circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Microsoft Cloud PKI

このドキュメントでは、Intune と Microsoft Cloud PKI を使用して証明書ベースの WiFi 認証を実装するために必要な構成手順を説明します。

circle-info

Microsoft Cloud PKI が Root CA と Issuing CA の両方をホストすると想定されています。BYOCA を含むシナリオについては、Microsoft のオンライン リソースまたは Web を参照してください。

1

hashtag
Microsoft Cloud PKI を展開する

hashtag
Intune 管理センターで Root CA を作成する

管理対象デバイスに証明書を発行する前に、信頼のアンカーとして機能する Root CA をテナント内に作成する必要があります。Intune 管理センターで Root CA を作成するには、次の手順に従ってください こちら arrow-up-rightMicrosoft のガイド。

circle-info

CRL 配布ポイントは、後で必要になるため、控えておいてください 手順 2.

hashtag
Intune 管理センターで Issuing CA を作成する

Intune 管理対象デバイスに証明書を発行するには、Issuing CA が必要です。Cloud PKI は、証明書登録局として機能する SCEP サービスを自動的に提供します。これは、SCEP プロファイルを使用して、Intune 管理対象デバイスの代わりに Issuing CA から証明書を要求します。Issuing CA を作成するには、次の手順に従ってください こちら arrow-up-rightMicrosoft のガイド。

circle-info

CRL 配布ポイントは、後で必要になるため、控えておいてください 手順 2.

Root CA と Issuing CA
2

hashtag
RADIUSaaS と Microsoft Cloud PKI 間で信頼を確立する

Microsoft Cloud PKI によって発行されたクライアント認証証明書を RADIUSaaS が信頼するように構成します。クラウド PKI には階層型 CA 構造が必要なため、Root CA と Issuing CA の両方、つまり完全な信頼チェーンをアップロードする必要があります。これを実現するには、以下の手順に従ってください:

  1. 次に移動します Trusted Certificates.

  2. アップロード Contoso Cloud PKI の ルート CA を選択しながら クライアント認証 アップロード プロセスで。

  3. 検証方法として CRL DER エンコードを選択します。

  4. コピーした Root CA の CRL 配布ポイント URL を CRL 配布ポイント URL 入力欄に使用します。

  5. Contoso Cloud PKI のアップロード Issuing CA を選択しながら クライアント認証 アップロード プロセスで。

  6. もう一度、 CRL を検証方法として選択し、さらに DER エンコードを選択します。

  7. コピーした Issuing CA の CRL 配布ポイント URL を CRL 配布ポイント URL 入力欄に使用します。

3

hashtag
RADIUS サーバー証明書を構成する

エンドポイント デバイスと RADIUSaaS 間のサーバー信頼を確立するには、次の手順に従ってください これらの手順.

4

hashtag
ネットワーク機器を構成する

ネットワーク機器(WiFi アクセスポイント、スイッチ、または VPN ゲートウェイ)を構成するには、次の手順に従ってください 以下の手順.

手順 2 ~ 4 を正常に完了すると、 Trusted Certificates RADIUSaaS インスタンスのページは下の図のようになります。なお、例では RadSec 対応の MikroTik アクセスポイント。

Microsoft Cloud PKI に必要な信頼済み証明書の概要。
5

hashtag
Intune プロファイルを構成する

証明書ベースの WiFi 認証を設定するには、いくつかのプロファイルを作成し、Intune 経由で展開する必要があります。これらのプロファイルは次のとおりです:

プロファイルの種類
目的

信頼された証明書

Root CA 証明書を展開します。

信頼された証明書

Issuing CA 証明書を展開します。

信頼された証明書

RADIUS Server Certificate を発行した Root CA 証明書を展開します。

SCEP 証明書

クライアント認証証明書を登録します。

Wi-Fi

ワイヤレス ネットワーク アダプターの設定を展開します。

関連する Intune プロファイル

hashtag
信頼された証明書プロファイル

Microsoft Cloud PKI

で作成した Root CA および Issuing CA 証明書を展開します 手順 1 を介して 信頼された証明書 プロファイルを、次へ移動してデバイスに展開します Intune 管理センター に移動し、その後 ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメーターで:

  • プラットフォーム = Windows 10 以降

  • プロファイルの種類 = テンプレート

  • テンプレート名 = 信頼済み証明書。

該当するプロファイルに関連する証明書ファイル(*.cer)をアップロードします:

circle-info

信頼済み証明書と SCEP プロファイルの割り当てには、同じグループを使用する必要があることに注意してください。そうしないと、Intune の展開が失敗する可能性があります。

これは、このサービスを使用するすべてのデバイス プラットフォーム(例: Windows、macOS、...)で繰り返す必要があります

RADIUS Server Trust

次に、こちらに記載されているように、RADIUS Server Certificate を発行した Root CA 証明書をプッシュします:

サーバー信頼chevron-right

hashtag
SCEP 証明書プロファイル

を作成するには SCEP 証明書 Intune 管理センターでのプロファイルを作成するには、まず次から SCEP URI をコピーします ホーム > テナント管理者 > Cloud PKI > Contoso Issuing CA > プロパティ > SCEP URI。

次に、 ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメーターで:

  • プラットフォーム = Windows 10 以降

  • プロファイルの種類 = テンプレート

  • テンプレート名 = SCEP 証明書

次に、以下のスクリーンショットに従ってテンプレートを構成し、 Contoso Root Certificate を手順 1 で以前に作成したものと SCEP URI 上でコピーしたものを必ず添付してください。

SCEP デバイス証明書の構成

これは、このサービスを使用するすべてのデバイス プラットフォーム(例: Windows、macOS、...)で繰り返す必要があります

hashtag
Wi-Fi プロファイル

この記事に従って、WiFi アダプターの設定をデバイスに展開します:

WiFi プロファイルchevron-right
6

hashtag
権限と技術担当者

7

hashtag
ルール

circle-info

これは 任意の 手順です。

追加のルールを構成したい場合、たとえば VLAN ID を割り当てたり、認証要求を特定の信頼済み CA や WiFi アクセスポイントに制限したりしたい場合は、RADIUSaaS ルール エンジンをご確認ください。

ルールchevron-right

最終更新

役に立ちましたか?