Certificate Connector for Microsoft Intune

  • [アーティクル]

Microsoft Intune で、認証での証明書の使用、および S/MIME を使った電子メールの署名と暗号化をサポートするために、Certificate Connector for Microsoft Intune を使用できます。 証明書コネクタは、Intune のマネージド デバイスの証明書の配信と管理に役立つ、オンプレミス サーバーにインストールするソフトウェアです。

この記事では、Certificate Connector for Microsoft Intune、そのライフサイクル、およびそれを最新の状態に保つ方法について説明します。

ヒント

2021 年 7 月 29 日以降、Certificate Connector for Microsoft Intune が、PFX Certificate Connector for Microsoft Intune および Microsoft Intune Connector に代わり使用されることになりました。 新しいコネクタには、前のコネクタの両方の機能が含まれています。 Certificate Connector for Microsoft のバージョン 6.2109.51.0 のリリースでは、以前のコネクタはサポートされなくなりました。

コネクタの概要

証明書コネクタを使用するには、まずMicrosoft Intune管理センター内からソフトウェアをダウンロードし、Windows Server にインストールします。

インストール中に、次のサポートを含む 1 つまたは複数のコネクタ機能をインストールできます。

  • 秘密および公開キーのペア (PKCS) 証明書
  • PKCS インポートされた証明書
  • Simple Certificate Enrollment Protocol (SCEP)
  • 証明書の失効

コネクタを実行するサービス アカウントも割り当てます。 このアカウントは、証明機関とのすべてのやり取り、および証明書の発行、失効、および更新に使用されます。 サービス アカウントでサポートされているオプションには、コネクタ サーバーの SYSTEM アカウントやドメイン アカウントが含まれます。

コネクタのインストール後は、いつでもコネクタの構成を再び実行して更新したり、インストールした機能を変更したりすることができます。 インストールおよび構成後は、コネクタで今後の更新プログラムを自動的にインストールし、最新のリリースになるようにコネクタを最新の状態に保つことができます。

Intune では、テナントへのコネクタの複数のインスタンスのインストールがサポートされ、各インスタンスで異なる機能をサポートできます。 異なる機能をサポートする複数のコネクタを使用する場合、証明書要求は常に関連するコネクタにルーティングされます。 たとえば、PKCS をサポートする 2 つのコネクタをインストールし、PKCS と SCEP の両方をサポートするものをさらに 2 つインストールする場合、PKCS の証明書タスクは 4 つのコネクタのいずれかで管理できますが、SCEP のタスクは SCEP をサポートする 2 つのコネクタにのみ送信されます。

証明書コネクタの各インスタンスには、Intune で管理されているデバイスと同じネットワーク要件があります。 詳細については、「Microsoft Intune のネットワーク エンドポイント」および「Intune のネットワーク構成の要件と帯域幅」をご覧ください。

証明書コネクタの機能

Certificate Connector for Microsoft Intune では以下がサポートされています。

  • PKCS #12 証明書要求。

  • 特定のユーザーを対象とした S/MIME 電子メール暗号化用の PKCS のインポートされた証明書 (PFX ファイル)。

  • Simple Certificate Enrollment Protocol (SCEP) 証明書の発行。 Active Directory 証明書サービス証明機関 (CA) (Microsoft CA ともいう) を使用する場合は、コネクタをホストするサーバーでネットワーク デバイス登録サービス (NDES) も構成する必要があります。

    サードパーティの証明機関で SCEP を使用する場合は、Certificate Connector for Microsoft Intune を使う必要はありません。

  • 証明書失効。

  • 新しいバージョンへの自動更新。 証明書コネクタをホストするサーバーからインターネットにアクセスできる場合、新しい更新プログラムが自動的にインストールされ、最新の状態が保たれます。 コネクタの自動更新に失敗した場合は、コネクタを手動で更新できます。

  • Intune テナントごとにコネクタの最大 100 個のインスタンスのインストール。各インスタンスは個別の Windows Server 上にあります。 複数のコネクタを使用する場合:

