次の方法で共有


Microsoft Entra 参加済みオンプレミス シングル サインオンの証明書の使用

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。


オンプレミスのシングル サインオンに証明書を使用する場合は、次の 追加 の手順に従って、Microsoft Entra 参加済みデバイス用に Windows Hello for Business 証明書を登録するように環境を構成します。

重要

続行する前に、 オンプレミス Single-Sign On 用の Microsoft Entra 参加済みデバイス で構成を実行していることを確認してください。

実行する手順は次のとおりです。

要件

Microsoft Entra 参加済みデバイスにオンプレミスのシングル サインオンを提供するには、追加のインフラストラクチャをインストールして構成する必要があります。

  • 既存の Windows Server Enterprise 証明機関
  • ネットワーク デバイス登録サービス (NDES) ロールをホストするドメイン参加済み Windows Server

高可用性

NDES サーバーロールは、証明機関 (CRA) として機能します。 証明書登録サーバーは、ユーザーに代わって証明書を登録します。 ユーザーは、発行元証明機関から直接ではなく、NDES サービスから証明書を要求します。

NDES サーバーのアーキテクチャは、高可用性のため、クラスター化または負荷分散されるのを防止します。 高可用性を提供するには、同じ構成の NDES サーバーを複数インストールし、Microsoft Intune を使用して負荷分散を行い (ラウンド ロビン方式で) する必要があります。

ネットワーク デバイス登録サービス (NDES) のサーバーの役割は、一意の証明書テンプレートを最大 3 つ発行できます。 サーバーの役割は、証明書の要求の目的を構成済みの証明書のテンプレートにマッピングすることにより、これを実行します。 証明書の要求の目的には、次の 3 つのオプションがあります。

  • 署名
  • 暗号化
  • 署名と暗号化

Microsoft Entra 参加済みデバイスに 3 つ以上の種類の証明書を展開する必要がある場合は、追加の NDES サーバーが必要です。 または、証明書テンプレートを統合して、証明書テンプレートの数を減らすことを検討してください。

ネットワーク要件

すべての通信は、ポート 443 を介して安全に行われます。

Microsoft Entra Connect を準備する

証明書を使用してオンプレミス リソースへの認証を正常に実行するには、証明書がオンプレミス ドメインに関するヒントを提供する必要があります。 ユーザーの Active Directory 識別名を証明書のサブジェクトとして指定するか、サフィックスが Active Directory ドメイン名と一致するユーザーのユーザー プリンシパル名が、ヒントとなります。

ほとんどの環境では、組織の外部ドメイン名 (またはバニティ ドメイン) に一致するようユーザー プリンシパル名のサフィックスが変更され、ヒントとなるユーザー プリンシパル名がドメイン コントローラーを見つけることを防止します。 したがって、ドメイン コントローラーを適切に見つけるには、サブジェクトにユーザーのオンプレミス識別名が含まれている必要があります。

証明書のサブジェクトにオンプレミスの識別名を含めるために、Microsoft Entra Connect は Active Directory distinguishedName 属性を Microsoft Entra ID onPremisesDistinguishedName 属性にレプリケートする 必要があります。 Microsoft Entra Connect バージョン 1.1.819 には、これらの属性に必要な適切な同期規則が含まれています。

Microsoft Entra Connect のバージョンを確認する

ローカル管理者と同等のアクセス権を持つ Microsoft Entra Connect を実行しているコンピューターにサインインします。

  1. Microsoft Entra Connect フォルダーから同期サービスを開く
  2. 同期サービス マネージャーで、[ヘルプ] を選択し、[バージョン情報] を選択します。
  3. バージョン番号が 1.1.819 以降でない場合は、Microsoft Entra Connect を最新バージョンにアップグレードします

onPremisesDistinguishedName 属性が同期されていることを確認する

onPremisesDistingushedNamne 属性が同期されていることを確認する最も簡単な方法は、Microsoft Graph 用の Graph エクスプローラーを使用することです。

  1. Web ブラウザーを開き、Graph エクスプローラーに移動します

  2. [ Graph Explorer にサインインする] を 選択し、Microsoft Entra ID 資格情報を指定します

    Graph API のクエリを正常に実行するには、適切な アクセス許可 を付与する必要があります

  3. アクセス許可の変更 (プレビュー) を選択します。 下にスクロールして User.Read.All (またはその他の必要な権限) を見つけ、[同意] を選択します。 委任されたアクセス許可の同意を求めるメッセージが表示されます

  4. Graph Explorer の URL に「 https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName」と入力します。 ここで、[userid] は Microsoft Entra ID のユーザーのユーザー プリンシパル名です。 [ クエリの実行] を選択します

    Graph API の v1.0 エンドポイントは限られたパラメーターのセットしか提供しないため、$select オプションの OData クエリ パラメーターを使用します。 便宜上、クエリを実行する前に、API バージョン セレクターを v1.0 から beta に切り替えることができます。 これにより、使用可能なすべてのユーザー情報が提供されますがbeta エンドポイント クエリは運用環境のシナリオでは使用しないでください。

    要求

    GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
    
  5. 返された結果で、onPremisesDistinguishedName 属性の JSON データを確認します。 属性に値が設定されており、指定したユーザーの値が正確であることを確認します。 onPremisesDistinguishedName 属性が同期されていない場合、値は null になります

    応答

    HTTP/1.1 200 OK
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
        "displayName": "Nestor Wilke",
        "userPrincipalName": "NestorW@contoso.com",
        "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
    }
    

ネットワーク デバイス登録サービス (NDES) のサービス アカウントの準備

NDES サーバーのグローバル セキュリティ グループを作成する

展開では、NDES サーバー セキュリティ グループを使用して、NDES サービスに適切なユーザー権利の割り当てを割り当てます。

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. [Active Directory ユーザーとコンピューター] を開きます
  2. ナビゲーション ウィンドウからドメイン ノードを展開する
  3. [Users] コンテナーを右クリックします。 [新規] にマウス ポインターを合わせ、[グループ] を選択します
  4. [グループ名] テキスト ボックスに「NDES サーバー」と入力します
  5. [ OK] を選択します

NDES サーバーを NDES サーバー グローバル セキュリティ グループに追加する

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. [Active Directory ユーザーとコンピューター] を開きます
  2. ナビゲーション ウィンドウからドメイン ノードを展開する
  3. ナビゲーション ウィンドウから [ コンピューター] を選択します。 NDES サーバーの役割をホストする NDES サーバーの名前を右クリックします。 [ グループに追加] を選択します
  4. [選択するオブジェクト名を入力してください] に「NDES サーバー」と入力します。 [OK] を選択します。 [Active Directory Domain Services の成功] ダイアログで [OK] を選択します

高可用性を実現するには、Windows Hello for Business の証明書要求を処理するために複数の NDES サーバーが必要です。 適切に構成されるようにするため、Windows Hello for Business の追加の NDES サーバーをこのグループに追加する必要があります。

