Workspace ONEでWindowsの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のWindowsデバイスにクライアント証明書を発行できます。このトピックでは、Workspace ONEで静的Simple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEP URLを生成する方法について説明します。

Workspace ONEを使用している場合は、静的SCEPを使用します。Workspace ONEには、動的SCEPに関する既知の問題があります。

Microsoft Intuneを使用してWindowsの委任(動的)SCEPチャレンジタイプを構成する方法については、「MEMでWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください。

開始する前に

Okta Admin Consoleにアクセスできることを確認してください。

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。プロファイルの再配布が許可されるには、すべてのMDM SCEPポリシーが構成されている必要があります。

この手順を開始する

Oktaで管理証明を構成し、SCEP URLと秘密鍵を生成する

  1. Okta Admin Console[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Endpoint Management(エンドポイント管理)]タブをクリックします。

  3. [Add platform(プラットフォームを追加)]をクリックします。

  4. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択します。

  5. [Next(次へ)]をクリックします。

  6. [Add Device management platform(デバイス管理プラットフォームを追加)]ページで、次を行います。

    1. 認証局として、[Use Okta as certificate authority(Oktaを認証局として使用する)]を選択します。

    2. SCEPチャレンジタイプとして、[Static SCEP URL(静的SCEP URL)]を選択します。

    3. [Generate(生成)]をクリックします。

    4. [Okta SCEP URL][Secret key(秘密鍵)]をコピーして保存します。静的SCEPプロファイルを作成する際に、これらの値をWorkspace ONEに入力します。

      [SCEP URL][Secret key(秘密鍵)]を保存します。表示されるのは今回だけです。

  7. [Save(保存)]をクリックします。

Oktaでx509証明書をダウンロードする

Oktaからダウンロードするx509証明書は、組織の中間証明書です。

  1. Admin Console[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Certificate authority(認証局)]タブを選択します。

  3. [Okta CA]認証局の[Actions(アクション)]列で、[Download x509 certificate(x509証明書をダウンロード)]アイコンをクリックします。

    デバイスプロファイルを定義する際に、証明書をWorkspace ONEにアップロードします。

Workspace ONEで、静的SCEPプロファイルを作成する

Workspace ONEOkta CAを認証局として構成し、管理チャネルを通して証明書プロファイルをデプロイできるようにします。

  1. まだの場合は、Workspace ONEに管理者としてログインします。

  2. Workspace ONEで、[DEVICES(デバイス)](左側のリボンバー)をクリックします。

  3. [Certificates(証明書)][Certificate Authorities(認証局)]をクリックします。

  4. [+ADD(+追加)]をクリックします。

  5. [Certificate Authority - Add/Edit(認証局 - 追加/編集)]ページで、次のように入力します。

    • [Name(名前)]:CAの名前を入力します。

    • [Description(説明)]:任意。CAの説明を入力します。

    • [Authority type(権限のタイプ)][Generic SCEP(汎用SCEP)]を選択します。

    • [SCEP Provider(SCEPプロバイダー)][Basic(基本項目)]は自動的に入力され、変更できません。

    • [SCEP URL]SCEP URLと秘密鍵を生成した際の[SCEP URL]をコピーして貼り付けます。

    • [Challenge Type(チャレンジタイプ)][STATIC(静的)]をクリックします。

    • [Static Challenge(静的チャレンジ)]SCEP URLと秘密鍵を生成した際の[Secret Key(秘密鍵)]をコピーして貼り付けます。

    • [Confirm Challenge Phrase(チャレンジフレーズの確認]SCEP URLと秘密鍵を生成した際の[Secret Key(秘密鍵)]をコピーして貼り付けます。

    • [Retry Timeout(再試行タイムアウト)]:デフォルト値の[30]を受け入れます。

    • [Max Retries When Pending(保留中の最大再試行回数)]:デフォルト値の5のままにするか、権限の保留中にシステムが許可する再試行回数を別途指定します。

