Microsoft Cloud PKI のルートと発行元 CA を構成する

この記事では、Microsoft Cloud PKI ルート CA を作成して展開し、Microsoft Intuneで CA を発行する方法について説明します。 発行元 CA は、Intuneで作成した証明書プロファイルに基づいてデバイスに証明書を発行します。

前提条件

主要な概念や要件など、Microsoft Cloud PKI 用にテナントを準備する方法の詳細については、次を参照してください。

• Microsoft Cloud PKI for Intuneの概要: アーキテクチャ、テナント要件、機能の概要、既知の問題と制限事項を確認します。

• デプロイ モデル: Microsoft Cloud PKI デプロイ オプションを確認します。

• 基礎: 構成と展開の前に知っておくべき重要な PKI の基礎と概念を確認します。

ロールベースのアクセス制御

Microsoft Intune管理センターへのサインインに使用するアカウントには、証明機関 (CA) を作成するためのアクセス許可が必要です。 Microsoft Entra Intune管理者 (Intune サービス管理者とも呼ばれます) ロールには、CA を作成するための組み込みのアクセス許可があります。 または、管理者ユーザーに Cloud PKI CA アクセス許可を割り当てることができます。 詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

手順 1: 管理センターでルート CA を作成する

マネージド デバイスへの証明書の発行を開始する前に、トラスト アンカーとして機能するルート CA をテナントに作成する必要があります。 このセクションでは、ルート CA を作成する方法について説明します。 発行元 CA を作成するには、少なくとも 1 つのルート CA を作成する必要があります。

1. Microsoft Intune 管理センターにサインインします。

2. [テナント管理>Cloud PKI] に移動し、[作成] を選択します。

   

3. [ 基本] に、次のプロパティを入力します。

   • [名前]: CA オブジェクトのわかりやすい名前を入力します。 後で簡単に識別できるように、名前を付けます。 例: Contoso C-PKI ルート CA

   • 説明: CA オブジェクトの説明を入力します。 この設定は省略可能ですが、推奨されます。 例: Contoso Corporation の Microsoft Cloud PKI ルート CA

4. [ 次へ ] を選択して、[ 構成設定] に進みます。

5. ルート CA に対して次の設定を構成します。

   • CA の種類: [ルート CA] を選択します。

   • 有効期間: 5、10、15、20、または 25 年を選択します。 カスタム有効期間を使用してルート CA を作成するには、Microsoft Graph APIを使用します。 詳細については、「Intune Graph APIの概要」を参照してください。

6. [ 拡張キー使用法] で、CA の使用方法を選択します。

   

   潜在的なセキュリティ リスクを防ぐために、CA は選択した使用に限定されます。 次のようなオプションがあります:

   • 種類: CA の目的を選択します。 Any Purpose (2.5.29.37.0) EKU は、過度に許容され、潜在的なセキュリティ リスクであるため、使用できません。 過度に制限された証明書テンプレートの詳細については、「 特権 EKU を使用して過度に制限された証明書テンプレートを編集する」を参照してください。

   • または、カスタム拡張キー使用法を作成するには、[名前] と [オブジェクト識別子] を入力します。

     注:

     ルート CA EKU/OID 制約は、発行元 CA のスーパーセットであることに注意してください。 つまり、発行元 CA を作成する場合、ルート CA に対して定義されている EKU のみを選択できます。 ルート CA に EKU を定義しないと、発行元 CA の EKU オプションとして表示されません。

7. [ サブジェクト属性] に、 ルート CA の 共通名 (CN) を入力します。 必要に応じて、次のような他の属性を入力できます。

   • 組織 (O)
   • 国 (C)
   • 州または都道府県 (ST)
   • ロケール (L)

   PKI 標準に準拠するために、Intuneは国/地域に 2 文字の制限を適用します。

8. [ 暗号化] で、[ キーのサイズとアルゴリズム] を入力します。 次のようなオプションがあります:

   • RSA-2048 および SHA-256
   • RSA-3096 および SHA-384
   • RSA-4096 および SHA-512

   

   この設定では、Intuneでデバイス構成 SCEP 証明書プロファイルを構成するときに使用できる上限キー サイズとハッシュ アルゴリズムが適用されます。 これにより、クラウド PKI 発行元 CA で設定されているものまで、任意のキー サイズとハッシュを選択できます。 クラウド PKI では、1024 キー サイズと SHA-1 ハッシュはサポートされていないことに注意してください。

9. [ 次へ ] を選択して、[ スコープ タグ] に進みます。

10. 必要に応じて、スコープ タグを追加して、この CA への可視性とアクセスを制御できます。

11. [ 次へ ] を選択して、[ 確認と作成] に進みます。

12. 提供された概要を確認します。 CA を作成した後、これらのプロパティを編集することはできません。 必要に応じて、[ 戻る ] を選択して設定を編集し、正しく PKI 要件を満たしていることを確認します。 後で別の EKU を追加する必要がある場合は、新しい CA を作成する必要があります。

