# Microsoft Cloud PKI {% hint style="info" %} Microsoft Cloud PKI が Root CA と Issuing CA の両方をホストしているものと想定します。BYOCA を含むシナリオについては、Microsoft のオンラインリソースまたは Web を参照してください。 {% endhint %} {% stepper %} {% step %} ### Microsoft Cloud PKI を展開する #### Intune admin center で Root CA を作成する管理対象デバイスに証明書を発行する前に、信頼のアンカーとして機能する Root CA をテナントに作成する必要があります。Intune admin center で Root CA を作成するには、次の手順に従ってください [こちら ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca)Microsoft のガイド。 {% hint style="info" %} CRL 配布ポイントは後で [手順 2](#step-1-create-root-ca-in-admin-center-2). {% endhint %} #### Intune admin center で Issuing CA を作成する Intune 管理デバイス用の証明書を発行するには、Issuing CA が必要です。Cloud PKI は、証明書登録機関として機能する SCEP サービスを自動的に提供します。SCEP プロファイルを使用して、Intune 管理デバイスに代わって Issuing CA から証明書を要求します。Issuing CA を作成するには、次の手順に従ってください [こちら ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)Microsoft のガイド。 {% hint style="info" %} CRL 配布ポイントは後で [手順 2](#step-1-create-root-ca-in-admin-center-2). {% endhint %}

{% endstep %} {% step %} ### RADIUSaaS と Microsoft Cloud PKI の間で信頼を確立する Microsoft Cloud PKI によって発行されたクライアント認証証明書を信頼するように RADIUSaaS を構成します。クラウド PKI には段階的な CA 構成が必要なため、Root CA と Issuing CA の両方、つまり信頼チェーン全体をアップロードする必要があります。これを行うには、以下の手順に従ってください: 1. 次に移動します [信頼済み証明書](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots). 2. [アップロード](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#add) Contoso Cloud PKI **Root CA,** を選択し **Client Authentication** をアップロードプロセスで選択します。 3. 検証方法として **CRL** と **DER** エンコーディングを選択します。 4. Root CA のコピーした CRL 配布ポイント URL を **CRL Distribution Points** の URL 入力フィールドに使用します。\ ![](https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FBysDSYfb60HoJYZooFO6%2Fimage.png?alt=media\&token=63bd15fc-04f1-4c0e-b89a-404f6f88dbad) 5. Contoso Cloud PKI **Issuing CA,** を選択し **Client Authentication** をアップロードプロセスで選択します。 6. 再度、検証方法として **CRL** とともに選択します **DER** エンコーディングを選択します。 7. Issuing CA のコピーした CRL 配布ポイント URL を **CRL Distribution Points** の URL 入力フィールドに使用します。\ ![](https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F6VLWwSE1UssDpLpY5A0S%2Fimage.png?alt=media\&token=9ecae690-c5ac-4726-9dee-4ae7aa390d56) {% endstep %} {% step %} ### RADIUS サーバー証明書を構成するエンドポイントデバイスと RADIUSaaS の間でサーバー信頼を確立するには、次の手順に従ってください [これらの手順](https://docs.radiusaas.com/ja/gou-cheng/generic-guide#step-3-radius-server-certificate-configuration). {% endstep %} {% step %} ### ネットワーク機器を構成するネットワーク機器（WiFi アクセスポイント、スイッチ、または VPN ゲートウェイ）を構成するには、以下に従ってください。 [これらの手順](https://docs.radiusaas.com/ja/gou-cheng/generic-guide#step-4-network-equipment-configuration). 手順 2 - 4 を正常に完了すると、 **信頼済み証明書** ページは以下の例のようになります。なお、この例では RadSec 対応の [MikroTik](https://docs.radiusaas.com/ja/gou-cheng/access-point-setup/radsec-available/mikrotik) アクセスポイント。

