Configuration Manager の証明書プロファイルの概要
適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックの情報は System Center 2012 R2 Configuration Manager および System Center 2012 R2 Configuration Manager SP1 に適用されます。
System Center 2012 Configuration Manager では、Active Directory 証明書サービスとネットワーク デバイス登録サービスの役割と連携し、証明書プロファイルを使って管理対象のデバイスに認証証明書をプロビジョニングして、ユーザーが会社のリソースにシームレスにアクセスできるようにします。 たとえば、証明書プロファイルを作成し、展開して、ユーザーが VPN 接続およびワイヤレス接続を開始するために必要な証明書を提供することができます。
Configuration Manager 内の証明書のプロファイルは次の管理機能を提供します。
iOS、Windows 8.1、Windows RT 8.1、および Android を実行するデバイスにおける、エンタープライズ証明機関 (CA) の証明書の登録と更新。これらの証明書を Wi-Fi 接続と VPN 接続に使用できます。
サーバー認証が必要な場合に VPN 接続のデバイスと Wi-Fi 接続のデバイスで信頼関係のチェーンを構成するための、信頼されたルート CA 証明書と中間 CA 証明書の展開。
インストールされている証明書を監視してレポートします。
証明書プロファイルでは、Wi-Fi ネットワークや VPN サーバーなどの会社のリソースにアクセスできるように、ユーザー デバイスを自動的に構成でき、証明書を手動でインストールしたり帯域外プロセスを使用する必要がありません。 エンタープライズ公開キー基盤 (PKI) でサポートされているさらに安全な設定を使用できるため、証明書プロファイルは会社のリソースをセキュリティで保護した状態で維持するためにも役立ちます。 たとえば、管理対象のデバイスに必要な証明書がプロビジョニングされるため、すべての Wi-Fi 接続と VPN 接続にサーバー認証を要求できます。
**例:**すべての従業員が、企業内の複数の場所で Wi-Fi ホットスポットに接続できる必要があります。 このためには、Wi-Fi 接続に必要な証明書を展開すると共に、ユーザーの Wi-Fi 接続がシームレスに行われるように、使用する正しい証明書を指示した、Configuration Manager の Wi-Fi プロファイルを展開します。
**例:**PKI を使用中の場合に、セキュリティを損なうことなく、ユーザーの個人のデバイスから会社のリソースへのアクセスを可能にする証明書をプロビジョニングする方法として、セキュリティで保護されたさらに柔軟なメソッドに移行する必要がある場合。 これを実現するには、特定のデバイス プラットフォーム用にサポートされている設定とプロトコルを使用して、証明書プロファイルを構成することができます。 デバイスは、インターネットに接続された登録サーバーに対してこれらの証明書を自動的に要求することができます。 さらに、デバイスが会社のリソースにアクセスできるように、これらの証明書を使用するように VPN プロファイルを構成することができます。
証明書プロファイルの種類
Configuration Manager では、次の 2 種類の証明書プロファイルを作成できます。
信頼された CA 証明書 - デバイスがサーバーを認証する必要があるときに信頼できる証明書チェーンを形成するために、信頼されたルート CA または中間 CA 証明書を展開することができます。
Simple Certificate Enrollment Protocol (SCEP) 設定 - Windows Server 2012 R2 を実行するサーバーで、SCEP プロトコルおよびネットワーク デバイス登録サービスを使用して、デバイス用やユーザー用の証明書を要求することができます。
[!メモ]
証明書プロファイルの種類 [Simple Certificate Enrollment Protocol (SCEP) 設定] を作成するには、証明書プロファイルの種類 [信頼された証明機関証明書] を作成する必要があります。
要件とサポートされるプラットフォーム
Simple Certificate Enrollment Protocol を使用する証明書プロファイルを展開するためには、中央管理サイトまたはプライマリ サイトで、サイト システム サーバーに証明書登録ポイントをインストールする必要があります。 また、Active Directory 証明書サービスの役割が配置され、証明書を必要とするデバイスからアクセス可能なネットワーク デバイス登録サービスが動作している Windows Server 2012 R2 サーバーに、ネットワーク デバイス登録サービス用のポリシー モジュール、つまり Configuration Manager ポリシー モジュールをインストールする必要があります。Microsoft Intune によって登録されるデバイスでは、たとえば、スクリーン サブネット (境界ネットワークとも呼ばれます) などで、インターネットからネットワーク デバイス登録サービスにアクセスできる必要があります。
Configuration Manager で証明書を展開するためのネットワーク デバイス登録サービスとポリシー モジュールの仕組みについては、「ポリシー モジュールとネットワーク デバイス登録サービスの使用」を参照してください。
Configuration Manager では、要件に加えて、デバイスの種類とオペレーティング システムにも応じて、異なる証明書ストアに証明書を展開することがサポートされています。 次のデバイスとオペレーティング システムがサポートされています。
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
警告 Windows Phone 8.1 をサポートするには、オプションの Windows Phone 8.1 拡張機能をインストールする必要があります。 拡張機能をインストールする方法の詳細については、「Configuration Manager での拡張を使用する計画」を参照してください。
iOS
Android
[!メモ]
エンドユーザーが Android デバイスに証明書をインストールするときに行う必要のある作業については、「Configuration Manager で Android デバイスに証明書をインストールする方法」を参照してください。
重要 |
---|
