Jamf ProでmacOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。

目的(Purpose)

管理証明証明書

プラットフォーム

macOS

MDM

Jamf Pro

SCEP URL

動的(Dynamic)

開始する前の確認事項

以下にアクセスできることを確認してください:

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書

  • Okta Admin Console

  • Jamf Proダッシュボード

手順

  1. Okta でSCEP URLを生成する

  2. でSCEPプロファイルを作成するJamf Pro

  3. Jamf Pro でSCEPプロファイルのデプロイメントターゲットを構成する

  4. Okta CAがデバイスにインストールされていることを確認する

SCEP URLを生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. エンドポイント管理(Endpoint management)タブでプラットフォームを追加(Add Platform)(Add platform)をクリックします。

  3. Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))を選択して、次へ(Next)をクリックします。

  4. デバイス管理プラットフォームを追加(Add device management platform)ページで、次のオプションを選択します。

    • 認証局(Certificate Authority)Oktaを認証局として使用する(Use Okta as Certificate Authority

    • SCEP URLチャレンジタイプ(SCEP URL challenge type)動的SCEP URL(Dynamic SCEP URL)および汎用(Generic)

  5. 生成(Generate)をクリックします。

  6. 次の値をコピーして安全な場所に保存します。

    • SCEP URL

    • チャレンジURL

    • ユーザー名

    • パスワード(Password)

      Admin Consoleでパスワードを取得できるのはこのときだけです。パスワードをプレーンテキストで表示するには、パスワードを表示アイコンOpen eye icon that reveals the saved password when clicked.をクリックします。

      パスワードのリセットが必要なときは、デバイスアクセス(Device Access)ページのアクション(Actions)メニューにあるパスワードのリセット(Reset password)をクリックします。

  7. 保存(Save)をクリックします。

Jamf ProでSCEPプロファイルを作成する

SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocolを使用してCAから証明書を取得できるようにする設定を指定します。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

  1. Jamf Proコンピューター(Computers) > 構成プロファイル(Configuration Profiles)に移動します。

  2. 新規(New)をクリックします。

  3. 一般(General)ページで、次の情報を入力します。

    目的 以下を実施
    名前(Name) このプロファイルの名前を入力します。
    説明(Description) 任意。プロファイルの説明を入力します。
    レベル(Level)

    証明書の適切なレベルを選択します。

    • デバイスのすべてのユーザーが確実に管理されるようにするには、コンピューターレベル(Computer Level)を選択します。

    • デバイスの特定のユーザーのみを管理対象として識別するときは、ユーザーレベル(User Level)を選択します。

    Okta Verifyはこの証明書を使用して、デバイスアクセスの管理対象デバイスと管理対象ユーザーを識別します。

  4. SCEPをクリックしてから、構成(Configure)をクリックします。

  5. SCEPプロファイル(SCEP profile)(SCEP profile)に次の情報を入力します。

    URL

    最初のタスクで保存したSCEPのURLを貼り付けます。

    名前(Name)

    このSCEPプロファイルの名前を入力します。

    プロファイルの再配布(Redistribute Profile)

    SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布する時間枠を選択します。

    Oktaは、証明書の自動更新をサポートしません。Oktaプロファイルを再配布して、有効期限が切れる証明書を置き換えます。

    件名

    証明書を識別するための名前を入力します。

    Oktaでは、このフィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数($UDID$EMAILなど)を含めることもできます。例:

    • コンピュータレベル(Computer Level)CN=$COMPUTERNAME ma $UDID

    • ユーザーレベル(User Level)CN=$EMAIL ma $UDID

    ma は管理証明を示します)

    SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。

    チャレンジタイプ(Challenge type)(Challenge Type)

    動的-Microsoft CA(Dynamic-Microsoft CA)を選択します。

    SCEP管理者へのURL(URL To SCEP Admin)

    最初のタスクで保存したチャレンジURLを入力します。

    ユーザー名(Username)

    最初のタスクで保存したユーザー名を入力します。

    パスワード(Password)

    最初のタスクで保存したパスワードを入力します。

    パスワードの確認(Verify Password)

    最初のタスクで保存したパスワードを再入力します。

    キーサイズ(Key Size)

    2048を選択します。

    デジタル署名として使用する(Use as digital signature)

    このオプションを選択します。

    キーチェーンからのエクスポートを許可する(Allow export from keychain)

    このオプションの選択を解除します。証明書をエクスポート不可としてマークするのは、セキュリティ上のベストプラクティスです。

    すべてのアプリのアクセスを許可する(Allow all apps access)

    このオプションを選択します。

  6. 保存(Save)をクリックします。

Jamf ProでSCEPプロファイルのターゲットを構成する

Jamf Proでデバイスを管理している場合、次のステップでSCEPプロファイルのデプロイ先を構成します。

  1. Jamf Proコンピューター(Computers) > 構成プロファイル(Configuration Profiles)に移動します。

  2. タスク2で作成したSCEP構成プロファイル名を選択します。

  3. スコープ(Scope)をクリックします。

  4. 編集(Edit)をクリックします。

  5. 追加(Add)をクリックします。

  6. デプロイメントターゲットを選択し、追加(Add)をクリックします。必要なすべてのターゲットに対して、この手順を繰り返します。

  7. 保存(Save)をクリックします。

Okta CAがデバイスにインストールされていることを確認する

  1. Jamf Proによって管理されているmacOSデバイスでは、システム設定(System Settings) > プライバシーとセキュリティ(Privacy and Security) > プロファイル(Profiles)に移動します。

  2. キーチェーン(Keychain) > ログイン(Login)を開きます。

  3. クライアント証明書と、それに関連付けられた秘密鍵の両方があることを確認します。

次の手順

デスクトップ用のアプリサインインポリシールールを追加する