Microsoft Cloud PKI を使用して、Intuneマネージド デバイスの証明書を発行します。 Microsoft Cloud PKI は、Intuneマネージド デバイスの証明書ライフサイクル管理を簡素化および自動化するクラウドベースのサービスです。 オンプレミスのサーバー、コネクタ、またはハードウェアを必要とせずに、organization専用の公開キー インフラストラクチャ (PKI) を提供します。 サポートされているすべてのプラットフォームの証明書の発行、更新、失効Intune処理されます。
この記事では、microsoft Cloud PKI for Intuneの概要、動作方法、およびそのアーキテクチャについて説明します。
PKI とは
PKI は、デジタル証明書を使用して、デバイスとサービス間のデータを認証および暗号化するシステムです。 PKI 証明書は、VPN、Wi-Fi、電子メール、Web、デバイス ID など、さまざまなシナリオをセキュリティで保護するために不可欠です。 ただし、特に多数のデバイスとユーザーを持つ組織では、PKI 証明書の管理は困難でコストがかかり、複雑になる可能性があります。 Microsoft Cloud PKI を使用して、デバイスとユーザーのセキュリティと生産性を強化し、フル マネージド クラウド PKI サービスへのデジタル変革を加速できます。 さらに、 のクラウド PKI サービスを利用して、Active Directory Certificate Services (ADCS) またはプライベートオンプレミス証明機関のワークロードを削減できます。
前提条件
ライセンス要件
この機能には、Microsoft Intune プラン 1またはプラン 2 に加えてサブスクリプションが必要です。 ライセンス オプションについては、「Microsoft Intune プランと価格」および「Microsoft 365 Security Enterprise Plans」を参照してください。
デバイス プラットフォームの要件
Microsoft Cloud PKI サービスは、次のプラットフォームで使用できます。
- Android
- iOS/iPadOS
- macOS
- Windows
デバイスはIntuneに登録する必要があり、プラットフォームはIntuneデバイス構成 SCEP 証明書プロファイルをサポートする必要があります。
ロールの要件
カスタム Intune ロールに割り当てるには、次のアクセス許可を使用できます。 これらのアクセス許可を使用すると、ユーザーは管理センターで CA を表示および管理できます。
- CA の読み取り: このアクセス許可を割り当てられたすべてのユーザーは、CA のプロパティを読み取ることができます。
- 証明機関の作成: このアクセス許可を割り当てられたユーザーは、ルートまたは発行元の CA を作成できます。
- 発行されたリーフ証明書を取り消す: このアクセス許可を割り当てられたユーザーは、発行元 CA によって発行された証明書を手動で取り消すことができます。 このアクセス許可には、 CA の読み取り アクセス許可も必要です。
スコープ タグをルートに割り当て、CA を発行できます。 カスタム ロールとスコープ タグを作成する方法の詳細については、「Microsoft Intuneを使用したロールベースのアクセス制御」を参照してください。
管理センターでクラウド PKI を管理Microsoft Intune
Microsoft Cloud PKI オブジェクトは、Microsoft Intune管理センターで作成および管理されます。 そこから、次のことができます。
- organizationに Microsoft Cloud PKI を設定して使用します。
- テナントでクラウド PKI を有効にします。
- 証明書プロファイルを作成してデバイスに割り当てます。
- 発行された証明書を監視します。
クラウド PKI 発行 CA を作成した後、数分で証明書の発行を開始できます。
機能の概要
次の表に、Microsoft Cloud PKI とMicrosoft Intuneでサポートされる機能とシナリオを示します。
| 機能 | 概要 |
|---|---|
| Intune テナントに複数の証明機関 (CA) を作成する | クラウドでルートと発行元 CA を使用して 2 層 PKI 階層を作成します。 |
| 独自の CA を持ち込む (BYOCA) | Active Directory Certificate Services または Microsoft 以外の証明書サービスを使用して、Intune発行元 CA をプライベート CA に固定します。 既存の PKI インフラストラクチャがある場合は、同じルート CA を維持し、外部ルートにチェーンする発行元 CA を作成できます。 このオプションには、外部プライベート CA N+ 層階層のサポートが含まれています。 |