    • コネクタの各インスタンスには、アップロードした各 PFX ファイルのパスワードの暗号化に使用された秘密キーへのアクセス権が必要です。

    • コネクタの各インスタンスは、同じバージョンである必要があります。 コネクタでは最新バージョンへの自動更新がサポートされているため、更新プログラムは Intune で自動的に管理できます。

    • ご使用のインフラストラクチャで冗長と負荷分散がサポートされます。これは、同じコネクタ機能をサポートする使用可能などのコネクタ インスタンスでも証明書要求を処理できるためです。

    • コネクタが Intune と通信できるようにプロキシを構成できます。

      注:

      PKCS をサポートするコネクタの任意のインスタンスを使用して、保留中の PKCS 要求を Intune サービス キューから取得することができ、インポートされた証明書の処理、および失効要求の処理を行うことができます。 各要求を処理するコネクタを定義することはできません。

      このため、PKCS をサポートする各コネクタには同じアクセス許可が必要であり、後で PKCS プロファイルで定義されるすべての証明機関に接続できる必要があります。

ライフサイクル

証明書コネクタの更新は定期的にリリースされます。 各更新プログラムのバージョンとリリース日を含む新しいコネクタ更新プログラムのお知らせは、この記事の「証明書コネクタの新機能」セクションに表示されます。

各新しいコネクタ リリース:

  • 新しいバージョンのリリース後 6 か月間サポートされます。 この期間中は、自動更新によって新しいコネクタ バージョンをインストールできます。 更新されたコネクタのバージョンには、バグの修正やパフォーマンスと機能改善が含まれる場合がありますが、これらに限定されません。

  • サポート対象外のコネクタに障害が発生した場合は、サポートされている最新バージョンに更新する必要があります。

  • コネクタの自動更新をブロックする場合は、インストールされているバージョンのサポートが終了する前に、6 か月以内にコネクタを手動で更新することを計画してください。 サポートが終了したら、コネクタに関する問題のサポートを受けるために、サポートされているバージョンにコネクタを更新する必要があります。

  • サポート対象外のコネクタは、新しいバージョンのリリース後、最大 18 か月間機能し続けます。 18 か月後、サービス レベルの改善、更新、または将来発生する可能性がある一般的なセキュリティの脆弱性への対処により、コネクタの機能が停止する可能性があります。

たとえば、2022 年 5 月 4 日にリリースされたコネクタ バージョン 6.2203.12.0 の場合、コネクタの以前のバージョン 6.2202.38.0 は 2022 年 11 月 4 日にサポートから削除されます。 以前のバージョンのコネクタは、2023 年 11 月まで機能し続ける必要があります (サポートされていません)。 2023 年 11 月以降、以前のバージョンのコネクタがIntuneとの通信を停止する可能性があります。

自動更新

コネクタのバージョンがリリースされた後すぐに、Intune でそのコネクタを最新のバージョンに自動的に更新することができます。

自動的に更新するには、コネクタがホストされているサーバーが Azure 更新サービス にアクセスできなければなりません:

  • ポート: 443
  • エンドポイント: autoupdate.msappproxy.net

ファイアウォール、インフラストラクチャ、またはネットワーク構成で自動更新のアクセスが制限されている場合は、ブロックの問題を解決するか、またはコネクタを新しいバージョンに手動で更新してください。

手動更新

証明書コネクタを手動で更新するプロセスは、コネクタを再インストールする場合と同じです。

自動更新がサポートされている場合でも、証明書コネクタを手動で更新できます。 たとえば、ネットワーク構成によって自動更新がブロックされている場合は、コネクタを手動で更新できます。

証明書コネクタを再インストールする

  1. コネクタをホストする Windows Server で、コネクタ インストール プログラムを実行してコネクタをアンインストールします。

  2. 新しいバージョンをインストールするには、新しいバージョンのコネクタをインストールする手順を使用します。 新しいバージョンのコネクタをインストールするときは、新しいまたは更新された前提条件を必ず確認してください。

コネクタの状態

Microsoft Intune管理センターで、証明書コネクタを選択して、その状態に関する情報を表示できます。

  1. Microsoft Intune管理センターにサインインする

  2. [テナント管理]>[コネクタとトークン]>[証明書のコネクタ] の順に移動します。

  3. 状態を表示するコネクタを選択します。

コネクタの状態を表示する場合:

