Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。この手順では、OktaでSimple Certificate Enrollment Protocol(SCEP)URLを生成し、Jamf Proを使用して動的Simple Certificate Enrollment Protocol(SCEP)プロファイルを作成する方法について説明します。

開始する前に

以下にアクセスできることを確認してください。

  • 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
  • Okta Admin Console
  • Jamf Proダッシュボード

AirWatchを使用している場合は、静的SCEPを使用します。AirWatchには、動的SCEPに関する既知の問題があります。

この手順を開始する

タスク1:SCEP URLを生成する

  1. Okta Admin Consoleで、[Security(セキュリティ)] [Device integrations(デバイス統合)]に移動します。
  2. [Endpoint management(エンドポイント管理)]タブで、[Add Platform(プラットフォームを追加)]をクリックします。
  3. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択して、[Next(次へ)]をクリックします。
  4. [Add device management platform(デバイス管理プラットフォームを追加)]ページで、次のオプションを選択します。
    目的選択
    認証局[Use Okta as Certificate Authority(認証局としてOktaを使用します)]
    SCEP URLチャレンジタイプ[Dynamic SCEP URL(動的SCEP URL)][Generic(汎用)]が選択されていることを確認します。
  5. [Generate(生成)]をクリックします。
  6. 次の値をコピーして保存します。
    • SCEP URL
    • チャレンジURL
    • ユーザー名
    • パスワード

    パスワードを表示するには、[Show password(パスワードを表示)] [Show password(パスワードを表示)]アイコン をクリックします。[Password(パスワード)]は安全な場所に保存してください。Admin Consoleに表示されるのはこのタイミングのみです。これらの値はJamf Proで必要になります。

  7. [Save(保存)]をクリックします。

タスク2:Jamf Proで動的SCEPプロファイルを作成する

SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol(SCEP)を使用して認証局(CA)から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaではJamf Proを使用してSCEPプロファイルのデプロイメントをテストしたため、次の手順ではJamf Proを使用してプロファイルを作成する方法を説明します。

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロトコルを再配布して期限切れ証明書を交換します。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

  1. Jamf Proで、[Computers(コンピューター)] [Configuration Profiles(構成プロファイル)]に移動します。
  2. [New(新規)]をクリックします。
  3. [General(一般)]ページで、次の情報を入力します。
    目的以下を実施
    [Name(名前)]このプロファイルの名前を入力します。
    [Description(説明)]任意。プロファイルの説明を入力します。
    [Level(レベル)]証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択する必要があります。

    デバイスの特定のユーザーのみを管理対象として識別したい場合は、[User Level(ユーザーレベル)]を選択する必要があります。

  4. [SCEP]をクリックしてから、[Configure(構成)]をクリックします。
  5. [SCEP profile(SCEPプロファイル)]に次の情報を入力します。
    目的以下を実施
    URLタスク1で保存したSCEP URLを貼り付けます。
    Name(名前)このSCEPプロファイルの名前を入力します。
    Redistribute Profile(プロトコルの再配布)SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。

    Oktaは、証明書の自動更新をサポートしません。プロトコルを再配布して期限切れ証明書を交換する必要があります。

    Subject(件名)適切なサブジェクト名を入力します。たとえば、[Computer Level(コンピューターレベル)]を選択した場合、デバイス名を示すサブジェクトを設定します:CN=$COMPUTERNAME managementAttestation $UDID

    [User Level(ユーザーレベル)]を選択した場合は、ユーザーを示すサブジェクト名を設定します:CN=$EMAIL managementAttestation $UDID

    Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、Jamf Proが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザー識別子を含めることもできます。サポートされている変数のリストについては、Jamf Proのドキュメント「Payload Variables for Computer Configuration Profiles」を参照してください。

    [Challenge type(チャレンジタイプ)][Dynamic-Microsoft CA(動的-Microsoft CA)]を選択します。
    [URL To SCEP Admin(SCEP管理者へのURL)]タスク1で保存したチャレンジURLを入力します。
    Username(ユーザー名)タスク1で保存したユーザー名を入力します。
    [Password(パスワード)]タスク1で保存したパスワードを入力します。
    [Verify Password(パスワードの確認)]タスク1で保存したパスワードを再入力します。
    [Key Size(キーサイズ)][2048]を選択します。
    [Use as digital signature(デジタル署名として使用する)]このオプションを選択します。
    [Allow export from keychain(キーチェーンからのエクスポートを許可する)]このオプションの選択を解除します。セキュリティプラクティスとして、証明書にエクスポート不可のマークを付けることをお勧めします。
    [Allow all apps access(すべてのアプリのアクセスを許可する)]このオプションを選択します。
  6. [Save(保存)]をクリックします。

タスク3Jamf ProでSCEPプロファイルのターゲットを構成する

デバイスの管理にJamf Proを使っている場合、次のステップは、プロファイルがデプロイされるターゲットの構成です。

Jamf Proでターゲットを構成するには、次の操作を行います。

  1. Jamf Proで、[Computers(コンピューター)] [Configuration Profiles(構成プロファイル)]に移動します。
  2. タスク2:Jamf Proで動的SCEPプロファイルを作成する」で作成したSCEP構成プロファイル名を選択します。
  3. [Scope(スコープ)]をクリックします。
  4. [Edit(編集)]をクリックします。
  5. [Add(追加)]をクリックします。
  6. デプロイメントターゲットを選択し、[Add(追加)]をクリックします。必要なすべてのターゲットに対して、この手順を繰り返します。
  7. [Save(保存)]をクリックします。

タスク4:Okta CAがデバイスにインストールされていることを確認する

  1. Jamf Proによって管理されているmacOSデバイスで、[System Preferences(システム設定)] [Profiles(プロファイル)]に移動します。
  2. [Keychain(キーチェーン)] [Login(ログイン)]を開きます。
  3. クライアント証明書と関連する秘密鍵が存在することを確認します。

次の手順

デスクトップ用の認証ポリシールールを追加する