Configuration Managerの証明書プロファイルの概要
Configuration Manager (現在のブランチ) に適用
重要
バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。
証明書プロファイルは、Active Directory 証明書サービスとネットワーク デバイス登録サービス (NDES) ロールで動作します。 ユーザーが組織のリソースに簡単にアクセスできるように、マネージド デバイスの認証証明書を作成して展開します。 たとえば、ユーザーが VPN とワイヤレス接続に接続するために必要な証明書を提供するために、証明書プロファイルを作成して展開できます。
証明書プロファイルでは、Wi-Fi ネットワークや VPN サーバーなどの組織のリソースにアクセスするためのユーザー デバイスを自動的に構成できます。 ユーザーは、証明書を手動でインストールしたり、帯域外プロセスを使用したりすることなく、これらのリソースにアクセスできます。 証明書プロファイルは、公開キー インフラストラクチャ (PKI) でサポートされているより安全な設定を使用できるため、リソースのセキュリティ保護に役立ちます。 たとえば、マネージド デバイスに必要な証明書を展開しているため、すべてのWi-Fi接続と VPN 接続に対してサーバー認証が必要です。
証明書プロファイルには、次の管理機能があります。
さまざまな OS の種類とバージョンを実行するデバイスの証明機関 (CA) からの証明書の登録と更新。 これらの証明書は、Wi-Fiと VPN 接続に使用できます。
信頼されたルート CA 証明書と中間 CA 証明書のデプロイ。 これらの証明書は、サーバー認証が必要な場合に、VPN 接続とWi-Fi接続のデバイスで信頼のチェーンを構成します。
インストールされている証明書を監視して報告します。
例 1: すべての従業員は、複数のオフィスの場所にあるWi-Fiホットスポットに接続する必要があります。 簡単なユーザー接続を有効にするには、まず Wi-Fi に接続するために必要な証明書を展開します。 次に、証明書Wi-Fi参照するプロファイルをデプロイします。
例 2: PKI が設定されている。 より柔軟で安全な証明書の展開方法に移行する必要があります。 ユーザーは、セキュリティを損なうことなく、個人のデバイスから組織のリソースにアクセスする必要があります。 特定のデバイス プラットフォームでサポートされている設定とプロトコルを使用して証明書プロファイルを構成します。 その後、デバイスはインターネットに接続する登録サーバーからこれらの証明書を自動的に要求できます。 次に、デバイスが組織のリソースにアクセスできるように、これらの証明書を使用するように VPN プロファイルを構成します。
型
証明書プロファイルには、次の 3 種類があります。
信頼された CA 証明書: 信頼されたルート CA または中間 CA 証明書をデプロイします。 これらの証明書は、デバイスがサーバーを認証する必要があるときに信頼のチェーンを形成します。
簡易証明書登録プロトコル (SCEP): SCEP プロトコルを使用して、デバイスまたはユーザーの証明書を要求します。 この種類には、R2 以降を実行しているサーバー上のネットワーク デバイス登録サービス (NDES) ロールWindows Server 2012必要です。
簡易証明書登録プロトコル (SCEP) 証明書プロファイルを作成するには、まず信頼された CA 証明書プロファイルを作成します。
個人情報交換 (.pfx): デバイスまたはユーザーの .pfx (PKCS #12 とも呼ばれます) 証明書を要求します。 PFX 証明書プロファイルを作成するには、次の 2 つの方法があります。
- 既存の証明書から資格情報をインポートする
- 要求を処理する証明機関を定義する
注:
Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「 更新プログラムからオプション機能を有効にする」を参照してください。
Microsoftまたは Entrust は、個人情報交換 (.pfx) 証明書の証明機関として使用できます。
要件
SCEP を使用する証明書プロファイルを展開するには、サイト システム サーバーに証明書登録ポイントをインストールします。 また、Configuration Manager ポリシー モジュールである NDES のポリシー モジュールを、Windows Server 2012 R2 以降を実行するサーバーにインストールします。 このサーバーには、Active Directory Certificate Services ロールが必要です。 また、証明書を必要とするデバイスからアクセスできる動作する NDES も必要です。 デバイスがインターネットからの証明書に登録する必要がある場合は、インターネットから NDES サーバーにアクセスできる必要があります。 たとえば、インターネットから NDES サーバーへのトラフィックを安全に有効にするには、Azure アプリケーション プロキシを使用できます。
