MEMでmacOSの委任SCEPチャレンジを使用するCAとしてOktaを構成する

対象のmacOSデバイスにクライアント証明書を発行するように認証局（CA）を構成します。この手順では、 Microsoft Endpoint Manager（MEM）でSimple Certificate Enrollment Protocol（SCEP）プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

前提条件

デジタル署名用としてデプロイされるが、他の用途（暗号化など）には使用されない証明書
Microsoft Endpoint Manager

Microsoft Endpoint Managerは、複数のサービスを統合するソリューションプラットフォームです。これには、クラウドベースのデバイス管理用のMicrosoft Intune、オンプレミスデバイス管理用のConfiguration Manager、共同管理、Desktop Analytics、Windows Autopilot、Azure Active Directory、Endpoint Manager管理センターが含まれます。これらのサービスのいずれかを使用している場合は、この手順を使用できます。たとえば、Microsoft Intuneを使用している場合は、この手順を使用できます。
Microsoft Azure

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

この手順を開始する

タスク1：Microsoft AzureにOktaのAADアプリ認証情報を登録する
タスク2：Oktaで管理証明を構成し、SCEP URLを生成する
タスク3：Oktaからx509証明書をダウンロードする
タスク4：MEMで信頼できる証明書プロファイルを作成する
タスク5：MEMでSCEPプロファイルを作成する
タスク6：証明書がmacOSデバイスにインストールされたことを確認する

タスク1：Microsoft AzureにOktaのAADアプリ認証情報を登録する

Microsoft Azureで、［App registrations（アプリの登録）］をクリックします。
［+ New registration（+新しい登録）］をクリックします。
［Register an application（アプリケーションの登録）］ページで、以下のように入力します。
1. ［Name（名前）］：アプリのわかりやすい名前を入力します。
2. ［Supported account types（サポートされているアカウントの種類）］：サポートされている適切なアカウントの種類を選択します。この手順は、［Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)（この組織のディレクトリ内のアカウントのみ（［Your_Tenant_Name］のみ - シングルテナント））］を選択した状態で検証されています。
3. ［Redirect URI（リダイレクトURI）］（任意）：空白のままにするか、［Web］を選択して、リダイレクトURIを入力します。
4. ［Enrollment（登録）］をクリックします。
アプリページの［Essentials（要点）］で、［Application (client) ID（アプリケーション（クライアント）ID）］をコピーしてメモします。

この値は、タスク2でOkta Admin Consoleに貼り付けます。
クライアントシークレットを追加します。
1. 左ペインで、［Certificates & secrets（証明書とシークレット）］をクリックします。
2. ［Client secrets（クライアントシークレット）］で、［+ New client secret（+新規クライアントシークレット）］をクリックします。
3. ［Add a client secret（クライアントシークレットを追加）］セクションで、以下のように入力します。
  - ［Description（説明）］：任意。クライアントシークレットの説明を入力します。
  - ［Expires（有効期限）］：有効期限を選択します。
4. ［Add（追加）］をクリックします。
  
  ［Client secrets（クライアントシークレット）］の下にシークレットが表示されます。
5. ［Client secrets（クライアントシークレット）］セクションで、［Value（値）］をコピーしてメモします。
［scep_challenge_provider］の権限を設定します。
1. 左ペインで、［API permissions（APIのアクセス許可）］をクリックします。
2. ［+ Add a permission（+アクセス許可を追加）］をクリックします。
3. ［Request API permissions（APIのアクセス許可をリクエスト）］セクションで、下にスクロールし、［Intune］をクリックします。
4. ［What type of permissions does your application require?（アプリケーションに必要なアクセス許可の種類）］の下で、［Application permissions（アプリケーションのアクセス許可）］をクリックします。
5. ［Select permissions（アクセス許可を選択）］検索フィールドで、scepと入力し、［scep_challenge_provider］チェックボックスを選択します。
6. ［Add permissions（アクセス許可の追加）］をクリックします。
7. ［Configured permissions（構成済み権限）］セクションで［P］［Grant admin consent for [Your_Tenant_Name]（［Your_Tenant_Name］の管理者の同意を付与する）］をクリックします。
8. 表示されるメッセージで［Yes（はい）］をクリックします。
Microsoft GraphのApplication.Read.All権限を設定します。
1. ［+ Add a permission（+アクセス許可を追加）］をクリックします。
2. ［Request API permissions（APIのアクセス許可をリクエスト）］セクションで、［Microsoft Graph］をクリックします。
3. ［What type of permissions does your application require?（アプリケーションに必要なアクセス許可の種類）］の下で、［What type of permissions does your application require?（アプリケーションのアクセス許可）］をクリックします。
4. ［Select permissions（アクセス許可を選択）］検索フィールドで、applicationと入力し、［Application（アプリケーション）］を展開して、［Application.Read.All］チェックボックスを選択します。
5. ［Add permissions（アクセス許可の追加）］をクリックします。
6. ［Configured permissions（構成済み権限）］セクションで、［P Grant admin consent for [Your_Tenant_Name]（［Your_Tenant_Name］の管理者の同意を付与する）］をクリックします。
7. 表示されるメッセージで［Yes（はい）］をクリックします。

