Workspace ONEを使用して、Oktaを、Windows用静的SCEPチャレンジを使用するCAとして構成する

認証局(CA)を構成すると、対象のWindowsデバイスにクライアント証明書を発行できます。このトピックでは、Workspace ONEで静的Simple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEP URLを生成する方法について説明します。

Workspace ONEを使用している場合は、静的SCEPを使用します。Workspace ONEには、動的SCEPに関する既知の問題があります。

Microsoft Intuneを使用してWindowsの委任済み(動的)SCEPチャレンジタイプを構成する方法については、MEM(旧Intune)を使用して、Oktaを、Windows用委任SCEPチャレンジを使用するCAとして構成する。」を参照してください。

はじめに

Okta Admin Consoleにアクセスできることを確認してください。

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロトコルを再配布して期限切れ証明書を交換します。プロトコルの再配布が許可されるには、すべてのMDM SCEPポリシーが構成されている必要があります。

この手順を開始する

Oktaで管理証明を構成し、SCEP URLと秘密鍵を生成する

  1. Okta Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。
  2. [Endpoint Management(エンドポイント管理)]タブをクリックします。
  3. [Add Platform(プラットフォームを追加)]をクリックします。
  4. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択します。
  5. [Next(次へ)]をクリックします。
  6. [Add Device management platform(デバイス管理プラットフォームを追加)]ページで、次のように入力します。
    1. 認証局として、[Use Okta as certificate authority(Oktaを認証局として使用する)]を選択します。
    2. SCEPチャレンジタイプとして、[Static SCEP URL(静的SCEP URL)]を選択します。
    3. [Generate(生成)]をクリックします。
    4. Okta SCEPのURL秘密鍵をコピーして保存します。これらは、タスク3Workspace ONEに貼り付けます。
    5. SCEP URL秘密鍵を保存します。Oktaに表示されるのは今回だけです。

  7. [Save(保存)]をクリックします。

Oktaでx509証明書をダウンロードする

Oktaからダウンロードするx509証明書は、Organizationの中間証明書です。

  1. Okta Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。
  2. [Certificate authority(認証局)]タブをクリックします。
  3. [Okta CA]認証局の[Actions(アクション)]列で、[Download x509 certificate(x509証明書をダウンロード)]アイコンをクリックします。

    この証明書は、タスク5Workspace ONEにアップロードします。

Workspace ONEで、静的SCEPプロファイルを作成する

Workspace ONEでOkta CAを認証局として構成し、管理チャネルを通して証明書プロファイルをデプロイできるようにします。

  1. まだの場合は、Workspace ONEに管理者としてログインします。
  2. Workspace ONEで、[DEVICES(デバイス)](左側のリボンバー)をクリックします。
  3. [Certificates(証明書)][Certificate Authorities(認証局)]をクリックします。
  4. [+ADD(+追加)]をクリックします。
  5. [Certificate Authority - Add/Edit(認証局 - 追加/編集)]ページで、次のように入力します。
    1. [Name(名前)]:CAの名前を入力します。
    2. [Description(説明)]:任意。CAの説明を入力します。
    3. [Authority type(権限のタイプ)][Generic SCEP(汎用SCEP)]を選択します。
    4. [SCEP Provider(SCEPプロバイダー)]基本項目は自動的に入力され、変更できません。
    5. [SCEP URL]タスク1で生成したSCEP URLをコピーして貼り付けます。
    6. [Challenge Type(チャレンジタイプ)][STATIC(静的)]をクリックします。
    7. [Static Challenge(静的チャレンジ)]タスク1で生成した秘密鍵をコピーして貼り付けます。
    8. [Confirm Challenge Phrase(チャレンジフレーズの確認)]タスク1で生成した秘密鍵をコピーして貼り付けます。
    9. [Retry Timeout(再試行タイムアウト)]:デフォルト値の30を受け入れます。
    10. [Max Retries When Pending(保留中の最大再試行回数)]:デフォルト値の5のままにするか、権限の保留中にシステムが許可する再試行回数を別途指定します。
    11. [Enable Proxy(プロキシーを有効化)]:デフォルト値の[DISABLED(無効)]のままにするか、環境に応じて[ENABLED(有効)]を選択します。[Enabled(有効)]を選択すると、Workspace ONE UEMはデバイスとCA構成で定義されたSCEPエンドポイント間のプロキシとして機能します。
  6. [TEST CONNECTION(接続の試験)]をクリックします。[TEST CONNECTION(接続の試験)]の前に[SAVE(保存)]を選択すると、「テストが失敗しました」というエラーが表示されます。
  7. 「Test is successful(テストが成功しました)」というメッセージが表示されたら、[SAVE AND ADD TEMPLATE(テンプレートを保存して追加)]をクリックします。

