次の方法で共有

Microsoft クラウド PKIの構成 - 独自の CA を使用する

この記事では、独自の証明機関 (CA) でIntuneのMicrosoft クラウド PKIを構成する方法について説明します。 Intuneサポートされている独自の CA (BYOCA) デプロイ モデルを使用すると、クラウド内のプライベート発行元 CA を作成し、オンプレミスまたはプライベート CA に固定できます。 プライベート CA は、N+1 CA 階層で構成できます。

前提条件

主要な概念や要件など、Microsoft クラウド PKI用にテナントを準備する方法の詳細については、次を参照してください。

  • IntuneのMicrosoft クラウド PKIの概要: アーキテクチャ、テナント要件、機能の概要、既知の問題と制限事項を確認します。

  • デプロイ モデル: Microsoft クラウド PKIデプロイ オプションを確認します。

  • 基礎: 構成と展開の前に知っておくべき重要な PKI の基礎と概念を確認します。

ロールベースのアクセス制御

Microsoft Intune管理センターへのサインインに使用するアカウントには、証明機関 (CA) を作成するためのアクセス許可が必要です。 Microsoft Entra Intune管理者 (Intune サービス管理者とも呼ばれます) アカウントには、CA を作成するための適切な組み込みアクセス許可があります。 または、クラウド PKI CA アクセス許可を管理者ユーザーに割り当てることができます。 詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

手順 1: 発行元 CA と証明書署名要求を作成する

Microsoft Intune管理センターで発行元 CA を作成します。

  1. [テナント管理>クラウド PKIに移動し、[作成] を選択します。

    Microsoft Intune管理センターのクラウド PKI ページの画像。クラウド PKI ルート CA を作成するためのパスが強調表示されています。

  2. [ 基本] に、次のプロパティを入力します。

    • [名前]: CA オブジェクトのわかりやすい名前を入力します。 後で簡単に識別できるように、名前を付けます。 例: Contoso BYOCA 発行元 CA
    • 説明: CA オブジェクトの説明を入力します。 この設定は省略可能ですが、推奨されます。 例: CA を発行するオンプレミスの ADCS に固定された bring-your-own-root-CA を使用して CA を発行クラウド PKI

  3. [ 次へ ] を選択して、[ 構成設定] に進みます。

  4. CA の種類とルート CA ソースを選択します。

    管理センターには、独自の CA クラウド PKIを持ち込むための CA の種類のルート CA ソース設定が表示されます。

    発行元 CA に対して次の設定を構成します。

    • CA の種類: [ 発行元 CA] を選択します
    • ルート CA ソース: [ 独自のルート CA を持ち込む] を選択します。 この設定では、発行元 CA を固定するルート CA ソースを指定します。

  5. 有効期間をスキップします。 この設定は構成できません。 BYOCA 証明書署名要求の署名に使用している CA によって、有効期間が決まります。

  6. [ 拡張キー使用法] で、CA の使用方法を選択します。

    クラウド PKIの [拡張キー使用法] セクションを示す [構成設定] タブの画像。

    潜在的なセキュリティ リスクを防ぐために、CA は選択した使用に限定されます。 次のようなオプションがあります:

    • 種類: CA の目的を選択します。 Any Purpose (2.5.29.37.0) の拡張キーの使用は、過度に許容され、潜在的なセキュリティ リスクであるため、使用できません。 詳細については、「 特権 EKU を使用して過度に許容される証明書テンプレートを編集する」を参照してください。
    • または、カスタム拡張キー使用法を作成するには、[名前] と [オブジェクト識別子] を入力します。

  7. [ サブジェクト属性] に、発行元 CA の 共通名 (CN) を入力します。

    クラウド PKIサブジェクト属性の設定を示す管理センター Intune。

    省略可能な属性は次のとおりです。

    • 組織 (O)
    • 組織単位 (OU)
    • 国 (C)
    • 都道府県 (ST)
    • ロケール (L)

    PKI 標準に準拠するために、Intuneは国/地域に 2 文字の制限を適用します。

  8. [ 暗号化] で、 キー サイズを入力します。

    クラウド PKI構成設定のキー サイズとアルゴリズム設定の画像。

    次のようなオプションがあります:

