翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Connector for SCEP の MDM システムを設定する
Simple Certificate Enrollment Protocol (SCEP) は、証明書の登録と更新に使用される標準プロトコルです。Connector for SCEP は [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) ベースの SCEP サーバーで、 から SCEP クライアント AWS Private Certificate Authority に証明書を自動的に発行します。コネクタを作成すると、Connector for SCEP は SCEP クライアントが証明書をリクエストするための HTTPS エンドポイントを提供します。クライアントは、サービスへの証明書署名リクエスト (CSR) の一部として含まれるチャレンジパスワードを使用して認証します。Connector for SCEP は、Microsoft Intune、Omnissa Workspace ONE、Jamf Pro などの一般的なモバイルデバイス管理 (MDM) システムで使用して、モバイルデバイスを登録できます。SCEP をサポートするクライアントまたはエンドポイントで動作するように設計されています。
Connector for SCEP には、汎用コネクタと Connector for SCEP for Microsoft Intune の 2 種類のコネクタが用意されています。以下のセクションでは、それらの動作と、それらを使用するように MDM システムを設定する方法について説明します。
## 汎用コネクタ
汎用コネクタは、専用コネクタを持つ Microsoft Intune を除き、SCEP をサポートするモバイルデバイスエンドポイントで動作するように設計されています。Jamf Pro や Omnissa Workspace ONE などの汎用コネクタでは、SCEP チャレンジパスワードを管理します。次の図では、例としてモバイルデバイス管理 (MDM) システムを使用していますが、他の SCEP 対応システムまたはデバイスにも同じ機能が適用されます。
![\[Connector for SCEP 汎用コネクタの仕組みについて説明します。\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM システム (または他のデバイスまたはシステム) は、SCEP プロファイルをモバイルクライアントに送信します。SCEP プロファイルには、証明書の有効期間、チャレンジパスワード、証明書の発行に関連するその他の情報など、証明書プロファイルを定義する設定パラメータが含まれています。
1. モバイルクライアントは証明書をリクエストし、チャレンジパスワードを含む証明書署名リクエスト (CSR) も送信します。
1. Connector for SCEP はチャレンジパスワードを検証します。有効な場合、サービスはモバイルクライアント AWS Private CA に代わって に証明書をリクエストします。
1. AWS Private CA は証明書を発行し、Connector for SCEP に送信します。
1. Connector for SCEP は、発行された証明書をモバイルクライアントに送信します。
## AWS Private CA Microsoft Intune 用 SCEP コネクタ
AWS Private CA Connector for SCEP for Microsoft Intune は、Microsoft Intune で使用するように設計されています。Connector for SCEP for Microsoft Intune コネクタタイプでは、Microsoft Intune を使用して SCEP チャレンジパスワードを管理します。Microsoft Intune で Connector for SCEP を使用する方法の詳細については、「」を参照してください[Connector for SCEP の Microsoft Intune を設定するMicrosoft Intune を設定する](connector-for-scep-intune.md)。
Connector for SCEP を Microsoft Intune で使用するには、Microsoft Intune API を使用して特定の機能を有効にし、有効な Microsoft Intune ライセンスを所有している必要があります。[Microsoft Intune® アプリ保護ポリシー](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)も確認する必要があります。
![\[Connector for SCEP for Microsoft Intune の仕組み。\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune は SCEP プロファイルをモバイルクライアントに送信します。プロファイルには、モバイルクライアントが CSR に配置する暗号化されたチャレンジパスワードが含まれています。
1. モバイルクライアントは証明書をリクエストし、CSR を Connector for SCEP に送信します。
1. Connector for SCEP は、認可のために CSR を Microsoft Intune に送信します。
1. Microsoft Intune は、CSR のチャレンジパスワードを復号します。有効な場合、Microsoft Intune は Connector for SCEP に承認を送信し、モバイルクライアントに証明書を発行します。
1. Connector for SCEP は、モバイルクライアント AWS Private CA に代わって から証明書をリクエストします。
1. AWS Private CA は証明書を発行し、Connector for SCEP に送信します。
1. Connector for SCEP は、発行された証明書をモバイルクライアントに送信します。
**Topics**
+ [汎用コネクタ](#connector-for-scep-how-it-works-general-purpose)
+ [AWS Private CA Microsoft Intune 用 SCEP コネクタ](#connector-for-scep-how-it-works-intune)
