この記事では、Microsoft Intune と Microsoft クラウド PKI サービスでサポートされるデプロイ モデルについて説明します。
次の 2 つのデプロイ オプションがあります。
ルート CA のMicrosoft クラウド PKI: ルートを使用し、クラウドで CA を発行してMicrosoft クラウド PKIをデプロイします。
独自の証明機関 (BYOCA): 独自のプライベート CA を使用してMicrosoft クラウド PKIをデプロイします。
Microsoft クラウド PKIルート CA アプローチでは、1 つのIntune テナント内に 1 つ以上の PKI を作成できます。 この方法クラウド PKIデプロイすると、2 層階層が作成されるため、ルート CA に複数の発行元 CA を従属させることができます。 これらの CA はパブリックではありません。 代わりに、ルート CA と発行 CA の両方をクラウドに作成し、Intune テナントにプライベートにします。 発行元 CA は、デバイス構成 SCEP 証明書プロファイルを使用して、Intuneマネージド デバイスに証明書を発行します。
または、 独自の証明機関 (BYOCA) を持ち込むことができます。 この方法では、独自のプライベート CA を使用してMicrosoft クラウド PKIをデプロイします。 このオプションでは、Intune テナントにプライベートな発行 CA をクラウドに作成する必要があります。 発行元 CA は、Active Directory Certificate Services (ADCS) などのプライベート CA に固定されます。 クラウド PKI BYOCA 発行元 CA を作成すると、証明書署名要求 (CSR) もIntuneに作成されます。 CSR に署名するには、プライベート CA が必要です。
開始する前に
デプロイを開始する前に、証明書の信頼チェーンを確認して理解しておくことが重要です。 PKI の概念と基礎の詳細については、「Microsoft クラウド PKIの基礎」を参照してください。
証明書利用者を特定する
証明書利用者を特定します。 証明書利用者は、PKI によって生成された証明書を使用するユーザーまたはシステムです。 証明書利用者の例を次に示します。
- radius 証明書ベースの認証を使用した Wi-Fi アクセス ポイント。
- リモート ユーザーを認証する VPN サーバー。
- Web ブラウザーで TLS/LLS で保護された Web サイトにアクセスするユーザー。
トラスト アンカーの場所を決定する
ルート トラスト アンカーの場所を決定します。 トラスト アンカーは、証明書信頼またはパス検証の開始点として証明書利用者によって使用される CA 証明書または CA の公開キーです。 証明書利用者は、複数のソースから派生した 1 つ以上の信頼アンカーを持つことができます。 トラスト アンカーは、ルート CA の公開キーにすることも、証明書利用者にエンド エンティティ証明書を発行する CA の公開キーにすることもできます。
信頼のチェーンを確保する
証明書を使用して証明書ベースの認証を実行する場合は、両方の証明書利用者が、TLS/SSL ベースの会話に関連するすべての証明書の CA 証明書信頼チェーン (公開キーとルート CA を含む) を持っていることを確認します。 このコンテキストでは、証明書利用者は次のとおりです。
- Intuneマネージド デバイス。
- Wi-Fi、VPN、または Web サービスで使用される認証サービス。
発行元の CA 証明書が見つからない場合、証明書利用者は、ネイティブ OS プラットフォーム証明書チェーン エンジンを使用して、証明書の機関情報アクセス (AIA) プロパティを使用して要求できます。
注:
Wi-Fi アクセス ポイントや VPN サーバーなどの証明書利用者に接続する場合、接続を試みると、管理対象Intune デバイスによって最初に TLS/SSL 接続が確立されます。 Microsoft クラウド PKIでは、これらの TLS/SSL 証明書は提供されません。 これらの証明書は、別の PKI または CA サービスを使用して取得する必要があります。 その結果、Wi-Fi または VPN プロファイルを作成する場合は、信頼された証明書プロファイルを作成し、TLS/SSL 接続を信頼するためにマネージド デバイスに割り当てる必要もあります。 信頼された証明書プロファイルには、TLS/SSL 証明書の発行を担当するルートと発行元 CA の公開キーが含まれている必要があります。
展開オプション
このセクションでは、Microsoft クラウド PKIのMicrosoft Intuneサポートされるデプロイ オプションについて説明します。
Intuneによって管理されていない証明書利用者に CA 証明書を展開する方法があります。 証明書ベースの認証をサポートする radius サーバー、Wi-Fi アクセス ポイント、VPN サーバー、Web アプリ サーバーなどの証明書利用者。
証明書利用者がActive Directory ドメインのメンバーである場合は、グループ ポリシーを使用して CA 証明書を展開します。 詳細については、以下を参照してください:
証明書利用者がActive Directory ドメインのメンバーでない場合は、証明書利用者のセキュリティ ストアに、Microsoft クラウド PKI ルートと発行元 CA の CA 証明書信頼チェーンがインストールされていることを確認します。 適切なセキュリティ ストアは、OS プラットフォームと、サービスを提供するホスティング アプリケーションによって異なります。
また、他の証明機関をサポートするために必要な証明書利用者ソフトウェア構成も検討してください。
オプション 1: ルート CA をMicrosoft クラウド PKIする
クラウド PKIルート CA のデプロイ中に、クラウド PKIルート証明書をすべての証明書利用者に展開する必要があります。 発行元の CA 証明書が証明書利用者に存在しない場合、証明書利用者は証明書の検出を開始して証明書を自動的に取得してインストールできます。 このプロセスは、証明書チェーン エンジン (CCE) と呼ばれ、プラットフォーム固有であり、不足している親証明書を取得するために使用されます。 発行元 CA 証明書の URL は、リーフ証明書 (クラウド PKI発行元 CA を使用してデバイスに発行された証明書) の AIA プロパティにあります。 証明書利用者は、AIA プロパティを使用して親 CA 証明書を取得できます。 このプロセスは CRL のダウンロードに似ています。