    • [Enable Proxy(プロキシを有効化)]:デフォルト値の[DISABLED(無効)]のままにするか、環境に応じて[ENABLED(有効)]を選択します。[ENABLED(有効)]を選択すると、Workspace ONE UEMはデバイスとCA構成で定義されたSCEPエンドポイント間のプロキシとして機能します。

  6. [TEST CONNECTION(接続の試験)]をクリックします。[TEST CONNECTION(接続の試験)]の前に[SAVE(保存)]を選択すると、「Test is unsuccessful(テストが失敗しました)」というエラーが表示されます。

  7. 「Test is successful(テストが成功しました)」というメッセージが表示されたら、[SAVE AND ADD TEMPLATE(テンプレートを保存して追加)]をクリックします。

    テストが失敗した場合は、SCEP URLと秘密鍵を生成した際の[Okta SCEP URL]にアクセスできることを確認してください。

Workspace ONEで、証明書テンプレートを追加または編集する

静的SCEPプロファイルを作成してから、このタスクでCAリクエストテンプレートを追加します。

  1. Workspace ONEで、[Request Templates(リクエストテンプレート)]タブを選択します。

  2. [+ADD(+追加)]をクリックします。

  3. [Certificate Template - Add/Edit(証明書テンプレート - 追加/編集)]ページで、次のように入力します。

    • [Name(名前)]:テンプレートの名前を入力します。

    • [Description(説明)]:任意。テンプレートの説明を入力します。

    • [Certificate Authority(認証局)]静的SCEPプロファイルを作成するの手順で作成したCAを選択します。

    • [Issuing Template(テンプレートの発行)]:空白のままにするか、実装に応じて構成します。

    • [Subject Name(サブジェクト名)]:サブジェクト名を入力します。例:CN = {EmailAddress} managementAttestation {DeviceUid}

      Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、Workspace ONEが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザー識別子を含めることもできます。サポートされている変数のリストについては、Workspace ONEのドキュメント『Workspace ONE Lookup Values』を参照してください。

    • [Private Key Length(秘密鍵の長さ)][2048]を選択します。

    • [Private Key Type(秘密鍵のタイプ)][Signing(署名)]を選択します。

    • [SAN Type(SANのタイプ)]:該当なし。

    • [Automatic Certificate Renewal(証明書の自動更新)][ENABLED(有効)]をクリックします。

    • [Publish Private Key(秘密鍵の公開)][DISABLED(無効)]をクリックします。

  4. [SAVE(保存)]をクリックします。

Okta中間CAをデバイスの中間ストアにデプロイするためのデバイスプロファイルを定義する

  1. Workspace ONEで、[RESOURCES(リソース)](左側のリボンバー)をクリックします。
  2. [Profiles & Baselines(プロファイルとベースライン)][Profiles(プロファイル)]をクリックします。
  3. [ADD(追加)]をクリックし、[Add Profile(プロファイルを追加)]を選択します。
  4. [Windows][Windows Desktop(Windowsデスクトップ)][Device Profiles(デバイスプロファイル)]を選択します。
  5. [General(一般)]ページで、次のように入力します。
    • [Name(名前)]:デバイスプロファイルの名前を入力します。
    • [Description(説明)]:任意。デバイスプロファイルの説明を入力します。
    • [Deployment(デプロイ)][Managed(管理対象)]を選択します。
    • [Assignment Type(割り当てのタイプ)]:デフォルトのままにするか、実装に応じて構成します。
    • [Allow Removal(削除を許可)]:デフォルトのままにするか、実装に応じて構成します。
    • [Managed By(管理者)]:プロファイルへの管理アクセス権を持つ個人またはグループを入力します。
    • [Smart Groups(スマートグループ)]:グループの名前の入力を始め、リストからグループを選択します。
    • [Exclusions(除外)]:プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。
    • [Additional Assignment Criteria(追加の割り当て基準)]:デプロイのスケジュールを作成できます。
    • [Removal Date(削除日)]:プロファイルをデバイスから削除する日付を指定します。
  6. 左側のペインの[Credentials(資格情報)]をクリックします。
  7. [CONFIGURE(構成)]をクリックします。
  8. [Credentials(資格情報)]ページで、次のように入力します。
    • [Credential Source(資格情報ソース)][Upload(アップロード)]を選択します。
    • [Certificate(証明書)][Upload(アップロード)]をクリックし、タスク2でダウンロードした証明書を参照します。
    • [Key Location(キーの場所)]:デフォルトのままにするか、実装に応じて構成します。
    • [Certificate Store(証明書ストア)][Intermediate(中間)]を選択します。
  9. [SAVE AND PUBLISH(保存して公開)]をクリックします。