    • RSA-2048

    • RSA-3072

    • RSA-4096

    この設定では、Intuneでデバイス構成 SCEP 証明書プロファイルを構成するときに使用できる上限キー サイズが適用されます。 これにより、クラウド PKI発行元 CA に設定されているキー サイズまで任意のキー サイズを選択できます。 クラウド PKIでは、1024 キー サイズと SHA-1 ハッシュはサポートされていないことに注意してください。 ただし、ハッシュ アルゴリズムを指定する必要はありません。 CSR の署名に使用している CA によって、ハッシュ アルゴリズムが決まります。

  9. [ 次へ ] を選択して、[ スコープ タグ] に進みます。

  10. 必要に応じて、スコープ タグを追加して、この CA への可視性とアクセスを制御できます。

  11. [ 次へ ] を選択して、[ 確認と作成] に進みます。

  12. 提供された概要を確認します。 すべてを完了する準備ができたら、[ 作成] を選択します。

    重要

    CA を作成した後、これらのプロパティを編集することはできません。 [ 戻る ] を選択して設定を編集し、正しく PKI 要件を満たしていることを確認します。 後で EKU を追加する必要がある場合は、新しい CA を作成する必要があります。

  13. 管理センターの Microsoft クラウド PKI CA リストに戻ります。 [ 最新の情報に更新] を選択して、新しい CA を表示します。

  14. CA を選択します。 [ 基本] で、状態は [ 署名が必要] と読み上げられます。

  15. [プロパティ] に移動します。

  16. [ CSR のダウンロード] を選択します。 INTUNEが CA の名前を持つ REQ 形式のファイルをダウンロードするまで待ちます。 例: Contoso BYOCA Issuing CA.req

手順 2: 証明書署名要求に署名する

ダウンロードした証明書署名要求 (CSR) ファイルに署名するには、プライベート CA が必要です。 署名 CA は、プライベート CA の任意の層からのルート CA または発行元 CA にすることができます。 署名するには、次の 2 つの方法があります。

  • オプション 1: Active Directory Certificate Services (ADCS) の機能である証明機関 Web 登録を使用します。 このオプションは、証明書の要求や更新などの管理者固有のタスクを実行できるシンプルな Web インターフェイスを提供します。

  • オプション 2: Windows ADCS コマンド ライン ツール certreq.exe 実行可能ファイルを使用します。

次の表に、BYOCA デプロイで使用される証明書の署名でサポートされるオブジェクト識別子 (OID) を示します。

サブジェクト名プロパティ オブジェクト識別子
共通名 (CN) OID.2.5.4.3
組織 (O) OID.2.5.4.10
組織単位 (OU) OID.2.5.4.11
ロケール (L) OID.2.5.4.7
州 (ST) または都道府県 OID.2.5.4.8
国 (C) OID.2.5.4.6
タイトル (T) OID.2.5.4.12
シリアル番号 OID.2.5.4.5
Email (E) OID.1.2.840.113549.1.9.1
ドメイン コンポーネント (DC) OID.0.9.2342.19200300.100.1.25
Street OID.2.5.4.9
名前 OID.2.5.4.42
Initials OID.2.5.4.43
郵便番号 OID.2.5.4.17
識別名修飾子 OID.2.5.4.46

証明書の署名の詳細については、CA によって提供されるヘルプ ドキュメントを参照してください。

オプション 1: 証明機関の Web 登録

これらの手順を完了するには、Windows デバイスで notepad.exe を使用するか、macOS の同等のプログラムを使用します。

  1. 発行元 CA の作成後にダウンロードした REQ ファイルを開きます。 ファイルの内容をコピー (Ctrl + C) します。

  2. CA Web 登録を実行している Web ホストにアクセスできるデバイスでブラウザーを開きます。 例: https://WebSrv_running_CAWebEnrollment/certsrv

  3. [ 証明書の要求] を選択します

  4. [高度な証明書要求] を選択します。

  5. 先ほどコピーしたコンテンツを [ 保存された要求 ] 領域に貼り付けます。

  6. [証明書テンプレート] で、[下位証明機関] を選択します。

    注:

    下位 CA テンプレートは、証明書に署名する CA で公開され、使用可能である必要があります。 デバイスで certsrv.msc – 証明機関管理コンソールを開き、使用可能な証明書テンプレートを表示します。

  7. [ 送信] を 選択して続行します。

  8. [ 証明書が発行されました] で、[ DER エンコード 済み] または [ Base 4 encoded] を選択します。 クラウド PKIでは、両方のファイル形式がサポートされています。 次に、次の手順を実行します。

