoft Graph]をクリックします。
    3. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[What type of permissions does your application require?(アプリケーションのアクセス許可)]をクリックします。
    4. [Select permissions(アクセス許可を選択)]検索フィールドで、applicationと入力し、[Application(アプリケーション)]を展開して、[Application.Read.All]チェックボックスを選択します。
    5. [Add permissions(アクセス許可の追加)]をクリックします。
    6. [Configured permissions(構成済み権限)]セクションで[P][Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします。
    7. 表示されるメッセージで[Yes(はい)]をクリックします。

タスク2:Oktaで管理証明を構成し、SCEP URLを生成する

  1. Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Endpoint Management(エンドポイント管理)]タブをクリックします。
  3. [Add Platform(プラットフォームを追加)]をクリックします。
  4. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択します。
  5. [Next(次へ)]をクリックします。
  6. 以下を構成します。
    1. [Certificate authority(認証局)][Use Okta as certificate authority(Oktaを認証局として使用する)]を選択します。
    2. [SCEP URL challenge type(SCEP URLチャレンジタイプ)][Dynamic SCEP URL(動的SCEP URL)]を選択し、[Microsoft Intune (delegated SCEP)(Microsoft Intune(委任SCEP))]を選択します。
    3. Microsoft Azureからコピーした値を次のフィールドに入力します。
      • [AAD client ID(AADクライアントID)]:タスク1でコピーした値を入力します。
      • [AAD tenant(AADテナント)]:AADテナント名に続けて.onMicrosoft.comと入力します。
      • [AAD secret(AADシークレット)]:タスク1でコピーしたシークレットのValue(値)を入力します。

    例:

    スクリーンショットは、管理者証明の例を示しています。

  7. [Generate(生成)]をクリックします。
  8. Okta SCEPのURLをコピーして保存します。このURLは、タスク5でMicrosoft Endpoint Managerに貼り付けます。

タスク3:Oktaからx509証明書をダウンロードする

  1. Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Certificate authority(認証局)]タブをクリックします。
  3. Okta CAの[Actions(アクション)]列で、[Download x509 certificate(x509証明書をダウンロード)]アイコンをクリックします。
  4. ダウンロードしたファイルの名前を変更して、拡張子.cerが含まれるようにします。

    タスク4で証明書(CERファイル)をMicrosoft Endpoint Manager(MEM)にアップロードします。

タスク4:MEMで信頼できる証明書プロファイルを作成する

  1. Microsoft Endpoint Manager(MEM)管理センターで、[Devices(デバイス)]に移動します。
  2. [Configuration Profiles(構成プロファイル)]をクリックします。
  3. [+ Create profile(+プロファイルの作成)]をクリックします。
  4. [Create a profile(プロファイルの作成)]で、以下を実行します。
    1. [Platform(プラットフォーム)][Windows 10 and later(Windows 10以降)]を選択します。
    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。
    3. [Template name(テンプレート名)]セクションで、[Trusted certificate(信頼できる証明書)]をクリックします。

      この画像は、Microsoft Endpoint Configuration Managerの[Create a profile(プロファイルの作成)]画面を示しています。

    4. [Create(作成)]をクリックします。
  5. [Trusted certificate(信頼できる証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。
    1. [Name(名前)]:証明書の名前を入力します。

      この画像は、Microsoft Endpoint Configuration Managerの[Trusted certificate(信頼できる証明書)]画面を示しています。

    2. [Description(説明)]:任意。証明書の説明を入力します。
    3. [Next(次へ)]をクリックします。
  6. [Trusted certificate(信頼できる証明書)]ページの[Configuration settings(構成設定)]タブで次のように操作します。
    1. [Certificate file(証明書ファイル)]:「タスク1:Microsoft AzureにOktaのAADアプリ資格情報を登録する」でOktaからダウンロードしたx509証明書(CERファイル)を選択します。
    2. [Destination store(保存先ストア)][Computer certificate store - Intermediate(コンピューター証明書ストア - 中間)]を選択します。
    3. [Next(次へ)]をクリックします。
  7. [Trusted certificate(信頼できる証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。
    1. [Included groups(包含グループ)]:信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、「タスク5:MEMでSCEPプロファイルを作成する」でSCEPプロファイルを割り当てるグループと同じである必要があります。

      両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    2. [Next(次へ)]をクリックします。
  8. [Trusted certificate(信頼できる証明書)]ページの[Applicability Rules(適用性ルール)]タブで、以下を実行します。
    1. 必要なルールを構成します。
    2. [Next(次へ)]をクリックします。
  9. [Trusted certificate(信頼できる証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク5:MEMでSCEPプロファイルを作成する

