Microsoft IntuneでのmacOS向け委任SCEP

認証局(CA)を構成すると、モバイルデバイス管理(MDM)ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。

目的(Purpose)

Okta Device Access証明書

プラットフォーム

macOS

MDM

Microsoft Intune

SCEP URL

委任(Delegated)

開始する前の確認事項

以下にアクセスできることを確認してください:

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書

  • Okta Admin Console

  • Microsoft Intune管理者センター

このタスクを開始する

  1. 向けAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アプリ資格情報を登録するOkta

  2. でSCEP URLを生成するOkta

  3. からx509証明書をダウンロードするOkta

  4. で信頼できる証明書プロファイルを作成するMicrosoft Intune

  5. でSCEPプロファイルを作成するMicrosoft Intune

  6. macOSデバイスで証明書のインストールを確認する

Okta向けAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アプリ資格情報を登録する

  1. Microsoft Azureで、Microsoftをクリックします。Azure

  2. +新規登録(+ New registration)をクリックします。

  3. アプリケーションの登録(Register an application)ページで、以下のように入力します。

    1. 名前(Name):アプリのわかりやすい名前を入力します。

    2. サポートされているアカウントの種類(Supported account types):サポートされている適切なアカウントの種類を選択します。

      以下の手順は、この組織のディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ - シングルテナント(Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)を使用します。

    3. リダイレクトURI(任意)(Redirect URI (optional)):このフィールドは空白のままにするか、Webを選択してリダイレクトURIを入力します。

    4. 登録(Register)をクリックします。

  4. アプリページの要点(Essentials)で、アプリケーション(クライアント)ID(Application (client) ID)をコピーします。

    The image indicates where to find the Application (client) ID.

    この値は、この先のタスクのOkta Admin Consoleで必要になります。

  5. クライアントシークレットを追加します。

    1. 左ペインで、証明書とシークレット(Certificates & secrets)をクリックします。

    2. クライアントシークレット(Client secrets)で、+新規クライアントシークレット(+ New client secret)をクリックします。

    3. クライアントシークレットを追加(Add a client secret)セクションで、以下のように入力します。

      • 説明(Description):任意。クライアントシークレットの説明を入力します。

      • 有効期限(Expires):有効期限を選択します。

    4. 追加(Add)をクリックします。

      クライアントシークレット(Client secrets)の下にシークレットが表示されます。

    5. クライアントシークレット(Client secrets)タブで、値(Value)をコピーします。

      The image indicates where to find the client secret value.

  6. scep_challenge_providerの権限を設定します。

    1. 左ペインで、APIのアクセス許可(API permissions)をクリックします。

    2. +アクセス許可を追加(+ Add a permission)をクリックします。

    3. APIのアクセス許可をリクエスト(Request API permissions)ページで、下にスクロールし、Intuneをクリックします。

    4. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(Application permissions)をクリックします。

    5. 権限を選択(Select permissions)検索フィールドにscepと入力します。scep_challenge_providerチェックボックスを選択します。

      The image shows the Request API permissions settings.

    6. アクセス許可の追加(Add permissions)をクリックします。

    7. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

      The image indicates the location of the Grant admin consent button.

    8. 表示されるメッセージではい(Yes)をクリックします。

  7. Microsoft Graphの権限を設定します。

    1. +アクセス許可を追加(+ Add a permission)をクリックします。

    2. APIのアクセス許可をリクエスト(Request API permissions)セクションで、Microsoft Graphをクリックします。

    3. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(What type of permissions does your application require?)(Application permissions)をクリックします。

    4. 権限を選択(Select permissions)検索フィールドにapplicationと入力します。アプリケーション(Application)リストを展開し、Application.Read.Allを選択します。

    5. アクセス許可の追加(Add permissions)をクリックします。

    6. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

    7. 表示されるメッセージではい(Yes)をクリックします。

OktaでSCEP URLを生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. デバイスアクセス タブを選択します。

  3. SCEP構成を追加(Add SCEP configuration)をクリックします。

  4. 次のオプションを選択します。

    SCEP URLチャレンジタイプ(SCEP URL challenge type)動的SCEP URL(Dynamic SCEP URL)を選択し、Microsoft Intune (delegated SCEP)(委任SCEP(Microsoft Intune))を選択します。

  5. 前の手順でコピーしたAADクライアントID(AAD client ID)AADテナント(AAD tenant)および AADシークレット(AAD secret)の値を入力します。

  6. 生成(Generate)をクリックします。

  7. SCEPのURL(SCEP URL)をコピーして保存します。

    このURLは、でSCEPプロファイルを作成するMicrosoft Intune ときに必要になります。

Oktaからx509証明書をダウンロードする

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブをクリックします。

  3. Okta CAのアクション(Actions)列で、x509証明書のダウンロード(Download x509 certificate)アイコンをクリックします。

  4. ダウンロードしたファイルの拡張子が.cerになるように名前を変更します。

    Microsoft Intuneで信頼できる証明書プロファイルを作成する場合は、証明書(CER)ファイルが必要です。

Microsoft Intuneで信頼できる証明書プロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルの作成(Create a profile)ページで、以下を行います。

    1. プラットフォーム(Platform) macOS を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)セクションで、信頼できる証明書(Trusted certificate)をクリックします。

      The image shows the create a profile screen in the Microsoft Intune configuration manager.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(Trusted certificate)ページの信頼できる証明書(Trusted certificate)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the trusted certificate screen in the Microsoft Intune configuration manager.