注:
Android OS では、サーバーが証明書チェーン全体を返す必要があり、AIA パスに従って証明書の検出を行いません。 詳細については、「 Android 開発者向けドキュメント」を参照してください。完全な証明書チェーンを Android マネージド デバイスと証明書利用者に展開してください。
OS プラットフォームに関係なく、マネージド デバイスIntuneには、次の CA 証明書信頼チェーンが必要です。
| CA 証明書の種類 | CA 証明書信頼チェーン | 展開方法 |
|---|---|---|
| CA 証明書のクラウド PKI | ルート CA 証明書が必要です。CA の発行は省略可能ですが、推奨されます | 信頼された証明書構成プロファイルをIntuneする |
| プライベート CA 証明書 | ルート CA 証明書が必要です。CA 証明書の発行は省略可能ですが、推奨されます | 信頼された証明書構成プロファイルをIntuneする |
証明書利用者には、次の CA 証明書信頼チェーンが必要です。
| CA 証明書の種類 | CA 証明書信頼チェーン | 展開方法 |
|---|---|---|
| CA 証明書のクラウド PKI | ルート CA 証明書が必要です。CA の発行は省略可能ですが、推奨されます | 証明書利用者のサーバーまたはサービスが Active Directory (AD) ドメインのメンバー サーバーである場合は、グループ ポリシーを使用して CA 証明書を展開します。 AD ドメインにない場合は、手動でインストールする方法が必要な場合があります。 |
| プライベート CA 証明書 | ルート CA 証明書が必要です。CA 証明書の発行は省略可能ですが、推奨されます | 証明書利用者のサーバーまたはサービスが Active Directory (AD) ドメインのメンバー サーバーである場合は、グループ ポリシーを使用して CA 証明書を展開します。 AD ドメインにない場合は、手動でインストールする方法が必要な場合があります。 |
次の図は、クライアントと証明書利用者の両方に対して実行されている証明書を示しています。
次の図は、マネージド デバイスと証明書利用者の両方に展開する必要があるそれぞれの CA 証明書信頼チェーンを示しています。 CA 信頼チェーンは、Intuneマネージド デバイスに発行されたクラウド PKI証明書が信頼され、証明書利用者への認証に使用できることを保証します。
オプション 2: 独自の CA を持ち込む (BYOCA)
BRING-your-own-CA デプロイ中に、Intuneマネージド デバイスには次の CA 証明書が必要です。
- BYOCA CSR への署名を担当する CA のルート証明書と発行元 CA 証明書を含むプライベート CA 信頼チェーン。
- BYOCA 発行 CA 証明書。
すべての証明書利用者は、プライベート CA 証明書チェーンを既に持っている必要があります。
OS プラットフォームに関係なく、マネージド デバイスIntuneには、次の CA 証明書信頼チェーンが必要です。
| CA 証明書の種類 | CA 証明書信頼チェーン | 展開方法 |
|---|---|---|
| CA 証明書のクラウド PKI | CA の発行は省略可能ですが、推奨されます | 信頼された証明書構成プロファイルをIntuneする |
| プライベート CA 証明書 | ルート CA 証明書が必要です。CA の発行は省略可能ですが、推奨されます | 信頼された証明書構成プロファイルをIntuneする |
証明書利用者は、プライベート CA 証明書チェーンを既に持っている必要があります。 ただし、BYOCA 発行 CA 証明書も証明書利用者に展開する必要があります。 証明書利用者がActive Directory ドメインのメンバー サーバーである場合は、展開方法として GPO を使用します。
注:
クラウド PKI BYOCA 発行 CA 証明書が証明書利用者プラットフォームに展開されていない場合は、証明書利用者の CCE によって発行されたクラウド PKI SCEP 証明書 (エンド エンティティ/リーフ証明書) の AIA (URL) プロパティを使用して、信頼ストアに クラウド PKI BYOCA 発行元 CA 証明書 (公開キー) を要求してインストールできます。 ただし、この動作は保証されず、CCE の各 OS/プラットフォームの実装に依存します。 BYOCA 発行 CA 証明書をマネージド デバイスと証明書利用者に展開することをお勧めします。
証明書利用者は、BYOCA が発行した クラウド PKI SCEP 証明書をマネージド デバイスに信頼します。これは、証明書利用者に既に存在するプライベート CA 信頼チェーンにチェーンされるためです。
次の図は、各 CA 証明書信頼チェーンがマネージド デバイスに展開Intune方法を示しています。
* この図では、 private は Active Directory 証明書サービスまたは Microsoft 以外のサービスを指します。
概要
クラウド PKIルートと発行元の CA、およびプライベート CA に固定されている CA を発行する BYOCA は、クラウド PKI両方のデプロイ モデルを同時にサポートできるため、同じテナントに存在できます。
デプロイを開始して証明書を発行する前に、 ルートトラストアンカーの場所を決定します。 クラウド PKIルート CA またはプライベート ルート CA 内に存在できます。 場所は、Intuneマネージド デバイスと証明書利用者の両方で必要な証明書信頼チェーンを決定します。
- ルート CA のクラウド PKI: CA 公開キーを発行するルート & で構成されるクラウド PKI証明書信頼チェーンを、すべての証明書利用者に展開する必要があります。
- プライベート ルート CA を使用して CA を発行する BYOCA クラウド PKI: プライベート CA 証明書信頼チェーンは、ルート CA と発行元 CA で構成されており、インフラストラクチャ全体の証明書利用者に既にデプロイされている必要があります。 必須ではありませんが、クラウド PKI BYOCA 発行 CA 証明書を作成することをお勧めします。