🆕 SCEPman SaaS
SCEPman SaaS は、当社が完全にホストおよび保守を行う、完全管理型の SCEPman デプロイメントです。これは RADIUSaaS と SCEPman SaaS Bundle の一部として利用でき、2つのサービスを1つのサブスクリプションにまとめています。これにより、自前の SCEPman インスタンスをセットアップして管理する必要がなくなり、RADIUS 環境向けのシームレスな証明書ベース認証はそのまま利用できます。以下のガイドでは、RADIUSaaS で SCEPman SaaS インスタンスを起動して実行するための初期構成手順を説明します
セットアップ SCEPman SaaS
すでにテナントで既存の SCEPman Enterprise デプロイメントを RADIUSaaS と併用している場合は、移行ガイドをご覧ください: SCEPman Enterprise からの移行
登録 SCEPman SaaS
有効な SCEPman SaaS ライセンスがあると、 設定 > SCEPman のメニュー セクションに SCEPman CA を登録および構成するためのオプションが表示されます。
上部で 共通名 および 組織 CA の名前を選択できます。
共通名と組織名は、登録時に CA 証明書のサブジェクトを構成します。
をクリックすると、セットアップが開始され、状態が上に表示されます。数分後にデプロイメントは完了し、RADIUSaaS のメイン メニューに 登録用のセクションが表示されます SCEPman.
The ステータス ページには、CA とその統合の現在の状態、および証明書を要求するために必要なエンドポイント URL が表示されます。
の下で 証明書の管理 発行済み証明書を参照したり、有効性を確認したり、失効させるオプションも利用できます。
の下で 証明書の要求では、手動登録とインストール用のさまざまな種類の証明書を要求したり、CSR に署名したりできます。
専用の Certificate Master ドキュメントを参照して、ここで要求できるさまざまな種類の証明書の詳細をご確認ください。
The タスク セクションには、Certificate Master の現在の状態と、ロールに許可されたセクションへのリンクが表示されます。
これで SCEPman はデプロイされ、証明書の発行準備が整いました!
SCEPman を Azure テナントに接続する
Intune または StaticAAD エンドポイント経由で証明書を展開する予定がある場合にのみ、SCEPman を Azure テナントに接続する必要があります。
ほとんどのシナリオでは、Intune SCEP プロファイルを使用して SCEPman が証明書を発行できるようにし、たとえばデバイスが初期化された場合には証明書を自動的に失効できるようにしたいはずです。
これを意図どおりに機能させるには、SCEPman にテナント内で特定のロールが必要です。これは、当社のマルチテナント エンタープライズ アプリケーションに同意するか、必要なアクセス許可を持つアプリ登録を自分で提供することで実現できます。
テナントを確認
Azure テナントへの接続には、期限切れの監視が必要なクライアント シークレットを必要としないため、管理者同意 / マルチテナント エンタープライズ アプリケーション方式を推奨します。
の最初の手順は 管理者の同意 フローでは、テナント ID を入力して確認することです。
をクリックすると テナントを確認 Microsoft の同意ページにリダイレクトされ、認証と、このアプリケーションの初期承認を行います:
この同意を承認すると、 SCEPman SaaS エンタープライズ アプリケーションがテナントに追加されますが、必要なアクセス許可はまだ追加されません。
管理者の同意
テナントを確認した後、 管理者の同意 をクリックすると、再び Microsoft の同意ページにリダイレクトされ、アプリケーションに一覧のアクセス許可を付与するかどうかの確認が求められます。必要なアクセス許可の詳細については、 セキュリティとプライバシー Q&A.
を参照してください。これで SCEPman は Azure テナントに接続し、証明書バインディング用の情報を取得できるようになりました!