Okta CAが発行したクライアント証明書を管理証明のためにデバイスの個人用ストアにデプロイするためのユーザープロファイルを定義する

このタスクでは、クライアント証明書情報と資格情報をクライアントにプッシュする管理ペイロードが作成されます。これにより、クライアントがOktaに接続して新しいクライアント証明書を要求できるようになります。クライアント証明書は、Okta Verify対応フローの一環として管理証明に使用されます。

  1. Workspace ONEで、[RESOURCES(リソース)](左側のリボンバー)をクリックします。

  2. [Profiles & Baselines(プロファイルとベースライン)][Profiles(プロファイル)]をクリックします。

  3. [ADD(追加)]をクリックし、[Add Profile(プロファイルを追加)]を選択します。

  4. [Windows][Windows Desktop(Windowsデスクトップ)][User Profile(ユーザープロファイル)]を選択します。

  5. [General(一般)]ページで、次のように入力します。

    • [Name(名前)]:ユーザープロファイルの名前を入力します。

    • [Description(説明)]:任意。ユーザープロファイルの説明を入力します。

    • [Deployment(デプロイ)][Managed(管理対象)]を選択します。

    • [Assignment Type(割り当てのタイプ)][Auto(自動)]を選択します。

    • [Allow Removal(削除の許可)][Always(常に)]を選択します。

    • [Managed By(管理者)]:任意。その他の管理者名を入力します。

    • [Smart Groups(スマートグループ)]タスク5で指定したものと同じグループを入力します。

    • [Exclusions(除外)]:プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。

    • [Additional Assignment Criteria(追加の割り当て基準)]:デプロイのスケジュールを作成できます。

    • [Removal Date(削除日)]:プロファイルをデバイスから削除する日付を指定します。

  6. 左側のペインの[Credentials(資格情報)]をクリックします。

  7. [CONFIGURE(構成)]をクリックします。

  8. [Credentials(資格情報)]ページで、次のように入力します。

    • [Credential Source(資格情報ソース)][Defined Certificate Authority(定義済みの認証局)]を選択します。

    • [Certificate Authority(認証局)]タスク3で構成したものと同じ認証局を選択します。

    • [Key Location(キーの場所)]:TPMの有無にかかわらず、[TPM If Present(存在する場合はTPM)]を選択してデバイスをサポートします。

    • [Certificate Store(証明書ストア)][Personal(個人)]を選択します。

  9. [SAVE AND PUBLISH(保存して公開)]をクリックします。

Windowsコンピューターで、証明書のインストールを確認する

  1. Windowsコンピューターで、クライアント証明書がインストールされたことを確認します。
    1. Windowsコンピューターで、[Start(スタート)]をクリックし、certと入力します。
    2. [Manage user certificates(ユーザー証明書の管理)]をクリックします。
    3. [Certificates - Current User(証明書 - 現在のユーザー)]で、[Personal(個人)][Certificates(証明書)]をクリックします。
    4. クライアント証明書が存在することを確認します。
  2. 認証局(CA)を確認します。
    1. [Certificates - Local Computer(証明書 - ローカルコンピューター)]で、[Intermediate Certificate Authority(中間認証局)][Certificates(証明書)]を選択します。
    2. [Issued To(発行先)]列で、[Organization Intermediate Authority(Organization中間機関)]を探します。
    3. [Issued By(発行者)]列で、[Organization Intermediate Authority(組織中間機関)][Organization Root Authority(組織ルート機関)]が指定されていることを確認します。

次の手順