| 署名と暗号化アルゴリズム | Intuneでは、RSA、キー サイズ 2048、3072、および 4096 がサポートされます。 |
| ハッシュ アルゴリズム | Intuneでは、SHA-256、SHA-384、SHA-512 がサポートされています。 |
| HSM キー (署名と暗号化) | キーは、マネージド ハードウェア セキュリティ モジュール (Azure マネージド HSM) Azure使用してプロビジョニングされます。 クラウド PKI CA では、HSM 署名キーと暗号化キーが使用されます。 Azure HSM には、Azureサブスクリプションは必要ありません。 |
| ソフトウェア キー (署名と暗号化) | Intune Suite またはスタンドアロン Cloud PKI の試用期間中に作成された CA では、System.Security.Cryptography.RSAを使用してソフトウェアによる署名と暗号化キーが使用されます。 |
| 証明書登録機関 | クラウド PKI 発行元 CA ごとに、簡易証明書登録プロトコル (SCEP) をサポートするクラウド証明機関を提供する。 |
| 証明書失効リスト (CRL) 配布ポイント | Intuneは、CA ごとに CRL 配布ポイント (CDP) をホストします。 CRL の有効期間は 7 日間です。 発行と更新は 3.5 日ごとに行われます。 CRL は、すべての証明書失効で更新されます。 |
| 機関情報アクセス (AIA) エンドポイント | Intuneは、発行元 CA ごとに AIA エンドポイントをホストします。 AIA エンドポイントは、証明書利用者が親証明書を取得するために使用できます。 |
| ユーザーとデバイスのエンド エンティティ証明書の発行 | リーフ証明書の発行とも呼ばれます。 サポートは、SCEP (PKCS#7) プロトコルと認定形式、および SCEP プロファイルをサポートする Intune MDM 登録済みデバイスを対象としています。 |
| 証明書のライフサイクル管理 | エンド エンティティ証明書の発行、更新、取り消し。 |
| レポート ダッシュボード | Intune管理センターの専用ダッシュボードから、アクティブな証明書、期限切れ証明書、失効した証明書を監視します。 発行されたリーフ証明書やその他の証明書のレポートを表示し、リーフ証明書を取り消します。 レポートは 24 時間ごとに更新されます。 |
| 監査 | Intune管理センターでの作成、取り消し、検索アクションなどの管理者アクティビティを監査します。 |
| ロールベースのアクセス制御 (RBAC) のアクセス許可 | Microsoft Cloud PKI アクセス許可を使用してカスタム ロールを作成します。 使用可能なアクセス許可を使用すると、CA の読み取り、CA の無効化と再有効化、発行されたリーフ証明書の取り消し、証明機関の作成を行うことができます。 |
| スコープ タグ | 管理センターで作成した任意の CA にスコープ タグを追加します。 スコープ タグは、追加、削除、編集できます。 |
アーキテクチャ
Microsoft Cloud PKI は、公開キー インフラストラクチャの複雑さと管理を簡素化するために連携するいくつかの主要なコンポーネントで構成されています。 これには、証明機関を作成およびホストするためのクラウド PKI サービスが含まれており、証明書登録機関と組み合わせて、Intune登録されたデバイスからの受信証明書要求を自動的に処理します。 登録機関は、簡易証明書登録プロトコル (SCEP) をサポートしています。
* サービスの詳細については、「 コンポーネント 」を参照してください。
コンポーネント:
A - Microsoft Intune
B - Microsoft Cloud PKI サービス
- B1 - Microsoft Cloud PKI サービス
- B2 - Microsoft Cloud PKI SCEP サービス
- B3 - Microsoft Cloud PKI SCEP 検証サービス
証明機関は、図の B2 と B3 を構成します。
これらのコンポーネントは、オンプレミスの証明機関、NDES、Intune証明書コネクタの必要性を置き換えます。
操作:
デバイスが Intune サービスにチェックインする前に、Microsoft Cloud PKI サービスを管理するためのアクセス許可を持つIntune管理者またはIntuneロールが、次の操作を完了する必要があります。
- ルートと発行元 CA に必要なクラウド PKI 証明機関をMicrosoft Intuneで作成します。