NDES サービス アカウントを作成する

ネットワーク デバイス登録サービス (NDES) ロールは、サービス アカウントで実行されます。 通常、グループ管理サービス アカウント (GMSA) を使用してサービスを実行することが優先されます。 NDES ロールは GMSA を使用して実行するように構成できますが、Intune Certificate Connector は GMSA を使用して設計もテストもされておらず、サポートされていない構成と見なされます。 展開では、通常のサービス アカウントを使用します。

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. ナビゲーション ウィンドウで、ドメイン名が含まれているノードを展開します。 ユーザーの選択
  2. [Users] コンテナーを右クリックします。 [新規] にカーソルを合わせて、[ユーザー] をクリックします。 フル ネームユーザー ログオン名「NDESSvc」と入力します。 [次へ] を選択します
  3. [パスワード] にセキュリティで保護されたパスワードを入力します。 [パスワードの確認] でセキュリティで保護されたパスワードを確認します。 [ユーザーは次回ログオン時にパスワード変更が必要] をオフにします。 [次へ] を選択します
  4. [完了] を選択します

重要

サービスのアカウント パスワードを [パスワードを無期限にする] に構成するとさらに便利ですが、セキュリティ リスクが発生します。 通常のサービス アカウントのパスワードは、組織のユーザー パスワードの有効期限ポリシーに従って期限切れになります。 有効期限が切れる 2 週間前にサービス アカウントのパスワードを変更するよう通知するリマインダーを作成します。 パスワードが有効期限切れになる前に変更されるようにするため、パスワードを変更できる他のユーザーとリマインダーを共有します。

NDES サービスのユーザー権利グループ ポリシー オブジェクトを作成する

グループ ポリシー オブジェクトは、NDES サービス アカウントに NDES サーバー グループ内のすべての NDES サーバーを割り当てるための適切なユーザー権利があることを確認します。 環境とこのグループに新しい NDES サーバーを追加すると、サービス アカウントはグループ ポリシーを通して適切なユーザー権利を自動的に受け取ります。

ドメイン管理者と同等の資格情報を使用して、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。

  2. ドメインを展開し、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト ] ノードを選択します

  3. [グループ ポリシー オブジェクト] を右クリックして [新規] を選択します。

  4. 名前ボックスに「NDES Service Rights」と入力し、[OK] を選択します

  5. コンテンツ ウィンドウで、NDES Service Rights Group Policy オブジェクトを右クリックし、[編集] を選択します

  6. ナビゲーション ウィンドウで、[コンピューターの構成] の下の [ポリシー] を展開します

  7. [ Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] を展開しますユーザー権利の割り当てを選択する

  8. コンテンツ ウィンドウで、[ローカル ログオンを許可] をダブルクリックします。 [ これらのポリシー設定を定義 する] を選択し、[ OK] を選択します。 [ ユーザーまたはグループの追加]を選択します。...[ ユーザーまたはグループの追加 ] ダイアログ ボックスで、[参照] を選択 します[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、「Administrators;Backup Operators;DOMAINNAME\NDESSvc;Users」と入力します。ここで DOMAINNAME は、[ユーザーとグループ名] のドメイン の NetBios 名 (例: CONTOSO\NDESSvc) です。 [ OK] を 2 回選択します

  9. コンテンツ ウィンドウで、[バッチ ジョブとしてログオン] をダブルクリックします。 [ これらのポリシー設定を定義 する] を選択し、[ OK] を選択します。 [ ユーザーまたはグループの追加]を選択します。...[ ユーザーまたはグループの追加 ] ダイアログ ボックスで、[参照] を選択 します[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、「Administrators;Backup Operators;DOMAINNAME\NDESSvc;Performance Log Users」と入力します。ここで DOMAINNAME は、[ユーザーとグループ名] のドメイン の NetBios 名 (例: CONTOSO\NDESSvc) です。 [ OK] を 2 回選択します

  10. 詳細ウィンドウで、[サービスとしてログオン] をダブルクリックします。 [ これらのポリシー設定を定義 する] を選択し、[ OK] を選択します。 [ ユーザーまたはグループの追加]を選択します。...[ ユーザーまたはグループの追加 ] ダイアログ ボックスで、[参照] を選択 します[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、「NT SERVICE\ALL SERVICES;DOMAINNAME\NDESSvc」と入力します。ここで DOMAINNAME は、[ユーザーとグループ名] のドメイン の NetBios 名 (例: CONTOSO\NDESSvc) です。 [ OK] を 3 回選択します

  11. グループ ポリシー管理エディターを閉じる

NDES サービスのユーザー権利グループ ポリシー オブジェクトのセキュリティを構成する

NDES サービスのユーザー権利グループ ポリシー オブジェクトを展開する最適な方法は、セキュリティ グループ フィルターを使用することです。 これにより、グループ ポリシー設定を受け取るコンピューターをグループに追加することで簡単に管理できます。

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
  2. ドメインを展開し、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト ] ノードを選択します
  3. NDES サービス ユーザー権利グループ ポリシー オブジェクトをダブルクリックします
  4. コンテンツ ウィンドウの [ セキュリティ フィルター] セクションで、[ 追加] を選択します。 「NDES サーバー」と入力するか、以前に作成したセキュリティ グループの名前を入力し、[OK] を選択します
  5. [ 委任 ] タブを選択します。[ 認証されたユーザー ] を選択し、[詳細設定] を選択 します
  6. [グループ名またはユーザー名] ボックスの一覧の [Authenticated Users] をクリックします。 [Authenticated Users のアクセス許可] ボックスの一覧で、[グループ ポリシーの適用] アクセス許可の [許可] チェック ボックスをオフにします。 [ OK] を選択します

NDES サービスのユーザー権利グループ ポリシー オブジェクトを展開する

NDES サービスのユーザー権利グループ ポリシー オブジェクトのアプリケーションでは、セキュリティ グループ フィルターを使用します。 これにより、ドメイン レベルでグループ ポリシー オブジェクトをリンクでき、すべてのコンピューターをこのグループ ポリシー オブジェクトの対象に含めることができます。 ただし、セキュリティ グループ フィルターを使用すると、NDES サーバー グローバル セキュリティ グループに含まれるコンピューターだけがグループ ポリシー オブジェクトを受け取って適用します。これにより、NDESSvc サービス アカウントに適切なユーザー権利が付与されます。

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
  2. ナビゲーション ウィンドウで、ドメインを展開し、Active Directory ドメイン名を持つノードを右クリックし、[既存の GPO をリンクする] を選択します
  3. [GPO の選択] ダイアログ ボックスで、[NDES サービス のユーザー権限] または前に作成したグループ ポリシー オブジェクトの名前を選択し、[OK] を選択します

