Configuration Manager の証明書プロファイルの前提条件
適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。
System Center 2012 Configuration Manager の証明書プロファイルには、外部の依存関係と製品内の依存関係があります。
Configuration Manager 外部の依存関係
依存関係 |
説明 |
|---|---|
Active Directory 証明書サービス (AD CS) を実行するエンタープライズ証明機関 (CA) 証明書を失効にするためには、発行元の CA を階層の最上位のサイト サーバーの "証明書の発行と管理" アクセス許可で構成する必要があります。
|
Active Directory 証明書サービスの詳細については、Windows Server のドキュメントを参照してください。
|
Windows Server 2012 R2 で実行される、Active Directory 証明書サービス用のネットワーク デバイス登録サービスの役割サービス さらに:
|
Configuration Manager は、Windows Server 2012 R2 のネットワーク デバイス登録サービスと通信して、Simple Certificate Enrollment Protocol (SCEP) 要求を生成および検証します。 インターネットから接続するユーザーやデバイス (Microsoft Intune で管理されているモバイル デバイスなど) に証明書を発行する場合は、これらのデバイスが、ネットワーク デバイス登録サービスを実行しているサーバーにインターネットからアクセスできる必要があります。 たとえば、このサーバーを境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットともいいます) に設置します。 ネットワーク デバイス登録サービスを実行するサーバーと発行元 CA の間にファイアウォールがある場合は、この 2 つのサービス間の通信トラフィック (DCOM) を許可するようにファイアウォールを構成する必要があります。Configuration Manager サイト サーバーを実行するサーバーと発行元 CA 間の通信も同様に設定して、Configuration Manager が証明書を失効できるようにします。 セキュリティのベスト プラクティスに従って、ネットワーク デバイス登録サービスが必ず SSL で通信するように構成している場合は、接続するデバイスがサーバー証明書を検証するために証明書失効リスト (CRL) にアクセスできるようにしてください。 Windows Server 2012 R2 のネットワーク デバイス登録サービスの詳細については、「ポリシー モジュールとネットワーク デバイス登録サービスの使用」を参照してください。 |
発行元 CA で Windows Server 2008 R2 を実行している場合は、SCEP 証明書更新要求に必要な修正プログラムをこのサーバーにインストールする必要があります。 |
修正プログラムをまだインストールしていない場合は、必ず、インストールしてください。 詳細については、Microsoft サポート技術情報の記事「2483564: NDES を使用して、証明書が管理されている場合に Windows Server 2008 R2 の SCEP 証明書更新の要求が失敗しました」を参照してください。 |
PKI クライアント認証証明書およびエクスポートされたルート CA 証明書 |
この証明書は、ネットワーク デバイス登録サービスを実行しているサーバーが Configuration Manager から認証を受けるための証明書です。 詳細については、「Configuration Manager での PKI 証明書の要件」をご覧ください。 |
サポートされるデバイス オペレーティング システム |
iOS、Windows 8.1、Windows RT 8.1、および Android オペレーティング システムのデバイスに証明書プロファイルを展開できます。 |
Configuration Manager の依存関係
依存関係 |
説明 |
||
|---|---|---|---|
証明書登録ポイントのサイト システムの役割 |
証明書プロファイルを使用する前に、証明書登録ポイントのサイト システムの役割をインストールする必要があります。 この役割は、Configuration Manager データベース、Configuration Manager サイト サーバー、および Configuration Manager ポリシー モジュールと通信します。 このサイト システムの役割のシステム要件とこの役割をインストールする階層内の場所の詳細については、以下を参照してください。
|
||
Configuration Manager ポリシー モジュールが、Active Directory 証明書サービス用のネットワーク デバイス登録サービスの役割サービスを実行するサーバーにインストールされていること |
証明書プロファイルを展開するには、Configuration Manager ポリシー モジュールをインストールする必要があります。 このポリシー モジュールは Configuration Manager のインストール メディアにあります。 |
||
探索データ |
証明書のサブジェクトとサブジェクトの別名の値は Configuration Manager によって供給され、探索によって収集された情報から取得されます。
探索の詳細については、「Configuration Manager の探索の計画」を参照してください。 |
||
証明書プロファイルを管理するためのセキュリティのアクセス許可 |
証明書プロファイル、Wi-Fi プロファイル、VPN プロファイルなど、会社のリソースへのアクセスの設定を管理するには、以下のセキュリティ アクセス許可を持っている必要があります。
[会社リソース アクセス マネージャー] セキュリティ ロールには、Configuration Manager で証明書プロファイルを管理するのに必要な上記のアクセス許可が付与されています。 詳細については、「役割に基づいた管理の構成」トピックの「Configuration Manager のセキュリティの構成」セクションを参照してください。 |
.jpeg "System_CAPS_important")
重要