- ルートおよび発行元 CA に必要な信頼証明書プロファイルを作成して割り当てます。
- 必要なプラットフォーム固有の SCEP 証明書プロファイルを作成して割り当てます。
これらのアクションには、コンポーネント B1、B2、および B3 が必要です。
注:
Intuneマネージド デバイスの証明書を発行するには、クラウド PKI 発行元証明機関が必要です。 クラウド PKI は、証明書登録機関として機能する SCEP サービスを提供します。 サービスは、SCEP プロファイルを使用して、Intuneマネージド デバイスに代わって発行元 CA に証明書を要求します。
このフローは、A1 から A5 の図に示されている次のアクションで続行されます。
A1. デバイスは、Intune サービスでチェックインし、信頼された証明書と SCEP プロファイルを受け取ります。
A2. SCEP プロファイルに基づいて、デバイスは証明書署名要求 (CSR) を作成します。 秘密キーはデバイス上に作成され、デバイスから離れることはありません。 CSR と SCEP チャレンジは、クラウドの SCEP サービス (SCEP プロファイルの SCEP URI プロパティ) に送信されます。 SCEP チャレンジは、Intune SCEP RA キーを使用して暗号化され、署名されます。
A3. SCEP 検証サービスは、SCEP チャレンジに対して CSR を検証します。 検証により、登録されたマネージド デバイスからの要求が確実に送信されます。 また、チャレンジがアンペアされていないことと、SCEP プロファイルから予想される値と一致することも保証されます。 これらのチェックのいずれかが失敗した場合、証明書要求は拒否されます。
A4. CSR が検証されると、SCEP 検証サービス ( 登録機関とも呼ばれます) は、発行元 CA が CSR に署名することを要求します。
A5。 署名された証明書は、Intune MDM に登録されたデバイスに配信されます。
注:
SCEP チャレンジは、Intune SCEP 登録機関キーを使用して暗号化され、署名されます。
Microsoft Cloud PKI を試す
試用期間中は、Intune管理センターで Microsoft Cloud PKI 機能を試すことができます。 利用可能な試用版は次のとおりです。
試用期間中は、テナントに最大 6 つの CA を作成できます。 試用版中に作成されたクラウド PKI CA は、ソフトウェアでサポートされるキーを使用し、 System.Security.Cryptography.RSA を使用してキーを生成して署名します。 クラウド PKI ライセンスを購入した後も引き続き CA を使用できます。 ただし、キーはソフトウェアでサポートされたままであり、HSM によってサポートされるキーに変換することはできません。 Microsoft Intune サービスマネージド CA キー。 Azure HSM 機能にAzureサブスクリプションは必要ありません。
CA 構成の例
2 層のクラウド PKI ルート & 発行元 CA と bring-your-own CA は、Intuneに共存できます。 例として提供される次の構成を使用して、Microsoft Cloud PKI で CA を作成できます。
- 1 つのルート CA と 5 つの発行元 CA
- それぞれ 1 つの発行元 CA を持つ 3 つのルート CA
- それぞれ 1 つの発行元 CA を持つ 2 つのルート CA と、2 つの Bring-your-own CA
- 独自の CA を 6 つ持ち込む
既知の問題と制限事項
最新の変更と追加については、「Microsoft Intuneの新機能」を参照してください。
- Intune テナントには、最大 6 つの CA を作成できます。
- ライセンス付きクラウド PKI - Azure mHSM キーを使用して、合計 6 つの CA を作成できます。
- 試用版クラウド PKI - Intune Suite またはスタンドアロン クラウド PKI の試用中に、合計 6 つの CA を作成できます。
- 次の CA の種類は、CA 容量にカウントされます。
- クラウド PKI ルート CA
- クラウド PKI 発行元 CA
- BYOCA 発行元 CA
- 管理センターで、[発行元 CA のすべての証明書を表示する] を選択すると、発行された最初の 1,000 個の証明書のみが表示Intune。 この制限に対処するために積極的に取り組んでいます。 回避策として、[ デバイス>Monitor] に移動します。 次に、[ 証明書 ] を選択して、発行されたすべての証明書を表示します。
- 現在、クラウド PKI を使用しているお客様は 、データ所在地オプション を使用できません。