重要

NDES サービスのユーザー権利グループ ポリシー オブジェクトをドメインにリンクすると、グループ ポリシー オブジェクトがすべてのコンピューターの対象範囲に含まれます。 ただし、一部のコンピューターには、ポリシー設定が適用されません。 ポリシー設定を受け取るのは、NDES サーバー グローバル セキュリティ グループのメンバーであるコンピューターのみです。 その他のすべてのコンピューターは、グループ ポリシー オブジェクトを無視します。

Active Directory 証明機関の準備

Microsoft Intune およびネットワーク デバイス登録サービス (NDES) サーバーの役割を使用して、証明書の発行をサポートするために公開キー基盤と発行元証明機関を準備する必要があります。 このタスクでは、

  • Intune が有効期間を提供できるように証明機関を構成する
  • NDES Intune 認証証明書テンプレートを作成する
  • Microsoft Entra 参加済みの Windows Hello for Business 認証証明書テンプレートを作成する
  • 証明書テンプレートを発行する

Intune が有効期間を提供できるように証明機関を構成する

Microsoft Intune を使用して証明書を展開する場合、証明書テンプレートの有効期間に依存するのではなく、SCEP 証明書プロファイルで有効期間を指定することもできます。 1 つの NDES サーバーが発行できる証明書の数が限られているため、有効期間が異なる同じ証明書を発行する必要がある場合は、SCEP プロファイルを使用する方が有利な場合があります。

Microsoft Intune に証明書の有効期間を指定させない場合は、この手順を省略します。 この構成を行わない場合、証明書要求は証明書テンプレートで構成された有効期間を使用します。

ローカル管理者に相当するアクセス権で、発行元証明機関にサインインします。

  1. 管理者特権でのコマンド プロンプトを開き、次のコマンドを入力します。

    certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    
  2. Active Directory Certificate Services サービスを再起動する

NDES Intune 認証証明書テンプレートを作成する

NDES は、サーバー認証証明書を使用してサーバー エンドポイントを認証します。これにより、サーバー エンドポイントとの通信が暗号化されます。 Intune 証明書コネクタは、クライアント認証証明書テンプレートを使用して証明書登録ポイントへの認証を行います。

ドメイン管理者と同等の資格情報を使用して、発行元証明機関または管理ワークステーションにサインインします。

  1. 証明機関管理コンソール 開く

  2. [証明書テンプレート] を右クリックし、[管理] を選択します

  3. 証明書テンプレート コンソールで、詳細ウィンドウで [コンピューター テンプレート] を右クリックし、[テンプレートの複製] を選択します。

  4. [全般] タブで [テンプレートの表示名] に「NDES Intune 認証」と入力します。 企業のニーズに合わせて有効期間と更新期間を調整する

    異なるテンプレート名を使用する場合は、ラボのさまざまな部分でこれらの名前を覚えて置き換える必要があります

  5. [件名] タブで、要求で [供給] を選択します

  6. [暗号化] タブ、[最小キー サイズ] が 2048 であることを確認します

  7. [セキュリティ] タブで、[追加] を選択します。

  8. [オブジェクトの種類] を選択し、表示されるウィンドウで [コンピューター] を選択し、[OK] を選択します

  9. [Enter the object names to select text box]\(オブジェクト名を入力して選択する\) ボックスにNDES server」と入力し、[OK] を選択します

  10. [グループ名またはユーザー名] の一覧で [NDES サーバー] を選択します。 [アクセス許可の適用先] セクションで、[登録] アクセス許可の [許可] チェック ボックスをオンにします。 チェック ボックスがまだオフになっていない場合は、[グループ名またはユーザー名] リスト内の他のすべての項目の [登録] および [自動登録] アクセス許可の [許可] チェック ボックスをオフにします。 [ OK] を選択します

  11. [ 適用 ] を選択して変更を保存し、コンソールを閉じます

Microsoft Entra 参加済みの Windows Hello for Business 認証証明書テンプレートを作成する

Windows Hello for Business のプロビジョニング中に、Windows は Microsoft Intune に認証証明書を要求し、ユーザーに代わって認証証明書を要求します。 このタスクでは、Windows Hello for Business 認証証明書テンプレートを構成します。 NDES サーバーの構成時には、証明書テンプレートの名前を使用します。

ドメイン管理者と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

  1. 証明機関管理コンソール 開く

  2. [証明書テンプレート] を右クリックし、[管理] を選択します

  3. Smartcard ログオン テンプレートを右クリックし、[テンプレートの複製] を選択します

  4. [互換性] タブで、[結果的な変更を表示] チェック ボックスをオフにします。 [証明機関] ボックスから、[Windows Server 2012] または [Windows Server 2012 R2] を選択します。 [証明書の受信者] の一覧から [Windows Server 2012] または [Windows Server 2012 R2] を選択します

  5. [全般] タブで、[テンプレートの表示名] に「ENTRA JOINED WHFB Authentication」と入力します。 企業のニーズに合わせて有効期間と更新期間を調整する

    異なるテンプレート名を使用する場合は、これらの名前を覚えて配置の異なる部分に置き換える必要があります

  6. [暗号化] タブで、[プロバイダーのカテゴリ] 一覧から [キー格納プロバイダー] を選択します。 [アルゴリズム名] ボックスから [RSA] を選択します。 [キーの最小サイズ] ボックスに「2048」と入力します。 [要求ハッシュ] の一覧から [SHA256] を選択します

  7. [拡張機能] タブで、アプリケーション ポリシー拡張機能にスマート カード ログオンが含まれていることを確認します

  8. [件名] タブで、要求で [供給] を選択します

  9. [要求処理] タブで、[目的] 一覧から [署名と暗号化] を選択します。 [同じキーで書き換え] チェック ボックスをオンにします。 ユーザー入力を必要とせずに [サブジェクトの登録] を選択します

  10. [ セキュリティ ] タブで、[ 追加] を選択します。 [Enter the object names to select text box]\(オブジェクト名を入力してテキスト ボックスを選択する\) に「NDESSvc」と入力し、[OK] を選択します

  11. [グループ名またはユーザー名] の一覧から [NDESSvc] を選択します。 [NDES サーバーのアクセス許可] セクションで、[読み取り][登録][許可] チェック ボックスをオンにします。 チェック ボックスがまだオフになっていない場合は、[グループ名またはユーザー名] セクションの他のすべてのエントリの [登録自動登録のアクセス許可] チェック ボックスをオフにします。 [ OK] を選択します

  12. コンソールを閉じる

証明書テンプレートを発行する

証明機関は、その証明機関に発行された証明書テンプレートに対してのみ証明書を発行できます。 複数の証明機関がある場合に、ある特定の証明書テンプレートに基づいてそれらの証明機関が証明書を発行するようにするには、証明書発行元となるすべての証明機関にその証明書テンプレートを公開する必要があります。

重要

NDES サーバーを使用して Microsoft Intune が使用する証明機関に ENTRA JOINED WHFB 認証 証明書テンプレートを発行していることを確認します。 NDES 構成では、証明書を要求する証明機関を選択するよう求められます。 その発行元証明機関に証明書テンプレートを発行する必要があります。 NDES Intune 認証証明書は直接登録され、任意の証明機関に発行できます。