    テストが成功しない場合は、タスク1で生成したOkta SCEP URLにアクセスできることを確認してください。

Workspace ONEで、証明書テンプレートを追加/編集する

タスク3で静的SCEPプロファイルを作成してから、このタスクでCAリクエストテンプレートを追加します。

  1. Workspace ONEで、[Request Templates(リクエストテンプレート)]タブをクリックします。
  2. [+ADD(+追加)]をクリックします。
  3. [Certificate Template - Add/Edit(証明書テンプレート - 追加/編集)]ページで、次のように入力します。
    1. [Name(名前)]:テンプレートの名前を入力します。
    2. [Description(説明)]:任意。テンプレートの説明を入力します。
    3. [Certificate Authority(認証局)]タスク3で作成したCAを選択します。
    4. [Issuing Template(テンプレートの発行)]:空白のままにするか、実装に応じて構成します。
    5. [Subject Name(サブジェクト名)]:サブジェクト名を入力します。例:CN = {EmailAddress} managementAttestation {DeviceUid}
    6. Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、Workspace ONEが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザー識別子を含めることもできます。サポートされている変数のリストについては、Workspace ONEのドキュメント『Workspace ONE Lookup Values』を参照してください。

    7. [Private Key Length(秘密鍵の長さ)][2048]を選択します。
    8. [Private Key Type(秘密鍵のタイプ)][Signing(署名)]を選択します。
    9. [SAN Type(SANのタイプ)]:該当なし。
    10. [Automatic Certificate Renewal(証明書の自動更新)][ENABLED(有効)]をクリックします。
    11. [Publish Private Key(秘密鍵の公開)][DISABLED(無効)]をクリックします。
  4. [Save(保存)]をクリックします。

Workspace ONEで、Okta中間CAをデバイスの中間ストアにデプロイするためのデバイスプロファイルを定義する

    1. Workspace ONEで、[RESOURCES(リソース)](左側のリボンバー)をクリックします。
    2. [Profiles & Baselines(プロファイルとベースライン)][Profiles(プロファイル)]をクリックします。
    3. [ADD(追加)]をクリックし、[Add Profile(プロファイルを追加)]を選択します。
    4. [Windows][Windows Desktop(Windowsデスクトップ)][Device Profiles(デバイスプロファイル)]を選択します。
    5. [General(一般)]ページで、次のように入力します。
      1. [Name(名前)]:デバイスプロファイルの名前を入力します。
      2. [Description(説明)]:任意。デバイスプロファイルの説明を入力します。
      3. [Deployment(デプロイ)][Managed(管理対象)]を選択します。
      4. [Assignment Type(割り当てのタイプ)]:デフォルトのままにするか、実装に応じて構成します。
      5. [Allow Removal(削除を許可)]:デフォルトのままにするか、実装に応じて構成します。
      6. [Managed By(管理者)]:プロファイルへの管理アクセス権を持つ個人またはグループを入力します。
      7. [Smart Groups(スマートグループ)]:グループの名前の入力を始め、リストからグループを選択します。
      8. [Exclusions(除外)]:プロファイルからグループを除外できます。デフォルトのままにするか、実装に応じて構成します。
      9. [Additional Assignment Criteria(追加の割り当て基準)]:デプロイのスケジュールを作成できます。
      10. [Removal Date(削除日)]:プロファイルをデバイスから削除する日付を指定できます。
    6. 左側のペインの[Credentials(資格情報)]をクリックします。
    7. [CONFIGURE(構成)]をクリックします。
    8. [Credentials(資格情報)]ページで、次のように入力します。
      1. [Credential Source(資格情報ソース)][Upload(アップロード)]を選択します。
      2. [Certificate(証明書)][Upload(アップロード)]をクリックし、タスク2でダウンロードした証明書を参照します。
      3. [Key Location(キーの場所)]:デフォルトのままにするか、実装に応じて構成します。
      4. [Certificate Store(証明書ストア)][Intermediate(中間)]を選択します。
    9. [SAVE AND PUBLISH(保存して公開)]をクリックします。

