翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Connector for SCEP の Microsoft Intune を設定する
Microsoft Intune モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、Connector for SCEP for Microsoft Intune を作成した後に Microsoft Intune を設定する方法について説明します。
## 前提条件
Connector for SCEP for Microsoft Intune を作成する前に、次の前提条件を満たす必要があります。
+ Entra ID を作成します。
+ Microsoft Intune テナントを作成します。
+ Microsoft Entra ID でアプリ登録を作成します。[アプリ登録のアプリケーションレベルのアクセス許可を管理する方法については、Microsoft Entra ドキュメントの「Microsoft Entra ID でアプリのリクエスト](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)されたアクセス許可を更新する」を参照してください。アプリ登録には、次のアクセス許可が必要です。
+ **Intune **で **scep\$1challenge\$1provider** を設定します。
+ **Microsoft Graph** の場合、**Application.Read.All** と **User.Read** を設定します。
+ アプリケーション登録管理者の同意でアプリケーションを許可する必要があります。詳細については、Microsoft Entra ドキュメントの[「テナント全体の管理者にアプリケーションへの同意を付与](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)する」を参照してください。
**ヒント**
アプリ登録を作成するときは、**アプリケーション (クライアント) ID** と**ディレクトリ (テナント) ID またはプライマリドメイン**を書き留めます。Connector for SCEP for Microsoft Intune を作成するときは、これらの値を入力します。これらの値を取得する方法については、[Microsoft Entra ドキュメントの「Create a Microsoft Entra application and service principal that can access resources](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)」を参照してください。
## ステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与する
Connector for SCEP for Microsoft Intune を作成したら、Microsoft App Registration でフェデレーティッド認証情報を作成して、Connector for SCEP が Microsoft Intune と通信できるようにする必要があります。
**Microsoft Intune で を外部 CA AWS Private CA として設定するには**
1. Microsoft Entra ID コンソールで、**アプリの登録**に移動します。
1. Connector for SCEP で使用するように作成したアプリケーションを選択します。クリックするアプリケーションのアプリケーション (クライアント) ID は、コネクタの作成時に指定した ID と一致する必要があります。
1. **マネージド**ドロップダウンメニューから**証明書とシークレット**を選択します。
1. **フェデレーティッド認証情報**タブを選択します。
1. **認証情報の追加** を選択します。
1. **フェデレーティッド認証情報のシナリオ**ドロップダウンメニューから、**その他の発行者**を選択します。
1. Connector for SCEP for Microsoft Intune の詳細から**発行者フィールドに OpenID ** **発行者**値をコピーして貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの [Connectors for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Issuer`値をコピーすることもできます。
1. Type で****、**明示的なサブジェクト識別子**を選択します。
1. コネクタから **OpenID サブジェクト**値をコピーして **Value** フィールドに貼り付けます。OpenID 発行者の値は、 AWS コンソールのコネクタの詳細ページで表示できます。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Audience`値をコピーすることもできます。
1. (オプション) Name ****フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができます**AWS Private CA**。
1. (オプション) 説明フィールドに**説明**を入力します。
1. Connector for SCEP for Microsoft Intune の詳細から **OpenID Audience** 値をコピーして**、Audience** フィールドに貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの [Connectors for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Subject`値をコピーすることもできます。
1. **[追加]** を選択します。
## ステップ 2: Microsoft Intune 設定プロファイルを設定する
Microsoft Intune を呼び出す AWS Private CA アクセス許可を付与したら、Microsoft Intune を使用して、証明書の発行のために Connector for SCEP に連絡するようにデバイスに指示する Microsoft Intune 設定プロファイルを作成する必要があります。
1. 信頼された証明書設定プロファイルを作成します。Connector for SCEP で使用しているチェーンのルート CA 証明書を Microsoft Intune にアップロードして、信頼を確立する必要があります。信頼できる証明書設定プロファイルを作成する方法については、[Microsoft Intune ドキュメントの「Microsoft Intune の信頼できるルート証明書プロファイル](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)」を参照してください。
1. デバイスが新しい証明書を必要とするときにコネクタを指す SCEP 証明書設定プロファイルを作成します。設定プロファイルの**プロファイルタイプ**は **SCEP 証明書**である必要があります。設定プロファイルのルート証明書には、前のステップで作成した信頼された証明書を使用していることを確認してください。
**SCEP サーバー URLs**、コネクタの詳細から **SCEP URL** をコピーして **SCEP サーバー URLs**。コネクタの詳細を表示するには、コネクタ [for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html) を呼び出して URL を取得し、レスポンスから`Endpoint`値をコピーすることもできます。Microsoft Intune で設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの[「Microsoft Intune で SCEP 証明書プロファイルを作成して割り当て](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)る」を参照してください。
**注記**
非 mac OS および iOS デバイスの場合、設定プロファイルで有効期間を設定しないと、Connector for SCEP は有効期間が 1 年の証明書を発行します。設定プロファイルで拡張キー使用量 (EKU) 値を設定しない場合、Connector for SCEP は で設定された EKU を使用して証明書を発行します`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`。macOS または iOS デバイスの場合、Microsoft Intune は設定プロファイルの `ExtendedKeyUsage`パラメータまたは `Validity`パラメータを尊重しません。これらのデバイスの場合、Connector for SCEP はクライアント認証を通じてこれらのデバイスに 1 年間の有効期間を持つ証明書を発行します。
## ステップ 3: Connector for SCEP への接続を確認する
Connector for SCEP エンドポイントを指す Microsoft Intune 設定プロファイルを作成したら、登録されたデバイスが証明書をリクエストできることを確認します。確認するには、ポリシーの割り当てに失敗していないことを確認します。確認するには、Intune ポータルで **Device** > **Manage Devices** > **Configuration** に移動し、**Configuration Policy Assignment Failures** に何もリストされていないことを確認します。ある場合は、前の手順の情報を使用してセットアップを確認します。セットアップが正しく、それでも失敗する場合は、[「モバイルデバイスから利用可能なデータを収集](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)する」を参照してください。
デバイス登録の詳細については、Microsoft Intune ドキュメントの[「デバイス登録とは](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)」を参照してください。