  • 非推奨のコネクタでは警告が示されます。 6 か月の猶予期間が経過すると、警告はエラーに変わります。
  • 猶予期間を超えたコネクタには、エラーが表示されます。 これらのコネクタはサポートされなくなったため、いつでも動作を停止することができます。

ログ記録

Certificate Connector for Microsoft Intune のログは、そのコネクタがインストールされているサーバー上のイベント ログとして使用できます。

  • [イベント ビューアー]>[アプリケーションとサービス ログ]>[Microsoft]>[Intune]>[証明書のコネクタ]

以下のログを使用できます。既定値は 50 MB で、自動アーカイブが有効になっています。

  • 管理ログ - このログには、コネクタに対する要求ごとに 1 つのログ イベントが格納されます。 イベントには、要求に関する情報を伴う "成功" または要求およびエラーに関する情報を伴う "エラー" のいずれかが含まれます。
  • 操作ログ - このログに表示されるのは、管理ログで検出されたものに対する追加情報であり、問題のデバッグに使用できます。 また、このログに表示されるのは、単一イベントではなく、進行中の操作となります。

既定のログ レベルに加え、各ログのデバッグ ログを有効にして、その他の詳細を取得することができます。

イベントの ID

すべてのイベントには、次のいずれかの ID が含まれています。

  • 0001 から 0999 - 特定のシナリオに関連付けられていません
  • 1000 から 1999 - PKCS
  • 2000 から 2999 - PKCS インポート
  • 3000 から 3999 - 取り消し
  • 4000 から 4999 - SCEP
  • 5000-5999 - コネクタの正常性

タスク カテゴリ

すべてのイベントには、フィルター処理に役立つようにタスク カテゴリを使用してタグが付けられます。 タスク カテゴリの内容を次に一覧表示しますが、これに限定されるものではありません。

PKCS

  • Admin

    • イベント ID: 1000 - PkcsRequestSuccess
      Intune への PKCS 要求が正常にアップロードされました。

    • イベント ID: 1001 - PkcsRequestFailure
      Intune への PKCS 要求の処理またはアップロードに失敗しました。

    • イベント ID: 1200 - PkcsRecryptRequestSuccess
      PKCS 再暗号化要求が正常に処理されました。

    • イベント ID: 1201 - PkcsRecryptRequestFailure
      PKCS 再暗号化要求を処理できませんでした。

  • 運用中

    • イベント ID: 1002 - PkcsDownloadSuccess
      Intune から PKCS 要求が正常にダウンロードされました。

    • イベント ID: 1003 - PkcsDownloadFailure
      Intune から PKCS 要求をダウンロードできませんでした。

    • イベント ID: 1020 - PkcsDownloadedRequest
      Intune から PKCS 要求が正常にダウンロードされました

    • イベント ID: 1032 - PkcsDigiCertRequest
      DigiCert CA の PKCS 要求が Intune から正常にダウンロードされました。

