次の方法で共有


Configuration Managerの証明書プロファイルの前提条件

Configuration Manager (現在のブランチ) に適用

Configuration Managerの証明書プロファイルには、製品に外部の依存関係と依存関係があります。

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

外部からConfiguration Managerへの依存関係

依存関係 詳細
Active Directory Certificate Services (AD CS) を実行しているエンタープライズ発行元証明機関 (CA)。

証明書を取り消すには、階層の上部にあるサイト サーバーのコンピューター アカウントに、Configuration Managerの証明書プロファイルで使用される各証明書テンプレートの発行と証明書の管理権限が必要です。 または、証明書マネージャーに、その CA によって使用されるすべての証明書テンプレートに対するアクセス許可を付与するアクセス許可を付与します

証明書要求に対するマネージャーの承認がサポートされています。 ただし、証明書の発行に使用される証明書テンプレートは、証明書サブジェクトの要求で Supply 用に構成する必要があります。これにより、Configuration Managerはこの値を自動的に指定できます。
Active Directory 証明書サービスの詳細については、「 Active Directory 証明書サービスの概要」を参照してください。
PowerShell スクリプトを使用して、ネットワーク デバイス登録サービス (NDES) ロール サービスと Configuration Manager 証明書登録ポイントの前提条件を確認し、必要に応じてインストールします。

命令ファイルreadme_crp.txtは、ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64 にあります。

PowerShell スクリプト (Test-NDES-CRP-Prereqs.ps1) は、手順と同じディレクトリにあります。

PowerShell スクリプトは、NDES サーバー上でローカルで実行する必要があります。
Windows Server 2012 R2 で実行されている Active Directory 証明書サービスのネットワーク デバイス登録サービス (NDES) ロール サービス。

さらに、

TCP 443 (HTTPS の場合) または TCP 80 (HTTP の場合) 以外のポート番号は、クライアントとネットワーク デバイス登録サービス間の通信ではサポートされていません。

ネットワーク デバイス登録サービスを実行しているサーバーは、発行元 CA とは異なるサーバー上にある必要があります。
Configuration Managerは、Windows Server 2012 R2 のネットワーク デバイス登録サービスと通信して、簡易証明書登録プロトコル (SCEP) 要求を生成して検証します。

Microsoft Intuneによって管理されるモバイル デバイスなど、インターネットから接続するユーザーまたはデバイスに証明書を発行する場合、それらのデバイスはインターネットからネットワーク デバイス登録サービスを実行するサーバーにアクセスできる必要があります。 たとえば、境界ネットワーク (DMZ、非武装地帯、およびスクリーン サブネットとも呼ばれます) にサーバーをインストールします。

ネットワーク デバイス登録サービスを実行しているサーバーと発行元 CA の間にファイアウォールがある場合は、2 つのサーバー間の通信トラフィック (DCOM) を許可するようにファイアウォールを構成する必要があります。 このファイアウォール要件は、Configuration Manager サイト サーバーと発行元 CA を実行しているサーバーにも適用され、証明書Configuration Manager取り消すことができます。

ネットワーク デバイス登録サービスが SSL を必要とするように構成されている場合、セキュリティのベスト プラクティスは、接続デバイスが証明書失効リスト (CRL) にアクセスしてサーバー証明書を検証できることを確認することです。

ネットワーク デバイス登録サービスの詳細については、「ネットワーク デバイス登録サービス でのポリシー モジュールの使用」を参照してください。
PKI クライアント認証証明書とエクスポートされたルート CA 証明書。 この証明書は、ネットワーク デバイス登録サービスを実行しているサーバーを認証してConfiguration Managerします。

詳細については、「Configuration Managerの PKI 証明書の要件」を参照してください。
サポートされているデバイス オペレーティング システム。 証明書プロファイルは、Windows 8.1、Windows RT 8.1、およびWindows 10を実行するデバイスに展開できます。

依存関係のConfiguration Manager

依存関係 詳細
証明書登録ポイントサイト システムの役割 証明書プロファイルを使用する前に、証明書登録ポイントサイト システムの役割をインストールする必要があります。 このロールは、Configuration Manager データベース、Configuration Manager サイト サーバー、Configuration Manager ポリシー モジュールと通信します。

このサイト システムの役割のシステム要件と、階層内の役割をインストールする場所の詳細については、「Configuration Managerサポートされる構成」の「サイト システム要件」セクションを参照してください。

証明書登録ポイントは、ネットワーク デバイス登録サービスを実行するサーバーにインストールしないでください。
Active Directory 証明書サービスのネットワーク デバイス登録サービスロール サービスを実行しているサーバーにインストールされているConfiguration Manager ポリシー モジュール 証明書プロファイルを展開するには、Configuration Manager ポリシー モジュールをインストールする必要があります。 このポリシー モジュールは、Configuration Manager インストール メディアにあります。
検出データ 証明書のサブジェクトとサブジェクトの別名の値は、Configuration Managerによって提供され、検出から収集された情報から取得されます。

ユーザー証明書の場合: Active Directory ユーザー検出

コンピューター証明書の場合: Active Directory システム検出とネットワーク探索
証明書プロファイルを管理するための特定のセキュリティアクセス許可 証明書プロファイル、Wi-Fi プロファイル、VPN プロファイルなど、会社のリソース アクセス設定を管理するには、次のセキュリティ アクセス許可が必要です。

証明書プロファイルのアラートとレポートを表示および管理するには、Alerts オブジェクトのレポートの作成削除変更変更、レポート読み取り、実行をいます。

証明書プロファイルを作成および管理するには、証明書プロファイル オブジェクトの [ポリシーの作成]、[レポートの変更]、[読み取り]、[レポートの実行] の順に選択します。

Wi-Fi、証明書、VPN プロファイルの展開を管理するには、構成ポリシーの展開クライアント状態アラートの変更コレクション オブジェクトのリソースの読み取りおよび読み取りを行います。

すべての構成ポリシーを管理するには、構成ポリシー オブジェクトのセキュリティ スコープの作成削除変更読み取りおよび設定を行います。

証明書プロファイルに関連するクエリを実行するには:Query オブジェクトの読み取りアクセス許可。

Configuration Manager コンソールで証明書プロファイル情報を表示するには:Site オブジェクトの読み取りアクセス許可。

証明書プロファイルのステータス メッセージを表示するには:Status Messages オブジェクトの読み取りアクセス許可。

信頼された CA 証明書プロファイルを作成および変更するには:信頼された CA 証明書プロファイル オブジェクトの [作成者ポリシー]、[レポートの変更]、[読み取り]、および [レポートの実行] です。

VPN プロファイルを作成および管理するには、VPN Profile オブジェクトの [ポリシーの作成]、[レポートの変更]、[読み取り]、[レポートの実行] の順に選択します。

Wi-Fi プロファイルを作成および管理するには、Wi-Fi プロファイル オブジェクトの [ポリシーの作成]、[レポートの変更]、[読み取り]、[レポートの実行] の順に選択します。

Company Resource Access Manager セキュリティ ロールには、Configuration Managerで証明書プロファイルを管理するために必要なこれらのアクセス許可が含まれています。 詳細については、セキュリティの構成に関する記事の 「ロールベースの管理構成」 セクションを参照してください。