+ [SCEP 用 Connector の Jamf Pro を設定する](connector-for-scep-general-purpose.md)
+ [Connector for SCEP の Microsoft Intune を設定する](connector-for-scep-intune.md)
+ [Connector for SCEP の Omnissa Workspace ONE を設定する](connector-for-scep-omnissa.md)
# SCEP 用 Connector の Jamf Pro を設定する
Jamf Pro モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、汎用コネクタを作成した後に Jamf Pro を設定する方法について説明します。
## SCEP 用 Connector の Jamf Pro を設定する
このガイドでは、 Connector for SCEP で使用するように Jamf Pro を設定する方法について説明します。Jamf Pro と Connector for SCEP を正常に設定すると、マネージドデバイスに証明書を発行 AWS Private CA できるようになります。
### Jamf Pro の要件
Jamf Pro の実装は、次の要件を満たしている必要があります。
+ Jamf Pro で**証明書ベースの認証を有効にする**設定を有効にする必要があります。この設定の詳細については、Jamf Pro ドキュメントの Jamf Pro [セキュリティ設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)ページを参照してください。
### ステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する
フィンガープリントはプライベート CA の一意の識別子であり、他のシステムやアプリケーションとの信頼を確立するときに CA のアイデンティティを検証するために使用できます。認証機関 (CA) フィンガープリントを組み込むことで、マネージドデバイスは接続先の CA を認証し、予想される CA からのみ証明書をリクエストできます。Jamf Pro で CA フィンガープリントを使用することをお勧めします。
**プライベート CA のフィンガープリントを生成するには**
1. AWS Private CA コンソールから、または [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) を使用して、プライベート CA 証明書を取得します。`ca.pem` ファイルとして保存します。
1. [OpenSSL コマンドラインユーティリティ](https://wiki.openssl.org/index.php/Command_Line_Utilities)をインストールします。
1. OpenSSL で、次のコマンドを実行してフィンガープリントを生成します。
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### ステップ 2: Jamf Pro で外部 CA AWS Private CA として を設定する
SCEP 用のコネクタを作成したら、 を Jamf Pro の外部認証機関 (CA) AWS Private CA として設定する必要があります。をグローバルの外部 CA AWS Private CA として設定できます。または、Jamf Pro 設定プロファイルを使用して、組織内のデバイスのサブセットに証明書を発行するなど、ユースケースごとに AWS Private CA から異なる証明書を発行することもできます。Jamf Pro 設定プロファイルの実装に関するガイダンスは、このドキュメントの範囲外です。
**Jamf Pro で外部認証機関 (CA) AWS Private CA として を設定するには**
1. Jamf Pro コンソールで、設定 > **グローバル** > **PKI 証明書**に移動して**、PKI 証明書****の設定**ページに移動します。
1. **管理証明書テンプレート**タブを選択します。
1. **外部 CA** を選択します。
1. **[Edit]** (編集) を選択します。
1. (オプション) **設定プロファイルの SCEP プロキシとして Jamf Pro を有効にする**を選択します。Jamf Pro 設定プロファイルを使用して、特定のユースケースに合わせた異なる証明書を発行できます。Jamf Pro で設定プロファイルを使用する方法のガイダンスについては、[Jamf Pro ドキュメントの「Jamf Pro を設定プロファイルの SCEP プロキシとして有効にする](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)」を参照してください。
1. **コンピュータとモバイルデバイスの登録に SCEP 対応の外部 CA を使用する** を選択します。
1. (オプション) **コンピュータとモバイルデバイスの登録に SCEP プロキシとして Jamf Pro を使用する**を選択します。プロファイルのインストールに障害が発生した場合は、「」を参照してください[プロファイルのインストール失敗のトラブルシューティング](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. Connector for SCEP **SCEP URL** をコネクタの詳細から Jamf Pro の **URL** フィールドにコピーして貼り付けます。コネクタの詳細を表示するには、Connectors [for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Endpoint`値をコピーすることもできます。
1. (オプション) Name ****フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができます**AWS Private CA**。
1. チャレンジタイプの**静的** を選択します。
