circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Microsoft クラウド PKI

この文書は、Intune を使用した Microsoft クラウド PKI による証明書ベースの WiFi 認証を実装するために必要な構成手順を説明します。

circle-info

Microsoft Cloud PKI がルート CA と発行 CA の両方をホストしていることを前提としています。BYOCA(Bring Your Own CA)を含むシナリオについては、Microsoft のオンライン資料やウェブを参照してください。

hashtag
手順 1: Microsoft Cloud PKI をデプロイする

hashtag
Intune 管理センターでルート CA を作成する

管理対象デバイスに証明書を発行する前に、信頼のアンカーとして機能するテナント内のルート CA を作成する必要があります。Intune 管理センターでルート CA を作成するには、以下に従ってください こちら arrow-up-rightMicrosoft ガイド。

circle-info

後で 手順 2.

hashtag
Intune 管理センターで発行 CA を作成する

Intune 管理対象デバイスに証明書を発行するには発行 CA が必要です。Cloud PKI は証明書登録機関として機能する SCEP サービスを自動的に提供します。SCEP プロファイルを使用して、Intune 管理デバイスに代わり発行 CA から証明書を要求します。発行 CA を作成するには、以下に従ってください こちら arrow-up-rightMicrosoft ガイド。

circle-info

後で 手順 2.

ルートおよび発行 CA

hashtag
手順 2: RADIUSaaS と Microsoft Cloud PKI 間の信頼を確立する

RADIUSaaS が Microsoft Cloud PKI によって発行されたクライアント認証証明書を信頼するように構成します。Cloud PKI は階層型 CA 構造を必要とするため、ルート CA と発行 CA(つまり完全な信頼チェーン)の両方をアップロードする必要があります。そのために、以下の手順に従ってください:

  1. 次の場所に移動します 信頼された証明書.

  2. アップロード Contoso Cloud PKI 該当する証明書をダウンロードする際は、必ず 選択して クライアント認証 アップロードプロセスで。

  3. 検証方法として選択する CRL と共に DER エンコーディング。

  4. ルート CA のコピーした CRL 配布ポイント URL を CRL 配布ポイント URL 入力フィールドに使用します。

  5. Contoso Cloud PKI をアップロードします 発行 CA 選択して クライアント認証 アップロードプロセスで。

  6. 再度、検証方法として CRL を選択し、併せて DER エンコーディング。

  7. 発行 CA のコピーした CRL 配布ポイント URL を使用します CRL 配布ポイント URL 入力フィールドに使用します。

hashtag
ステップ 3: RADIUS サーバー証明書を構成する

エンドポイントデバイスと RADIUSaaS 間のサーバートラストを確立するには、次の手順に従ってください これらの指示.

hashtag
ステップ 4: ネットワーク機器を構成する

ネットワーク機器(WiFi アクセスポイント、スイッチ、または VPN ゲートウェイ)を構成するには、次を参照してください これらの手順.

ステップ 2 - 4 を正常に完了すると、あなたの 信頼された証明書 RADIUSaaS インスタンスのページは下の例のようになります。例では RadSec 対応の MikroTik アクセスポイント。

Microsoft Cloud PKI に必要な信頼済み証明書の概要。

hashtag
ステップ 5: Intune プロファイルを構成する

証明書ベースの WiFi 認証を設定するために、いくつかのプロファイルを作成し、それらを Intune 経由で展開する必要があります。これらのプロファイルは次のとおりです:

プロファイル タイプ
目的

信頼済み証明書

ルート CA 証明書を展開する。

信頼済み証明書

発行 CA 証明書を展開する。

信頼済み証明書

RADIUS サーバー証明書を発行したルート CA 証明書を展開する。

SCEP 証明書

クライアント認証証明書を登録する。

Wi-Fi

ワイヤレス ネットワーク アダプターの設定を展開する。

関連する Intune プロファイル

hashtag
信頼された証明書プロファイル

hashtag
Microsoft Cloud PKI

手順 1 で作成したルート CA と発行 CA の証明書を展開します 手順 1 経由で 信頼済み証明書 プロファイルをデバイスに適用するには、次へ移動します Intune 管理センター 次に ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメーターで:

  • プラットフォーム = Windows 10 以降

  • プロファイルの種類 = テンプレート

  • テンプレート名 = 信頼済み証明書。

該当するプロファイルに関連する証明書ファイル(*.cer)をアップロードします:

  • 作成したルート CA 証明書 ここ

  • 作成した発行 CA 証明書 ここ

circle-info

信頼済み証明書プロファイルと SCEP プロファイルに同じグループを割り当てる必要があることに注意してください。そうしないと、Intune 展開が失敗する可能性があります。

この操作はサービスを使用するすべてのデバイスプラットフォーム(例: Windows、macOS、...)ごとに繰り返す必要があります。

hashtag
RADIUS サーバートラスト

次に、RADIUS サーバー証明書を発行したルート CA 証明書を次の手順に従って配信します:

サーバー信頼chevron-right

hashtag
SCEP 証明書プロファイル

作成するには SCEP 証明書 Intune 管理センターでプロファイルを作成するには、まずから SCEP URI をコピーします ホーム > テナント管理 > Cloud PKI > Contoso 発行 CA > プロパティ > SCEP URI。

次に、に移動します ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメーターで:

  • プラットフォーム = Windows 10 以降

  • プロファイルの種類 = テンプレート

  • テンプレート名 = SCEP 証明書

次に、以下のスクリーンショットに従ってテンプレートを構成し、先に作成した Contoso ルート証明書SCEP URI 上でコピーしたものを添付したことを確認してください。

SCEP デバイス証明書構成

この操作はサービスを使用するすべてのデバイスプラットフォーム(例: Windows、macOS、...)ごとに繰り返す必要があります。

hashtag
Wi‑Fi プロファイル

次の記事に従って WiFi アダプタ設定をデバイスに展開します:

WiFi プロファイルchevron-right

最終更新

役に立ちましたか?