SCEP サーバ

[ツール] > [最新デバイス管理] > [MDM 構成] > [共通設定] > [SCEP]

SCEP サーバに接続すると、動的に証明書をプロビジョニングできます。デバイスが追加されるたびに、SCEP サーバは自動的に証明書を配布します。これにより、企業ネットワークとデバイスをランダム (非 SCEP) デバイス登録とアクセスから効果的に保護します。SCEP は、iOS の Wi-Fi ペイロードの保護にも使用されます。

この機能の使用は、次のサービスが設定され、完全に構成されていることが前提です。

Active Directory

Microsoft Network Device Enrollment Service (NDES) を含む証明書サービス。このサーバで Windows Server 2012 R2以降を実行することを強くお勧めします。

NDES サーバは1時間に6個以上のパスワードを許可するように構成してください。レジストリ設定を使用して、1時間に20パスワードにすることをお勧めします。

ネットワーク ポリシー サーバ (RADIUS)

EAP ベースのワイヤレス インフラストラクチャ

LDMS コンソールで、Directory を構成し、Active Directory に接続します。パススルー ユーザ認証は不十分です。

SCEP サーバに接続すると、エンドポイント マネージャ は CSA 経由で通信します。SCEP サーバは認証局への証明書要求を作成します。認証局はアクセス ポイントに証明書を発行します。証明書はデバイス単位で配布されます。

[SCEP 構成] ダイアログには次のフィールドがあります。

SCEP サーバ URL: NDES サーバのホスト名または IP。HTTP と HTTPS の両方がサポートされますが、HTTP が推奨されます。ホスト名または IP が末尾に付いた HTTPS のみを含めます。完全パスを使用しないでください。Microsoft NDES のみがサポートされているため、URL の最初の部分のみが必要です。

ユーザ名: NDES をインストールするときに作成したユーザ名

パスワード: NDES ユーザ名のパスワード。

ドメイン: NDES ユーザのドメイン。

SCEP サーバとの正常な接続を保証するには、[検証] をクリックします。 成功した場合は、[適用] をクリックします。

[検証] ボタンは、接続を検証するために1時間に送信できる制限された数のチャレンジ ID で設計されています。パスワード カウンタをリセットするには、NDES サーバで IIS を再起動します。

SCEP をサポートする Apple デバイス プロファイルの作成

SCEP ペイロードを Apple デバイスに配布できます。SCEP ペイロードには複数のコンポーネントがあり、正しく動作するために構成する必要があります。

  1. 上述のとおり [ツール] > [最新デバイス管理] > [MDM 構成] > [共通設定] > [SCEP] でSCEP を構成します。
  2. [ツール] > [構成] > [エージェント設定] で、修正する Apple 構成プロファイルを開きます。
  3. 構成プロファイル エディタで、証明書ペイロードをクリックし、構成オプションが表示されない場合は、[構成] ボタンをクリックします。
  4. SCEP サーバ CA ルート証明書をインポートします。
  5. 構成プロファイル エディタで、SCEP ペイロードをクリックし、構成オプションが表示されない場合は、[構成] ボタンをクリックします。
  6. 最初の [URL] フィールドには、${SCEPURL}$ データベース変数を許可することが表示されます。この変数は配布時に手順1で入力した URL によって置換されます。URL にはこの変数を入力します。
  7. [名前] フィールドで CA Root 証明書の名前を指定します。
  8. [件名代替名タイプ] リストで [RFC 822 名] を選択します。
  9. [件名代替名値]${EMAIL}$ と入力し、デバイスを登録したユーザの電子メールを取得するか、ユーザの電子メール アドレスを手動で指定します。
  10. [NT プリンシパル名]${UPN}$ と入力してデバイスを登録したユーザの UPN を取得するか、ユーザ UPN を手動で入力します。
  11. [チャレンジ タイプ] として [動的] を選択します。
  12. [SCEP チャレンジ サーバ URL] フィールドで ${SCEPCHLGURL}$ と入力し、サーバの値をデータベースから取得します。これは手順1で構成された SCEP サーバの URL です。
  13. [SCEP チャレンジ サーバ ユーザ名] フィールドで ${SCEPCHLGUSRNM}$ と入力し、ユーザの値をデータベースから取得します。これは手順1で構成された SCEP サーバにアクセスできるユーザ名です。
  14. [SCEP チャレンジ サーバ パスワード] フィールドで ${SCEPCHLGPSWD}$ と入力し、ユーザ パスワードをデータベースから取得します。これは手順1で構成された SCEP サーバにアクセスできるユーザ名のパスワードです。
  15. [キー サイズ] リストで [2048] を選択します。
  16. [使用] リストで [デジタル署名と暗号化] を選択します。
  17. 構成プロファイル エディタで [ネットワーク (Wi-Fi)] ペイロードをクリックします。
  18. [セキュリティ タイプ] オプションで、任意の企業セキュリティ オプションを選択します。
  19. TLS 認証プロトコルを選択します。
  20. [ID 証明書] オプションで手順4で追加された CARoot Cert を選択します。
  21. [信頼] タブをクリックし、[CARoot Cert] を選択します。
  22. [OK] をクリックして変更内容を保存します。
  23. プロファイルを配布します。

複数の X.509 証明書を [証明書] ペイロード ページで関連付ける場合は、ユーザが初めて Wi-Fi に接続するときに、使用可能な証明書のリストから証明書を選択する必要があります。ユーザが正しくない証明書を選択した場合、接続が失敗します。Apple デバイスでは、ユーザが選択すべき証明書が明確ではない場合があるため、指針を提供する必要がある場合があります。