MEM(旧Intune)を使用して、macOSの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する

対象のmacOSデバイスにクライアント証明書を発行するように認証局(CA)を構成します。この手順では、Microsoft Endpoint Manager(MEM)でSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、OktaでSCEPのURLを生成する方法について説明します。

前提条件

  • 証明書がほかの目的(暗号化など)ではなく、デジタル署名用にデプロイされている
  • OktaAdmin Console
  • Microsoft Endpoint Manager(MEM)
  • Microsoft Endpoint Manager(MEM)は、複数のサービスを統合するソリューションプラットフォームです。これには、クラウドベースのデバイス管理用のMicrosoft Intune、オンプレミスデバイス管理用のConfiguration Manager、共同管理、Desktop Analytics、Windows Autopilot、Azure Active Directory、Windows Autopilot、およびEndpoint Manager管理センターが含まれます。これらのサービスのいずれかを使用している場合は、この手順を使用できます。たとえば、Microsoft Intuneを使用している場合は、この手順を使用できます。

  • Microsoft Azure

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロトコルを再配布して期限切れ証明書を交換します。プロトコルの再配布が許可されるには、すべてのMDM SCEPポリシーが構成されている必要があります。

この手順を開始する

タスク1:Microsoft AzureにOktaのAADアプリ認証情報を登録する

  1. Microsoft Azureで、[App registrations(アプリの登録)]をクリックします。
  2. [+ New registration(+新しい登録)]をクリックします。
  3. [Register an application(アプリケーションの登録)]ページで、以下のように入力します。
    1. [Name(名前)]:アプリケーションのわかりやすい名前を入力します。
    2. [Supported account types(サポートされているアカウントの種類)]:サポートされている適切なアカウントの種類を選択します。Oktaでは、[Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)(この組織ディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ-シングルテナント))]を選択してテストしました。
    3. [Redirect URI(リダイレクトURI)](任意):空白のままにするか、[Web]を選択して、リダイレクトURIを入力します。
    4. [Enrollment(登録)]をクリックします。
  4. [app(アプリ)]ページの[Essentials(要点)]で、[Application (client) ID(アプリケーション(クライアント)ID)]をコピーしてメモします。
  5. タスク2で、この値をOkta Admin Consoleに貼り付けます。

    この画像はアプリケーション(クライアント)IDの場所を示しています。

  6. クライアントシークレットを追加します。
    1. 左ペインで、[Certificates & secrets(証明書とシークレット)]をクリックします。
    2. [Client secrets(クライアントシークレット)]で、[+ New client secret(+新規クライアントシークレット)]をクリックします。
    3. [Add a client secret(クライアントシークレットを追加)]セクションで、以下のように入力します。
      • [Description(説明)]:任意。クライアントシークレットの説明を入力します。
      • [Expires(有効期限)]:有効期限を選択します。
    4. [Add(追加)]をクリックします。
    5. [Client secrets(クライアントシークレット)]の下にシークレットが表示されます。

    6. [Client secrets(クライアントシークレット)]セクションで、[Value(値)]をコピーしてメモします。
    7. この画像はクライアントシークレット値の場所を示しています。

  7. Intuneのscep_challenge_provider権限を設定します。
    1. 左ペインで、[API permissions(APIのアクセス許可)]をクリックします。
    2. [+ Add a permission(+アクセス許可を追加)]をクリックします。
    3. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、下にスクロールし、[Intune]をクリックします。
    4. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[Application permissions(アプリケーションのアクセス許可)]をクリックします。
    5. [Select permissions(アクセス許可を選択)]検索フィールドで、scepと入力し、[scep_challenge_provider]チェックボックスを選択します。
    6. この画像は[Request API permissions(APIのアクセス許可をリクエスト)]の設定を示しています。

    7. [Add permissions(アクセス許可の追加)]をクリックします。
    8. [Configured permissions(構成済み権限)]セクションで、[P Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします
    9. この画像は[Grant admin consent(管理者の同意を付与する)]ボタンの場所を示しています。

    10. 表示されるメッセージで[Yes(はい)]をクリックします。
  8. Microsoft GraphのApplication.Read.All権限を設定します。