    1. [ 証明書のダウンロード] を選択します。 証明書ファイルがダウンロードされ、 certnew.cerとして保存されます。

    2. [ 証明書チェーンのダウンロード] を選択します。 署名された証明書は、完全な証明書チェーン、ルート CA、およびプライベート CA 階層内の中間または発行 CA 証明書を含めてダウンロードされます。 ファイルは certnew.p7b として保存されます。

    Intuneでは、これらの両方のファイルを使用して、BYOCA の発行元 CA クラウド PKI有効にする必要があります。

  9. この記事の BYOCA 発行元 CA を有効にするには、署名付き証明書のアップロード に進みます。

注:

2 つの異なるワークステーションから管理センターと CA Web 登録コンソールを使用する場合は、管理センター ワークステーションから 2 つの認定ファイルをコピーまたはアクセスできるようにする必要があります。

オプション 2: Windows ADCS コマンド ライン ツール

certreq.exe コマンド ライン ツールを使用して、証明書テンプレートと署名 CA を指定できる CA に証明書要求を送信します。 以前にダウンロードした REQ ファイルは、コマンド ライン ツールを実行している Windows マシン上にある必要があります。

コマンド ラインで次の構文を使用して、選択したテンプレートと署名 CA で証明書要求を送信できます。

certreq -submit -attrib "CertificateTemplate:<template_name>" -config "<CA_server_name>\<CA_name>" <request_file> <response_file>

コマンドの変数を次のように置き換えます。

  1. <template_name>を使用する証明書テンプレートの名前に置き換えます。

  2. <CA_server_name><CA_name>を、証明書要求の署名に使用する CA サーバーの名前と CA の名前に置き換えます。

<request_file>と<response_file>に対するアクションは必要ありません。 これらは、証明書要求を含むファイルの名前と、CA からの応答を含むファイルの名前にそれぞれ置き換えられます。

次の例では、下位 CA テンプレートを使用して証明書要求を送信する方法と、署名を取得する方法について説明します。

  • 例 1: 署名 CA ContosoCACA-Server という名前のサーバーで実行されている。 次のコマンドを使用できます。

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "CA-Server\ContosoCA" certreq.req certnew.cer

  • 例 2: 署名 CA は、Win2k16-subCA という名前のサーバーで実行されている CaleroCorp SubCA (US) という名前です。 次のコマンドを使用できます。

    certreq -submit -attrib "CertificateTemplate:SubCA" -config "Win2k16-subCA\CaleroCorp SubCA (US)" "c:\users\bill.CORP\Documents\CC BYORCA Issuing CA2.csr" c:\Users\bill.CORP\CC-BYOCA-IssuingCA-Signed.cer"

  • 例 3: または、パラメーターを指定せずに certreq.exe を実行すると、最初に REQ ファイルを識別するように求められます。 この方法では、Windows UI を使用して署名プロセスをガイドします。

署名された証明書に加えて、プライベート CA の完全なキー チェーンが必要です。 完全なキー チェーンには、ルート CA と、チェーン内のすべての中間、発行、または下位 CA が含まれます。 コマンド ライン ツールで次の構文を使用して、完全なキー チェーンを P7B ファイルにエクスポートします。

certutil [options] -ca.chain OutCACertChainFile [Index]

ADCS へのネットワーク アクセス権を持つ Windows ドメイン参加済みマシンからコマンドを実行します。 例:

certutil -ca.chain c:\temp\fullChain.p7b

エクスポートされたチェーンを表示し、Windows ファイル エクスプローラーでエクスポートが実行されたことを確認するには:

  1. ファイルがエクスポートされたパスの場所に移動します。
  2. ファイルをダブルクリックして開きます。

ファイル内には、ルート CA と中間 CA を含む完全なチェーンが表示されます。

注:

または、 certmgr.msc または certlm.msc を使用して、プライベート CA チェーン内の各 CA の個々の公開キーをエクスポートすることもできます。 これらのファイルにはそれぞれCER拡張子が付いています。

手順 3: BYOCA 発行元 CA を有効にする署名付き証明書をアップロードする

BYOCA クラウド PKI CA 署名の発行に必要なプロセスを完了し、クラウド内の CA がマネージド デバイスの証明書の発行Intune開始できるようにするには、次のものが必要です。

  • BYOCA 発行元 CA の署名付き証明書。
  • 証明書要求の署名に使用されるプライベート CA の完全なチェーン。

続行する必要があるこれらのタスクを完了する方法については、「 手順 2: 証明書署名要求に署名する」を参照してください。 ファイルは、Microsoft Intune管理センターが実行されているのと同じコンピューターで使用できる必要があります。

