Jamf Proを使用して、macOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局（CA）を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。このトピックでは、Jamf ProでSCEPプロファイルを作成し、OktaでSCEP URLを生成する方法について説明します。

開始する前に

以下にアクセスできることを確認してください。

• Okta管理コンソール
• Apple SCEP MDMペイロードのプッシュをサポートする任意のデバイス管理ソリューション。OktaはJamf Proを使ってテストを行いました。

この手順を開始する

• タスク1：管理証明を構成し、SCEP URLと秘密鍵を生成する
• タスク2：静的SCEPプロファイルを作成する

タスク1：管理証明を構成し、SCEP URLと秘密鍵を生成する

1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
2. [エンドポイント管理]タブをクリックします。
3. [プラットフォームを追加]をクリックします。
   

   同じタイプのプラットフォームに複数の構成を追加した場合、こちらの「既知の問題」を参照してください。

4. [デスクトップ（WindowsおよびmacOSのみ）]を選択します。
5. [次へ]をクリックします。
6. [デバイス管理プラットフォームを追加]ページで、次のように入力します。
   1. 認証局：[Oktaを認証局として使用する]を選択します。
   2. SCEP URLチャレンジ・タイプ：[静的SCEP URL]を選択します。
   3. [生成]をクリックします。
   4. SCEP URL：値をコピーして保存します。この値はタスク2で必要になります。
   5. 秘密鍵：値をコピーして保存します。この値はタスク2で必要になります。
   6. Okta SCEPのURLと秘密鍵をコピーして保存します。これらはタスク2でJamf Proに貼り付けます。
   

   SCEP URLと秘密鍵は安全な場所に保存してください。Okta管理コンソールに表示されるのは今回だけです。

7. [保存]をクリックします。

タスク2：静的SCEPプロファイルを作成する

プロファイルを構成するには、Apple SCEP MDMペイロードのプッシュをサポートする任意のデバイス管理ソリューションを使用できます。OktaがJamf Proでテストを行った手順は、Jamf Proでプロファイルを作成する方法を示しています。

1. Jamf Proで、[コンピューター] > [構成プロファイル]に移動します。
2. [+新規]をクリックします。
3. [オプション]タブをクリックします。
4. [一般]をクリックします。
5. [一般プロファイル]ページで、次のように入力します。
   1. 名前：プロファイルの名前を入力します。
   2. 説明：オプションです。プロファイルの説明を入力します。
   3. レベル：[ユーザー・レベル]を選択します。
6. [SCEP]をクリックします。
7. [構成]をクリックします。
8. [SCEPプロファイル]ページで、次のように入力します。
   1. URL：タスク1で保存したSCEP URLを入力します。
   2. 名前：SCEPプロファイルの名前を入力します。
   3. 件名：件名を入力します。
      

      Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベスト・プラクティスとして、Jamf Proが提供するプロファイル変数を含めてデバイスID（UDID）を含めることもできます。サポートされている変数のリストについては、Jamf Proのドキュメント『コンピューター構成プロファイルのペイロード変数』を参照してください。

   4. チャレンジ・タイプ：静的
   5. チャレンジ：タスク1で生成した秘密鍵をコピーして貼り付けます。
   6. チャレンジの確認：秘密鍵を再度コピーして貼り付けます。
   7. キー・サイズ：2048
   8. デジタル署名として使用する：選択します。
   9. キーチェーンからのエクスポートを許可する：選択しないままにします。
   10. すべてのアプリのアクセスを許可する：選択します。
   11. [保存]をクリックします。

次の手順

• デスクトップ用のアプリのサインオン・ポリシー・ルールを追加する