Certificate Connector for Microsoft Intune の前提条件

Certificate Connector for Microsoft Intune をインストールして構成する前に、前提条件とインフラストラクチャの要件を確認します。これらは、サポートするコネクタ インスタンスを構成する機能によって異なる場合があります。

一般的な前提条件

コネクタ ソフトウェアをインストールするコンピューターの要件:

• Windows Server 2012 R2 以降。

  注:

  サーバーのインストールにはデスクトップ エクスペリエンスが含まれ、ブラウザーの使用がサポートされている必要があります。 詳細については、Windows Server 2016 ドキュメントの「デスクトップ エクスペリエンス搭載サーバーのインストール」を参照してください。

• .NET 4.7.2

• トランスポート層セキュリティ (TLS) 1.2。 詳細については、Microsoft Entraドキュメントの「環境での TLS 1.2 のサポートを有効にする」を参照してください。

• サーバーは、マネージド デバイスと同じネットワーク要件を満たす必要があります。 「Microsoft Intune のネットワーク エンドポイント」および「Intune のネットワーク構成の要件と帯域幅」を参照してください。

• コネクタ ソフトウェアの自動更新をサポートするには、サーバーで Azure 更新サービスにアクセスできる必要があります。

  • ポート: 443
  • エンドポイント: autoupdate.msappproxy.net

• 拡張セキュリティ構成 を非アクティブ化する必要があります。

PKCS

PKCS 証明書テンプレートの要件:

• PKCS 要求に使用する証明書テンプレートは、証明書コネクタ サービス アカウントで証明書を登録できるアクセス許可を使用して構成する必要があります。
• 証明書テンプレートを証明機関 (CA) に追加する必要があります。

注:

PKCS をサポートするコネクタの任意のインスタンスを使用して、保留中の PKCS 要求を Intune サービス キューから取得することができ、インポートされた証明書の処理、および失効要求の処理を行うことができます。 各要求を処理するコネクタを定義することはできません。

このため、PKCS をサポートする各コネクタには同じアクセス許可が必要であり、後で PKCS プロファイルで定義されるすべての証明機関に接続できる必要があります。

PKCS インポートされた証明書

PKCS のインポートされた証明書をサポートするには、コネクタをサポートするサーバーには追加の構成が必要です。たとえば、コネクタ サービスのユーザーがキーを取得できるようにキー記憶域プロバイダーのアクセスを構成することなどがあります。

PKCS のインポートされた証明書のサポートについては、「Intune でインポートした PKCS 証明書を構成して使用する」を参照してください。

失効の前提条件

• コネクタ サービス アカウントが証明書を失効できるように、証明機関を構成する必要があります。

SCEP

コネクタをホストする Windows Server は、一般的な前提条件に加えて、次の前提条件を満たす必要があります。

• IIS 7 以降
• ネットワーク デバイス登録サービス (NDES)。これは、Active Directory Domain Services ロールの一部です。 発行元の証明機関 (CA) と同じサーバーではこのコネクタはサポートされていません。 詳細については、「Intune を使用して SCEP をサポートするようにインフラストラクチャを構成する」を参照してください。

Windows Server で、構成するサーバー ロールと機能を次の中から選択します。

• サーバー ロール:

  • Active Directory 証明書サービス
  • Web サーバー (IIS)

• 機能:

  • .NET Framework 4.7 の機能
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF サービス
      • HTTP アクティブ化

• AD CS > 役割サービス:

  • ネットワーク デバイス登録サービス - Microsoft CA を使用する場合、コネクタ SCEP については、ネットワーク デバイス登録サービス (NDES) サーバー ロールをインストールして構成します。 NDES を構成する場合、NDES アプリケーション プールで使用するためのユーザー アカウントを割り当てる必要があります。 NDES には、独自の要件もあります。

• Web サーバー ロール (IIS) > 役割サービス:

  • セキュリティ
    • 要求のフィルタリング
  • アプリケーション開発
    • .NET 拡張機能 4.7
    • ASP.NET 4.7
  • 管理ツール
    • IIS 管理コンソール
    • IIS 6 管理互換
      • IIS 6 メタベース互換
      • IIS 6 WMI 互換

  さらに、NDES では、次の .NET Framework 3.5 機能が必要です。

  • .NET Framework 3.5
  • HTTP アクティブ化

SCEP 証明書テンプレートの要件:

• SCEP 要求に使用する証明書テンプレートは、証明書コネクタ サービス アカウントで証明書を自動登録できるアクセス許可を使用して構成する必要があります。
• 証明書テンプレートを CA に追加する必要があります。

アカウント

証明書コネクタ ソフトウェアをインストールする前に、次のアカウントを準備します。

インストール アカウント

コネクタ ソフトウェアをインストールするには、Windows Server でローカル管理アクセス許可を持つ任意のユーザー アカウントを使用します。 SCEP と Microsoft CA を使用する場合は、この同じアカウントを使用して、NDES Windows サーバー ロールで Windows Server を構成できます。

証明書コネクタ サービス アカウント

証明書コネクタには、サービス アカウントとして使用するアカウントが必要です。 このアカウントは、Windows Server へのアクセス、Intune との通信、PKI 要求を処理するための証明機関へのアクセスを行うためにコネクタによって使用されます。

コネクタ サービス アカウントには、次のアクセス許可が必要です。

• サービスとしてログオン
• 証明機関に対する証明書の発行と管理のアクセス許可 (失効シナリオにのみ必要)。
• 証明書の発行に使用する任意の証明書テンプレートに対する読み取りおよび登録のアクセス許可。
• PFX インポートで使用されるキー記憶域プロバイダー (KSP) へのアクセス許可。 Intune への PFX 証明書のインポートに関するページを参照してください。

次のオプションは、証明書コネクタ サービス アカウントとしての使用がサポートされています。

• SYSTEM
• ドメイン ユーザー - Windows Server の管理者である任意のドメイン ユーザー アカウントを使用します。

詳細については、「Certificate Connector for Microsoft Intune をインストールする」を参照してください。

NDES アプリケーション プールのユーザー

Microsoft CA で SCEP を使用するには、コネクタをインストールする前に、コネクタをホストするサーバーに NDES を追加する必要があります。 NDES を構成する際、アプリケーション プールのユーザーとして使用するアカウントを指定する必要があります。このアカウントは、NDES サービス アカウントと呼ばれる場合もあります。 このアカウントは、ローカルまたはドメイン ユーザー アカウントにすることができ、次のアクセス許可が必要です。

• 証明書の発行に使用する各 SCEP 証明書テンプレートに対する読み取りおよび登録のアクセス許可。
• IIS_IUSRS グループのメンバー。

Certificate Connector for Microsoft Intune の NDES サーバー ロールの構成に関するガイダンスについては、「Intune を使用して SCEP をサポートするようにインフラストラクチャを構成する」の「NDES を設定する」を参照してください。

Microsoft Entra ユーザー

コネクタを構成するときは、グローバル 管理または Intune 管理のいずれかであり、Intune ライセンスが割り当てられているユーザー アカウントを使用する必要があります。

次の手順

Certificate Connector for Microsoft Intune をインストールする