MEMでWindowsの委任SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のWindowsデバイスにクライアント証明書を発行できます。このトピックでは、SCEP(Simple Certificate Enrollment Protocol)URLを生成して、OktaMicrosoft Endpoint Manager(MEM)でSCEPプロファイルを作成する方法を説明します。

前提条件

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書

  • Okta Admin Console

  • Microsoft Endpoint Manager

    Microsoft Endpoint Managerは、複数のサービスを統合するソリューションプラットフォームです。これには、クラウドベースのデバイス管理用のMicrosoft Intune、オンプレミスデバイス管理用のConfiguration Manager、共同管理、Desktop Analytics、Windows Autopilot、Azure Active Directory、Endpoint Manager管理センターが含まれます。これらのサービスのいずれかを使用している場合は、この手順を使用できます。たとえば、Microsoft Intuneを使用している場合は、この手順を使用できます。

  • Microsoft Azure

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

この手順を開始する

タスク1:Microsoft AzureにOktaのAADアプリ認証情報を登録する

  1. Microsoft Azureで、[App registrations(アプリの登録)]をクリックします。

  2. [+ New registration(+新しい登録)]をクリックします。

  3. [Register an application(アプリケーションの登録)]ページで、以下のように入力します。

    1. [Name(名前)]:アプリのわかりやすい名前を入力します。

    2. [Supported account types(サポートされているアカウントの種類)]:サポートされている適切なアカウントの種類を選択します。この手順は、[Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)(この組織のディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ - シングルテナント))]を選択した状態で検証されています。

    3. [Redirect URI(リダイレクトURI)](任意):空白のままにするか、[Web]を選択して、リダイレクトURIを入力します。

    4. [Enrollment(登録)]をクリックします。

  4. [app(アプリ)]ページの[Essentials(要点)]で、[Application (client) ID(アプリケーション(クライアント)ID)]をコピーしてメモします。

    この値は、タスク2Okta Admin Consoleで必要になります。

    この画像は、アプリのクライアントIDの場所を示しています。

  5. クライアントシークレットを追加します。

    1. 左ペインで、[Certificates & secrets(証明書とシークレット)]をクリックします。

    2. [Client secrets(クライアントシークレット)]で、[+ New client secret(+新規クライアントシークレット)]をクリックします。

    3. [Add a client secret(クライアントシークレットを追加)]セクションで、以下のように入力します。

      • [Description(説明)]:任意。クライアントシークレットの説明を入力します。

      • [Expires(有効期限)]:有効期限を選択します。

    4. [Add(追加)]をクリックします。

      [Client secrets(クライアントシークレット)]の下にシークレットが表示されます。

    5. [Client secrets(クライアントシークレット)]セクションで、[Value(値)]をコピーしてメモします。

      この画像はクライアントシークレット値の場所を示しています。

  6. [scep_challenge_provider]の権限を設定します。

    1. 左ペインで、[API permissions(APIのアクセス許可)]をクリックします。

    2. [+ Add a permission(+アクセス許可を追加)]をクリックします。

    3. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、下にスクロールし、[Intune]をクリックします。

    4. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[Application permissions(アプリケーションのアクセス許可)]をクリックします。

    5. [Select permissions(アクセス許可を選択)]検索フィールドで、scepと入力し、[scep_challenge_provider]チェックボックスを選択します。

      この画像は[Request API permissions(APIのアクセス許可をリクエスト)]の設定を示しています。

    6. [Add permissions(アクセス許可の追加)]をクリックします。

    7. [Configured permissions(構成済み権限)]セクションで[P][Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします。

      この画像は[Grant admin consent(管理者の同意を付与する)]ボタンの場所を示しています。

    8. 表示されるメッセージで[Yes(はい)]をクリックします。

  7. Microsoft GraphのApplication.Read.All権限を設定します。

    1. [+ Add a permission(+アクセス許可を追加)]をクリックします。

    2. [Request API permissions(APIのアクセス許可をリクエスト)]セクションで、[Microsoft Graph]をクリックします。

    3. [What type of permissions does your application require?(アプリケーションに必要なアクセス許可の種類)]の下で、[What type of permissions does your application require?(アプリケーションのアクセス許可)]をクリックします。

    4. [Select permissions(アクセス許可を選択)]検索フィールドで、applicationと入力し、[Application(アプリケーション)]を展開して、[Application.Read.All]チェックボックスを選択します。

    5. [Add permissions(アクセス許可の追加)]をクリックします。

    6. [Configured permissions(構成済み権限)]セクションで[P][Grant admin consent for [Your_Tenant_Name]([Your_Tenant_Name]の管理者の同意を付与する)]をクリックします。

