Microsoft IntuneでのWindows向け委任SCEP

認証局(CA)を構成すると、モバイルデバイス管理(MDM)ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。

目的(Purpose)

Okta Device Access証明書

プラットフォーム

Windows

MDM

Microsoft Intune

SCEP URL

委任(Delegated)

開始する前の確認事項

以下にアクセスできることを確認してください:

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書

  • Okta Admin Console

  • Microsoft Intune

  • Microsoft Azure

このタスクを開始する

  1. 向けAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アプリ資格情報を登録するOkta

  2. でSCEP URLを生成するOkta

  3. からx509証明書をダウンロードするOkta

  4. で信頼できる証明書プロファイルを作成するMicrosoft Intune

  5. でSCEPプロファイルを作成するMicrosoft Intune

  6. Windowsデバイスで証明書のインストールを確認する

Okta向けAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アプリ資格情報を登録する

  1. Microsoft Azureで、Microsoftをクリックします。Azure

  2. +新規登録(+ New registration)をクリックします。

  3. アプリケーションの登録(Register an application)ページで、以下のように入力します。

    1. 名前(Name):アプリのわかりやすい名前を入力します。

    2. サポートされているアカウントの種類(Supported account types):サポートされている適切なアカウントの種類を選択します。

      以下の手順は、この組織のディレクトリ内のアカウントのみ([Your_Tenant_Name]のみ - シングルテナント(Accounts in this organizational directory only ([Your_Tenant_Name] only - Single tenant)を使用します。

    3. リダイレクトURI(任意)(Redirect URI (optional)):このフィールドは空白のままにするか、Webを選択してリダイレクトURIを入力します。

    4. 登録(Register)をクリックします。

  4. アプリページの要点(Essentials)で、アプリケーション(クライアント)ID(Application (client) ID)をコピーします。

    The image indicates where to find the Application (client) ID.

    この値は、この先のタスクのOkta Admin Consoleで必要になります。

  5. クライアントシークレットを追加します。

    1. 左ペインで、証明書とシークレット(Certificates & secrets)をクリックします。

    2. クライアントシークレット(Client secrets)で、+新規クライアントシークレット(+ New client secret)をクリックします。

    3. クライアントシークレットを追加(Add a client secret)セクションで、以下のように入力します。

      • 説明(Description):任意。クライアントシークレットの説明を入力します。

      • 有効期限(Expires):有効期限を選択します。

    4. 追加(Add)をクリックします。

      クライアントシークレット(Client secrets)の下にシークレットが表示されます。

    5. クライアントシークレット(Client secrets)タブで、値(Value)をコピーします。

      The image indicates where to find the client secret value.

  6. scep_challenge_providerの権限を設定します。

    1. 左ペインで、APIのアクセス許可(API permissions)をクリックします。

    2. +アクセス許可を追加(+ Add a permission)をクリックします。

    3. APIのアクセス許可をリクエスト(Request API permissions)ページで、下にスクロールし、Intuneをクリックします。

    4. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(Application permissions)をクリックします。

    5. 権限を選択(Select permissions)検索フィールドにscepと入力します。scep_challenge_providerチェックボックスを選択します。

      The image shows the Request API permissions settings.

    6. アクセス許可の追加(Add permissions)をクリックします。

    7. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

      The image indicates the location of the Grant admin consent button.

    8. 表示されるメッセージではい(Yes)をクリックします。

  7. Microsoft Graphの権限を設定します。

    1. +アクセス許可を追加(+ Add a permission)をクリックします。

    2. APIのアクセス許可をリクエスト(Request API permissions)セクションで、Microsoft Graphをクリックします。

    3. アプリケーションに必要なアクセス許可の種類(What type of permissions does your application require?)の下で、アプリケーションのアクセス許可(What type of permissions does your application require?)(Application permissions)をクリックします。

    4. 権限を選択(Select permissions)検索フィールドにapplicationと入力します。アプリケーション(Application)リストを展開し、Application.Read.Allを選択します。