プロファイルを Android、iOS、Windows Phone、および登録済み Windows 8.1 の各デバイスに展開するには、これらのデバイスを Microsoft Intune に登録する必要があります。 登録されたデバイスを取得する方法については、「Microsoft Intune を使用したモバイル デバイスの管理」を参照してください。 |
System Center 2012 Configuration Manager の典型的なシナリオとして、接続に EAP-TLS、EAP-TTLS、および PEAP の認証プロトコル、IKEv2、L2TP/IPsec、および Cisco IPsec VPN のトンネリング プロトコルを使用する場合に、Wi-Fi サーバーと VPN サーバーを認証するために、信頼されるルート CA 証明書をインストールするというものがあります。
デバイスが SCEP 証明書プロファイルを使用して証明書を要求するためには、そのデバイスにエンタープライズ ルート CA 証明書がインストールされていなければなりません。
さまざまな環境や接続要件に合わせてカスタマイズされた証明書を要求するように、SCEP 証明書プロファイルにさまざまな設定を指定できます。証明書プロファイルの作成ウィザードには、登録パラメーター用のページが 2 つあります。 1 つ目の [SCEP 登録] には、登録要求の設定と証明書のインストール先の設定が含まれています。 もう 1 つの [証明書のプロパティ] は、要求する証明書自体を説明するページです。
証明書プロファイルの展開
証明書プロファイルを展開すると、プロファイル内の証明書ファイルがクライアント デバイスにインストールされます。 SCEP パラメーターも展開されて、SCEP 要求がクライアント デバイス上で処理されます。 証明書プロファイルをユーザー コレクションまたはデバイス コレクションに展開して、各証明書の保存先のストアを指定できます。 適用規則では、デバイスに証明書をインストールすることができるかどうかを確認します。証明書プロファイルをユーザー コレクションに展開すると、ユーザーとデバイスのアフィニティでどのユーザーのデバイスが証明書をインストールするかが決定されます。 ユーザー証明書が含まれた証明書プロファイルをデバイス コレクションに展開すると、既定では、証明書はユーザーの各プライマリ デバイスにインストールされます。 この動作を変更して、証明書プロファイルの作成ウィザードの [SCEP 登録] のページにあるユーザーの任意のデバイス上に証明書をインストールできます。 また、デバイスがワークグループ コンピューターの場合、デバイスにユーザー証明書は展開されません。
証明書プロファイルの監視
Configuration Manager コンソールにある [監視] ワークスペースの [展開] ノードから証明書プロファイルの展開を監視できます。
また、次の Configuration Manager レポートのいずれかを使用して証明書プロファイルを監視できます。
証明書登録ポイントによって発行される証明書の履歴。
証明書登録ポイントで登録された証明書での、証明書の発行状態による資産の一覧
証明書の有効期限日が近い資産の一覧
証明書の自動失効
Configuration Manager で証明書プロファイルを使用して展開したユーザー証明書とデバイス証明書は、次のような場合に自動的に失効します。
デバイスが Configuration Manager の管理下のインベントリから削除された場合。
デバイスの特定のコンテンツがワイプされた場合。
デバイスが Configuration Manager の階層からブロックされた場合。
証明書を失効させるために、サイト サーバーが、証明書の発行元の証明機関に失効コマンドを送信します。 この失効の理由は、「運用停止」です。
System Center 2012 R2 Configuration Manager の新機能
[!メモ]
このセクションの情報は、次の場所にも表示されます: 「System Center 2012 Configuration Manager の概要」ガイド
証明書プロファイルは、System Center 2012 R2 Configuration Manager の新機能です。 次の機能を利用できます。また、いくつかの依存する構成があります。
Simple Certificate Enrollment Protocol (SCEP) を使用した、管理対象デバイスのユーザー証明書とデバイス証明書の展開。 これらの証明書を使用して Wi-Fi 接続と VPN 接続をサポートできます。
iOS、Windows 8.1、Windows RT 8.1、および Android を実行するデバイスなどがサポートされます。
ルート証明機関 (CA) 証明書と中間 CA 証明書の展開。これにより、ネットワーク接続にデバイスでサーバー認証を使用する場合に、デバイスで信頼チェーンを作成できます。
証明書登録ポイントは、中央管理サイトまたはプライマリ サイトに展開する必要があります。Configuration Manager ポリシー モジュールは、ネットワーク デバイス登録サービスの役割と Active Directory 証明書サービスがインストールされている Windows Server 2012 R2 サーバーにインストールする必要があります。 このサーバーは、インターネットからアクセスでき、証明書を発行するためにエンタープライズ CA と通信できなければなりません。 証明書プロファイルを利用するために、ネットワーク デバイス登録サービスに加えられた変更の詳細については、「Windows Server 2012 R2 の証明書サービスの新機能」を参照してください。
System Center 2012 Configuration Manager SP2 の新機能
Configuration Manager 2012 SP2 では、ユーザーのデバイスに personal information exchange (.pfx) ファイルをプロビジョニングできます。 PFX ファイルを使用してユーザー固有の証明書を生成すると、データ交換の暗号化に対応できます。 PFX 証明書は、Configuration Manager 内で作成するか、またはインポートすることもできます。 Configuration Manager 2012 SP2 では、インポートした、または新しく作成した PFX 証明書を、iOS デバイス、Android デバイス、Windows 8.1 以降のデバイス、および Windows Phone 8.1 以降のデバイスに展開することができます。 これらのファイルを複数のデバイスに配置すると、ユーザー ベースの PKI 通信をサポートできます。 PFX ファイルの詳細については、「Configuration Manager で PFX 証明書プロファイルを作成する方法」を参照してください。