    7. 表示されるメッセージで[Yes(はい)]をクリックします。

タスク2:Oktaで管理証明を構成し、SCEP URLを生成する

  1. Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Endpoint Management(エンドポイント管理)]タブをクリックします。

  3. [Add Platform(プラットフォームを追加)]をクリックします。

  4. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択します。

  5. [Next(次へ)]をクリックします。

  6. 以下を構成します。

    1. [Certificate authority(認証局)][Use Okta as certificate authority(Oktaを認証局として使用する)]を選択します。

    2. [SCEP URL challenge type(SCEP URLチャレンジタイプ)][Dynamic SCEP URL(動的SCEP URL)]を選択し、[Microsoft Intune (delegated SCEP)(Microsoft Intune(委任SCEP))]を選択します。

    3. Microsoft Azureからコピーした値を次のフィールドに入力します。

      • [AAD client ID(AADクライアントID)]タスク1でコピーした値を入力します。

      • [AAD tenant(AADテナント)]:AADテナント名に続けて[.onMicrosoft.com]と入力します。

      • [AAD secret(AADシークレット)]タスク1でコピーしたシークレット値を入力します。

    例:

    この画像は、管理証明の例を示しています。

  7. [Generate(生成)]をクリックします。

  8. Okta SCEPのURLをコピーして保存します。この値をタスク5Microsoft Endpoint Managerに貼り付けます。

タスク3:Oktaからx509証明書をダウンロードする

  1. Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Certificate authority(認証局)]タブをクリックします。

  3. Okta CAの[Actions(アクション)]列で、[Download x509 certificate(x509証明書をダウンロード)]アイコンをクリックします。

  4. ダウンロードしたファイルの拡張子が.cerになるように名前を変更します。

    この証明書(CER)ファイルは、タスク4でMicrosoft Endpoint Manager(MEM)にアップロードします。

タスク4:MEMで信頼できる証明書プロファイルを作成する

  1. Microsoft Endpoint Manager(MEM)管理センターで、[Devices(デバイス)]に移動します。

  2. [Configuration Profiles(構成プロファイル)]をクリックします。

  3. [+ Create profile(+プロファイルの作成)]をクリックします。

  4. [Create a profile(プロファイルの作成)]で、以下を実行します。

    1. [Platform(プラットフォーム)][Windows 10 and later(Windows 10以降)]を選択します。

    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。

    3. [Template name(テンプレート名)]セクションで、[Trusted certificate(信頼できる証明書)]をクリックします。

      これは、Microsoft Endpoint Configuration Managerでプロファイルを作成するためのインターフェイス画面です。

    4. [Create(作成)]をクリックします。

  5. [Trusted certificate(信頼できる証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。

    1. [Name(名前)]:証明書の名前を入力します。

      これは、Microsoft Endpoint Configuration Managerで信頼できる証明書を管理するためのインターフェイス画面です。

    2. [Description(説明)]:任意。証明書の説明を入力します。

    3. [Next(次へ)]をクリックします。

  6. [Trusted certificate(信頼できる証明書)]ページの[Configuration settings(構成設定)]タブで次のように操作します。

    1. [Certificate file(証明書ファイル)]タスク1Oktaからダウンロードしたx509証明書(CER)ファイルを選択します。

    2. [Destination store(保存先ストア)][Computer certificate store - Intermediate(コンピューター証明書ストア - 中間)]を選択します。

    3. [Next(次へ)]をクリックします。

  7. [Trusted certificate(信頼できる証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。

    1. [Included groups(包含グループ)]:信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、タスク5[SCEP profile(SCEPプロファイル)]を割り当てたグループと同じである必要があります。

      両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    2. [Next(次へ)]をクリックします。

  8. [Trusted certificate(信頼できる証明書)]ページの[Applicability Rules(適用性ルール)]タブで、以下を実行します。

    1. 必要なルールを構成します。

    2. [Next(次へ)]をクリックします。

  9. [Trusted certificate(信頼できる証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク5:MEMでSCEPプロファイルを作成する

