SCEP サーバ
[ツール] > [最新デバイス管理] > [MDM 構成] > [共通設定] > [SCEP]
SCEP サーバに接続すると、動的に証明書をプロビジョニングできます。 デバイスが追加されるたびに、SCEP サーバは自動的に証明書を配布します。 これにより、ランダム (非 SCEP) なデバイス登録やアクセスから企業ネットワークとデバイスを効果的に保護します。
この機能の使用は、次のサービスが設定され、完全に構成されていることが前提です。
•Active Directory
•Microsoft Network Device Enrollment Service (NDES) を含む証明書サービス。 このサーバで Windows Server 2012 R2以降を実行することを強くお勧めします。
•NDES サーバは1時間に6個以上のパスワードを許可するように構成してください。 レジストリ設定を使用して、1時間に20パスワードにすることをお勧めします。
•ネットワーク ポリシー サーバ (RADIUS)
•EAP ベースのワイヤレス インフラストラクチャ
•LDMS コンソールで、Directory を構成し、Active Directory に接続します。パススルー ユーザ認証は不十分です。
SCEP サーバに接続すると、エンドポイント マネージャ は CSA 経由で通信します。SCEP サーバは認証局への証明書要求を作成します。 認証局はアクセス ポイントに証明書を発行します。 証明書はデバイス単位で配布されます。
[SCEP 構成] ダイアログには次のフィールドがあります。
•SCEP サーバ URL: NDES サーバのホスト名または IP。 HTTP と HTTPS の両方がサポートされますが、HTTP が推奨されます。ホスト名または IP が末尾に付いた HTTPS のみを含めます。 完全パスを使用しないでください。 Microsoft NDES のみがサポートされているため、URL の最初の部分のみが必要です。
•ユーザ名: NDES をインストールするときに作成したユーザ名
•パスワード: NDES ユーザ名のパスワード。
•ドメイン: NDES ユーザのドメイン。
SCEP サーバとの正常な接続を保証するには、[検証] をクリックします。 成功した場合は、[適用] をクリックします。
[検証] ボタンは、接続を検証するために1時間に送信できる制限された数のチャレンジ ID で設計されています。 パスワード カウンタをリセットするには、NDES サーバで IIS を再起動します。
SCEP をサポートする Apple デバイス プロファイルの作成
SCEP ペイロードを Apple デバイスに配布できます。 SCEP ペイロードには複数のコンポーネントがあり、正しく動作するために構成する必要があります。
- 上述のとおり [ツール] > [最新デバイス管理] > [MDM 構成] > [共通設定] > [SCEP] でSCEP を構成します。
- [ツール] > [構成] > [エージェント設定] で、修正する Apple 構成プロファイルを開きます。
- 構成プロファイル エディタで、証明書ペイロードをクリックし、構成オプションが表示されない場合は、[構成] ボタンをクリックします。
- SCEP サーバ CA Root 証明書をインポートします。
- 構成プロファイル エディタで、SCEP ペイロードをクリックし、構成オプションが表示されない場合は、[構成] ボタンをクリックします。
- 最初の [URL] フィールドには、${SCEPURL}$ データベース変数を許可することが表示されます。 この変数は配布時に手順1で入力した URL によって置換されます。 URL にはこの変数を入力します。
- [名前] フィールドで CA Root 証明書の名前を指定します。
- [件名代替名タイプ] リストで [RFC 822 名] を選択します。
- [件名代替名値] で ${EMAIL}$ と入力し、デバイスを登録したユーザの電子メールを取得するか、ユーザの電子メール アドレスを手動で指定します。
- [NT プリンシパル名] で ${UPN}$ と入力してデバイスを登録したユーザの UPN を取得するか、ユーザ UPN を手動で入力します。
- [チャレンジ タイプ] として [動的] を選択します。
- [SCEP チャレンジ サーバ URL] フィールドで ${SCEPCHLGURL}$ と入力し、サーバの値をデータベースから取得します。 これは手順1で構成された SCEP サーバの URL です。
- [SCEP チャレンジ サーバ ユーザ名] フィールドで ${SCEPCHLGUSRNM}$ と入力し、ユーザの値をデータベースから取得します。 これは手順1で構成された SCEP サーバにアクセスできるユーザ名です。
- [SCEP チャレンジ サーバ パスワード] フィールドで ${SCEPCHLGPSWD}$ と入力し、ユーザ パスワードをデータベースから取得します。 これは手順1で構成された SCEP サーバにアクセスできるユーザ名のパスワードです。
- [キー サイズ] リストで [2048] を選択します。
- [使用] リストで [デジタル署名と暗号化] を選択します。
- 構成プロファイル エディタで [ネットワーク (Wi-Fi)] ペイロードをクリックします。
- [セキュリティ タイプ] オプションで、任意の企業セキュリティ オプションを選択します。
- TLS 認証プロトコルを選択します。
- [ID 証明書] オプションで手順4で追加された CA Root Cert を選択します。
- [信頼] タブをクリックし、[CA Root Cert] を選択します。
- [OK] をクリックして変更内容を保存します。
- プロファイルを配布します。
複数の X.509 証明書を [証明書] ペイロード ページで関連付ける場合は、ユーザが初めて Wi-Fi に接続するときに、使用可能な証明書のリストから証明書を選択する必要があります。 ユーザが正しくない証明書を選択した場合、接続が失敗します。 Apple デバイスでは、ユーザが選択すべき証明書が明確ではない場合があるため、指針を提供する必要がある場合があります。