タスク2：Oktaで管理証明を構成し、SCEP URLを生成する

Okta Admin Consoleで［Security（セキュリティ）］［Device integrations（デバイス統合）］に移動します。
［Endpoint management（エンドポイント管理）］タブを選択します。
［Add platform（プラットフォームを追加）］をクリックします。
［Desktop (Windows and macOS only)（デスクトップ（WindowsおよびmacOSのみ））］を選択します。
［Next（次へ）］をクリックします。
以下を構成します。
1. ［Certificate authority（認証局）］：［Use Okta as certificate authority（Oktaを認証局として使用する）］を選択します。
2. ［SCEP URL challenge type（SCEP URLチャレンジタイプ）］：［Dynamic SCEP URL（動的SCEP URL）］を選択し、［Microsoft Intune (delegated SCEP)（Microsoft Intune（委任SCEP））］を選択します。
3. Microsoft Azureからコピーした値を次のフィールドに入力します。
  - ［AAD client ID（AADクライアントID）］：タスク1でコピーした値を入力します。
  - ［AAD tenant（AADテナント）］：AADテナント名に続けて［.onMicrosoft.com］と入力します。
  - ［AAD secret（AADシークレット）］：タスク1でコピーしたシークレット値を入力します。
  例：
［Generate（生成）］をクリックします。
Okta SCEPのURLをコピーして保存します。このURLは、タスク5でMicrosoft Endpoint Managerに貼り付けます。

タスク3：Oktaからx509証明書をダウンロードする

Okta Admin Consoleで［Security（セキュリティ）］［Device integrations（デバイス統合）］に移動します。
［Certificate authority（認証局）］タブをクリックします。
Okta CAの［Actions（アクション）］列で、［Download x509 certificate（x509証明書をダウンロード）］アイコンをクリックします。
ダウンロードしたファイルの拡張子が.cerになるように名前を変更します。
タスク4で証明書（CER）ファイルをMicrosoft Endpoint Managerにアップロードします。

タスク4：MEMで信頼できる証明書プロファイルを作成する

Microsoft Endpoint Manager管理センターで、［Devices（デバイス）］に移動します。
［Configuration profiles（構成プロファイル）］をクリックします。
［+ Create profile（+プロファイルの作成）］をクリックします。
［Create a profile（プロファイルの作成）］で、以下を実行します。
1. ［Platform（プラットフォーム）］：［macOS］を選択します。
2. ［Profile type（プロファイルタイプ）］：［Templates（テンプレート）］を選択します。
3. ［Template name（テンプレート名）］セクションで、［Trusted certificate（信頼できる証明書）］をクリックします。
4. ［Create（作成）］をクリックします。
［Trusted certificate（信頼できる証明書）］ページの［Basics（基本情報）］タブで、以下を入力します。
1. ［Name（名前）］：証明書の名前を入力します。
2. ［Description（説明）］：任意。証明書の説明を入力します。
3. ［Next（次へ）］をクリックします。
［Trusted certificate（信頼できる証明書）］ページの［Configuration settings（構成設定）］タブで次のように操作します。
1. ［Certificate file（証明書ファイル）］：タスク3でOktaからダウンロードしたx509証明書（CER）ファイルを選択します。
2. ［Destination store（保存先ストア）］：［Computer certificate store - Intermediate（コンピューター証明書ストア - 中間）］を選択します。
3. ［Next（次へ）］をクリックします。
［Trusted certificate（信頼できる証明書）］ページの［Assignments（割り当て）］タブで、以下を実行します。
1. ［Included groups（包含グループ）］：信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、タスク5で［SCEP profile（SCEPプロファイル）］を割り当てるグループと同じである必要があります。
  両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。
2. ［Next（次へ）］をクリックします。
［Trusted certificate（信頼できる証明書）］ページの［Applicability rules（適用性ルール）］タブで、以下を実行します。
1. 必要なルールを構成します。
2. ［Next（次へ）］をクリックします。
［Trusted certificate（信頼できる証明書）］ページの［Review + create（確認して作成）］タブで、構成を確認し、［Create（作成）］をクリックします。