  1. Microsoft Endpoint Manager管理センターで、[Devices(デバイス)]に移動します。

  2. [Configuration Profiles(構成プロファイル)]をクリックします。

  3. [+ Create profile(+プロファイルの作成)]をクリックします。

  4. [Create a profile(プロファイルの作成)]で、次のように入力します。

    1. [Platform(プラットフォーム)][Windows 10 or later(Windows 10以降)]を選択します。

    2. [Profile type(プロファイルタイプ)][Templates(テンプレート)]を選択します。

    3. [Template name(テンプレート名)]リストで、[SCEP certificate(SCEP証明書)]をクリックします。

      この画像は、Microsoft Endpoint Configuration Managerのプロファイルの作成ページを示しています。

    4. [Create(作成)]をクリックします。

  5. [SCEP certificate(SCEP証明書)]ページの[Basics(基本情報)]タブで、以下を実行します。

    1. [Name(名前)]:証明書の名前を入力します。

    2. [Description(説明)]:任意。証明書の説明を入力します。

      この画像は、Microsoft Endpoint Configuration ManagerのSCEP証明書ページを示しています。

    3. [Next(次へ)]をクリックします。

  6. [SCEP certificate(SCEP証明書)]ページの[Configuration settings(構成設定)]タブで、以下を実行します。

    1. [Certificate type(証明書の種類)][User(ユーザー)]を選択します。

    2. [Subject name format(サブジェクト名の形式)]:サブジェクト名を入力します例えば、CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}} maのように記述します(maは管理証明を示します)。

      Oktaでは、このフィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をデバイス管理シグナルとしてOktaに示すことができます。またはMEMが提供するプロファイル変数を使用することも可能です。サポートされている変数の一覧については、「Intune で SCEP証明書プロファイルを作成して割り当てる」を参照してください。

    3. [Key storage provider (KSP)(キー格納プロバイダー(KSP))][Enroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP(Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します)]を選択します。

    4. [Key usage(キー使用法)][Digital signature(デジタル署名)]を選択します。

    5. [Key length(キーの長さ)][2048]を選択します。

    6. [Hash algorithm(ハッシュアルゴリズム)]:SHA-2を選択

    7. [+ Root Certificate(+ルート証明書)]をクリックします。

    8. [Root Certificate(ルート証明書)]ページで、タスク4で作成した信頼できる証明書を選択します。

    9. [OK]をクリックします。

    10. [Extended key usage(拡張キー使用法)]で、[Predefined values(定義済みの値)][Client Authentication(クライアント認証)]に設定します。

    11. [SCEP Server URLs(SCEPサーバーURL)]タスク2で生成したSCEP URLを入力します。

      この画像は、Microsoft Endpoint Configuration ManagerのSCEP証明書ページを示しています。

    12. [Next(次へ)]をクリックします。

  7. [SCEP certificate(SCEP証明書)]ページの[Assignments(割り当て)]タブで、以下を実行します。

    1. SCEP証明書を、タスク4[Trusted certificate profile(信頼できる証明書プロファイル)]を割り当てたのと同じユーザーグループに割り当てます。

      両方のプロファイルで指定されているユーザーグループが同じであることを確認してください。

    2. [Next(次へ)]をクリックします。

  8. [SCEP certificate(SCEP証明書)]ページの[Applicability Rules(適用性ルール)]タブで、以下を実行します。

    1. 必要なルールを構成します。

    2. [Next(次へ)]をクリックします。

  9. [SCEP certificate(SCEP証明書)]ページの[Review + create(確認して作成)]タブで、構成を確認し、[Create(作成)]をクリックします。

タスク6:Windowsコンピューターへの証明書のインストールを確認する

  1. クライアント証明書のインストールを確認します。

    1. Windowsコンピューターで[Start(スタート)]をクリックし、[cert]と入力してから、[Manage user certificates(ユーザー証明書の管理)]をクリックします。

    2. [Personal(個人)][Certificates(証明書)]を確認します。

  2. 認証局を確認します。

    1. Windowsコンピューターで[Start(スタート)]をクリックし、[cert]と入力してから、[Manage user certificates(ユーザー証明書の管理)]をクリックします。

    2. [Intermediate Certificate Authority(中間認証局)][Certificates(証明書)]を確認します。

    3. [Issued To(発行先)]で、[Organization Intermediate Authority(Organization中間機関)]を探してダブルクリックします。

    4. [Issuer: Organization Root Authority(発行者:組織ルート機関)]を探します。

    証明書が見つからない場合は、手順3の説明に従ってログを確認します。

  3. SCEP証明書が正常にインストールされたことを確認します。

    1. Windowsコンピューターで、[Start(スタート)]をクリックし、[Event]と入力して、[Event Viewer(イベントビューアー)]をクリックします。

    2. [Applications and Service Logs(アプリケーションとサービスログ)][Microsoft][Windows][DeviceManagement-Enterprise][Admin(管理者)]を確認します。

    3. [General(一般)]タブで、以下を見つけます。

      • SCEP:証明書が正常にインストールされました

      • SCEP:証明書要求が正常に生成されました

次の手順

デスクトップ用の認証ポリシールールを追加する