    1. [+ Add a permission(+アクセス許可を追加)]をクリックします。
    2. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、[Microsoft Graph]をクリックします。
    3. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[What type of permissions does your application require?(アプリケーションのアクセス許可)]をクリックします。
    4. [Select permissions(アクセス許可を選択)]検索フィールドで、applicationと入力し、[Application(アプリケーション)]を展開して、[Application.Read.All]チェックボックスを選択します。
    5. [Add permissions(アクセス許可の追加)]をクリックします。
    6. [Configured permissions(構成済み権限)]セクションで、[P Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします
    7. 表示されるメッセージで[Yes(はい)]をクリックします。

タスク2:Oktaで管理証明を構成し、SCEP URLを生成する

  1. Okta Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。
  2. [Endpoint Management(エンドポイント管理)]タブをクリックします。
  3. [Add Platform(プラットフォームを追加)]をクリックします。
  4. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択します。
  5. [Next(次へ)]をクリックします。
  6. 以下を構成します。
    1. [Certificate authority(認証局)][Use Okta as certificate authority(Oktaを認証局として使用する)]を選択します。
    2. [SCEP URL challenge type(SCEP URLチャレンジタイプ)][Dynamic SCEP URL(動的SCEP URL)]を選択し、[Microsoft Intune (delegated SCEP)(Microsoft Intune(委任SCEP))]を選択します。
    3. Microsoft Azureからコピーした値を次のフィールドに入力します。
      • [AAD client ID(AADクライアントID)]:タスク1でコピーした値を入力します。
      • [AAD tenant(AADテナント)]:AADテナント名に続けて.onMicrosoft.comと入力します。
      • [AAD secret(AADシークレット)]:タスク1でコピーしたシークレットのValue(値)を入力します。
    4. 例:

      スクリーンショットは、管理者証明の例を示しています。

  7. [Generate(生成)]をクリックします。
  8. Okta SCEPのURLをコピーして保存します。このURLは、タスク5でMicrosoft Endpoint Managerに貼り付けます。

タスク3:Oktaからx509証明書をダウンロードする

  1. Okta Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。
  2. [Certificate authority(認証局)]タブをクリックします。
  3. Okta CAの[Actions(アクション)]列で、[Download x509 certificate(x509証明書をダウンロード)]アイコンをクリックします。
  4. ダウンロードしたファイルの名前を変更して、拡張子.cerが含まれるようにします。
  5. タスク4で証明書(CERファイル)をMicrosoft Endpoint Manager(MEM)にアップロードします。

タスク4:MEMで信頼できる証明書プロファイルを作成する

  1. Microsoft Endpoint Manager(MEM)管理センターで、[Devices(デバイス)]に移動します。
  2. [Configuration Profiles(構成プロファイル)]をクリックします。
  3. [+ Create profile(+プロファイルの作成)]をクリックします。
  4. [Create a profile(プロファイルの作成)]で、以下を実行します。
    1. [Platform(プラットフォーム)][macOS]を選択します。
    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。
    3. [Template name(テンプレート名)]セクションで、[Trusted certificate(信頼できる証明書)]をクリックします。
    4. この画像は、Microsoft Endpoint Configuration Managerの[Create a profile(プロファイルの作成)]画面を示しています。

    5. [Create(作成)]をクリックします。
  5. [Trusted certificate(信頼できる証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。
    1. [Name(名前)]:証明書の名前を入力します。
    2. この画像は[trusted certificate(信頼できる証明書)]画面を示しています。

    3. [Description(説明)]:任意。証明書の説明を入力します。
    4. [Next(次へ)]をクリックします。
  6. [Trusted certificate(信頼できる証明書)]ページの[Configuration settings(構成設定)]タブで、以下を実行します。
    1. [Certificate file(証明書ファイル)]:タスク3でOktaからダウンロードしたx509証明書(CERファイル)を選択します。
    2. [Destination store(保存先ストア)][Computer certificate store - Intermediate(コンピューター証明書ストア - 中間)]を選択します。
    3. [Next(次へ)]をクリックします。
  7. [Trusted certificate(信頼できる証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。
    1. [Included groups(包含グループ)]:信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、タスク5でSCEPプロファイルを割り当てるグループと同じである必要があります。
    2. 両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    3. [Next(次へ)]をクリックします。
  8. [Trusted certificate(信頼できる証明書)]ページの[Applicability rules(適用性ルール)]タブで、以下を実行します。
    1. 必要なルールを構成します。
    2. [Next(次へ)]をクリックします。
  9. [Trusted certificate(信頼できる証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク5:MEMでSCEPプロファイルを作成する