1. コネクタからチャレンジパスワードをコピーし、**チャレンジ**フィールドに貼り付けます。コネクタは、複数のチャレンジパスワードを持つことができます。コネクタのチャレンジパスワードを表示するには、 AWS コンソールでコネクタの詳細ページに移動し、**パスワードの表示**ボタンを選択します。または、[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) を呼び出してコネクタのチャレンジパスワード (複数可) を取得し、レスポンスから`Password`値をコピーすることもできます。チャレンジパスワードの使用の詳細については、「」を参照してください[Connector for SCEP の考慮事項と制限を理解する考慮事項と制限事項](c4scep-considerations-limitations.md)。
1. チャレンジパスワードを**チャレンジの検証**フィールドに貼り付けます。
1. **キーサイズ**を選択します。キーサイズは 2048 以上をお勧めします。
1. (オプション) **デジタル署名として使用する**を選択します。これを認証目的で選択して、Wi-Fi や VPN などのリソースへの安全なアクセスをデバイスに付与します。
1. (オプション) **キー暗号化に使用する**を選択します。
1. (オプション - 推奨) **フィンガープリント**フィールドに 16 進文字列を入力します。マネージドデバイスが CA を検証できるように CA フィンガープリントを追加し、CA からの証明書のみをリクエストすることをお勧めします。プライベート CA のフィンガープリントを生成する方法については、「」を参照してください[ステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. **[保存]** を選択します。
### ステップ 3: 設定プロファイル署名証明書を設定する
Connector for SCEP で Jamf Pro を使用するには、コネクタに関連付けられているプライベート CA の署名証明書と CA 証明書を指定する必要があります。これを行うには、両方の証明書を含むプロファイル署名証明書キーストアを Jamf Pro にアップロードします。
証明書キーストアを作成して Jamf Pro にアップロードする手順は次のとおりです。
+ 内部プロセスを使用して証明書署名リクエスト (CSR) を生成します。
+ コネクタに関連付けられたプライベート CA によって署名された CSR を取得します。
+ プロファイル署名と CA 証明書の両方を含むプロファイル署名証明書キーストアを作成します。
+ 証明書キーストアを Jamf Pro にアップロードします。
これらのステップに従うことで、デバイスがプライベート CA によって署名された設定プロファイルを検証および認証し、Jamf Pro で Connector for SCEP を使用できるようになります。
1. 次の例では OpenSSL と を使用していますが AWS Certificate Manager、任意の方法を使用して証明書署名リクエストを生成できます。
------
#### [ AWS Certificate Manager console ]
**ACM コンソールを使用してプロファイル署名証明書を作成するには**
1. ACM を使用して[プライベート PKI 証明書をリクエスト]()します。以下を含めます。
+ **タイプ** - MDM システムの SCEP 認証機関として機能するのと同じプライベート CA タイプを使用します。
+ **認証機関の詳細**セクションで、**認証機関**メニューを選択し、Jamf Pro の CA として機能するプライベート CA を選択します。
+ **ドメイン名** - 証明書に埋め込むドメイン名を指定します。などの完全修飾ドメイン名 (FQDN)`www.example.com`、または `example.com` ( を除く) などのベアドメイン名または apex ドメイン名を使用できます`www.`。
1. ACM を使用して、前のステップで作成した[プライベート証明書をエクスポートします](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。証明書、証明書チェーン、および暗号化されたキーの**ファイルをエクスポート**を選択します。次のステップで必要になるため、**パスフレーズ**は手元に置いてください。
1. ターミナルで、エクスポートされたファイルを含むフォルダで次のコマンドを実行して、前のステップで作成したパスフレーズでエンコードされた`output.p12`ファイルに PKCS\$112 バンドルを書き込みます。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**ACM CLI を使用してプロファイル署名証明書を作成するには**
+ 次のコマンドは、ACM で証明書を作成し、ファイルを PKCS\$112 バンドルとしてエクスポートする方法を示しています。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**OpenSSL CLI を使用してプロファイル署名証明書を作成するには**
1. OpenSSL を使用して、次のコマンドを実行してプライベートキーを生成します。
```
openssl genrsa -out local.key 2048
```
1. 証明書署名リクエスト (CSR) を生成します。
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. を使用して AWS CLI、前のステップで生成した CSR を使用して署名証明書を発行します。次のコマンドを実行し、レスポンスに証明書 ARN を書き留めます。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 次のコマンドを実行して、署名証明書を取得します。前のステップの証明書 ARN を指定します。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 次のコマンドを実行して CA 証明書を取得します。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. OpenSSL を使用して、署名証明書キーストアを p12 形式で出力します。ステップ 4 と 5 で生成した CRT ファイルを使用します。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. プロンプトが表示されたら、エクスポートパスワードを入力します。このパスワードは、Jamf Pro に提供するキーストアパスワードです。
