Microsoft Intune で認証に証明書を使用する
Intune で証明書を使用し、VPN、Wi-Fi、電子メール プロファイルを介してアプリケーションや企業リソースに対してユーザーが本人であることを確認します。 証明書を使用してこれらの接続を認証する場合、エンド ユーザーはユーザー名とパスワードを入力する必要がなく、アクセスがシームレスになる可能性があります。 証明書は、S/MIME を使用した電子メールの署名と暗号化にも使用されます。
Intune での証明書の概要
証明書により、次の 2 つのフェーズを通じて、遅延なく認証されたアクセスが提供されます。
- 認証フェーズ: ユーザーの信頼性をチェックし、ユーザーが主張しているとおりの人物であることを確認します。
- 承認フェーズ: ユーザーには、ユーザーにアクセス権を付与する必要があるかどうかを判断する条件が適用されます。
証明書の一般的な使用シナリオは次のとおりです。
- デバイスまたはユーザーの証明書を使用したネットワーク認証 (802.1x など)
- デバイスまたはユーザーの証明書を使用した VPN サーバーでの認証
- ユーザー証明書に基づいた電子メールへの署名
Intune により、デバイスに証明書をプロビジョニングする方法として、Simple Certificate Enrollment Protocol (SCEP)、公開キー暗号化標準 (PKCS)、インポートされた PKCS 証明書がサポートされています。 プロビジョニング方法が異なれば、要件と結果も異なります。 例:
- SCEP によって、証明書の各要求に固有の証明書がプロビジョニングされます。
- PKCS によって各デバイスに一意の証明書がプロビジョニングされます。
- インポートされた PKCS を使用すると、メール サーバーなどのソースからエクスポートしたものと同じ証明書を複数の受信者に展開できます。 この共有証明書は、すべてのユーザーまたはデバイスが、その証明書によって暗号化された電子メールを、確実に暗号化を解除できるようにするのに役立ちます。
特定の種類の証明書を使用してユーザーまたはデバイスをプロビジョニングするために、Intune により証明書プロファイルが使用されます。
3 つの証明書の種類とプロビジョニング方法に加えて、信頼された証明機関 (CA) からの信頼されたルート証明書が必要です。 CA には、オンプレミスの Microsoft 証明機関、またはサードパーティの証明機関を使用できます。 信頼されたルート証明書によって、デバイスから、他の証明書の発行元であるルートまたは中間 (発行元) CA への信頼が確立されます。 この証明書を展開するには、 信頼された証明書 プロファイルを使用し、SCEP、PKCS、およびインポートされた PKCS の証明書プロファイルを受け取るのと同じデバイスとユーザーに展開します。
ヒント
Intune により、スマートカードを使用する必要がある環境での派生資格情報の使用もサポートされています。
証明書の使用に必要なもの
- 証明機関。 CA は、証明書が認証のために参照する信頼のソースです。 Microsoft CA またはサードパーティの CA を使用できます。
- オンプレミス インフラストラクチャ。 必要なインフラストラクチャは、使用する証明書の種類によって異なります。
- 信頼されたルート証明書。 SCEP または PKCS 証明書プロファイルを展開する前に、"信頼された証明書" プロファイルを使用して、CA から信頼されたルート証明書を展開します。 このプロファイルは、デバイスから CA への信頼を確立するのに役立ち、他の証明書プロファイルで必要になります。
信頼されたルート証明書が展開されたら、証明書プロファイルを展開して、認証用の証明書を持つユーザーとデバイスをプロビジョニングする準備が整いました。
使用する証明書プロファイル
次の比較は包括的なものではありませんが、さまざまな種類の証明書プロファイルの使用を区別するために用意されています。
| プロファイルの種類 | 詳細 |
|---|---|
| 信頼された証明書 | ルート CA または中間 CA からユーザーおよびデバイスに公開キー (証明書) を展開して、ソース CA への信頼を確立するために使用します。 その他の証明書プロファイルには、信頼された証明書プロファイルとそのルート証明書が必要です。 |
| SCEP 証明書 | 証明書要求のテンプレートをユーザーとデバイスに展開します。 SCEP を使用してプロビジョニングされた各証明書は一意であり、証明書を要求するユーザーまたはデバイスに関連付けられています。 SCEP を使用すると、SCEP を使用して KIOSK またはユーザーレス デバイスで証明書をプロビジョニングするなど、ユーザー アフィニティがないデバイスに証明書を展開できます。 |
| PKCS 証明書 | ユーザーまたはデバイスの証明書の種類を指定する証明書要求のテンプレートを展開します。 - 証明書の種類のユーザーに対する要求には、常にユーザー アフィニティが必要です。 ユーザーに展開すると、各ユーザーのデバイスは一意の証明書を受け取ります。 ユーザーがいるデバイスに展開すると、そのユーザーがそのデバイスの証明書に関連付けられます。 ユーザーがいないデバイスに展開すると、証明書はプロビジョニングされません。 - 証明書の種類がデバイスのテンプレートでは、証明書をプロビジョニングするためにユーザー アフィニティは必要ありません。 デバイスに展開することでデバイスがプロビジョニングされます。 ユーザーに展開すると、ユーザーがサインインしているデバイスが証明書を使ってプロビジョニングされます。 |
| PKCS のインポートされた証明書 | 1 つの証明書を複数のデバイスとユーザーに展開します。これにより、S/MIME 署名や暗号化などのシナリオがサポートされます。 たとえば、各デバイスに同じ証明書を展開することにより、各デバイスは、同じメール サーバーから受信した電子メールの暗号化を解除できます。 SCEP は要求ごとに一意の証明書を作成し、PKCS はユーザーごとに異なる証明書を関連付け、異なるユーザーが異なる証明書を受け取るので、このシナリオでは他の証明書の展開方法は不十分です。 |