    3. 次へ(Next)をクリックします。

  6. 信頼できる証明書(Trusted certificate)ページの構成設定(Configuration settings)タブで、以下を選択します。

    1. 証明書ファイル(Certificate file)Oktaからダウンロードしたx509証明書(CER)ファイルを選択します。

    2. 保存先ストア(Destination store)コンピューター証明書ストア - 中間(Computer certificate store - Intermediate)を選択します。

    3. 次へ(Next)をクリックします。

  7. 信頼できる証明書(Trusted certificate)ページの割り当て(Assignments)タブで、以下を実行します。

    1. 包含グループ(Included groups):信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、SCEPプロファイル(SCEP profile)を割り当てるグループと同じである必要があります。

    2. 次へ(Next)をクリックします。

  8. 信頼できる証明書(Trusted certificate) ページの 適用性ルール(Applicability rules)タブで、必要なルールを構成して次へ(Next)をクリックします。

  9. 信頼できる証明書(Trusted certificate)ページの確認して作成(Review + create)タブで、構成を確認し、作成(Create)をクリックします。

Microsoft IntuneでSCEPプロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルの作成(Create a profile)ページで、以下を行います。

    1. プラットフォーム(Platform) macOS を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)セクションで、SCEP証明書(SCEP certificate)をクリックします。

      The image shows the Create a profile screen.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(SCEP certificate)ページの基本情報(Basics)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the SCEP certificate screen.

    3. 次へ(Next)をクリックします。

  6. SCEP証明書(SCEP certificate)ページの構成設定(Configuration settings)タブで、以下を実行します。

    1. デプロイメントチャネル(Deployment Channel):プロファイルのデプロイ方法を選択します。この設定によって、リンクされた証明書を保存するキーチェーンも決まります。

      • ユーザーチャンネル(User Channel):エンドポイント管理のSCEP証明書を設定する場合は、このチャンネルを選択します。

      • デバイスチャンネル(Device Channel)デバイスアクセスのSCEP証明書を設定する場合は、このチャンネルを選択します。

    2. 証明書タイプ(Certificate type):プロファイルをどのように使用するかに応じて、証明書タイプを選択します。

      • ユーザー(User):エンドポイント管理のSCEP証明書を設定する場合は、 ユーザー(User)を選択します。

      • デバイス(Device)デバイスアクセスのSCEP証明書を設定する場合は、デバイス(Device)を使用します。

    3. サブジェクト名の形式(Subject name format):証明書のサブジェクト名を入力します例:CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}

    4. 証明書の有効期間(Certificate validity period):リストで年(Years)を選択し、次のフィールドに1を入力します。

    5. キー使用法(Key usage)デジタル署名(Digital signature)を選択します。

    6. Key size (bits)(キーサイズ(ビット))2048を選択します。

    7. +ルート証明書(+ Root Certificate)をクリックします。

    8. ルート証明書(Root Certificate)ページで、前のタスクで作成した信頼できる証明書を選択します。

    9. OKをクリックします。

    10. 拡張キー使用法(Extended key usage)で、定義済みの値(Predefined values)クライアント認証(Client Authentication)に設定します。

    11. SCEPサーバーURL(SCEP Server URLs)Oktaで生成したSCEP URLを入力します。

    12. すべてのアプリが秘密鍵にアクセスできるようにする(Allow all apps access to private key)有効化(Enable)を選択します。

      Microsoft Endpoint Configuration Manager SCEP certificate screen.

    13. 次へ(Next)をクリックします。

  7. SCEP証明書(SCEP certificate)ページの割り当て(Assignments)タブで、信頼できる証明書プロファイルを割り当てたのと同じユーザーグループに証明書を割り当てます。次へ(Next)をクリックします。

  8. SCEP証明書(SCEP certificate)ページのレビューと作成(Review + create)タブで、設定内容を確認し、作成(Create)をクリックします。

macOSデバイスで証明書のインストールを確認する

  1. Microsoft Intuneによって管理されるmacOSデバイスで、次のいずれかのキーチェーンエントリを開きます。

    • エンドポイント管理証明書を確認するには、キーチェーン(Keychain) > ログイン(Login)を開きます。

    • デバイスアクセス証明書を検証するには、キーチェーン(Keychain) > システム(System)を開きます。

  2. クライアント証明書と関連する秘密鍵が存在することを確認します。

  3. すべてのアプリが秘密鍵にアクセスできることを確認します。

    1. 秘密鍵をダブルクリックします。

    2. アクセス制御(Access Control)タブをクリックします。

    3. すべてのアプリケーションがこのアイテムにアクセスできるようにする(Allow all applications to access this item)を選択します。

      The image shows the Access Control tab.

    4. 変更を保存(Save Changes)をクリックします。