------
1. Jamf Pro で、**管理証明書テンプレート**に移動し、**外部 CA** ペインに移動します。
1. **外部 CA** ペインの下部で、**変更署名と CA 証明書**を選択します。
1. 画面の指示に従って、外部 CA の署名証明書と CA 証明書をアップロードします。
### ステップ 4: (オプション) ユーザー主導の登録中に証明書をインストールする
クライアントデバイスとプライベート CA 間の信頼を確立するには、デバイスが Jamf Pro によって発行された証明書を信頼していることを確認する必要があります。Jamf Pro の[ユーザー主導登録設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.)を使用して、登録プロセス中に証明書をリクエストするときに、 AWS Private CAの CA 証明書をクライアントデバイスに自動インストールできます。
### プロファイルのインストール失敗のトラブルシューティング
**コンピュータおよびモバイルデバイスの登録に SCEP Proxy として Jamf Pro を使用する**を有効にした後にプロファイルのインストールに失敗する場合は、デバイスログを参照して、以下を試してください。
| デバイスログのエラーメッセージ | 緩和策 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 登録中にこのエラーメッセージが表示された場合は、登録を再試行してください。登録が成功するまでに数回の試行が必要になる場合があります。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | チャレンジパスワードの設定が間違っている可能性があります。Jamf Pro のチャレンジパスワードがコネクタのチャレンジパスワードと一致していることを確認します。 |
# Connector for SCEP の Microsoft Intune を設定する
Microsoft Intune モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、Connector for SCEP for Microsoft Intune を作成した後に Microsoft Intune を設定する方法について説明します。
## 前提条件
Connector for SCEP for Microsoft Intune を作成する前に、次の前提条件を満たす必要があります。
+ Entra ID を作成します。
+ Microsoft Intune テナントを作成します。
+ Microsoft Entra ID でアプリ登録を作成します。[アプリ登録のアプリケーションレベルのアクセス許可を管理する方法については、Microsoft Entra ドキュメントの「Microsoft Entra ID でアプリのリクエスト](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)されたアクセス許可を更新する」を参照してください。アプリ登録には、次のアクセス許可が必要です。
+ **Intune **で **scep\$1challenge\$1provider** を設定します。
+ **Microsoft Graph** の場合、**Application.Read.All** と **User.Read** を設定します。
+ アプリケーション登録管理者の同意でアプリケーションを許可する必要があります。詳細については、Microsoft Entra ドキュメントの[「テナント全体の管理者にアプリケーションへの同意を付与](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)する」を参照してください。
**ヒント**
アプリ登録を作成するときは、**アプリケーション (クライアント) ID** と**ディレクトリ (テナント) ID またはプライマリドメイン**を書き留めます。Connector for SCEP for Microsoft Intune を作成するときは、これらの値を入力します。これらの値を取得する方法については、[Microsoft Entra ドキュメントの「Create a Microsoft Entra application and service principal that can access resources](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)」を参照してください。
## ステップ 1: Microsoft Entra ID アプリケーションを使用するアクセス AWS Private CA 許可を付与する
Connector for SCEP for Microsoft Intune を作成したら、Microsoft App Registration でフェデレーティッド認証情報を作成して、Connector for SCEP が Microsoft Intune と通信できるようにする必要があります。
**Microsoft Intune で を外部 CA AWS Private CA として設定するには**
1. Microsoft Entra ID コンソールで、**アプリの登録**に移動します。
1. Connector for SCEP で使用するように作成したアプリケーションを選択します。クリックするアプリケーションのアプリケーション (クライアント) ID は、コネクタの作成時に指定した ID と一致する必要があります。
1. **マネージド**ドロップダウンメニューから**証明書とシークレット**を選択します。
1. **フェデレーティッド認証情報**タブを選択します。
1. **認証情報の追加** を選択します。
1. **フェデレーティッド認証情報のシナリオ**ドロップダウンメニューから、**その他の発行者**を選択します。
1. Connector for SCEP for Microsoft Intune の詳細から**発行者フィールドに OpenID ** **発行者**値をコピーして貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの [Connectors for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Issuer`値をコピーすることもできます。