タスク5：MEMでSCEPプロファイルを作成する

Microsoft Endpoint Managerで、［Devices（デバイス）］に移動します。
［Configuration profiles（構成プロファイル）］をクリックします。
［+ Create profile（+プロファイルの作成）］をクリックします。
［Create a profile（プロファイルの作成）］で、次のように入力します。
1. ［Platform（プラットフォーム）］：［macOS］を選択します。
2. ［Profile type（プロファイルタイプ）］：［Templates（テンプレート）］を選択します。
3. ［Template name（テンプレート名）］セクションで、［SCEP certificate（SCEP証明書）］をクリックします。
4. ［Create（作成）］をクリックします。
［SCEP certificate（SCEP証明書）］ページの［Basics（基本情報）］タブで、以下を実行します。
1. ［Name（名前）］：証明書の名前を入力します。
2. ［Description（説明）］：任意。証明書の説明を入力します。
3. ［Next（次へ）］をクリックします。
［SCEP certificate（SCEP証明書）］ページの［Configuration settings（構成設定）］タブで、以下を実行します。
1. ［Certificate type（証明書の種類）］：［User（ユーザー）］を選択します。
2. ［Subject name format（サブジェクト名の形式）］：サブジェクト名を入力しますたとえば、CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}のように記述します。
  Oktaでは、このフィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をデバイス管理シグナルとしてOktaに示すことができます。またはMEMが提供するプロファイル変数を使用することも可能です。サポートされている変数の一覧については、「IntuneでSCEP証明書プロファイルを作成して割り当てる」を参照してください。
3. ［Certificate validity period（証明書の有効期間）］：リストで［Years（年）］を選択し、次のフィールドに［1］を入力します。
4. ［Key usage（キー使用法）］：［Digital signature（デジタル署名）］を選択します。
5. ［Key size (bits)（キーサイズ（ビット））］：［2048］を選択します。
6. ［+ Root Certificate（+ルート証明書）］をクリックします。
7. ［Root Certificate（ルート証明書）］ページで、タスク4で作成した信頼できる証明書を選択します。
8. ［OK］をクリックします。
9. ［Extended key usage（拡張キー使用法）］で、［Predefined values（定義済みの値）］を［Client Authentication（クライアント認証）］に設定します。
10. ［SCEP Server URLs（SCEPサーバーURL）］：タスク2で生成したSCEP URLを入力します。
11. ［Allow all apps access to private key（すべてのアプリが秘密鍵にアクセスできるようにする）］：［Enable（有効化）］を選択します。
12. ［Next（次へ）］をクリックします。
［SCEP certificate（SCEP証明書）］ページの［Assignments（割り当て）］タブで、以下を実行します。
1. 証明書を、タスク4で［Trusted certificate profile（信頼できる証明書プロファイル）］を割り当てたのと同じユーザーグループに割り当てます。
  両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。
2. ［Next（次へ）］をクリックします。
［SCEP certificate（SCEP証明書）］ページの［Review + create（確認して作成）］タブで、構成を確認し、［Create（作成）］をクリックします。

タスク6：証明書がmacOSデバイスにインストールされたことを確認する

MEMで管理されているmacOSデバイスで、［Keychain（キーチェーン）］［Login（ログイン）］を開きます。
クライアント証明書と関連する秘密鍵が存在することを確認します。
すべてのアプリが秘密鍵にアクセスできることを確認します。
1. 秘密鍵をダブルクリックします。
2. ［Access Control（アクセス制御）］タブをクリックします。
3. ［Allow all applications to access this item（すべてのアプリケーションがこのアイテムにアクセスできるようにする）］を選択します。
4. ［Save Changes（変更を保存）］をクリックします。

次の手順

デスクトップ用のアプリサインインポリシールールを追加する