13. すべてを完了する準備ができたら、[ 作成] を選択します。

14. 管理センターのクラウド PKI CA リストに戻ります。 [ 最新の情報に更新] を選択して、新しい CA を表示します。

    

手順 2: 管理センターで発行元 CA を作成する

Intuneマネージド デバイスの証明書を発行するには、発行元 CA が必要です。 Cloud PKI は、証明書登録機関として機能する SCEP サービスを自動的に提供します。 SCEP プロファイルを使用して、Intuneマネージド デバイスに代わって発行元 CA に証明書を要求します。

注:

Microsoft Cloud PKI では、次の必要はありません。

• NDES サーバーをインストールして構成します。
• Intune証明書コネクタをインストールして構成します。
• NDES サーバー URL へのアクセスを有効にするようにプロキシ サービスを構成します。

1. [テナント管理>Cloud PKI] に戻ります。

2. [ 名前] と [省略可能な 説明] を入力して、この CA をテナント内の他の CA と区別できるようにします。

3. [ 次へ ] を選択して、[ 構成設定] に進みます。

4. CA の種類とルート CA ソースを選択します。

   

   次のようなオプションがあります:

   • CA の種類: [ 発行元 CA] を選択します。 次に、次の追加設定を構成します。

     • ルート CA ソース: [Intune] を選択します。 この設定は、発行元 CA を固定するルート CA ソースを決定します。

     • ルート CA: Intuneで作成したルート CA の 1 つを選択してアンカーします。

5. [ 有効期間] で、2、4、6、8、または 10 年を選択します。 発行元 CA の有効期間をルート CA より長くすることはできません。 カスタム有効期間を使用して発行元 CA を作成するには、Microsoft Graph APIを使用します。 詳細については、「Intune Graph APIの概要」を参照してください。

6. [ 拡張キー使用法] で、CA の使用方法を選択します。 潜在的なセキュリティ リスクを防ぐために、CA は特定の種類の使用に限定されます。 次のようなオプションがあります:

   • 種類: CA の目的を選択します。 Any Purpose (2.5.29.37.0) EKU は、過度に許容され、潜在的なセキュリティ リスクであるため、使用できません。

   • または、カスタム EKU を作成するには、[名前] と [オブジェクト識別子] を入力します。

     注:

     ルート CA で定義されている EKU からのみ選択できます。 ルート CA で EKU を定義しなかった場合、EKU オプションとしてここには表示されません。

7. [ サブジェクト属性] に、 発行元 CA の 共通名 (CN) を入力します。

   

   省略可能な属性は次のとおりです。

   • 組織 (O)
   • 組織単位 (OU)
   • 国 (C)
   • 都道府県 (ST)
   • ロケール (L)

   PKI 標準に準拠するために、Intuneは国/地域に 2 文字の制限を適用します。

8. [ 次へ ] を選択して、[ スコープ タグ] に進みます。

9. 必要に応じて、スコープ タグを追加して、この CA への可視性とアクセスを制御できます。

10. [ 次へ ] を選択して、[ 確認と作成] に進みます。

11. 提供された概要を確認します。 すべてを完了する準備ができたら、[ 作成] を選択します。

    ヒント

    CA を作成した後、これらのプロパティを編集することはできません。 必要に応じて、[ 戻る ] を選択して設定を編集し、正しく PKI 要件を満たしていることを確認します。 後で EKU を追加する必要がある場合は、新しい CA を作成する必要があります。

12. 管理センターの Microsoft Cloud PKI CA リストに戻ります。 [ 更新] を選択して、新しい発行元 CA を確認します。

    

テナント内のルート CA と発行元 CA のプロパティを表示するには、CA を選択し、[プロパティ] に移動 します。 使用可能なプロパティは次のとおりです。

• 証明書失効リスト (CRL) 配布ポイント URI
• 機関情報アクセス (AIA) URI
• SCEP URI - CA のみの発行

これらのエンドポイントの場所をメモして、後で使用できるようにします。 証明書利用者は、これらのエンドポイントに対するネットワークの可視性を必要とします。 たとえば、SCEP プロファイルを作成するときに SCEP URI エンドポイントを知る必要があります。

注:

CRL は 7 日間有効であり、3.5 日ごとに管理センターで更新および再発行されます。 更新は、エンド エンティティ証明書が取り消されるたびにも行われます。

Cloud PKI に必要な信頼された証明書プロファイルを作成するときは、ルート CA 証明書の公開キーと CA 証明書の発行が必要です。 公開キーは、SCEP 証明書プロファイルを使用して証明書を要求するときに、Intuneマネージド デバイスとクラウド PKI の間で信頼のチェーンを確立します。 [ ダウンロード ] を選択して、これらの証明書の公開キーをダウンロードします。 持っている CA ごとにこの手順を繰り返します。 ルート証明書と発行元の CA 証明書は、証明書ベースの認証をサポートする証明書利用者または認証エンドポイントにもインストールする必要があります。