  1. Microsoft Endpoint Manager(MEM)管理センターで、[Devices(デバイス)]に移動します。
  2. [Configuration Profiles(構成プロファイル)]をクリックします。
  3. [+ Create profile(+プロファイルの作成)]をクリックします。
  4. [Create a profile(プロファイルの作成)]で、次のように入力します。
    1. [Platform(プラットフォーム)][Windows 10 or later(Windows 10以降)]を選択します。
    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。
    3. [Template name(テンプレート名)]で、[SCEP certificate(SCEP証明書)]をクリックします。

      この画像は、Microsoft Endpoint Configuration Managerの[Create a profile(プロファイルの作成)]画面を示しています。

    4. [Create(作成)]をクリックします。
  5. [SCEP certificate(SCEP証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。
    1. [Name(名前)]:証明書の名前を入力します。
    2. [Description(説明)]:任意。証明書の説明を入力します。

      この画像は、Microsoft Endpoint Configuration Managerの[SCEP certificate(SCEP証明書)]画面を示しています。

    3. [Next(次へ)]をクリックします。

  6. [SCEP certificate(SCEP証明書)]ページの[Configuration settings(構成設定)]タブで、以下を実行します。

    1. [Certificate type(証明書の種類)][User(ユーザー)]を選択します。

    2. [Subject name format(サブジェクト名の形式)]:サブジェクト名を入力します(例: CN={{UserPrincipalName}} managementAttestation {{DeviceId}})。

      Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、MEMが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザーの識別子を含めることもできます。サポートされている変数の一覧については、MEMドキュメント「Use SCEP certificate profiles with Microsoft Intune」を参照してください。

    3. [Key storage provider (KSP)(キー格納プロバイダー(KSP))][Enroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP(Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します)]を選択します。

    4. [Key usage(キー使用法)][Digital signature(デジタル署名)]を選択します。

    5. [Key length(キーの長さ)][2048]を選択します。

    6. [Hash algorithm(ハッシュアルゴリズム)]:SHA-2を選択

    7. [+ Root Certificate(+ルート証明書)]をクリックします。

    8. [Root Certificate(ルート証明書)]ページで、タスク4で作成した信頼できる証明書を選択します。

    9. [OK]をクリックします。

    10. [Extended key usage(拡張キー使用法)]で、[Predefined values(定義済みの値)][Client Authentication(クライアント認証)]に設定します。

    11. [SCEP Server URLs(SCEPサーバーURL)]:タスク2で生成したSCEP URLを入力します。

      この画像は、Microsoft Endpoint Configuration Managerの[SCEP certificate(SCEP証明書)]画面を示しています。

    12. [Next(次へ)]をクリックします。

  7. [SCEP certificate(SCEP証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。
    1. タスク4でTrusted certificate profile(信頼できる証明書プロファイル)を割り当てたのと同じユーザーグループにSCEP証明書を割り当てます。

      両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    2. [Next(次へ)]をクリックします。
  8. [SCEP certificate(SCEP証明書)]ページの[Applicability Rules(適用性ルール)]タブで、以下を実行します。
    1. 必要なルールを構成します。
    2. [Next(次へ)]をクリックします。
  9. [SCEP certificate(SCEP証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク6:Windowsコンピューターへの証明書のインストールを確認する

  1. クライアント証明書のインストールを確認します。
    1. Windowsコンピューターで[Start(スタート)]をクリックし、certと入力してから、[Manage user certificates(ユーザー証明書の管理)]をクリックします。
    2. [Personal(個人)][Certificates(証明書)]を確認します。
  2. 認証局を確認します。
    1. Windowsコンピューターで[Start(スタート)]をクリックし、[cert]と入力してから、[Manage user certificates(ユーザー証明書の管理)]をクリックします。
    2. [Intermediate Certificate Authority(中間認証局)][Certificates(証明書)]を確認します。
    3. [Issued To(発行先)]で、[Organization Intermediate Authority(Organization中間機関)]を探してダブルクリックします。
    4. 「発行者:組織ルート機関」を参照してください。

    証明書が見つからない場合は、手順3の説明に従ってログを確認します。

  3. SCEP証明書のインストールとフローが正常に行われたことを確認します。
    1. Windowsコンピューターで、[Start(スタート)]をクリックし、[Event]と入力して、[Event Viewer(イベントビューアー)]をクリックします。
    2. [Applications and Service Logs(アプリケーションとサービスログ)][Microsoft][Windows][DeviceManagement-Enterprise][Admin(管理者)]を確認します。
    3. [General(一般)]タブで、以下を見つけます。
      • SCEP:証明書が正常にインストールされました
      • SCEP:証明書要求が正常に生成されました

次の手順