1. Type で****、**明示的なサブジェクト識別子**を選択します。
1. コネクタから **OpenID サブジェクト**値をコピーして **Value** フィールドに貼り付けます。OpenID 発行者の値は、 AWS コンソールのコネクタの詳細ページで表示できます。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Audience`値をコピーすることもできます。
1. (オプション) Name ****フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができます**AWS Private CA**。
1. (オプション) 説明フィールドに**説明**を入力します。
1. Connector for SCEP for Microsoft Intune の詳細から **OpenID Audience** 値をコピーして**、Audience** フィールドに貼り付けます。コネクタの詳細を表示するには、 AWS コンソールの [Connectors for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Subject`値をコピーすることもできます。
1. **[追加]** を選択します。
## ステップ 2: Microsoft Intune 設定プロファイルを設定する
Microsoft Intune を呼び出す AWS Private CA アクセス許可を付与したら、Microsoft Intune を使用して、証明書の発行のために Connector for SCEP に連絡するようにデバイスに指示する Microsoft Intune 設定プロファイルを作成する必要があります。
1. 信頼された証明書設定プロファイルを作成します。Connector for SCEP で使用しているチェーンのルート CA 証明書を Microsoft Intune にアップロードして、信頼を確立する必要があります。信頼できる証明書設定プロファイルを作成する方法については、[Microsoft Intune ドキュメントの「Microsoft Intune の信頼できるルート証明書プロファイル](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)」を参照してください。
1. デバイスが新しい証明書を必要とするときにコネクタを指す SCEP 証明書設定プロファイルを作成します。設定プロファイルの**プロファイルタイプ**は **SCEP 証明書**である必要があります。設定プロファイルのルート証明書には、前のステップで作成した信頼された証明書を使用していることを確認してください。
**SCEP サーバー URLs**、コネクタの詳細から **SCEP URL** をコピーして **SCEP サーバー URLs**。コネクタの詳細を表示するには、コネクタ [for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html) を呼び出して URL を取得し、レスポンスから`Endpoint`値をコピーすることもできます。Microsoft Intune で設定プロファイルを作成する方法については、Microsoft Intune ドキュメントの[「Microsoft Intune で SCEP 証明書プロファイルを作成して割り当て](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)る」を参照してください。
**注記**
非 mac OS および iOS デバイスの場合、設定プロファイルで有効期間を設定しないと、Connector for SCEP は有効期間が 1 年の証明書を発行します。設定プロファイルで拡張キー使用量 (EKU) 値を設定しない場合、Connector for SCEP は で設定された EKU を使用して証明書を発行します`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`。macOS または iOS デバイスの場合、Microsoft Intune は設定プロファイルの `ExtendedKeyUsage`パラメータまたは `Validity`パラメータを尊重しません。これらのデバイスの場合、Connector for SCEP はクライアント認証を通じてこれらのデバイスに 1 年間の有効期間を持つ証明書を発行します。
## ステップ 3: Connector for SCEP への接続を確認する
Connector for SCEP エンドポイントを指す Microsoft Intune 設定プロファイルを作成したら、登録されたデバイスが証明書をリクエストできることを確認します。確認するには、ポリシーの割り当てに失敗していないことを確認します。確認するには、Intune ポータルで **Device** > **Manage Devices** > **Configuration** に移動し、**Configuration Policy Assignment Failures** に何もリストされていないことを確認します。ある場合は、前の手順の情報を使用してセットアップを確認します。セットアップが正しく、それでも失敗する場合は、[「モバイルデバイスから利用可能なデータを収集](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)する」を参照してください。
デバイス登録の詳細については、Microsoft Intune ドキュメントの[「デバイス登録とは](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)」を参照してください。
# Connector for SCEP の Omnissa Workspace ONE を設定する
Omnissa Workspace ONE UEM (Unified Endpoint Management) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、SCEP コネクタを作成した後に Omnissa Workspace ONE を設定する方法について説明します AWS。