エンタープライズ管理者と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

  1. 証明機関管理コンソール 開く
  2. ナビゲーション ウィンドウから親ノードを展開する
  3. ナビゲーション ウィンドウで [証明書テンプレート ] を選択します
  4. [証明書テンプレート] ノードを右クリックします。 [ 新規] を選択し、 発行する証明書テンプレート を選択します
  5. [ 証明書テンプレートの有効化 ] ウィンドウで、前の手順で作成した NDES-Intune 認証ENTRA JOINED WHFB 認証 テンプレートを選択します。 [ OK] を 選択して、選択した証明書テンプレートを証明機関に発行します
  6. コンソールを閉じる

NDES ロールのインストールと構成

このセクションには、次の記事が含まれています。

  • ネットワーク デバイス登録サービスの役割をインストールする
  • NDES サービス アカウントを構成する
  • NDES ロールと証明書テンプレートを構成する
  • 内部 NDES URL の Web アプリケーション プロキシを作成する
  • NDES Intune 認証証明書を登録する
  • NDES の Web サーバー証明書を構成する
  • 構成を確認する

ネットワーク デバイス登録サービス ロールのインストール

発行元証明機関以外のコンピューターにネットワーク デバイス登録サービスの役割をインストールします。

エンタープライズ管理者と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

  1. NDES サーバーでサーバー マネージャー を開く

  2. [ 管理] を選択します。 [ ロールと機能の追加] を選択します

  3. 役割と機能の追加ウィザードの [作業を開始する前に] ページで、[次へ] を選択します。 [インストールの種類の選択] ページで、[ロール ベースまたは機能ベースのインストール] を選択します。 [次へ] を選択します。 [ サーバー プールからサーバーを選択する] を選択します[サーバー プール] の一覧からローカル サーバーを選択します。 [次へ] を選択します

    サーバー マネージャーの移動先サーバー。

  4. [サーバー ロールの選択] ページで、[ロール] の一覧から [Active Directory 証明書サービス] を選択します

    サーバー マネージャー AD CS ロール。

    [役割と機能の追加ウィザード] ダイアログ ボックスで [機能の追加] を選択します。 [次へ] を選択します

    サーバー マネージャーの機能の追加。

  5. [機能] ページで、[.NET Framework 3.5 の機能] を展開します。 [HTTP アクティベーション] を選択します。 [役割と機能の追加ウィザード] ダイアログ ボックスで [機能の追加] を選択します。 [.NET Framework 4.5 の機能] を展開します。 [WCF サービス] を展開します。 [HTTP アクティベーション] を選択します。 [役割と機能の追加ウィザード] ダイアログ ボックスで [機能の追加] を選択します。 [次へ] を選択します

    サーバー マネージャー機能 HTTP アクティベーション。

  6. [ロール サービスの選択] ページで、[証明機関] チェック ボックスをオフにします。 [ネットワーク デバイス登録サービス] を選択します。 [役割と機能の追加ウィザード] ダイアログ ボックスで [機能の追加] を選択します。 [次へ] を選択します

    サーバー マネージャー ADCS NDES ロール。

  7. [Web サーバー ロール (IIS)] ページで [次へ] を選択します

  8. Web サービス ロールの [ロール サービスの選択] ページで、次の追加サービスがまだ選択されていない場合は選択し、[次へ] を選択します。

    • Web Server > セキュリティ > 要求のフィルター処理
    • Web Server > アプリケーション開発 > ASP.NET 3.5
    • Web Server > アプリケーション開発 > ASP.NET 4.5
    • 管理ツール > IIS 6 管理互換性 > IIS 6 メタベース互換性
    • 管理ツール > IIS 6 管理互換性 > IIS 6 WMI 互換性

    サーバー マネージャーの Web サーバーの役割。

  9. [ インストール] を選択します。 インストールが完了したら、次の手順に進みます。 [閉じる] をクリックしない

    重要

    .NET Framework 3.5 は、一般的なインストールには含まれていません。 サーバーがインターネットに接続されている場合、インストールは Windows Update を使用してファイルの取得を試みます。 サーバーがインターネットに接続されていない場合は、<driveLetter>:\Sources\SxS\ などの代替ソース パスを指定する必要があります。

    左右に並べて表示された .NET。

NDES サービス アカウントを構成する

このタスクでは、NDES サービス アカウントをローカルの IIS_USRS グループに追加します。 また、Kerberos の認証および委任のための NDES サービス アカウントも構成します。

NDES サービス アカウントを IIS_USRS グループに追加する

ローカル管理者に相当するアクセス権で、NDES サーバーにサインインします。

  1. ローカル ユーザーとグループ管理コンソールを起動する (lusrmgr.msc)
  2. ナビゲーション ウィンドウから [グループ] を選択します。 IIS_IUSRS グループをダブルクリックします
  3. [ IIS_IUSRSプロパティ ] ダイアログ ボックスで、[ 追加] を選択します。 「NDESSvc」または NDES サービス アカウントの名前を入力します。 [ 名前の確認] を選択して名前を確認し、[ OK] を選択します。 [ OK] を選択 してプロパティ ダイアログ ボックスを閉じます
  4. 管理コンソールを閉じます。

NDES サービス アカウントにサービス プリンシパル名を登録する

ドメイン管理者に相当するアクセス権で、NDES サーバーにサインインします。

  1. 管理者特権のコマンド プロンプトを開く

  2. 次のコマンドを入力して、サービス プリンシパル名を登録します

    setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
    

    ここで、[FqdnOfNdesServer] は NDES サーバーの完全修飾ドメイン名であり、[DomainName\NdesServiceAccount] は、バックスラッシュ (\) で区切られたドメイン名と NDES サービス アカウント名です。 コマンドは次のようになります。

    setspn -s http/ndes.corp.contoso.com contoso\ndessvc
    

複数の NDES サーバーに同じサービス アカウントを使用している場合は、NDES サービスを実行する各 NDES サーバーに対して次のタスクを繰り返します。

SPN コマンド プロンプトの設定。

委任のために NDES サービス アカウントを構成する

NDES サービスは、ユーザーに代わって証明書を登録します。 したがって、ユーザーに代わって実行できるアクションを制限する必要があります。 このことを委任によって行います。

ドメイン管理者に相当するアクセス権で、ドメイン コントローラーにサインインします。

  1. [Active Directory ユーザーとコンピューター] を開きます

  2. NDES サービス アカウント (NDESSvc) を見つけます。 [プロパティ] を右クリックして選択します。 [ 委任 ] タブを選択します。

    [NDES の委任] タブ。

  3. [このユーザーを指定されたサービスのみに委任する] を選択します

  4. [任意の認証プロトコルを使用する] を選択します

  5. [ 追加] を選択します

  6. [ ユーザー] または [コンピューター] を選択します。.. Microsoft Entra 参加済みデバイスに Windows Hello for Business 認証証明書を発行するために使用する NDES サーバー の名前を入力します。 [使用可能なサービス] 一覧から、[HOST] を選択します。 [ OK] を選択します