    • イベント ID: 1050 - PkcsIssuedSuccess
      PKCS 証明書が正常に発行されました。

    • イベント ID: 1051 - PkcsIssuedFailedAttempt
      PKCS 証明書を発行できませんでした。もう一度やり直します。

    • イベント ID: 1052 - PkcsIssuedFailure
      PKCS 証明書を発行できませんでした。

    • イベント ID: 1100 - PkcsUploadSuccess
      PKCS 要求の結果が Intune に正常にアップロードされました。

    • イベント ID: 1101 - PkcsUploadFailure
      PKCS 要求の結果を Intune にアップロードできませんでした。

    • イベント ID: 1102 - PkcsUploadedRequest
      PKCS 要求が Intune に正常にアップロードされました。

    • イベント ID: 1202 - PkcsRecryptDownloadSuccess
      PKCS 再暗号化要求が正常にダウンロードされました。

    • イベント ID: 1203 - NiccsRecryptDownloadFailure
      PKCS 再暗号化要求をダウンロードできませんでした。

    • イベント ID: 1220 - PkcsRecryptDownloadedRequest
      PKCS 再暗号化要求が正常にダウンロードされました。

    • イベント ID: 1250 - PkcsRecryptReencryptSuccess
      PKCS 証明書ペイロードが正常に再暗号化されました。

    • イベント ID: 1251 - PkcsRecryptDecryptSuccess
      PKCS 証明書ペイロードの暗号化が正常に解除されました。

    • イベント ID: 1252 - PkcsRecryptDecryptFailure
      PKCS 証明書ペイロードの暗号化を解除できませんでした。

    • イベント ID: 1253 - PaccsRecryptReencryptFailure
      PKCS 証明書ペイロードを再暗号化できませんでした。

    • イベント ID: 1300 - PkcsRecryptUploadSuccess
      PKCS Reencrypt 要求の結果が Intune に正常にアップロードされました。

    • イベント ID: 1301 - PkcsRecryptUploadFailure
      PKCS Reencrypt 要求の結果を Intune にアップロードできませんでした。

    • イベント ID: 1302 - PaccsRecryptUploadedRequest
      PKCS 再暗号化要求が Intune に正常にアップロードされました。

PKCS インポート

  • Admin

    • イベント ID: 2000 - PkcsImportRequestSuccess
      Intune から PKCS インポート要求が正常にダウンロードされました。

    • イベント ID: 2001 - PaccsImportRequestFailure
      Intune からの PKCS インポート要求を処理できませんでした。

  • 運用中

    • イベント ID: 2202 - PkcsImportDownloadSuccess
      Intune から PKCS インポート要求が正常にダウンロードされました。

    • イベント ID: 2203 - PkcsImportDownloadFailure
      Intune から PKCS インポート要求をダウンロードできませんでした。

    • イベント ID: 2020 - PkcsImportDownloadedRequest
      Intune から PKCS インポート要求が正常にダウンロードされました。

    • イベント ID: 2050 - PaccsImportReencryptSuccess
      PKCS インポート証明書が正常に再暗号化されました。

    • イベント ID: 2051 - PaccsImportReencryptFailedAttempt
      PKCS インポート証明書を再暗号化できませんでした。もう一度やり直します。

    • イベント ID: 2052 - PkcsImportReencryptFailure
      インポートされた証明書を再暗号化できませんでした。

    • イベント ID: 2100 - PaccsImportUploadSuccess
      PKCS インポート要求の結果が Intune に正常にアップロードされました。

    • イベント ID: 2101 - PkcsImportUploadFailure
      PKCS 要求の結果を Intune にアップロードできませんでした。

    • イベント ID: 2102 - NiccsImportUploadedRequest
      PKCS インポート要求が Intune に正常にアップロードされました。

失効

  • Admin

    • イベント ID: 3000 - RevokeRequestSuccess
      Intune から失効要求が正常にダウンロードされました。

    • イベント ID: 3001 - RevokeRequestFailure
      Intune からの Revocation 要求のダウンロード時にエラーが発生しました。

  • 運用中

    • イベント ID: 3002 - RevokeDownloadSuccess
      Intune から失効要求が正常にダウンロードされました。

    • イベント ID: 3003 - RevokeDownloadFailure
      Intune からの Revocation 要求のダウンロード時にエラーが発生しました。

    • イベント ID: 3020 - RevokeDownloadedRequest
      Intune からの 1 回のダウンロード要求の詳細

    • イベント ID: 3032 - RevokeDigicertRequest
      Intune からの取り消し要求を受け取り、要求を履行するために Digicert に転送しました。

