Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する
認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。この手順では、OktaでSCEP URLを生成し、Jamf Proで動的Simple Certificate Enrollment Protocol(SCEP)プロファイルを作成する方法について説明します。
開始する前に
以下にアクセスできることを確認してください。
- 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
- Okta管理コンソール
- Jamf Pro管理コンソール
この手順を開始する
タスク1:管理証明を構成し、SCEP URLを生成する
- Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
- [エンドポイント管理]タブをクリックします。
- [プラットフォームを追加]をクリックします。
同じタイプのプラットフォームに複数の構成を追加した場合、「既知の問題」を参照してください。
- [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
- [次へ]をクリックします。
- [デバイス管理プラットフォームを追加]ページで、次のように入力します。
- [保存]をクリックします。
タスク2:Jamf Proで動的SCEPプロファイルを作成する
Apple SCEP MDMペイロードのプッシュをサポートする任意のデバイス管理ソリューションを使用できます。この手順は、Jamf Proを使用してmacOSデバイスを管理し、動的SCEPプロファイルを構成することを想定しています。

AirWatchを使用している場合は、静的SCEPを使用します。AirWatchには、動的SCEPに関する既知の問題があります。
- Jamf Proで、[コンピューター] > [構成プロファイル]に移動します。
- [+新規]をクリックします。
- [オプション]タブをクリックします。
- [一般]をクリックします。
- [一般プロファイル]ページで、次のように入力します。
- 名前:プロファイルの名前を入力します。
- 説明:オプションです。プロファイルの説明を入力します。
- レベル:[ユーザー・レベル]を選択します。
- [SCEP]をクリックします。
- [構成]をクリックします。
- [SCEPプロファイル]ページで、次のように入力します。
- URL:タスク1で保存したSCEP URLを入力します。
- 名前:SCEPプロファイルの名前を入力します。
- 件名:件名を入力します。
Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベスト・プラクティスとして、Jamf Proが提供するプロファイル変数を含めてデバイスID(UDID)を含めることもできます。サポートされている変数のリストについては、Jamf Proのドキュメント『コンピューター構成プロファイルのペイロード変数』を参照してください。
- チャレンジ・タイプ:[動的-Microsoft CA]を選択します。
- キー・サイズ:2048を選択し、[デジタル署名として使用する]を選択します。
- キーチェーンからのエクスポートを許可する:選択しないままにします。セキュリティー・プラクティスとして、証明書にエクスポート不可のマークを付けることをお勧めします。
- すべてのアプリのアクセスを許可する:選択します。
- [保存]をクリックします。
- プロファイルをデプロイする対象を構成します。
- [構成プロファイル]をクリックします。
- 適用する構成プロファイルの名前をクリックします。
- [スコープ]タブをクリックします。
- [編集]をクリックします。
- [+追加]をクリックします。
- 必要なデプロイ対象を見つけて、[追加]をクリックします。
- [保存]をクリックします。
タスク3:Okta CAがデバイスにインストールされていることを確認する
Jamf Proによって管理されるmacOSデバイスに、SCEPプロファイルがインストールされていることを確認します。
- [システム設定] > [プロファイル]に移動します。
- 動的SCEPプロファイルがインストールされていることを確認します。
- [キーチェーン] > [ログイン]を開きます。
- クライアント証明書と関連する秘密鍵が存在することを確認します。