    NDES サービスの NDES ホストへの委任。

  7. このサービス アカウントを使用して、NDES サーバーごとに手順 5 と 6 を繰り返します。 [ 追加] を選択します

  8. [ ユーザーまたはコンピューター]を選択します。.. この NDES サービス アカウントが Windows Hello for Business 認証証明書を Microsoft Entra 参加済みデバイスに発行するために使用する発行元証明機関の名前を入力します。 [使用可能なサービス] 一覧から、[dcom] を選択します。 Ctrl キーを押しながら [ホスト] を選択します。 [ OK] を選択します

  9. 1 つ以上の NDES サーバーが証明書を要求する発行元証明機関ごとに手順 8 と 9 を繰り返します

    NDES サービス委任の完了。

  10. [OK] を選択します。 Active Directory ユーザーとコンピューターを閉じる

NDES ロールと証明書テンプレートの構成

このタスクでは、NDES ロールと、NDES サーバーが発行する証明書テンプレートを構成します。

NDES ロールの構成

エンタープライズ管理者と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

最後の一連のタスクからサーバー マネージャーを閉じた場合は、サーバー マネージャーを起動し、黄色の感嘆符を示すアクション フラグをクリックします。

サーバー マネージャーのインストール後の黄色のフラグ。

  1. [移行先サーバーで Active Directory 証明書サービスを構成する] リンクを選択します

  2. [資格情報] ページ 、[ 次へ] を選択します。

    NDES のインストール資格情報。

  3. [ロール サービス] ページで、[ネットワーク デバイス登録サービス] を選択し、[次へ] を選択します。

    NDES 役割サービス。

  4. [NDES のサービス アカウント] ページで、[サービス アカウントを指定 (推奨)] を選択します。 [ Select....]\(選択....\) を選択します[Windows セキュリティ ] ダイアログ ボックスに、NDES サービス アカウントのユーザー名とパスワードを入力します。 [次へ] を選択します

    NDES の NDES サービス アカウント。

  5. [NDES の CA] ページで、[CA 名] を選択します。 [ Select....]\(選択....\) を選択します。NDES サーバーが証明書を要求する発行元証明機関を選択します。 [次へ] を選択します

    NDES の CA の選択。

  6. RA 情報で、[次へ] を選択します

  7. [NDES の暗号化] ページで、[次へ] を選択します。

  8. [確認] ページを確認します。 [ 構成] を選択します

    NDES の確認。

  9. 構成の完了後に [ 閉じる] を選択します

NDES で証明書テンプレートを構成する

1 つの NDES サーバーで最大 3 つの証明書テンプレートを要求できます。 NDES サーバーは、Microsoft Intune の SCEP 証明書プロファイルで割り当てられている受信証明書要求に基づいて発行する証明書を決定します。 Microsoft Intune の SCEP 証明書プロファイルには 3 つの値があります。

  • デジタル署名
  • キーの暗号化
  • キーの暗号化、デジタル署名

各値は、NDES サーバー内のレジストリ値の名前にマップされます。 NDES サーバーは、指定された受信 SCEP 値を対応する証明書テンプレートに変換します。 次の表に、NDES 証明書テンプレートのレジストリ値の名前の SCEP プロファイル値を示します。

SCEP プロファイル キーの使用法 NDES レジストリ値の名前
デジタル署名 SignatureTemplate
キーの暗号化 EncryptionTemplate
キーの暗号化
デジタル署名
GeneralPurposeTemplate

構成を直感的に保つために、証明書要求とレジストリ値の名前を一致させることが理想的です (暗号化証明書は暗号化テンプレートを使用し、署名証明書は署名テンプレートを使用します)。 この直感的な設計の結果、NDES サーバーの指数関数的な増加が見込めます。 企業全体で 9 つの固有の署名証明書を発行する必要がある組織があるとします。

必要に応じて、NDES インフラストラクチャを最大限に活用するため、暗号化レジストリ値の名前で署名証明書を構成するか、署名レジストリ値で暗号化証明書を構成できます。 この直感的でない設計では、実際の目的に関係なく、SCEP 証明書プロファイルが正しい証明書を登録するように構成されていることを確認するため、構成の最新かつ正確な説明書が必要です。 各組織では、構成と管理のしやすさと、追加の NDES インフラストラクチャとそれに伴う管理オーバーヘッドとのバランスを取る必要があります。

ローカル管理者と同等の資格情報を使用して、NDES サーバーにサインインします。

  1. 管理者特権のコマンド プロンプトを開く

  2. 上の表を使用して、Microsoft Entra 参加済みデバイスの Windows Hello for Business 認証証明書を要求するために使用するレジストリ値の名前を決定します

  3. 次のコマンドを入力します。

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
    

    registryValueName は上記の表の 3 つの値名の 1 つであり、certificateTemplateName は Windows Hello for Business Microsoft Entra 参加済みデバイス用に作成した証明書テンプレートの名前です。 例:

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
    
  4. コマンドが既存の値を上書きするアクセス許可を求める場合は、「 Y 」と入力します

  5. コマンド プロンプトを閉じます。

重要

証明書テンプレートの名前を使用します。表示名ではありません。 証明書テンプレート名にスペースは含まれません。 証明書の名前を表示するには、[証明書テンプレート] 管理コンソール (certtmpl.msc) で、証明書テンプレートのプロパティの [全般] タブを確認します。

内部 NDES URL の Web アプリケーション プロキシを作成します。

Microsoft Entra 参加済みデバイスの証明書登録は、インターネット経由で行われます。 その結果、内部 NDES URL に外部からアクセスできる必要があります。 これは、Microsoft Entra アプリケーション プロキシを使用して簡単かつ安全に行うことができます。 Microsoft Entra アプリケーション プロキシは、ネットワーク デバイス登録サービスなど、オンプレミスでホストされている Web アプリケーションにシングル サインオンとセキュリティで保護されたリモート アクセスを提供します。

Microsoft Intune SCEP 証明書プロファイルが複数の外部 NDES URL を使用するよう構成することが理想的です。 これにより、Microsoft Intune が同じ構成の NDES サーバーへの証明書要求をラウンドロビンで負荷分散できます (各 NDES サーバーは、約 300 の同時要求に対応できます)。 Microsoft Intune は、これらの要求を Microsoft Entra アプリケーション プロキシに送信します。

Microsoft Entra アプリケーション プロキシは、軽量のアプリケーション プロキシ コネクタ エージェントによって処理されます。 詳細については、「アプリケーション プロキシとは」を参照してください。 これらのエージェントは、オンプレミスのドメイン参加済みデバイスにインストールされ、認証されたセキュリティで保護された Azure への送信接続を行い、Microsoft Entra アプリケーション プロキシからの要求の処理を待機します。 Microsoft Entra ID でコネクタ グループを作成して、特定のコネクタをサービス固有のアプリケーションに割り当てることができます。

