Jamf ProでmacOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する

認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。このトピックでは、OktaでSCEP(Simple Certificate Enrollment Protocol)URLを生成し、Jamf Proで静的SCEPプロファイルを作成する方法を説明します。

Apple SCEP MDMペイロードのデプロイをサポートする任意のデバイス管理ソリューションを使用できます。ただし、この手順は、Jamf Proを使ったデバイス管理と、静的SCEPプロファイルの構成を対象としています。

開始する前に

以下にアクセスできることを確認してください:

  • Okta Admin Console

  • SCEPペイロードのデプロイメントをサポートする任意のデバイス管理ソリューション。この手順はJamf Proで検証されています。

この手順を開始する

  1. SCEP URLと秘密鍵を生成する

  2. 静的SCEPプロファイルを作成する

SCEP URLと秘密鍵を生成する

  1. Admin Consoleで、[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Endpoint management(エンドポイント管理)]タブで[Add Platform(プラットフォームを追加)]をクリックします。

  3. [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択して、[Next(次へ)]をクリックします。

  4. [Add device management platform(デバイス管理プラットフォームを追加)]ページで、次のオプションを選択します。

    • [Certificate authority(認証局)][Use Okta as certificate authority(Oktaを認証局として使用する)]

    • [SCEP URL challenge type(SCEP URLチャレンジタイプ)][Static SCEP URL(静的SCEP URL)]

  5. [Generate(生成)]をクリックします。

  6. SCEP URLと秘密鍵をコピーして、安全な場所に保存してください。Okta Admin Consoleに表示されるのはこのときだけです。これらの値はJamf Proで必要になります。

  7. [Save(保存)]をクリックします。

静的SCEPプロファイルを作成する

SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol(SCEP)を使用して認証局(CA)から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaJamf Proを使用してSCEPプロファイルのデプロイをテスト済みであることから、以下のステップではJamf Proでプロファイルを作成する手順を説明します。

CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前に、プロファイルを再配布して期限切れの証明書を置き換えてください。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

  1. Jamf Pro[Computers(コンピューター)][Configuration Profiles(構成プロファイル)]に移動します。

  2. [New(新規)]をクリックします。

  3. [General(一般)]ページで、次の情報を入力します。

    • [Name(名前)]:プロファイルの名前を入力します。

    • [Description(説明)]:オプションです。プロファイルの説明を入力します。

    • [Level(レベル)]:証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択します。デバイスの特定のユーザーのみを管理対象として識別するときは、[User Level(ユーザーレベル)]を選択します。

  4. [SCEP]をクリックし、次に[Configure(構成)]をクリックします。

  5. [SCEP profile(SCEPプロファイル)]に次の情報を入力します。

    • [URL]ステップ1で保存したSCEP URLを貼り付けます。

    • [Name(名前)]:SCEPプロファイルの名前を入力します。

    • [Redistribute Profile(プロファイルの再配布)]:SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。Oktaは、証明書の自動更新をサポートしません。プロファイルを再配布して期限切れの証明書を置き換えます。

    • [Subject(件名)]:証明書を識別するための名前を入力します。

      このフィールドの文字数制限は64文字です。

      Jamf Proでは、プロファイルの再配布時に$PROFILE_IDENTIFIERが自動的に追加され、これも64文字の制限に含まれます。この制限を超えると、プロファイルの再配布や証明書の更新が失敗します。

      Oktaでは、この[Subject(件名)]フィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数($UDID$EMAILなど)を含めることもできます。

      例(maは管理証明を示します):

      • [Computer Level(コンピュータレベル)]CN=$COMPUTERNAME ma $UDID

      • [User Level(ユーザーレベル)]CN=$EMAIL ma $UDID

      SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。

    • [Challenge type(チャレンジタイプ)][Static(静的)]を選択します。

    • [Challenge(チャレンジ)]ステップ1で保存した秘密鍵を貼り付けます。

    • [Verify Challenge(チャレンジの確認)]:秘密鍵を再度貼り付けます。

    • [Key Size(キーサイズ)]2048を選択します。

    • [Use as digital signature(デジタル署名として使用する)]:このオプションを選択します。

    • [キーチェーンからのエクスポートを許可する]:このオプションの選択を解除します。

    • [すべてのアプリのアクセスを許可する]:このオプションを選択します。

  6. [Save(保存)]をクリックします。

次の手順

デスクトップ用のアプリサインインポリシールールを追加する