Workspace ONEで、Okta CAが発行したクライアント証明書を管理証明のためにデバイスの個人用ストアにデプロイするユーザープロファイルを定義する

このタスクでは、クライアント証明書情報と資格情報をクライアントにプッシュする管理ペイロードを作成し、クライアントがOktaに接続して新しいクライアント証明書を要求できるようにします。クライアント証明書は、Okta Verify対応フローの一環として管理証明に使用されます。

    1. Workspace ONEで、[RESOURCES(リソース)](左側のリボンバー)をクリックします。
    2. [Profiles & Baselines(プロファイルとベースライン)][Profiles(プロファイル)]をクリックします。
    3. [ADD(追加)]をクリックし、[Add Profile(プロファイルを追加)]を選択します。
    4. [Windows][Windows Desktop(Windowsデスクトップ)][User Profile(ユーザープロファイル)]を選択します。
    5. [General(一般)]ページで、次のように入力します。
      1. [Name(名前)]:ユーザープロファイルの名前を入力します。
      2. [Description(説明)]:任意。ユーザープロファイルの説明を入力します。
      3. [Deployment(デプロイ)][Managed(管理対象)]を選択します。
      4. [Assignment Type(割り当てのタイプ)][Auto(自動)]を選択します。
      5. [Allow Removal(削除の許可)][Always(常に)]を選択します。
      6. [Managed By(管理者)]:任意。追加の管理者名を入力します。
      7. [Smart Groups(スマートグループ)]タスク5で指定したものと同じグループを入力します。
      8. [Exclusions(除外)]:プロファイルからグループを除外できます。デフォルトのままにするか、実装に応じて構成します。
      9. [Additional Assignment Criteria(追加の割り当て基準)]:デプロイのスケジュールを作成できます。
      10. [Removal Date(削除日)]:プロファイルをデバイスから削除する日付を指定できます。
    6. 左側のペインの[Credentials(資格情報)]をクリックします。
    7. [CONFIGURE(構成)]をクリックします。
    8. [Credentials(資格情報)]ページで、次のように入力します。
      1. [Credential Source(資格情報ソース)][Defined Certificate Authority(定義済みの認証局)]を選択します。
      2. [Certificate Authority(認証局)]タスク3で構成したものと同じ認証局を選択します。
      3. [Key Location(キーの場所)]:TPMの有無にかかわらず、[TPM If Present(存在する場合はTPM)]を選択してデバイスをサポートします。
      4. [Certificate Store(証明書ストア)][Personal(個人)]を選択します。
    9. [SAVE AND PUBLISH(保存して公開)]をクリックします。

Windowsコンピューターで、証明書のインストールを確認する

  1. Windowsコンピューターで、クライアント証明書がインストールされていることを確認します。
    1. Windowsコンピューターで、[Start(スタート)]をクリックし、certと入力します。
    2. [Manage user certificates(ユーザー証明書の管理)]をクリックします。
    3. [Certificates - Current User(証明書 - 現在のユーザー)]で、[Personal(個人)][Certificates(証明書)]をクリックします。
    4. クライアント証明書が存在することを確認します。
  2. 認証局(CA)を確認します。
    1. [Certificates - Local Computer(証明書 - ローカルコンピューター)]で、[Intermediate Certificate Authority(中間認証局)][Certificates(証明書)]をクリックします。
    2. [Issued To(発行先)]列で、[Organization Intermediate Authority(Organization中間機関)]を探します。
    3. [Issued By(発行者)]列で、[Organization Intermediate Authority(Organization中間機関)][Organization Root Authority(Organizationルート機関)]が指定されていることを確認します。

次の手順