  1. 管理センターの クラウド PKI CA の一覧に戻ります。 CA を選択します。 その状態は、「 署名が必要」と読み上げられます。

  2. [プロパティ] に移動し、[署名付き証明書のアップロード] を選択します。

  3. [ 署名済み証明書のアップロード] ウィンドウが開きます。 [ 署名済み証明書のアップロード (.cer、.crt、または .pem) ファイル] で、[参照] を選択 します。 署名された証明書ファイルを選択します。

  4. [ 信頼証明書の 1 つ以上のチェーンをアップロードする (.cer、.crt .pem、または .p7b)] で、ファイルをドラッグ アンド ドロップするか、[ 参照 ] を選択してコンピューター上のファイルを検索します。

  5. [保存] を選択し、証明書Intuneアップロードするまで待ちます。 数分かかる場合があります。

  6. CA リストを更新します。 CA の状態列が [アクティブ] として表示されます。 ルート共通名は 、外部ルート CA として表示されます。

    管理センターで新しく作成された CA を示す画像。

一覧で CA を選択すると、使用可能なプロパティを表示できます。 プロパティの例としては、以下があります。

  • 証明書失効リスト (CRL) 配布ポイント URI。

  • 機関情報アクセス (AIA) URI。

  • クラウド PKI発行元 CA には、SCEP URI が表示されます。 SCEP URI は、プラットフォームが発行するすべての証明書の SCEP 構成プロファイルにコピーする必要があります。

    CA 信頼公開キーをダウンロードする準備ができたら、[ ダウンロード] を選択します。

    注:

    BYOCA 発行元 CA の AIA プロパティはプライベート CA によって定義され、プライベート CA の AIA 構成によって定義されたプロパティが含まれています。 ADCS では、既定の LDAP AIA の場所が使用されます。 プライベート CA が HTTP AIA の場所を提供する場合、BYOCA プロパティには HTTP AIA の場所が表示されます。

手順 4: 証明書信頼プロファイルを作成する

プライベート CA に固定されている クラウド PKI BYOCA 発行元 CA を使用する場合は、プライベート CA 階層内の CA 証明書ごとに、Intune信頼された証明書プロファイルを作成する必要があります。 この手順は、SCEP 証明書を発行するすべてのプラットフォーム (Windows、Android、iOS/iPad、macOS) クラウド PKI要件です。 SCEP プロトコルをサポートするクラウド PKI証明機関との信頼を確立する必要があります。

プロファイルを作成する方法の詳細については、「 信頼された証明書プロファイル」を参照してください。

証明書のエクスポート

エクスポートされた証明書は、チェーン内の各 CA のIntuneで信頼された証明書プロファイルを作成するために使用されます。 プライベート CA を使用している場合は、そのツールを使用して、CA キーチェーンを CER 拡張子を持つ DER または Base 4 でエンコードされた形式のファイル セットにエクスポートする必要があります。 ADCS がプライベート CA の場合は、Windows certutil.exe コマンド ライン ツールを使用して、CA の完全なキーチェーンを .p7b ファイルにエクスポートできます。

ADCS へのネットワーク アクセスを使用して、Windows ドメイン参加済みマシンから次のコマンドを実行します。

certutil [options] -ca.chain OutCACertChainFile [Index]

例:

certutil -ca.chain c:\temp\fullChain.p7b

Windows ファイル エクスプローラーを使用して、エクスポートされたチェーンを表示できます。

  1. .p7b ファイルがエクスポートされたパスの場所に移動し、ファイルをダブルクリックします。 チェーン内のルート CA と中間 CA を含む、完全なチェーンが表示されます。

  2. 一覧の各証明書を右クリックします。

  3. [ すべてのタスク>Export] を選択します。 信頼された証明書を DER 形式でエクスポートします。 certmgr ユーティリティの [発行 先] 列に表示されている CA の共通名と同じ名前を使用して、エクスポートされた証明書ファイルに名前を付けすることをお勧めします。 [ 発行先 ] と [ 発行元 ] の共通名は同じであるため、名前を使用すると、一覧内のルート CA を簡単に見つけることができます。

プライベート ルート CA の信頼された証明書プロファイルを作成する

ダウンロードしたエクスポートされたルート CA ファイルを使用して、信頼できる証明書プロファイルを作成します。 管理センターで、プライベート CA ルート証明書を使用する対象の OS プラットフォームごとに信頼できる証明書プロファイルを作成します。