    5. アクセス許可の追加(Add permissions)をクリックします。

    6. 構成済み権限(Configured permissions)セクションで[Your_Tenant_Name]の管理者の同意を付与する(Grant admin consent for [Your_Tenant_Name])をクリックします。

    7. 表示されるメッセージではい(Yes)をクリックします。

OktaでSCEP URLを生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. デバイスアクセス(Device Access)タブで、SCEP構成を追加(Add SCEP configuration)をクリックします。

  3. SCEP構成を追加(Add SCEP configuration)ページで、次のオプションを選択します。

    SCEP URLチャレンジタイプ(SCEP URL challenge type)動的SCEP URL(Dynamic SCEP URL)を選択し、 Microsoft Intune委任SCEP(delegated SCEP)を選択します。

  4. 生成(Generate)をクリックします。

  5. SCEP URLをコピーして、安全な場所に保存します。

  6. 保存(Save)をクリックします。

Oktaからx509証明書をダウンロードする

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブをクリックします。

  3. Okta CAのアクション(Actions)列で、x509証明書のダウンロード(Download x509 certificate)アイコンをクリックします。

  4. ダウンロードしたファイルの拡張子が.cerになるように名前を変更します。

    Microsoft Intuneで信頼できる証明書プロファイルを作成する場合は、証明書(CER)ファイルが必要です。

Microsoft Intuneで信頼できる証明書プロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルの作成(Create a profile)ページで、以下を行います。

    1. プラットフォーム(Platform)Windows 10以降(Windows 10 and later)を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)セクションで、信頼できる証明書(Trusted certificate)をクリックします。

      The interface page for creating a profile in the Microsoft Endpoint Configuration Manager.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(Trusted certificate)ページの信頼できる証明書(Trusted certificate)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the trusted certificate screen in the Microsoft Intune configuration manager.

    3. 次へ(Next)をクリックします。

  6. 信頼できる証明書(Trusted certificate)ページの構成設定(Configuration settings)タブで、以下を選択します。

    1. 証明書ファイル(Certificate file)Oktaからダウンロードしたx509証明書(CER)ファイルを選択します。

    2. 保存先ストア(Destination store)コンピューター証明書ストア - 中間(Computer certificate store - Intermediate)を選択します。

    3. 次へ(Next)をクリックします。

  7. 信頼できる証明書(Trusted certificate)ページの割り当て(Assignments)タブで、以下を実行します。

    1. 包含グループ(Included groups):信頼できる証明書プロファイルを1つ以上のユーザーグループに割り当てます。ユーザーグループは、SCEPプロファイル(SCEP profile)を割り当てるグループと同じである必要があります。

    2. 次へ(Next)をクリックします。

  8. 信頼できる証明書(Trusted certificate)ページの適用性ルール(Applicability Rules)タブで、以下を実行します。

    1. 必要なルールを構成します。

    2. 次へ(Next)をクリックします。

  9. 信頼できる証明書(Trusted certificate)ページの確認して作成(Review + create)タブで、構成を確認し、作成(Create)をクリックします。

Microsoft IntuneでSCEPプロファイルを作成する

  1. Microsoft Intune管理センターで、デバイス(Devices)に移動します。

  2. 構成プロファイル(Configuration profiles)をクリックします。

  3. +プロファイルの作成(+ Create profile)をクリックします。

  4. プロファイルを作成(Create a profile)ページで、次を選択します。

    1. プラットフォーム(Platform)Windows 10以降(Windows 10 or later)を選択します。

    2. プロファイルタイプ(Profile type)テンプレート(Templates)を選択します。

    3. テンプレート名(Template name)SCEP証明書(SCEP certificate)を選択します。

      The image shows the Create a profile screen.

    4. 作成(Create)をクリックします。

  5. SCEP証明書(SCEP certificate)ページの基本情報(Basics)タブで、以下を実行します。

    1. 名前(Name):証明書の名前を入力します。

    2. 説明(Description):任意。証明書の説明を入力します。

      The image shows the SCEP certificate screen.

