Microsoft マネージド デスクトップ用に証明書とネットワーク プロファイルを準備する

  • [アーティクル]

証明書ベースの認証は、Microsoft Managed Desktop を使用するお客様にとって一般的な要件です。 次の場合に証明書が必要になる場合があります。

  • Wi-Fi または LAN にアクセスする
  • VPN ソリューションへの接続
  • 組織内の内部リソースへのアクセス

Microsoft Managed Desktop デバイスはMicrosoft Entra ID に参加しており、Microsoft Intuneによって管理されるため、次を使用してこのような証明書を展開する必要があります。

  • Simple Certificate Enrollment Protocol (SCEP)、または
  • Intune と統合された公開キー暗号化標準 (PKCS) 証明書インフラストラクチャ。

証明書の要件

SCEP または PKCS インフラストラクチャを使用して証明書を展開するには、ルート証明書が必要です。 組織内の他のアプリケーションやサービスでは、ルート証明書を Microsoft Managed Desktop デバイスに展開することが必要な場合があります。

SCEP または PKCS 証明書を Microsoft Managed Desktop に展開する前に、組織内のユーザーまたはデバイス証明書を必要とする各サービスの要件を収集する必要があります。 このアクティビティを簡単にするために、次のいずれかの計画テンプレートを使用できます:

Wi-Fi 接続要件

エンタープライズ ネットワークに必要な Wi-Fi 構成をデバイスに自動的に提供するには、Wi-Fi 構成プロファイルが必要な場合があります。

これらのプロファイルをデバイスに展開するように Microsoft Managed Desktop を構成できます。 ネットワーク セキュリティでデバイスをローカル ドメインの一部にする必要がある場合は、Wi-Fi ネットワーク インフラストラクチャを評価して、Microsoft Managed Desktop デバイスと互換性があることを確認する必要があります。 Microsoft マネージド デスクトップ デバイスは、参加Microsoft Entraのみです。

Microsoft Managed Desktop デバイスに Wi-Fi 構成を展開する前に、Wi-Fi ネットワークごとに組織の要件を収集する必要があります。 このアクティビティを簡単にするために、この WiFi プロファイル テンプレートを使用できます。

優先接続の要件と 802.1x 認証

802.1x 認証を使用してデバイスからローカル エリア ネットワーク (LAN) へのアクセスをセキュリティで保護する場合は、必要な構成の詳細を Microsoft Managed Desktop デバイスにプッシュする必要があります。

Windows 10 Version 1809 以降を実行している Microsoft Managed Desktop デバイスは、WiredNetwork 構成サービス プロバイダー (CSP) を介した 802.1x 構成の展開をサポートしています。 詳細については、WiredNetwork CSP のドキュメントを参照してください。

有線ネットワーク構成プロファイルを Microsoft Managed Desktop デバイスに展開する前に、ワイヤード (有線) 企業ネットワークに対する組織の要件を収集します。

有線の企業ネットワークの要件を収集するには:

  1. 既存の 802.1x プロファイルが構成され、LAN ネットワークに接続されているデバイスにサインオンします。
  2. 管理者資格情報を使用してコマンド プロンプトを開きます。
  3. netsh interface show interface を実行して LAN インターフェイス名を検索します。
  4. netsh lan export profile folder=. Interface=”interface_name” を実行して LAN プロファイル XML をエクスポートします。
  5. エクスポートしたプロファイルを Microsoft Managed Desktop デバイスでテストする必要がある場合は、netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME" を実行します。

証明書インフラストラクチャの展開

Intune を備えた既存の SCEP または PKCS インフラストラクチャが既にあり、このアプローチが要件を満たしている場合は、Microsoft Managed Desktop にも使用できます。

SCEP または PKCS インフラストラクチャがまだ存在しない場合は、準備する必要があります。 詳細については、「Microsoft Intune でデバイスの証明書プロファイルを構成する」を参照してください。

LAN プロファイルの展開

LAN プロファイルがエクスポートされたら、Microsoft Managed Desktop のポリシーを準備できます。

Microsoft Managed Desktop のポリシーを準備するには:

  1. 次の設定を使用して、LAN プロファイルの Microsoft Intune にカスタム プロファイルを作成します (「Intune で Windows 10 デバイスのカスタム設定を使用する」を参照)。 カスタム OMA-URI 設定で、[追加] を選択し、次の値を入力します:
    • 名前: Modern Workplace-Windows 10 LAN Profile
    • 説明: 設定の概要および他の重要な詳細がわかる説明を入力します。
    • OMA-URI (大文字と小文字が区別されます): ./Device/Vendor/MSFT/WiredNetwork/LanXML を入力します。
    • データ型: 文字列 (XML ファイル) を選択します。
    • カスタム XML: エクスポートされた XML ファイルをアップロードします。
  2. カスタム プロファイルを Modern Workplace デバイス - テスト グループに割り当てます。
  3. テスト展開グループ内のデバイスを使用して、必要と感じるテストを行います。 成功した場合は、カスタム プロファイルを次のグループに割り当てます。
    • Modern Workplace デバイス - 初回
    • Modern Workplace デバイス - 高速
    • Modern Workplace デバイス - 広範

証明書と Wi-Fi/VPN プロファイルの展開

証明書とプロファイルを展開するには:

  1. ルート証明書と中間証明書のそれぞれにプロファイルを作成します (「信頼された証明書プロファイルの作成」を参照してください。 これらの各プロファイルには、DD/MM/YYYY 形式の有効期限を含む説明が必要です。 証明書プロファイルには有効期限が必要です。
  2. SCEP または PKCS 証明書ごとにプロファイルを作成します (「SCEP 証明書プロファイルの作成」または「PKCS 証明書プロファイルの作成」を参照してください)。 これらの各プロファイルには、DD/MM/YYYY 形式の有効期限を含む説明が必要です。 証明書プロファイルには有効期限が必要です。
  3. 各企業 WiFi ネットワークのプロファイルを作成します (Windows 10 以降のデバイスの Wi-Fi 設定を参照してください)。
  4. 各企業 VPN のプロファイルを作成します (「Intune を使用して VPN 接続を追加するには、Windows 10 と Windows Holographic のデバイス設定」を参照してください)。
  5. Modern Workplace デバイス - テストグループにプロファイルを割り当てます。
  6. テスト展開グループ内のデバイスを使用して、必要と感じるテストを行います。 成功した場合は、カスタム プロファイルを次のグループに割り当てます。
    • Modern Workplace デバイス - 初回
    • Modern Workplace デバイス - 高速
    • Modern Workplace デバイス - 広範