## 前提条件
Omnissa Workspace ONE 用の SCEP コネクタを作成する前に、次の前提条件を満たす必要があります。
+ AWS コンソールでプライベート CA を作成します。詳細については、「[でプライベート CA を作成する AWS Private CA](create-CA.md)」を参照してください。
+ 汎用 SCEP コネクタを作成します。詳細については、[「コネクタの作成](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)」を参照してください。
+ Organization Group ID を持つアクティブな Omnissa Workspace ONE 環境管理者アカウントがある。
+ Apple デバイスを登録する場合は、MDM の Apple Push Notification Service (APNs) を設定します。詳細については、Omnissa ドキュメント[APNs 証明書](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)」を参照してください。
## ステップ 1: Omnissa Workspace ONE で認証機関とテンプレートを定義する
AWS コンソールでプライベート CA と SCEP コネクタを作成したら、Omnissa Workspace ONE で認証機関とテンプレートを定義します。
**認証機関 AWS Private CA として を追加する**
1. **システム**メニューから、**エンタープライズ統合**を選択し、**認証機関**を選択します。
1. **\$1 ADD** を選択し、次の情報を指定します。
+ **名前**: AWS-Private-CA。
+ **説明**: デバイス証明書の発行 AWS Private CA 用。
+ **権限タイプ**: **汎用 SCEP **を選択します。
+ **SCEP URL**: SCEP URL を入力します AWS Private CA。
+ **チャレンジタイプ**: **STATIC** を選択します。
+ **静的チャレンジ**: AWS コンソールで Connector for SCEP 設定から SCEP 静的チャレンジパスワードを入力します。
+ **再試行タイムアウト**値と**最大再試行**値を入力します。
1. 設定を保存します。
**証明書テンプレートを作成する**
1. **システム**メニューから、**エンタープライズ統合**を選択し、**認証機関**を選択し、**テンプレート**を選択します。
1. **テンプレートの追加**を選択し、次の情報を指定します。
+ **テンプレート名**: Device-Cert-Template。
+ **認証機関**: **AWS-Private-CA** を選択します。
+ **サブジェクト名**: これはカスタマイズ可能なフィールドです。属性のリストから変数値を選択できます。例えば、CN=\$1DeviceReportedName\$1、O=\$1DevicePlatform\$1、OU=\$1CustomAttribute1\$1
+ **プライベートキーの長さ**: 2048 ビット。
+ **プライベートキータイプ**: 必要に応じて**署名**と**暗号化**を選択する
+ **自動更新**: 有効/無効 (必要に応じて)。
1. テンプレートを保存します。
## ステップ 2: Omnissa Workspace ONE UEM プロファイル設定を設定する
Omnissa Workspace ONE UEM でプロファイルを作成し、デバイスを Connector for SCEP に指示して証明書を発行します。
**証明書配布用の SCEP デバイスプロファイルを作成する**
1. **リソース**メニューから、**プロファイルとベースライン**を選択し、**プロファイル**を選択します。
1. **Add **を選択してから Add **Profile **を選択します。
1. デバイスプラットフォーム (**Android**、**iOS**、**macOS**、**Windows**) を選択します。
1. 必要に応じて、**管理タイプ**と**コンテキスト**を設定します。
1. **名前** Device-Cert-Profile を設定します。
1. **SCEP ペイロード**までスクロールします。
1. **SCEP** を選択し、**\$1Add** を選択します。
1. 次の設定を使用します。
+ **SCEP**:
+ **認証情報ソース** で、**定義済み認証局** (デフォルト) を選択します。
+ **認証機関**の場合は、**AWS-Private-CA** を選択します。
+ **証明書テンプレート**で、ステップ 1 で定義した **Device-Cert-Template** を選択します。
1. **次へ** を選択し、**「割り当て**」セクションで、リストから適切なスマートグループ (デバイスの割り当てグループ) を選択します。
1. 自動更新を有効にするには、**割り当てタイプ**を**自動**として選択します。
1. プロファイルを保存して公開します。
**注記**
詳細については、Omnissa ドキュメントの[「SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)」を参照してください。
## ステップ 3: Omnissa Workspace ONE にデバイスを登録する
**スマートグループを作成または検証する**
1. Groups **& Settings** から **Groups** を選択し、次に **Assignment Groups** を選択します。
1. POC-Devices スマートグループを作成または編集します。
+ **名前**: POC-Devices。
+ **デバイスタイプ**: **すべて**または特定のプラットフォーム (Android や iOS など) を選択します。
+ **基準**: **UserGroup**、**プラットフォームと OS**、**OEM、モデル**を使用して、ターゲットデバイスをグループ化する基準を指定します。
+ **所有権**: 個人デバイスまたは企業デバイスの場合は**任意の** を選択します。
1. ターゲットデバイスを保存して**プレビュー**タブに表示されることを確認します。