Microsoft Cloud PKI に必要な Trusted Certificates Overview。

{% endstep %} {% step %} ### Intune プロファイルを構成する証明書ベースの WiFi 認証を設定するには、いくつかのプロファイルを作成し、Intune 経由で展開する必要があります。これらのプロファイルは次のとおりです: | プロファイルの種類 | 目的 | | --------- | -------------------------------------- | | 信頼済み証明書 | Root CA 証明書を展開します。 | | 信頼済み証明書 | Issuing CA 証明書を展開します。 | | 信頼済み証明書 | RADIUS サーバー証明書を発行した Root CA 証明書を展開します。 | | SCEP 証明書 | クライアント認証証明書を登録します。 | | Wi-Fi | ワイヤレスネットワークアダプターの設定を展開します。 |

#### Trusted certificate プロファイル **Microsoft Cloud PKI** で作成した Root CA および Issuing CA 証明書を展開します [手順 1](#step-1.-deploy-a-microsoft-cloud-pki) という **信頼済み証明書** プロファイルを使用してデバイスに配布するには、 **Intune admin center** に移動し、次に **Home** > **Devices** > **Windows** > **Configuration profiles > Create** > **New Policy** に移動して、次のパラメーターを設定します: * Platform = Windows 10 and later * Profile type = Template * Template name = Trusted certificate. 該当する証明書ファイル (\*.cer) を、対応するプロファイルにアップロードします: * 作成された Root CA 証明書 [ここ](#step-1-create-root-ca-in-admin-center) * 作成された Issuing CA 証明書 [ここ](#step-1-create-root-ca-in-admin-center-1) {% hint style="info" %} Trusted certificate プロファイルと SCEP プロファイルには、同じグループを割り当てる必要があることに注意してください。そうしないと、Intune の展開が失敗する可能性があります。 {% endhint %} これは、このサービスを使用するすべてのデバイスプラットフォーム（例: Windows、macOS など）に対して繰り返す必要があります **RADIUS Server Trust** 次に、こちらで説明されているように、RADIUS Server Certificate を発行した Root CA 証明書をプッシュします: {% content-ref url="../../../purofairuno/microsoft-intune/trusted-root" %} [trusted-root](https://docs.radiusaas.com/ja/purofairuno/microsoft-intune/trusted-root) {% endcontent-ref %} #### SCEP 証明書プロファイルを作成するには **SCEP 証明書** Intune admin center でプロファイルを作成するには、まず、次の場所から SCEP URI をコピーします **Home** > **Tenant admin** > **Cloud PKI** > **Contoso Issuing CA** > **Properties** > **SCEP URI。** 次に、 **Home** > **Devices** > **Windows** > **Configuration profiles > Create** > **New Policy** に移動して、次のパラメーターを設定します: * Platform = Windows 10 and later * Profile type = Template * Template name = SCEP certificate に移動し、以下のスクリーンショットに従ってテンプレートを構成し、 **Contoso Root Certificate** を手順 1 で以前に作成したものと **SCEP URI** のコピーを添付したことを確認します。

これは、このサービスを使用するすべてのデバイスプラットフォーム（例: Windows、macOS など）に対して繰り返す必要があります #### Wi-Fi プロファイルこの記事に従って、WiFi アダプターの設定をデバイスに展開します: {% content-ref url="../../../purofairuno/microsoft-intune/wifi-profile" %} [wifi-profile](https://docs.radiusaas.com/ja/purofairuno/microsoft-intune/wifi-profile) {% endcontent-ref %} {% endstep %} {% step %} ### アクセス許可と技術担当者 {% endstep %} {% step %} ### ルール {% hint style="info" %} これは **任意の** 手順です。 {% endhint %} VLAN ID を割り当てたり、認証要求を特定の信頼済み CA や WiFi アクセスポイントに制限したりするなど、追加のルールを構成したい場合は、RADIUSaaS Rule Engine を確認してください。 {% content-ref url="../../../ptaru/settings/rules" %} [rules](https://docs.radiusaas.com/ja/ptaru/settings/rules) {% endcontent-ref %} {% endstep %} {% endstepper %}