Workspace ONEを使用して、Windowsの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のWindowsデバイスにクライアント証明書を発行できます。このトピックでは、Workspace ONEで静的SCEPプロファイルを作成し、OktaでSCEP URLを生成する方法について説明します。

注意

Workspace ONEを使用している場合は、静的SCEPを使用します。Workspace ONEには、動的SCEPに関する既知の問題があります。

注

Microsoft Intuneを使用してWindowsの委任済み(動的)SCEPチャレンジ・タイプを構成する方法については、Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。

開始する前に

Okta管理コンソールにアクセスできることを確認してください。

この手順を開始する

タスク1:Oktaでx509証明書をダウンロードする

Oktaからダウンロードするx509証明書は、組織の中間証明書です。

  1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
  2. [認証局]タブをクリックします。
  3. [Okta CA]認証局の[アクション]列で、[x509証明書をダウンロード]アイコンをクリックします。
    この証明書は、タスク5でWorkspace ONEにアップロードします。

タスク2:Oktaで管理証明を構成し、SCEP URLと秘密鍵を生成する

  1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
  2. [エンドポイント管理]タブをクリックします。
  3. [プラットフォームを追加]をクリックします。
    注

    同じタイプのプラットフォームに複数の構成を追加した場合、こちらの「既知の問題」を参照してください。

  4. [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
  5. [次へ]をクリックします。
  6. [デバイス管理プラットフォームを追加]ページで、次のように入力します。
    1. 認証局として、[Oktaを認証局として使用する]を選択します。
    2. SCEPチャレンジ・タイプとして、[静的SCEP URL]を選択します。
    3. [生成]をクリックします。
    4. Okta SCEPのURLと秘密鍵をコピーして保存します。これらは、タスク3でWorkspace ONEに貼り付けます。
      5. 注

      SCEP URLと秘密鍵を保存します。Oktaに表示されるのは今回だけです。

  7. [保存]をクリックします。

タスク3:Workspace ONEで、静的SCEPプロファイルを作成する

Workspace ONEでOkta CAを認証局として構成し、管理チャネルを通して証明書プロファイルをプッシュできるようにします。

  1. まだの場合は、Workspace ONEに管理者としてログインします。
  2. Workspace ONEで、[デバイス](左側のリボン・バー)をクリックします。
  3. [証明書] > [認証局]をクリックします。
  4. [+追加]をクリックします。
  5. [認証局 - 追加/編集]ページで、次のように入力します。
    1. 名前:CAの名前を入力します。
    2. 説明:オプションです。CAの説明を入力します。
    3. 権限のタイプ[汎用SCEP]を選択します。
    4. SCEPプロバイダー基本項目は自動的に入力され、変更できません。
    5. SCEP URLタスク2で生成したSCEP URLをコピーして貼り付けます。
    6. チャレンジ・タイプ[静的]をクリックします。
    7. 静的チャレンジ:タスク2で生成した秘密鍵をコピーして貼り付けます。
    8. チャレンジ・フレーズの確認タスク2で生成した秘密鍵をコピーして貼り付けます。
    9. 再試行タイムアウト:デフォルト値の30を受け入れます。
    10. 保留中の最大再試行回数:デフォルト値の5のままにするか、権限の保留中にシステムが許可する再試行回数を別途指定します。
    11. プロキシーを有効化:デフォルト値の[無効]のままにするか、環境に応じて[有効]を選択します。[有効]を選択すると、Workspace ONE UEMはデバイスとCA構成で定義されたSCEPエンドポイント間のプロキシーとして機能します。
  6. [接続の試験]をクリックします。[接続の試験]の前に[保存]を選択すると、「テストが失敗しました」というエラーが表示されます。
  7. 「テストが成功しました」というメッセージが表示されたら、[テンプレートを保存して追加]をクリックします。

    テストが成功しない場合は、タスク2で生成したOkta SCEP URLにWorkspace ONE UEMからアクセスできることを確認してください。

タスク4:Workspace ONEで、証明書テンプレートを追加/編集する

タスク3で静的SCEPプロファイルを作成してから、このタスクでCAリクエスト・テンプレートを追加します。

  1. Workspace ONEで、[リクエスト・テンプレート]タブをクリックします。
  2. [+追加]をクリックします。
  3. [証明書テンプレート - 追加/編集]ページで、次のように入力します。
    1. 名前:テンプレートの名前を入力します。
    2. 説明:オプションです。テンプレートの説明を入力します。
    3. 認証局タスク3で作成したCAを選択します。
    4. テンプレートの発行:空白のままにするか、実装に応じて構成します。
    5. 件名CN = {EmailUserName} managementAttestation {DeviceUid}と入力します。
    6. 秘密鍵の長さ[2048]を選択します。
    7. 秘密鍵のタイプ[署名]を選択します。
    8. SANのタイプ:該当なし。
    9. 証明書の自動更新[無効]をクリックします。
    10. 秘密鍵の公開[無効]をクリックします。
  4. [保存]をクリックします。