  1. Microsoft Endpoint Manager(MEM)で、[Devices(デバイス)]に移動します。
  2. [Configuration Profiles(構成プロファイル)]をクリックします。
  3. [+ Create profile(+プロファイルの作成)]をクリックします。
  4. [Create a profile(プロファイルの作成)]で、次のように入力します。
    1. [Platform(プラットフォーム)][macOS]を選択します。
    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。
    3. [Template name(テンプレート名)]で、[SCEP certificate(SCEP証明書)]をクリックします。
    4. この画像は[Create a profile(プロファイルの作成)]画面を示しています。

    5. [Create(作成)]をクリックします。
  5. [SCEP certificate(SCEP証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。
    1. [Name(名前)]:証明書の名前を入力します。
    2. [Description(説明)]:任意。証明書の説明を入力します。
    3. この画像は[SCEP certificate(SCEP証明書)]画面を示しています。

    4. [Next(次へ)]をクリックします。

  6. [SCEP certificate(SCEP証明書)]ページの[Configuration settings(構成設定)]タブで、以下を実行します。
    1. [Certificate type(証明書の種類)][User(ユーザー)]を選択します。

    2. [Subject name format(サブジェクト名の形式)]:サブジェクト名を入力します(例: CN={{UserPrincipalName}} managementAttestation {{DeviceId}})。

    3. Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、MEMが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザーの識別子を含めることもできます。サポートされている変数の一覧については、MEMドキュメント「Use SCEP certificate profiles with Microsoft Intune」を参照してください。

    4. [証明書の有効期間(Certificate validity period)]:リストで[Years(年)]を選択し、次のフィールドに[1]を入力します。

    5. [Key usage(キー使用法)][Digital signature(デジタル署名)]を選択します。

    6. [Key size (bits)(キーサイズ(ビット))][2048]を選択します。

    7. [+ Root Certificate(+ルート証明書)]をクリックします。

    8. [Root Certificate(ルート証明書)]ページで、タスク4で作成した信頼できる証明書を選択します。

    9. [OK]をクリックします。
    10. [Extended key usage(拡張キー使用法)]で、[Predefined values(定義済みの値)][Client Authentication(クライアント認証)]に設定します。

    11. [SCEP Server URLs(SCEPサーバーURL)]:タスク2で生成したSCEP URLを入力します。

    12. [Allow all apps access to private key(すべてのアプリが秘密鍵にアクセスできるようにする)][Enable(有効化)]を選択します。

    13. Microsoft Endpoint Configuration ManagerのSCEP証明書の画面。

    14. [Next(次へ)]をクリックします。

  7. [SCEP certificate(SCEP証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。
    1. タスク4でTrusted certificate profile(信頼できる証明書プロファイル)を割り当てたのと同じユーザーグループにSCEP証明書を割り当てます。
    2. 両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    3. [Next(次へ)]をクリックします。
  8. [SCEP certificate(SCEP証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク6:SCEP証明書がmacOSデバイスにインストールされていることを確認する

  1. MEMで管理されているmacOSデバイスで、[Keychain(キーチェーン)][Login(ログイン)]を開きます。
  2. クライアント証明書と関連する秘密鍵が存在することを確認します。
  3. すべてのアプリケーションが秘密鍵にアクセスできることを確認します。
    1. 秘密鍵をダブルクリックします。
    2. [Access Control(アクセス制御)]タブをクリックします。
    3. [Allow all applications to access this item(すべてのアプリケーションがこのアイテムにアクセスできるようにする)]を選択します。
    4. この画像は[Access Control(アクセス制御)]タブを示しています。

    5. [Save Changes(変更を保存)]をクリックします。

次の手順

デスクトップ用の認証ポリシールールを追加する