### 手動デバイス登録
Android
+ Google Play から **Workspace ONE Intelligent Hub **アプリをダウンロードします。
+ アプリを開き、登録 URL を入力するか、QR コードをスキャンします。
+ ログインし、プロンプトに従って MDM 管理デバイスとして登録します。
iOS/macOS
+ デバイスで **Safari** を開き、登録 URL (https:///enroll など) に移動します。
+ ユーザー認証情報を使用してログインします。
+ App Store **から Workspace ONE Intelligent Hub** アプリをダウンロードしてインストールします。
+ プロンプトに従って、**設定** > **全般** > **VPN & デバイス管理** > **プロファイル** > ****インストールで MDM プロファイルをインストールします。
Server
+ **Workspace ONE Intelligent Hub **を Workspace ONE サーバーまたは Microsoft Store からダウンロードします。
+ 登録 URL と認証情報を使用して Hub 経由で登録します。
デバイス > **リストビュー** > **その他のアクション** > スマートグループへの割り当てで、登録**済みデバイスを** POC-Devices **スマートグループに割り当てます**。
詳細については、Omnissa ドキュメントの[「自動デバイス登録](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)」を参照してください。
**登録の確認**
1. Omnissa Workspace ONE UEM コンソールで、**デバイス**に移動し、**ビューを一覧表示**します。
1. 登録済みデバイスが表示され、ステータスが**登録**済みに設定されていることを確認します。
1. デバイス**の詳細**の**グループ**タブで、デバイスが POC-Devices スマートグループにあることを確認します。
## ステップ 4: 証明書を発行する
**証明書の発行をトリガーする**
1. **デバイス****リストビュー**で、登録されたデバイスを選択します。
1. **クエリ**ボタンを選択して、チェックインを促します。
1. Device-Cert-Profile は、 を介して証明書を発行する必要があります AWS Private CA。
**証明書のインストールを確認する**
Android
**「設定**」、**「セキュリティ****」、「信頼できる認証情報」、「ユーザー**」を選択して証明書を検証します。 ****
iOS
**「設定**」に移動し、**「全般**」、**「VPN & デバイス管理**」、**「設定プロファイル**」を選択します。AWS-Private-CA の証明書が存在することを確認します。
macOS
**Keychain Access** を開き、**System Keychain** を開いて証明書を検証します。
Server
**certmgr.msc** を開き、次に **Personal** を開き、次に **Certificates** を開いて証明書を検証します。
## トラブルシューティング
SCEP エラー (「22013 - SCEP サーバーが無効なレスポンスを返しました」など)
+ WorkSpace ONE の SCEP URL と静的チャレンジパスワードが一致していることを確認します AWS Private CA。
+ SCEP エンドポイント接続をテストする: curl 。
+ エラー AWS Private CA (`IssueCertificate`失敗など) がないか AWS CloudTrail ログを確認します。
APNsの問題 (iOS/macOS)
+ APNs 証明書が有効で、正しい組織グループに割り当てられていることを確認します。
+ APNs接続のテスト: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195。
プロファイルのインストール失敗
+ デバイスが正しいスマートグループ (**デバイス**、**リストビュー**、**グループ**) にあることを確認します。
+ プロファイルの同期を強制する: **その他のアクション**、**送信**、**プロファイルリスト**。
ログ
+ Android: **Logcat** または Workspace ONE ログを使用します。
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (Xcode/Apple Configurator 経由)。
+ Windows: **イベントビューワー**、**アプリケーションとサービスログ**、**Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM: **モニタリング**、**レポートと分析**、**イベント**、**デバイスイベント**。
での SCEP モニタリング用コネクタの詳細については AWS、「[https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)」を参照してください。
## セキュリティに関する考慮事項
+ SCEP URLs とシークレットを安全に保存します。詳細については、「 [AWS Secrets Manager サービス](https://docs.aws.amazon.com/secretsmanager/)」を参照してください。
+ スマートグループ基準をターゲットデバイスのみに制限します。
+ Apple Push Notifications (APNs) 証明書を定期的に更新します (1 年間有効です)。
+ 概念実証プロジェクトの証明書の有効期間を短く設定して、リスクを最小限に抑えます。
+ 個人用デバイスの場合は、クリーンアップによってすべてのプロファイルと証明書が削除されていることを確認します。
SCEP コネクタを使用して Omnissa Workspace ONE UEM と CA の統合を設定する方法については、[「Omnissa Workspace ONE ドキュメント」の「SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)」を参照してください。