Intune でサポートされている証明書と使用方法
| Type | 認証 | S/MIME 署名 | S/MIME 暗号化 |
|---|---|---|---|
| 公開キー暗号化標準 (PKCS) のインポートされた証明書 |  |
|
|
| PKCS#12 (または PFX) | |
|
|
| Simple Certificate Enrollment Protocol (SCEP) | |
|
これらの証明書を展開するには、証明書プロファイルを作成してデバイスに割り当てます。
作成する証明書プロファイルは、1 つにつきプラットフォームを 1 つサポートします。 たとえば、PKCS 証明書を使用する場合は、Android 用の PKCS 証明書プロファイルと、iOS/iPadOS 用の個別の PKCS 証明書プロファイルを作成します。 これら 2 つのプラットフォームにも SCEP 証明書を使用する場合は、Android 用の SCEP 証明書プロファイルと、iOS/iPadOS 用の SCEP 証明書プロファイルを作成します。
Microsoft の証明機関を使用する場合の一般的な考慮事項
Microsoft の証明機関 (CA) を使用する場合:
SCEP 証明書プロファイルを作成するには:
- Intune で使用するネットワーク デバイス登録サービス (NDES) サーバーを設定します。
- Certificate Connector for Microsoft Intune をインストールします。
PKCS 証明書プロファイルを使用するには、次を実行します。
PKCS のインポートされた証明書を使用するには:
- Certificate Connector for Microsoft Intune をインストールします。
- 証明機関から証明書をエクスポートし、Microsoft Intune にインポートします。 「PFXImport PowerShell プロジェクト」を参照してください。
次のメカニズムで証明書を展開します。
- 信頼された証明書プロファイル: 信頼されたルート CA 証明書をルートまたは中間 (発行) CA からデバイスに展開するため
- SCEP 証明書プロファイル
- PKCS 証明書のプロファイル
- PKCS のインポートされた証明書プロファイル
サードパーティの証明機関を使用する場合の一般的な考慮事項
サードパーティ (Microsoft 以外) の証明機関 (CA) を使用する場合:
SCEP 証明書プロファイルを作成するには:
- サポートされているパートナーのいずれかからのサードパーティの CA との統合を構成します。 セットアップには、サードパーティの CA からの指示に従って、CA と Intune の統合を完了することも含まれます。
- SCEP 証明書チャレンジ検証を実行する Intune に権限を委任するアプリケーションを Microsoft Entra ID で作成します。
PKCS のインポートされた証明書では、Certificate Connector for Microsoft Intune をインストールする必要があります。
次のメカニズムで証明書を展開します。
- 信頼された証明書プロファイル: 信頼されたルート CA 証明書をルートまたは中間 (発行) CA からデバイスに展開するため
- SCEP 証明書プロファイル
- PKCS 証明書プロファイル (Digicert PKI プラットフォームでのみサポートされています)
- PKCS のインポートされた証明書プロファイル
サポートされているプラットフォームと証明書プロファイル
| プラットフォーム | 信頼された証明書プロファイル | PKCS 証明書プロファイル | SCEP 証明書プロファイル | PKCS のインポートされた証明書プロファイル |
|---|---|---|---|---|
| Android デバイス管理者 | ( 注 1 を参照) |
|
|
|
| Android Enterprise - フル マネージド (デバイス所有者) | |
|
|
|
| Android Enterprise - 専用 (デバイス所有者) | |
|
|
|
| Android Enterprise - Corporate-Owned 仕事用プロファイル | |
|
|
|
| Android Enterprise - Personally-Owned 仕事用プロファイル | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 以降 | |
|
||
| Windows 10 または 11 | ( 注 2 を参照) |
( 注 2 を参照) |
( 注 2 を参照) |
|
- 注 1 - Android 11 以降では、信頼された証明書プロファイルは、 Android デバイス管理者として登録されているデバイスに信頼されたルート証明書をインストールできなくなります。 この制限は Samsung KNOX には適用されません。 詳細については、「Android デバイス管理者向けの信頼された証明書プロファイル」を参照してください。
- 注 2 - このプロファイルは、 Windows Enterprise マルチセッション リモート デスクトップでサポートされています。
重要
2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。
重要
Microsoft Intuneは、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイス登録、テクニカル サポート、バグ修正、およびセキュリティ修正プログラムは使用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に Intune で別の Android 管理オプションに切り替えることをお勧めします。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポート終了」を参照してください。
次の手順
その他のリソース:
証明書プロファイルの作成:
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示