    • イベント ID: 3050 - RevokeSuccess
      証明書が正常に失効しました。

    • イベント ID: 3051 - RevokeFailure
      証明書の取り消し中にエラーが発生しました。

    • イベント ID: 3052 - RevokeFailedAttempt
      証明書を取り消すことができませんでした。もう一度やり直します。

    • イベント ID: 3100 - RevokeUploadSuccess
      失効要求の結果が Intune に正常にアップロードされました。

    • イベント ID: 3101 - RevokeUploadFailure
      失効要求の結果を Intune にアップロードできませんでした。

    • イベント ID: 3102 - RevokeUploadedRequest
      失効要求が Intune に正常にアップロードされました。

SCEP

  • Admin

    • イベント ID: 4000 - ScrepRequestSuccess
      SCEP 要求が正常に処理され、Intune に通知されました。

    • イベント ID: 4001 - ScepRequestIssuedFailure
      SCEP 要求を処理できず、Intune に通知しました。

    • イベント ID: 4002 - ScepRequestUploadFailure
      SCEP 要求は正常に処理されましたが、Intune に通知できませんでした。

  • 運用中

    • イベント ID: 4003 - ScepRequestReceived
      デバイスから SCEP 要求を正常に受信しました。

    • イベント ID: 4004 - ScepVerifySuccess
      Intune で SCEP 要求が正常に検証されました。

    • イベント ID: 4005 - ScepVerifyFailure
      Intune で SCEP 要求を確認できませんでした。

    • イベント ID: 4006 - ScepIssuedSuccess
      SCEP 要求の証明書が正常に発行されました。

    • イベント ID: 4007 - ScepIssuedFailure
      SCEP 要求の証明書を発行できませんでした。

    • イベント ID: 4008 - ScepNotifySuccess
      SCEP 要求の結果が Intune に正常に通知されました。

    • イベント ID: 4009 - ScepNotifyAttemptFailed
      SCEP 要求の結果を Intune に通知できませんでした。再試行します。

    • イベント ID: 4010 - ScepNotifySaveToDiskFailed
      ディスクに通知を書き込めなかったため、Intune に要求の状態を通知できません。

コネクタの正常性

  • 運用中

    • イベント ID: 5000 - HealthMessageUploadSuccess正常性メッセージをIntuneに正常にアップロードしました。

    • イベント ID: 5001 - HealthMessageUploadFailedAttempt正常性メッセージをIntuneにアップロードできませんでした。もう一度やり直します。

    • イベント ID: 5002 - HealthMessageUploadFailure正常性メッセージをIntuneにアップロードできませんでした。

Certificate Connector の新機能

Certificate Connector for Microsoft Intune の更新プログラムは定期的にリリースされ、6 か月間サポートされます。 コネクタが更新された場合、ここでその変更について確認することができます。

コネクタの新しい更新プログラムは、テナントごとに使用可能になるには 1 週間以上かかる場合があります。

重要

2022 年 4 月以降、バージョン 6.2101.13.0 より前の証明書コネクタは非推奨となり、 エラーの状態が表示されます。 2022 年 8 月以降、これらのコネクタ バージョンでは証明書を失効させることは できません。 2022 年 9 月以降、これらのコネクタ バージョンでは証明書を発行 できません。 これには、Microsoft Intune用の PFX 証明書コネクタMicrosoft Intune コネクタの両方が含まれます。これは、2021 年 7 月 29 日に証明書コネクタ for Microsoft Intuneに置き換えられました (この記事で詳しく説明します)。

2023 年 2 月 15 日

バージョン 6.2301.1.0 - このリリースの変更点:

  • Intune サービス ログに関連付けるログ情報
  • PFX 証明書発行フローのログ記録の機能強化

2022 年 9 月 21 日

バージョン 6.2206.122.0 - このリリースの変更点:

  • バグ修正とパフォーマンスの向上に加えて、テレメトリの改善

2022 年 6 月 30 日

バージョン 6.2205.201.0 - このリリースの変更点:

  • テレメトリ チャネルを Intune に更新して、Intune 管理者がポータルでデータを収集できるようにしました

2022 年 5 月 4 日

バージョン 6.2203.12.0 - このリリースの変更点:

  • クライアント認証証明書の CNG プロバイダーをサポートする
  • クライアント認証証明書の自動更新のサポートの強化

2022 年 3 月 10 日

バージョン 6.2202.38.0。 この更新プログラムには、次の内容が含まれます。

  • 自動更新のTLS 1.2サポートに対する変更点

次の手順

Certificate Connector for Microsoft Intune の前提条件を確認する