コネクタ グループは自動的にラウンド ロビン処理され、割り当てられたコネクタ グループ内のコネクタに対する Microsoft Entra アプリケーション プロキシ要求の負荷分散が行われます。 これにより、Windows Hello for Business 証明書要求には、登録要求を満たすために専用の Microsoft Entra アプリケーション プロキシ コネクタが複数用意されています。 NDES サーバーとコネクタの負荷分散は、ユーザーが Windows Hello for Business の証明書を適切なタイミングで登録するようにします。

アプリケーション プロキシ コネクタ エージェントのダウンロードとインストール

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. 少なくともアプリケーション管理者として Microsoft Entra 管理センターにアクセスする
  2. [すべてのサービス] を選択します。 「Microsoft Entra ID」と入力して、サービスの一覧をフィルター処理します。 [サービス] で、[Microsoft Entra ID] を選択します
  3. [管理] で、[アプリケーション プロキシ] を選択します
  4. [ コネクタ サービスのダウンロード] を選択します。 [同意 条件] & [ダウンロード] を選択します。 ドメイン Azure アプリケーション プロキシ コネクタ上の他のユーザーがアクセスできる場所にファイル (AADApplicationProxyConnectorInstaller.exe) を保存します。
  5. ドメイン ユーザーと同等のアクセス権を持つコネクタを実行するコンピューターにサインインする

    重要

    NDES アプリケーション プロキシごとに少なくとも 2 つの Microsoft Entra ID プロキシ コネクタをインストールします。 最大限の可用性を確保するために、組織全体で Microsoft Entra アプリケーション プロキシ コネクタを戦略的に配置します。 コネクタを実行しているデバイスは、Azure とオンプレミスの NDES サーバーと通信できる必要があります

  6. AADApplicationProxyConnectorInstaller.exe を開始する
  7. ライセンス条項を読み、[ライセンス条項に同意する] を選択します。 [Azureアプリケーション プロキシ コネクタのインストール: ライセンス条項] を選択します
  8. 少なくとも アプリケーション管理者の Azure アプリケーション プロキシ コネクタとしてサインインする: サインイン
  9. インストールが完了したら、 送信プロキシ サーバーに関する情報を読みます。 [Azure アプリケーション プロキシ コネクタを閉じる: 読み取り] を選択します
  10. Windows Hello for Business 証明書展開用の Microsoft Entra アプリケーション プロキシ コネクタを実行するデバイスごとに手順 5 ~ 10 を繰り返します

コネクタ グループを作成する

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. 少なくともアプリケーション管理者として Microsoft Entra 管理センターにアクセスする

  2. [すべてのサービス] を選択します。 「Microsoft Entra ID」と入力して、サービスの一覧をフィルター処理します。 [サービス] で、[Microsoft Entra ID] を選択します

  3. [ 管理] で、[ アプリケーション プロキシ] を選択します。

    Azure アプリケーション プロキシ コネクタ グループ。

  4. [ 新しいコネクタ グループ] を選択します[名前] に「NDES WHFB コネクタ」と入力します。

    Azure アプリケーションの新規コネクタ グループ。

  5. Windows Hello for Business 証明書の登録要求を処理 するコネクタ の一覧で、各コネクタ エージェントを選択します

  6. [保存] を選びます。

Azure アプリケーション プロキシを作成する

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. 少なくともアプリケーション管理者として Microsoft Entra 管理センターにアクセスする

  2. [すべてのサービス] を選択します。 「Microsoft Entra ID」と入力して、サービスの一覧をフィルター処理します。 [サービス] で、[Microsoft Entra ID] を選択します

  3. [管理] で、[アプリケーション プロキシ] を選択します

  4. [ アプリの構成] を選択します

  5. [名前] の横の [基本設定] で、「WHFB NDES 01」と入力します。 この Microsoft Entra アプリケーション プロキシ設定をオンプレミスの NDES サーバーに関連付ける名前を選択します。 2 つの NDES サーバーが同じ内部 URL を共有できないため、各 NDES サーバーには独自の Microsoft Entra アプリケーション プロキシが必要です

  6. [ 内部 URL] の横に、この Microsoft Entra アプリケーション プロキシに関連付けられている NDES サーバーの内部完全修飾 DNS 名を入力します。 例: https://ndes.corp.mstepdemo.net。 NDES サーバーのプライマリ ホスト名 (AD コンピューター アカウント名) と一致し、URL の先頭に https を付ける必要があります。

  7. [内部 URL] で、最初の一覧から [https://] を選択します。 [https://] の横にあるテキスト ボックスに、Microsoft Entra アプリケーション プロキシの外部ホスト名として使用するホスト名を入力します。 入力したホスト名の横にある一覧で、Microsoft Entra アプリケーション プロキシに外部で使用する DNS サフィックスを選択します。 既定の -[tenantName].msapproxy.net を使用することをお勧めします。 ここで、[tenantName] は 現在の Microsoft Entra テナント名 (-mstephendemo.msappproxy.net) です。

    Azure NDES アプリケーション プロキシの構成。

  8. [認証前] の一覧から [パススルー] を選択します

  9. [コネクタ グループ] の一覧から [NDES WHFB コネクタ] を選択します

  10. [追加設定] で、[バックエンド アプリケーションのタイムアウト] から [既定] を選択します。 [翻訳 URL の入力] セクションで、[ヘッダー] の横にある [はい] を選択し、[アプリケーション本文] の横にある [いいえ] を選択します。

  11. [ 追加] を選択します

  12. Azure portal からサインアウトします。

    重要

    内部 URL と外部 URL を書き留めてください。 この情報は、NDES Intune 認証証明書を登録するときに必要です。

NDES Intune 認証証明書を登録する

このタスクでは、Intune コネクタと NDES サーバーで使用されるクライアント認証証明書とサーバー認証証明書を登録します。

ローカル管理者に相当するアクセス権で、NDES サーバーにサインインします。

  1. ローカル コンピューター 証明書マネージャー (certlm.msc) を起動する

  2. ナビゲーション ウィンドウで [個人用 ] ノードを展開します

  3. [個人] を右クリックします。 すべてのタスクを選択し、新しい証明書を要求する

  4. [開始する前に] ページで [次へ] を選択します

  5. [証明書登録ポリシーの選択] ページで [次へ] を選択します

  6. [ 証明書の要求 ] ページで、[ NDES-Intune 認証 ] チェック ボックスをオンにします

  7. [この証明書の登録に必要な詳細情報] を選択します。ここをクリックして設定リンクを構成する

    [証明書のプロパティのサブジェクト] タブの例 - 上記のリンクをクリックするとこの画面が表示されます。

  8. [サブジェクト名] で、[種類] ボックスから [共通名] を選択します。 前のタスクで使用した内部 URL を入力し (https:// を使用しない場合は ndes.corp.mstepdemo.net など)、[追加] を選択します