証明書エンドポイントを有効にする
多くのシナリオでは、Intune SCEP 証明書プロファイルを利用してデバイスに SCEPman から証明書の要求を行わせることで証明書が展開されます。このエンドポイントを有効にするには、 設定 > SCEPman に再度移動し、 Intune 検証 設定を有効にして構成を保存します:
コンプライアンス チェック
SCEPman Enterprise と同様に、SCEPman はバインドされたデバイスの準拠状態を確認することで証明書の有効性を評価できます。この設定の詳細については、 この設定に関する SCEPman のドキュメント を参照してください。
デバイス ディレクトリ
デバイス ディレクトリの選択は、SCEP プロファイルで選択したバインディングによって異なります:
{{DeviceId}}は Intune{{AAD_DeviceID}}は AAD (Entra ID){{UserPrincipalName}}(UPN) は AAD (Entra ID)
詳細については、 SCEPman のドキュメント のデバイス ディレクトリの説明を参照してください。
これで Intune の検証が有効になり、証明書エンドポイントが利用可能になりました!
証明書を展開する
Intune の検証を有効にすると、SCEPman のステータス ページに Intune MDM 用のエンドポイント URL が表示されます:
この URL は、 SCEP Server URL.
Root Certificate
続行する前に、Intune で Trusted Certificate プロファイルを作成し、 SCEP 証明書 プロファイルに進んで SCEPman SaaS の CA 証明書をクライアントに展開してください。
SCEPman ドキュメント: Root Certificate
SCEP Certificate
SCEP 証明書プロファイルの作成手順は SCEPman Enterprise と同じです。
SCEPman ドキュメント: SCEP - Intune - Windows
これでクライアントは SCEPman によって発行された証明書を受け取るはずです!
信頼を確立する
デバイスが SCEPman SaaS CA の証明書を使って認証できるようにし、アクセスポイントが RADIUSaaS インスタンスへの RadSec 接続を確立できるようにするには、その CA 証明書を信頼する必要があります。そのためには、まず SCEPman > ステータス ページの。
CA 証明書を用意したら、 設定 > 信頼済み証明書 に移動して新しい証明書を追加します。
ダウンロードした証明書ファイルをアップロードして保存します:
これで RADIUSaaS は、SCEPman によって発行された証明書を使用する受信接続を受け入れるようになります!
RADIUSaaS サーバー証明書の管理を有効にする
を登録した後 SCEPman SaaS、 設定 > Server Settings 下の SCEPman 接続セクションで、証明書の事前生成と接続のセットアップができることに気づくはずです。
この時点ですでに SCEPman インスタンスへの接続は確立されており、RADIUSaaS はサーバー証明書を要求できます。次に進む正しい方法は、現在すでに RADIUSaaS を使ってクライアントを認証しているか、あるいはこれが新規セットアップかによって異なります。
証明書を事前生成
RADIUSaaS はサーバー証明書を要求して証明書一覧に追加しますが それを有効化したり、自動管理を有効にしたりはしません。
現在 RADIUSaaS にクライアントが認証している場合、これにより Wi-Fi プロファイルでサーバー検証に使用される名前が正しいかどうか、およびサーバー検証に使用されるルート証明書が正しいかどうかを確認できます。
接続をセットアップ
これが新規セットアップであるか、クライアントがサーバー証明書の検証に正しい情報を使用していることを確認済みであれば、 接続をセットアップ.
をクリックしてサーバー証明書の自動管理を有効にできます。これで RADIUSaaS は SCEPman からサーバー証明書を要求し、有効化し、失効前に適切なタイミングで更新します!
その他の証明書エンドポイント
その他の証明書エンドポイントの設定は、SCEPman Enterprise での設定方法と同様です。関連ドキュメントをご確認ください:
一般
SCEPmanJamf
静的検証
Static-AAD 検証
DC
ログ
SCEPman Enterprise で期待されるすべてのアプリケーション ログは、 ログ セクションで見つけることができます。これには以下が含まれます:
サービス正常性メッセージ
発行済み証明書
OCSP 応答
検証および発行中の警告とエラー
最終更新
役に立ちましたか?