Jamf Proを使用して、macOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。このトピックでは、Jamf ProでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、Oktaで証明書のURLを生成する方法について説明します。

Apple SCEP MDMペイロードのデプロイメントをサポートするデバイス管理ソリューションならどれでも使用できますが、この手順ではJamf Proを使用してデバイスを管理し、静的SCEPプロファイルを構成することを前提としています。

開始する前に

以下にアクセスできることを確認してください。

  • Okta Admin Console
  • SCEPペイロードのデプロイメントをサポートする任意のデバイス管理ソリューション。OktaはJamf Proを使ってテストを行いました。

この手順を開始する

タスク1:SCEP URLと秘密鍵を生成する

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Device integrations(デバイス統合)]に移動します。
  2. [Endpoint management(エンドポイント管理)]タブで、[Add Platform(プラットフォームを追加)]をクリックします。
  3. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択して、[Next(次へ)]をクリックします。
  4. [Add device management platform(デバイス管理プラットフォームを追加)]ページで、次のオプションを選択します。
  5. 目的 選択
    [Certificate authority(認証局)] [Use Okta as certificate authority(認証局としてOktaを使用)]
    [SCEP URL challenge type(SCEP URLチャレンジタイプ)] [Static SCEP URL(静的SCEP URL)]
  6. [Generate(生成)]をクリックします。
  7. Okta SCEPのURLと秘密鍵をコピーして保存します。

    これらの値はJamf Proで必要です

    SCEP URLと秘密鍵は安全な場所に保存してください。Okta Admin Consoleに表示されるのは今回だけです。

  8. [Save(保存)]をクリックします。

タスク2:静的SCEPプロファイルを作成する

SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol(SCEP)を使用して認証局(CA)から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaではJamf Proを使用してSCEPプロファイルのデプロイメントをテストしたため、次の手順ではJamf Proを使用してプロファイルを作成する方法を説明します。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

  1. Jamf Proで、[Computers(コンピューター)]>[Configuration Profiles(構成プロファイル)]に移動します。
  2. [New(新規)]をクリックします。
  3. [General(一般)]ページで、次の情報を入力します。
    目的以下を実施
    [Name(名前)]このプロファイルの名前を入力します。
    [Description(説明)]任意。プロファイルの説明を入力します。
    [Level(レベル)]

    証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択する必要があります。

    デバイスの特定のユーザーのみを管理対象として識別したい場合は、[User Level(ユーザーレベル)]を選択する必要があります。

  4. [SCEP]をクリックしてから、[Configure(構成)]をクリックします。
  5. [SCEP profile(SCEPプロファイル)]に次の情報を入力します。
    目的以下を実施
    [URL]タスク1で保存したSCEP URLを貼り付けます。
    [Name(名前)]このSCEPプロファイルの名前を入力します。
    [Subject(件名)]

    適切なサブジェクト名を入力します。たとえば、[Computer Level(コンピューターレベル)]を選択した場合、デバイス名を示すサブジェクト名を設定します:CN=$COMPUTERNAME managementAttestation $UDID

    [User Level(ユーザーレベル)]を選択した場合は、ユーザーを示すサブジェクト名を設定します:CN=$EMAIL managementAttestation $UDID

    Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、Jamf Proが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザー識別子を含めることもできます。サポートされている変数のリストについては、Jamf Proのドキュメント「Payload Variables for Computer Configuration Profiles」を参照してください。

    [Challenge type(チャレンジタイプ)][Static(静的)]を選択します。
    [Challenge(チャレンジ)]タスク1で保存した秘密鍵を貼り付けます。
    [Verify Challenge(チャレンジを確認)]秘密鍵をもう一度貼り付けます。
    [Key Size(キーサイズ)][2048]を選択します。
    [Use as digital signature(デジタル署名として使用する)]このオプションを選択します。
    [Allow export from keychain(キーチェーンからのエクスポートを許可する)]このオプションの選択を解除します。
    [Allow all apps access(すべてのアプリのアクセスを許可する)]このオプションを選択します。
  6. [Save(保存)]をクリックします。

次の手順

デスクトップ用の認証ポリシールールを追加する