  9. [別名] で、[種類] 一覧から [DNS] を選択します。 前のタスクで使用した内部 URL を入力ます (https:// は入力しません。例: ndes.corp.mstepdemo.net)。 [追加] をクリックします。 前のタスクで使用した外部 URL を入力ます (https:// は入力しません。例: ndes-mstephendemo.msappproxy.net)。 [追加] をクリックします。 完了したら [OK] を選択します

  10. [登録] を選択します

  11. Microsoft Entra 参加済みデバイスの Windows Hello for Business 認証証明書を要求するために使用されるすべての NDES サーバーについて、これらの手順を繰り返します

Web サーバーの役割を構成する

このタスクでは、サーバー認証証明書を使用するように NDES サーバー上の Web サーバーの役割を構成します。

ローカル管理者に相当するアクセス権で、NDES サーバーにサインインします。

  1. 管理ツールからインターネット インフォメーション サービス (IIS) マネージャーを起動する

  2. NDES サーバーの名前を持つノードを展開します。 [サイト] を展開し、[既定の Web サイト] を選択します

    NDES IIS コンソール

  3. [アクション] で [バインド...]を選択します[追加] をクリックします。

    NDES IIS コンソール: 追加

  4. [種類] から [https] を選択します。 [ポート] の値が 443 であることを確認します

  5. [SSL 証明書] 一覧で、以前に登録した証明書を選択します。 [ OK] を選択します

    NDES IIS コンソール: 証明書リスト

  6. [サイト バインド] 一覧から [http] を選択します。 [ 削除] を選択します

  7. [サイト バインド] ダイアログ ボックスで [閉じる] を選択します

  8. インターネット インフォメーション サービス (IIS) マネージャーを閉じる

構成を確認する

このタスクでは、NDES サーバーの TLS 構成を確認します。

ローカル管理者に相当するアクセス権で、NDES サーバーにサインインします。

Internet Explorer セキュリティ強化の構成を無効にする

  1. [サーバー マネージャー] を開きます。 ナビゲーション ウィンドウから [ローカル サーバー ] を選択します
  2. [プロパティ] セクションの[IE 拡張セキュリティ構成] の横にある [オン] を選択します。
  3. [Internet Explorer セキュリティ強化の構成] ダイアログの [管理者] で、[オフ] を選択します。 [ OK] を選択します
  4. サーバー マネージャーを閉じる

NDES Web サーバーをテストする

  1. Internet Explorer を開く

  2. ナビゲーション バーで、次のように入力します。

    https://[fqdnHostName]/certsrv/mscep/mscep.dll
    

    ここで、[fqdnHostName] は NDES サーバーの完全修飾内部 DNS ホスト名です。

次のような Web ページが Web ブラウザーに表示されます。 同様のページが表示されない場合、または 503 サービスが使用できない というメッセージが表示される場合は、NDES サービス アカウントに適切なユーザー権限があることを確認してください。 NetworkDeviceEnrollmentService ソースを使用して、アプリケーション イベント ログでイベントを確認することもできます。

NDES IIS コンソール: ソース

Web サイトがサーバー認証証明書を使用していることを確認します。

NDES IIS コンソール: 確認

ネットワーク デバイス登録サービスを Microsoft Intune と連動するように構成する

ネットワーク デバイス登録サービスが正常に構成されました。 次に、Intune 証明書コネクタを使用するために構成を変更する必要があります。 このタスクでは、NDES サーバーと http.sys を有効にして長い URL を処理します。

  • 長い URL を処理するために NDES を構成する

長い URL を処理するために NDES と HTTP を構成する

ローカル管理者に相当するアクセス権で、NDES サーバーにサインインします。

既定の Web サイトを構成する

  1. 管理ツールからインターネット インフォメーション サービス (IIS) マネージャーを起動する

  2. NDES サーバーの名前を持つノードを展開します。 [サイト] を展開し、[既定の Web サイト] を選択します

  3. コンテンツ ウィンドウで、[要求フィルター] をダブルクリックします。 操作ウィンドウで [ 機能設定の編集]を 選択します。

    Intune NDES 要求フィルター。

  4. [ リストに記載されていないファイル名拡張子を許可する] を選択します

  5. [リストに記載されていない動詞を許可する] を選択します

  6. [ 高ビット文字を許可する] を選択します

  7. 最大許容コンテンツ長 (バイト)「30000000」と入力します。

  8. 最大 URL 長 (バイト)「65534」と入力します。

  9. 最大クエリ文字列 (バイト)「65534」と入力します。

  10. [OK] を選択します。 インターネット インフォメーション サービス (IIS) マネージャーを閉じる

HTTP.SYS のパラメーターを構成する

  1. 管理者特権のコマンド プロンプトを開く

  2. 次のコマンドを実行します。

    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
    
  3. NDES サーバーを再起動する

Intune 証明書コネクタのダウンロード、インストールおよび構成

Intune 証明書コネクタ アプリケーションを使用すると、Microsoft Intune は、Microsoft Intune によって管理されるデバイス上のユーザーに対してオンプレミス PKI を使用して証明書を登録できます。

Intune 証明書コネクタをダウンロード、インストール、および構成する方法については、「Microsoft Intune 用の証明書コネクタをインストールする」を参照してください。

証明書の失効のために NDES コネクタを構成する (省略可能)

必要に応じて (必須ではありません)、デバイスがワイプまたは登録解除されるか、証明書プロファイルが対象ユーザーのスコープ外になった場合 (ユーザーが削除されたか、プロファイルが削除された場合)、証明書失効用の Intune コネクタを構成できます。 Microsoft Active Directory 証明機関から発行された証明書に対して証明書自動失効を有効にするには、コネクタの構成中に証明書失効オプションを選択する必要があります。 さらに、失効させるには NDES サービス アカウントを有効にする必要があります。

  1. ドメイン管理者と同等のアクセス権を持つ NDES コネクタによって使用される証明機関にサインインする

  2. 証明機関管理コンソール 起動する

  3. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] を選択します。

  4. [セキュリティ] タブを選択し、[追加] を選択します。 [選択するオブジェクト名の入力] ボックスに 「NDESSvc」(または NDES サービス アカウントに指定した名前) と入力します。 [名前の確認] を選択し、[OK] を選択します。 [グループ名またはユーザー名] 一覧から NDES サービス アカウントを選択します。 [証明書の発行と管理] アクセス許可の [許可] を選択します。 [ OK] を選択します

    Intune 証明書失効の構成 02。

  5. [証明機関] を閉じます。

Simple Certificate Enrollment Protocol (SCEP) 証明書プロファイルを作成して割り当てる

ENTRA JOINED WHFB 証明書ユーザー グループを作成する

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. 少なくともアプリケーション管理者として Microsoft Entra 管理センターにアクセスする