タスク5:Workspace ONEで、Okta中間CAをデバイスの中間ストアにデプロイするためのデバイス・プロファイルを定義する

    1. Workspace ONEで、[リソース](左側のリボン・バー)をクリックします。
    2. [プロファイルとベースライン] > [プロファイル]をクリックします。&
    3. [追加]をクリックし、[プロファイルを追加]を選択します。
    4. [Windows] > [Windowsデスクトップ] > [デバイス・プロファイル]を選択します。
    5. [一般]ページで、次のように入力します。
      1. 名前:デバイス・プロファイルの名前を入力します。
      2. 説明:オプションです。デバイス・プロファイルの説明を入力します。
      3. デプロイ[管理対象]を選択します。
      4. 割り当てのタイプ:デフォルトのままにするか、実装に応じて構成します。
      5. 削除を許可:デフォルトのままにするか、実装に応じて構成します。
      6. 管理者:プロファイルへの管理アクセス権を持つ個人またはグループを入力します。
      7. スマート・グループ:グループの名前の入力を始め、リストからグループを選択します。
      8. 除外:プロファイルからグループを除外できます。デフォルトのままにするか、実装に応じて構成します。
      9. 追加の割り当て基準:デプロイのスケジュールを作成できます。
      10. 削除日:プロファイルをデバイスから削除する日付を指定できます。
    6. 左側のペインの[資格情報]をクリックします。
    7. [構成]をクリックします。
    8. [資格情報]ページで、次のように入力します。
      1. 資格情報ソース[アップロード]を選択します。
      2. 証明書[アップロード]をクリックし、タスク1でダウンロードした証明書を参照します。
      3. キーの場所:デフォルトのままにするか、実装に応じて構成します。
      4. 証明書ストア[中間]を選択します。
    9. [保存して公開]をクリックします。

タスク6:Workspace ONEで、Okta CAが発行したクライアント証明書を管理証明のためにデバイスの個人用ストアにデプロイするユーザー・プロファイルを定義する

このタスクでは、クライアント証明書情報と資格情報をクライアントにプッシュする管理ペイロードを作成し、クライアントがOktaに接続して新しいクライアント証明書を要求できるようにします。クライアント証明書は、Okta Verify対応フローの一環として管理証明に使用されます。

    1. Workspace ONEで、[リソース](左側のリボン・バー)をクリックします。
    2. [プロファイルとベースライン] > [プロファイル]をクリックします。&
    3. [追加]をクリックし、[プロファイルを追加]を選択します。
    4. [Windows] > [Windowsデスクトップ] > [ユーザー・プロファイル]を選択します。
    5. [一般]ページで、次のように入力します。
      1. 名前:ユーザー・プロファイルの名前を入力します。
      2. 説明:オプションです。ユーザー・プロファイルの説明を入力します。
      3. デプロイ[管理対象]を選択します。
      4. 割り当てのタイプ[自動]を選択します。
      5. 削除の許可[常に]を選択します。
      6. 管理者:オプションです。追加の管理者名を入力します。
      7. スマート・グループタスク5で指定したものと同じグループを入力します。
      8. 除外:プロファイルからグループを除外できます。デフォルトのままにするか、実装に応じて構成します。
      9. 追加の割り当て基準:デプロイのスケジュールを作成できます。
      10. 削除日:プロファイルをデバイスから削除する日付を指定できます。
    6. 左側のペインの[資格情報]をクリックします。
    7. [構成]をクリックします。
    8. [資格情報]ページで、次のように入力します。
      1. 資格情報ソース[定義済みの認証局]を選択します。
      2. 認証局タスク3で構成したものと同じ認証局を選択します。
      3. キーの場所:TPMの有無にかかわらず、[存在する場合はTPM]を選択してデバイスをサポートします。
      4. 証明書ストア[個人]を選択します。
    9. [保存して公開]をクリックします。

タスク7:Windowsコンピューターで、証明書のインストールを確認する

  1. クライアント証明書がインストールされていることを確認します。
    1. Windowsコンピューターで、[スタート]をクリックし、certと入力します。
    2. [ユーザー証明書の管理]をクリックします。
    3. [証明書 - ローカル コンピューター]で、[個人] > [証明書]をクリックします。
    4. クライアント証明書が存在することを確認します。
  2. 認証局(CA)を確認します。
    1. [証明書 - ローカル コンピューター]で、[中間認証局] > [証明書]をクリックします。
    2. [発行先]列で、[組織中間機関]を探します。
    3. [発行者]列で、[組織中間機関][組織ルート機関]が指定されていることを確認します。

次の手順