プライベート下位 CA の信頼された証明書プロファイルを作成する

ダウンロードしたエクスポートされた中間または発行元の CA ファイルを使用して、信頼できる証明書プロファイルを作成します。 管理センターで、発行元 CA ルート証明書を使用する対象の各OS プラットフォームの信頼できる証明書プロファイルを作成します。

CA を発行するための信頼された証明書プロファイルを作成する

ヒント

CA リストで BYOCA CA を見つけるには、次の値を持つ CA を探します。

  • 型: 発行元
  • ルート共通名: 外部ルート CA

  1. 管理センターで、[テナント管理>クラウド PKI] に移動します。

  2. BYOCA 発行元 CA クラウド PKIを選択します。

  3. [プロパティ] に移動します。

  4. [ダウンロード] を選択します。 発行元 CA の公開キーがダウンロードされるまで待ちます。

  5. 管理センターで、対象となる OS プラットフォームごとに 信頼できる証明書プロファイルを作成 します。 を求められたら、ダウンロードした公開キーを入力します。

クラウド PKI BYOCA 用にダウンロードした発行元 CA 証明書は、すべての証明書利用者にインストールする必要があります。

ダウンロードした公開キーに指定されたファイル名は、CA で指定された共通名に基づいています。 Microsoft Edge などの一部のブラウザーでは、.cerまたはその他の既知の証明書拡張機能を含むファイルをダウンロードすると警告が表示されます。 この警告が表示された場合は、[保持] を選択 します

[保存] オプションが強調表示されている [ダウンロード] プロンプトの画像。

手順 5: SCEP 証明書プロファイルを作成する

注:

マネージド デバイスに SCEP 証明書を発行するには、CA の発行クラウド PKIと BYOCA 発行 CA のみを使用Intune。

信頼された証明書プロファイルと同様に、対象となる OS プラットフォームごとに SCEP 証明書プロファイルを作成します。 SCEP 証明書プロファイルは、発行元 CA にリーフ クライアント認証 証明書を要求するために使用されます。 この種類の証明書は、Wi-Fi や VPN アクセスなどの証明書ベースの認証シナリオで使用されます。

  1. テナント管理>クラウド PKIに戻ります。

  2. 発行元の種類を持つ CA 選択します。

  3. [プロパティ] に移動します。

  4. SCEP URI をクリップボードにコピーします。

  5. 管理センターで、対象となる OS プラットフォームごとに SCEP 証明書プロファイルを作成 します。

  6. プロファイルの [ ルート証明書] で、信頼された証明書プロファイルをリンクします。 選択する信頼された証明書は、発行元 CA が CA 階層内でアンカーされているルート CA 証明書である必要があります。

    ルート CA 証明書が選択されているルート証明書の設定の画像。

  7. [SCEP サーバー URL] に、SCEP URI を貼り付けます。 文字列はそのまま {{CloudPKIFQDN}} しておくことが重要です。 Intuneは、プロファイルがデバイスに配信されるときに、このプレースホルダー文字列を適切な FQDN に置き換えます。 FQDN は、コア Intune エンドポイントである *.manage.microsoft.com 名前空間内に表示されます。 Intune エンドポイントの詳細については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。

  8. 次のベスト プラクティスに従って、残りの設定を構成します。

    • サブジェクト名の形式: 指定された変数が、Microsoft Entra IDのユーザーまたはデバイス オブジェクトで使用できることを確認します。 たとえば、このプロファイルのターゲット ユーザーにメール アドレス属性がないのに、このプロファイルのメール アドレスが入力されている場合、証明書は発行されません。 SCEP 証明書プロファイル レポートにもエラーが表示されます。

    • 拡張キー使用法: Microsoft クラウド PKIでは、[任意の目的] オプションはサポートされていません。

      注:

      選択した EKU が、クラウド PKI発行元証明機関 (CA) で構成されていることを確認します。 クラウド PKI発行元 CA に存在しない EKU を選択すると、SCEP プロファイルでエラーが発生します。 また、証明書はデバイスに発行されません。

    • SCEP サーバー URL: NDES/SCEP URL と CA SCEP URL の発行Microsoft クラウド PKI組み合わせないでください。

  9. プロファイルを割り当てて確認します。 すべてを完了する準備ができたら、[ 作成] を選択します。