PFX 証明書には、証明書登録ポイントも必要です。 また、証明書の証明機関 (CA) と関連するアクセス資格情報も指定します。 証明機関として Microsoft または Entrust を指定できます。
Configuration Managerが証明書を展開できるように NDES がポリシー モジュールをサポートする方法の詳細については、「ネットワーク デバイス登録サービスでポリシー モジュールを使用する」を参照してください。
要件に応じて、Configuration Managerでは、さまざまなデバイスの種類とオペレーティング システム上の異なる証明書ストアへの証明書の展開がサポートされます。 次のデバイスとオペレーティング システムがサポートされています。
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
注:
Configuration Managerオンプレミス MDM を使用して、Windows Phone 8.1 とWindows 10 Mobileを管理します。 詳細については、「 オンプレミス MDM」を参照してください。
Configuration Managerの一般的なシナリオは、信頼されたルート CA 証明書をインストールしてWi-Fiと VPN サーバーを認証することです。 一般的な接続では、次のプロトコルが使用されます。
- 認証プロトコル: EAP-TLS、EAP-TTLS、PEAP
- VPN トンネリング プロトコル: IKEv2、L2TP/IPsec、および Cisco IPsec
デバイスが SCEP 証明書プロファイルを使用して証明書を要求するには、エンタープライズ ルート CA 証明書をデバイスにインストールする必要があります。
SCEP 証明書プロファイルで設定を指定して、さまざまな環境または接続要件に合わせてカスタマイズされた証明書を要求できます。 証明書プロファイルの作成ウィザードには、登録パラメーター用の 2 つのページがあります。 最初の SCEP 登録には、登録要求の設定と証明書をインストールする場所が含まれます。 2 つ目の [証明書のプロパティ] では、要求された証明書自体について説明します。
展開
SCEP 証明書プロファイルをデプロイすると、Configuration Manager クライアントによってポリシーが処理されます。 次に、管理ポイントから SCEP チャレンジ パスワードを要求します。 デバイスは公開キーと秘密キーのペアを作成し、証明書署名要求 (CSR) を生成します。 この要求は NDES サーバーに送信されます。 NDES サーバーは、NDES ポリシー モジュールを介して証明書登録ポイント サイト システムに要求を転送します。 証明書登録ポイントは、要求を検証し、SCEP チャレンジ パスワードを確認し、要求が改ざんされていないことを確認します。 その後、要求を承認または拒否します。 承認された場合、NDES サーバーは署名要求を接続された証明機関 (CA) に送信して署名を行います。 CA は要求に署名し、証明書を要求デバイスに返します。
証明書プロファイルをユーザーまたはデバイス コレクションに展開します。 証明書ごとに宛先ストアを指定できます。 適用規則は、デバイスが証明書をインストールできるかどうかを決定します。
ユーザー コレクションに証明書プロファイルを展開すると、 ユーザー デバイス アフィニティ によって、証明書をインストールするユーザーのデバイスが決まります。 ユーザー証明書を含む証明書プロファイルをデバイス コレクションに展開する場合、既定では、各ユーザーのプライマリ デバイスによって証明書がインストールされます。 任意のユーザーのデバイスに証明書をインストールするには、証明書プロファイルの作成ウィザードの [SCEP 登録] ページでこの動作を変更します。 デバイスがワークグループ内にある場合、Configuration Managerはユーザー証明書を展開しません。
監視する
コンプライアンスの結果またはレポートを表示することで、証明書プロファイルの展開を監視できます。 詳細については、「 証明書プロファイルを監視する方法」を参照してください。
自動失効
Configuration Managerは、次の状況で証明書プロファイルを使用して展開されたユーザー証明書とコンピューター証明書を自動的に取り消します。
デバイスはConfiguration Manager管理から廃止されます。
デバイスは、Configuration Manager階層からブロックされます。
証明書を取り消すために、サイト サーバーは失効コマンドを発行元証明機関に送信します。 失効の理由は 、操作の停止です。
注:
証明書を適切に取り消すには、階層内の最上位サイトのコンピューター アカウントに、CA で証明書を 発行および管理 するためのアクセス許可が必要です。
セキュリティを強化するために、CA の CA マネージャーを制限することもできます。 次に、サイト上の SCEP プロファイルに使用する特定の証明書テンプレートに対してのみ、このアカウントのアクセス許可を付与します。