    3. 次へ(Next)をクリックします。

  6. SCEP証明書(SCEP certificate)ページの構成設定(Configuration settings)タブで、以下を実行します。

    1. 証明書タイプ(Certificate type):プロファイルをどのように使用するかに応じて、証明書タイプを選択します。

      • ユーザー(User):CAとしてOktaを構成する場合は、ユーザー(User)を選択します。

      • デバイス(Device)デバイスアクセスのSCEP証明書を設定する場合は、デバイス(Device)を使用します。

    2. サブジェクト名の形式(Subject name format):証明書のサブジェクト名を入力します例:CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}

    3. 証明書の有効期間(Certificate validity period)1年に設定します。

    4. Key storage provider (KSP)(キー格納プロバイダー(KSP))Enroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP(Trusted Platform Module(TPM)KSPがある場合は登録します。ない場合は、ソフトウェアKSPに登録します)を選択します。

    5. キー使用法(Key usage)デジタル署名(Digital signature)を選択します。

    6. キーの長さ(Key length)2048を選択します。

    7. ハッシュアルゴリズム([Hash algorithm)]:SHA-2を選択

    8. +ルート証明書(+ Root Certificate)をクリックします。

    9. ルート証明書(Root Certificate)ページで、前のタスクで作成した信頼できる証明書を選択します。

    10. OKをクリックします。

    11. 拡張キー使用法(Extended key usage)で、定義済みの値(Predefined values)クライアント認証(Client Authentication)に設定します。

    12. 更新しきい値(Renewal threshold):この割合を20に設定します。これは、証明書の有効期限が80%になったときに、MDMがデバイス上の証明書を更新することを意味します。

    13. SCEPサーバーURL(SCEP Server URLs)Oktaで生成したSCEPのURLを入力します。

      Microsoft Endpoint Configuration Manager SCEP certificate screen.

    14. 次へ(Next)をクリックします。

  7. SCEP証明書(SCEP certificate)ページの割り当て(Assignments)タブで、信頼できる証明書プロファイルを割り当てたのと同じユーザーグループに証明書を割り当てます。次へ(Next)をクリックします。

  8. SCEP証明書(SCEP certificate) ページの 適用性ルール(Applicability Rules)タブで、必要なルールを構成して次へ(Next)をクリックします。

  9. SCEP証明書(SCEP certificate)ページのレビューと作成(Review + create)タブで、設定内容を確認し、作成(Create)をクリックします。

Windowsデバイスで証明書のインストールを確認する

Windowsコンピューターで、クライアント証明書がインストールされたことを確認します。

  1. [Start(スタート)]をクリックし、 cert[]と入力します。

  2. ユーザー証明書の管理(Manage user certificates)をクリックします。

  3. 証明書 - 現在のユーザー(Certificates - Current User)で、個人(Personal) > 証明書(Certificates)をクリックします。

  4. クライアント証明書が存在することを確認します。

認証局(CA)を確認します。

  1. 証明書 - ローカルコンピューター(Certificates - Local Computer)で、中間認証局(Intermediate Certificate Authority) > 証明書(Certificates)を選択します。

  2. 発行先(Issued To)列で、Organization中間機関(Organization Intermediate Authority)を探します。

  3. 発行者(Issued By)列で、組織中間機関(Organization Intermediate Authority)(Organization Root Authority)組織ルート機関(Organization Root Authority)(Organization Intermediate Authority)が指定されていることを確認します。

証明書が見つからない場合は、以下の手順でWindowsのイベントログを確認します。

  1. Windowsコンピューターで、Windowsをクリックし、Event(Start)と入力して、イベントビューアー(Event Viewer)をクリックします。

  2. アプリケーションとサービスログ(Applications and Service Logs) > DeviceManagement-Enterprise > 管理者(Admin) > Microsoft > Windows を確認します。

  3. 一般(General)タブで、以下を見つけます。

    • SCEP:証明書が正常にインストールされました(SCEP: Certificate installed successfully)

    • SCEP:証明書要求が正常に生成されました(SCEP: Certificate request generated successfully)