手順 3: 証明書プロファイルを作成する

証明書を発行するには、ルートと CA を発行するための信頼された証明書プロファイルを作成する必要があります。 信頼された証明書プロファイルは、SCEP プロトコルをサポートするクラウド PKI 証明書登録機関との信頼を確立します。 Cloud PKI SCEP 証明書を発行するプラットフォーム (Windows、Android、iOS/iPad、macOS) ごとに必要な信頼できる証明書プロファイル。

この手順では、次の操作を行う必要があります。

• Cloud PKI ルート CA の信頼された証明書プロファイルを作成します。
• クラウド PKI 発行元 CA の信頼された証明書プロファイルを作成します。
• クラウド PKI 発行元 CA の SCEP 証明書プロファイルを作成します。

信頼された証明書プロファイルを作成する

管理センターで、対象となる OS プラットフォームごとに信頼できる証明書プロファイルを作成します。 ルート CA 証明書用に 1 つの信頼された証明書プロファイルを作成し、もう 1 つを発行元 CA 用に作成します。 手順については、「 信頼された証明書プロファイルを作成する」を参照してください。

を求められたら、ルート CA と発行元 CA の公開キーを入力します。 CA の公開キーをダウンロードするには、次の手順を実行します。

ルート CA の場合:

1. Microsoft Intune 管理センターにサインインします。
2. [テナント管理>Cloud PKI] に移動します。
3. ルートの種類を持つ CA を選択します。
4. [プロパティ] に移動します。
5. [ダウンロード] を選択します。 公開キーのダウンロードを待ちます。

発行元 CA の場合:

1. クラウド PKI リストに戻ります。
2. 発行元の種類を持つ CA を選択します。
3. [プロパティ] に移動します。
4. [ダウンロード] を選択します。 公開キーのダウンロードを待ちます。

クラウド PKI ルート CA とダウンロードした発行元 CA は、すべての証明書利用者にインストールする必要があります。

ダウンロードした公開キーに指定されたファイル名は、CA で指定された共通名に基づいています。 Microsoft Edge などの一部のブラウザーでは、.cerまたはその他の既知の証明書拡張機能を含むファイルをダウンロードすると警告が表示されます。 この警告が表示された場合は、[保持] を選択 します。

SCEP 証明書プロファイルを作成する

注:

マネージド デバイスに SCEP Intune 証明書を発行するには、クラウド PKI 発行 CA (BYOCA 発行 CA を含む) のみを使用できます。

信頼できる証明書プロファイルの場合と同様に、対象となる OS プラットフォームごとに SCEP 証明書プロファイルを作成します。 SCEP 証明書プロファイルは、発行元 CA にリーフ クライアント認証 証明書を要求するために使用されます。 この種類の証明書は、Wi-Fi や VPN アクセスなどの証明書ベースの認証シナリオで使用されます。

1. [テナント管理>Cloud PKI] に戻ります。

2. 発行元の種類を持つ CA を 選択します。

3. [プロパティ] に移動します。

4. SCEP URI プロパティの横にある [ クリップボードにコピー] を選択します。

5. 管理センターで、対象となる OS プラットフォームごとに SCEP 証明書プロファイルを作成します。 手順については、「 SCEP 証明書プロファイルの作成」を参照してください。

6. プロファイルの [ ルート証明書] で、信頼された証明書プロファイルをリンクします。 選択する信頼された証明書は、発行元 CA が CA 階層内でアンカーされているルート CA 証明書である必要があります。

   

7. [SCEP サーバー URL] に、SCEP URI を貼り付けます。 文字列はそのまま {{CloudPKIFQDN}} しておくことが重要です。 Intuneは、プロファイルがデバイスに配信されるときに、このプレースホルダー文字列を適切な FQDN に置き換えます。 FQDN は、コア Intune エンドポイントである *.manage.microsoft.com 名前空間内に表示されます。 Intune エンドポイントの完全な一覧については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。

8. 次のベスト プラクティスに従って、残りの設定を構成します。

   • サブジェクト名の形式: 指定された変数が、Microsoft Entra IDのユーザーまたはデバイス オブジェクトで使用できることを確認します。 たとえば、このプロファイルのターゲット ユーザーにメール アドレス属性がないのに、このプロファイルのメール アドレスが入力されている場合、証明書は発行されません。 SCEP 証明書プロファイル レポートにもエラーが表示されます。

   • 拡張キー使用法 (EKU): Microsoft Cloud PKI では、[ 任意の目的] オプションはサポートされていません。

     注:

     選択した EKU がクラウド PKI 発行元証明機関 (CA) で構成されていることを確認します。 クラウド PKI 発行元 CA に存在しない EKU を選択すると、SCEP プロファイルでエラーが発生します。 また、証明書はデバイスに発行されません。

   • SCEP サーバー URL: NDES URL と SCEP URL を Microsoft Cloud PKI 発行 CA SCEP URL と組み合わせないでください。

9. プロファイルを割り当てて確認します。 すべてを完了する準備ができたら、[ 作成] を選択します。