  2. [すべてのサービス] を選択します。 「Microsoft Entra ID」と入力して、サービスの一覧をフィルター処理します。 [サービス] で、[Microsoft Entra ID] を選択します

  3. [ グループ] を選択します。 [新しいグループ] を選択します

  4. [グループの種類] の一覧から [セキュリティ] を選択します

  5. [グループ名] に、グループの名前を入力します。 たとえば、 ENTRA JOINED WHFB 証明書ユーザー

  6. 該当する場合は、 グループの説明を入力します

  7. [メンバーシップの種類] の一覧から [ 割り当て済み]を選択 します

    Microsoft Entra の新しいグループの作成。

  8. [ メンバー] を選択します。 [ メンバーの選択 ] ウィンドウを使用して、このグループにメンバーを追加します。 完了したら、[選択] を選択 します

  9. [作成] を選択します。

SCEP 証明書プロファイルを作成する

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. Microsoft Intune 管理センターにサインインする
  2. [デバイス] を選択し、[構成プロファイル] を選択します
  3. [プロファイルの作成] を選択します。 Intune デバイス構成のプロファイルの作成。
  4. [プラットフォーム] ボックスの一覧から [Windows 10 以降] を選択します
  5. [プロファイル] の一覧から [SCEP 証明書] を選択し、[作成] を選択します。
  6. SCEP 証明書ウィザードが開きます。 [名前] の横に「WHFB 証明書の登録」と入力します
  7. [説明] の横に、環境にわかりやすい説明を入力し、[次へ] を選択します。
  8. 証明書の種類として [ユーザー] を選択します
  9. 組織に合わせて [証明書の有効期間] を構成します。

    重要

    Microsoft Intune で証明書の有効性を構成できるようにするには、証明機関を構成する必要があります

  10. キー ストレージ プロバイダー (KSP) の一覧から [Windows Hello for Business に登録する] を選択し、それ以外の場合は失敗 (Windows 10 以降) を選択します
  11. [サブジェクト名の形式] の横に「CN={{OnPrem_Distinguished_Name}}」と入力して、オンプレミスの識別名を発行された証明書のサブジェクトにします。

    識別名にプラス記号 ("+")、コンマ (",")、セミコロン (";")、等号 ("=") などの特殊文字が含まれている場合は、角かっこで囲まれた名前を引用符で囲む必要があります: CN="{{OnPrem_Distinguished_Name}}"

    識別名の長さが 64 文字を超える場合は、証明機関での名前の長さの適用を無効にする必要があります

  12. [サブジェクト代替名] パラメーターとして [ユーザー プリンシパル名 (UPN)] を指定します。 その値を {{UserPrincipalName}} に設定します
  13. レジストリで ENTRA JOINED WHFB 認証 証明書テンプレートを構成する方法については、「NDES で証明書テンプレートを構成する」タスクを参照してください。 [キー使用法] 一覧から、レジストリで構成済みの NDES テンプレートにマップするキー使用法の適切な組み合わせを選択します。 この例では、 ENTRA JOINED WHFB 認証 証明書テンプレートが SignatureTemplate レジストリ値名に追加されました。 そのレジストリ値名にマップされる 主な使用法Digital Signature です
  14. 発行元証明機関のルート証明書と一致する、以前に構成された 信頼済み証明書 プロファイルを、プロファイルのルート証明書として選択します
  15. [拡張キー使用法] で、[名前] に「スマート カード ログオン」と入力します。 [オブジェクト識別子] に「1.3.6.1.4.1.311.20.2.2」と入力します。 [ 追加] を選択します
  16. [更新しきい値] の横にパーセンテージ (パーセント記号を除く) を入力して、証明書が更新を試みるタイミングを決定します。 推奨される値は 、20WHFB SCEP 証明書プロファイル EKU です。
  17. [ SCEP サーバー URL] に、構成した Microsoft Entra アプリケーション プロキシの完全修飾外部名を入力します。 名前に「/certsrv/mscep/mscep.dll」と追加します。 例: https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll[追加] をクリックします。 Windows Hello for Business 証明書を発行するように構成した追加の NDES Microsoft Entra アプリケーション プロキシごとに、この手順を繰り返します。 MICROSOFT Intune のラウンド ロビンは、SCEP 証明書プロファイルに記載されている URL 間で要求を負荷分散します
  18. [次へ] を選択します
  19. [次へ] を数回選択して、ウィザードのスコープ タグ割り当て適用規則の手順をスキップし、[作成] を選択します。

WHFB の証明書の登録証明書プロファイルにグループを割り当てる

ドメイン ユーザーに相当するアクセス権で、ワークステーションにサインインします。

  1. Microsoft Intune 管理センターにサインインする
  2. [デバイス] を選択し、[構成プロファイル] を選択します
  3. WHFB 証明書の登録を選択する
  4. [プロパティ] を選択し、[割り当て] セクションの横にある [編集] を選択します。
  5. [割り当て] ウィンドウで、[割り当て先] 一覧から [選択したグループ] を選択します。 [ 含めるグループの選択] を選択します WHFB SCEP プロファイルの割り当て。
  6. [ ENTRA JOINED WHFB Certificate Users]\(ENTRA JOINED WHFB 証明書ユーザー\) グループを選択 します。 [ 選択] を選択します
  7. [ 確認と保存] を選択し、[ 保存] を選択します

構成が正常に完了しました。 Windows Hello for Business 認証証明書を ENTRA JOINED WHFB 証明書ユーザー グループに 登録する必要があるユーザーを追加します。 このグループは、デバイス登録 Windows Hello for Business 構成と組み合わせると、ユーザーに Windows Hello for Business に登録し、オンプレミス リソースへの認証に使用できる証明書を登録するよう求めるメッセージを表示します。

モバイル デバイス管理 (MDM) を使用して Windows Hello for Business を管理するために使用される Passport for Work CSP には、UseCertificateForOnPremAuth というポリシーが含まれています。 このドキュメントに記載されている手順に従って Windows Hello for Business ユーザーに証明書を展開する場合には、このポリシーは不要であり、構成する必要がありません。 UseCertificateForOnPremAuth が有効になっていて、MDM で管理されているデバイスは、Windows Hello for Business プロビジョニングの前提条件チェックに失敗します。 Windows Hello for Business がまだ構成されていない場合は、このエラーで設定ができなくなります。

セクションの確認

  • 要件
  • Microsoft Entra Connect を準備する
  • ネットワーク デバイス登録サービス (NDES) のサービス アカウントの準備
  • Active Directory 証明機関の準備
  • NDES ロールのインストールと構成
  • ネットワーク デバイス登録サービスを Microsoft Intune と連動するように構成する
  • Intune 証明書コネクタのダウンロード、インストール、および構成
  • Simple Certificate Enrollment Protocol (SCEP 証明書プロファイル) を作成して割り当てる