Jamf ProでのmacOSの静的SCEP

認証局（CA）を構成すると、モバイルデバイス管理（MDM）ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。

目的（Purpose）	Okta Device Access証明書
プラットフォーム	macOS
MDM	Jamf Pro
SCEP URL	静的

開始する前の確認事項

以下にアクセスできることを確認してください：

デジタル署名用としてデプロイされるが、他の用途（暗号化など）には使用されない証明書
Okta Admin Console
Jamf Proダッシュボード

このタスクを開始する

SCEP URLと秘密鍵を生成する
静的SCEPプロファイルを作成する

SCEP URLと秘密鍵を生成する

Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
デバイスアクセス（Device Access）タブで、SCEP構成を追加（Add SCEP configuration）をクリックします。
SCEP構成を追加（Add SCEP configuration）ページで、次のオプションを選択します。

SCEP URLチャレンジタイプ（SCEP URL challenge type）：静的SCEP URL（Static SCEP URL）
生成（Generate）をクリックします。
SCEP URLと秘密鍵（Secret key）をコピーして、安全な場所に保存します。

Okta Admin Consoleに秘密鍵（Secret key）が表示されるのは、このときだけです。

リセットする必要がある場合は、デバイスアクセス（Device Access）ページのアクション（Actions）メニューにある秘密鍵をリセット（Reset secret key）をクリックします。
保存（Save）をクリックします。

Jamf Proで静的SCEPプロファイルを作成する

プロファイルでは、デバイスがSCEPを使用してCAから証明書を取得できるようにする設定を指定します。

注:

CAとしてのOktaは、更新リクエストをサポートしません。代わりに、間もなく有効期限が切れる証明書を交換するには、証明書の有効期限が切れる前にプロファイルを再配布します。

すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。

Jamf Proでコンピューター（Computers） > 構成プロファイル（Configuration Profiles）に移動します。
新規（New）をクリックします。
一般（General）ページで、次の情報を入力します。
- 名前（Name）：プロファイルの名前を入力します。
- 説明（Description）：オプションです。プロファイルの説明を入力します。
- レベル（Level）：証明書のコンピュータレベル（Computer Level）を選択します。
  - 名前（Name）：プロファイルの名前を入力します。
  - 説明（Description）：オプションです。プロファイルの説明を入力します。
  - レベル（Level）：コンピューターレベル（Computer Level）を選択します。
    
    Okta Verifyはこの証明書を使用して、デバイスアクセスの管理対象のデバイスとユーザーを識別します。
    
    コンピューターレベルの証明書で、デバイスのすべてのユーザーが管理対象として扱われるようになります。
SCEPをクリックし、次に構成（Configure）をクリックします。
SCEPプロファイル（SCEP proﬁle）（SCEP profile）に次の情報を入力します。
- URL：タスク1で保存したSCEP URLを貼り付けます。
- 名前（Name）：SCEPプロファイルの名前を入力します。
- プロファイルの再配布（Redistribute Profile）：SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。
  
  Oktaは、証明書の自動更新をサポートしません。Oktaプロファイルを再配布して、有効期限が切れる証明書を置き換えます。
- 件名（Subject）：証明書を識別するための名前を入力します。
  
  注:
  このフィールドの文字数制限は64文字です。
  
  Jamf Proでは、プロファイルの再配布時に$PROFILE_IDENTIFIERが自動的に追加され、これも64文字の制限に含まれます。この制限を超えると、プロファイルの再配布や証明書の更新が失敗します。
  
  Oktaでは、この件名（Subject）フィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数（$UDIDや$EMAILなど）を含めることもできます。例：
  - コンピュータレベル（Computer Level）：CN=$COMPUTERNAME ma $UDID
  - ユーザーレベル（User Level）：CN=$EMAIL ma $UDID
  （maは管理証明を意味します）
  
  SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。
- チャレンジタイプ（Challenge type）（Challenge Type）：静的（Static）を選択します。
- チャレンジ（Challenge）：タスク1で保存した秘密鍵（Secret Key）を貼り付けます。
- チャレンジの確認（Verify Challenge）：秘密鍵（Secret Key）を再度貼り付けます。
- キーサイズ（Key Size）：2048を選択します。
- デジタル署名として使用する（Use as digital signature）：このオプションを選択します。
- キーチェーンからのエクスポートを許可する（Allow export from keychain）：このオプションの選択を解除します。証明書をエクスポート不可としてマークするのは、セキュリティ上のベストプラクティスです。
- すべてのアプリのアクセスを許可する（Allow all apps access）：このオプションを選択します。
保存（Save）をクリックします。

次の手順

証明書のデプロイメントを検証する