デバイスアクセスSCEP証明書

macOSにデバイスアクセス簡易証明書登録プロトコル(SCEP)証明書をセットアップできます。これらの証明書は、モバイルデバイス管理(MDM)ソフトウェアを使用してデプロイします。証明書を使用して、特定のAPIエンドポイントへのアクセスを付与し、呼び出しを行うデバイスを識別します。

デバイスアクセス用の証明書のセットアップは、デバイスの管理ステータスの証明には使用されません。管理証明の詳細については、「認証局を構成する」を参照してください。

macOS 14 Sonoma以降で動作しているデバイスにデスクトップパスワード同期を使用するには、デバイスアクセスSCEP証明書が必要です。「macOS 14向けのデスクトップパスワード同期を構成する」を参照してください。

デバイスアクセスSCEP証明書は管理対象デバイス構成証明に使用されるSCEP証明書とは別途のもので、Okta Device Accessの必須コンポーネントです。

このページ上

OktaをデバイスアクセスのCAとして構成する

Oktaは次の3つの異なる方法でOkta Device Accessの認証局(CA)として構成できます。

  • Oktaを静的SCEPを使用するCAとして構成する

  • Oktaを動的SCEPを使用するCAとして構成する

  • Oktaを委任SCEPを使用するCAとして構成する

各証明書を構成する際には、Oktaをデバイス管理のCAとして構成する場合と同じプロセスに従います。orgに適したプロセスに従いながら、CAをデバイスアクセスに使用できるようにするために次の2つの小さな変更を行います。

  1. Admin Console[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [エンドポイント管理]タブではなく、[デバイス アクセス]タブをクリックします。

  3. Jamf ProでSCEPプロファイルを作成する際に、SCEPプロファイルの[レベル][User Level(ユーザーレベル)]の代わりに[Computer Level(コンピューターレベル)]に設定します。

orgとオペレーティングシステムに適したプロセスに従います。

デバイスアクセスの認証局を構成するには、[デバイスアクセス]タブをクリックします。また、MDMでSCEPプロファイルを[コンピューターレベル]に設定することを忘れないでください。

デバイスアクセスに独自の認証局を使用する

デバイスアクセスに独自の認証局を使用できます。

  1. Admin Console[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Certificate Authority(認証局)]タブをクリックします。

  3. [Add certificate authority(認証局を追加)]をクリックします。

  4. [デバイスアクセス]ラジオボタンを選択します。

  5. [Browse files(ファイルを参照)]をクリックし、アップロードする適切な証明書ファイルを選択します。証明書がOktaによって自動的にアップロードされ、アップロードが成功するとメッセージが表示されます。証明書の詳細を表示するには、[View root certificate chain details(ルート証明書チェーンの詳細を表示)]をクリックします。

  6. [Save(保存)]をクリックします。

デバイスアクセスに独自の認証局を使用する場合は、デバイス管理に独自のCAを使用する場合と同じプロセスに従います。「管理対象デバイス向けに独自の認証局を使用する」で説明されているプロセスに従ってください。CAをデバイスアクセスに特定して使用するには、3つの小さな変更が必要です。

  1. Admin Consoleで証明書をOktaにアップロードする前に、[Device Access(デバイスアクセス]ラジオボタンを選択します。

  2. MDMで、証明書が[Computer Level(コンピューターレベル)]でデプロイされていることを確認します。

  3. エンドポイント管理について説明しているステップはスキップできます。

証明書がアップロードされたら、デバイスアクセスが適切な証明書を見つけて選択できるように、SCEPで発行されたクライアント証明書にカスタム証明書拡張機能を追加します。証明書拡張機能に次の値を追加します。

  • 拡張機能OID:1.3.6.1.4.1.51150.13.1

  • 拡張機能値:1(整数)

証明書拡張機能の形式はCAプロバイダーによって異なります。使用する適切な形式については、プロバイダーのドキュメントを参照してください。以下はDigiCertのカスタム拡張機能証明書プロファイルの例です。

コピー 
  {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "critical": true,
      "template": {
        "type": "INTEGER",
        "value": "1"
      }
  }

Oktaをデバイスアクセスの認証局として構成した場合、Oktaはユーザーの代わりにこのステップを完了します。

証明書のデプロイメントを検証する

CAのセットアップと証明書のデプロイが完了したら、証明書が予想どおりにorgのデバイスにデプロイされていることを確認します。

  1. Jamf Proによって管理されているmacOSデバイスで、[System Preferences(システム設定)][Profiles(プロファイル)]を開きます。

  2. [Keychain(キーチェーン)]をクリックして[System(システム)]をクリックします。

  3. クライアント証明書および関連する秘密鍵が存在することを確認します。

  4. OIDが「1.3.6.1.4.1.51150.13.1」であるカスタム拡張機能がクライアント証明書に存在することを確認します。

必要な設定で証明書がデプロイされたことを確認できない場合は、タスクの手順を見直してください。Okta Admin Console[Device Access(デバイス アクセス)]が選択され、MDMで証明書がコンピュータレベルで設定されていることを確認してください。

関連項目

認証局を構成する

クライアント証明書

管理証明に関するよくある質問