# 🆕 SCEPman SaaS

<code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> は、当社が完全にホストおよび保守を行う、完全管理型の SCEPman デプロイメントです。これは RADIUSaaS と <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> Bundle の一部として利用でき、2つのサービスを1つのサブスクリプションにまとめています。これにより、自前の SCEPman インスタンスをセットアップして管理する必要がなくなり、RADIUS 環境向けのシームレスな証明書ベース認証はそのまま利用できます。以下のガイドでは、RADIUSaaS で <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> インスタンスを起動して実行するための初期構成手順を説明します

## セットアップ <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>

{% hint style="info" %}
すでにテナントで既存の SCEPman Enterprise デプロイメントを RADIUSaaS と併用している場合は、移行ガイドをご覧ください: [scepman-enterprise-karasuru](https://docs.radiusaas.com/ja/gou-cheng/scepman-saas/scepman-enterprise-karasuru "mention")
{% endhint %}

{% stepper %}
{% step %}

### 登録 <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>

有効な <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> ライセンスがあると、 **設定** > **SCEPman** のメニュー セクションに SCEPman CA を登録および構成するためのオプションが表示されます。

上部で **共通名** および **組織** CA の名前を選択できます。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FQMHbnSnBux9bcCBqujwH%2Fimage.png?alt=media&#x26;token=97b45748-6cf6-4bc7-925e-42752d93c2d8" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
共通名と組織名は、登録時に CA 証明書のサブジェクトを構成します。
{% endhint %}

をクリックすると、セットアップが開始され、状態が上に表示されます。数分後にデプロイメントは完了し、RADIUSaaS のメイン メニューに **登録**用のセクションが表示されます [**SCEPman**](https://docs.radiusaas.com/ja/ptaru/scepman).

{% tabs %}
{% tab title="ステータス" %}
The **ステータス** ページには、CA とその統合の現在の状態、および証明書を要求するために必要なエンドポイント URL が表示されます。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FecMmJueqiEMGpWUa6KeH%2Fimage.png?alt=media&#x26;token=c5f00655-2a6b-454c-b80a-8f25832a67b3" alt="This page is equivalent to the homepage of a SCEPman Enterprise deployment"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="証明書の管理" %}
の下で **証明書の管理** 発行済み証明書を参照したり、有効性を確認したり、失効させるオプションも利用できます。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FTzejovIb8se47UgyZnK8%2Fimage.png?alt=media&#x26;token=f6d2c2a1-d2ef-4fe8-b3a1-a0de063051b8" alt="This page is equivalent to the Manage Certificates section in a SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="証明書の要求" %}
の下で **証明書の要求**では、手動登録とインストール用のさまざまな種類の証明書を要求したり、CSR に署名したりできます。

{% hint style="info" %}
専用の [Certificate Master](https://docs.scepman.com/certificate-management/certificate-master) ドキュメントを参照して、ここで要求できるさまざまな種類の証明書の詳細をご確認ください。
{% endhint %}

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FbTH39Myb4LH7T52VxZ2e%2Fimage.png?alt=media&#x26;token=3d742ea5-1b81-4597-a990-79263748ef5e" alt="This page is equivalent to the Request Certificates section in a  SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="タスク" %}
The **タスク** セクションには、Certificate Master の現在の状態と、ロールに許可されたセクションへのリンクが表示されます。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FNtkoVWJIX7u60B5cYqiD%2Fimage.png?alt=media&#x26;token=12b076c4-f461-4d13-9a17-6d7c14103c86" alt="This page is equivalent to the home page in a SCEPman Enterprise Certificate Master"><figcaption></figcaption></figure>
{% endtab %}
{% endtabs %}

{% hint style="success" %}
これで SCEPman はデプロイされ、証明書の発行準備が整いました!
{% endhint %}
{% endstep %}

{% step %}

### SCEPman を Azure テナントに接続する

{% hint style="info" %}
Intune または StaticAAD エンドポイント経由で証明書を展開する予定がある場合にのみ、SCEPman を Azure テナントに接続する必要があります。
{% endhint %}

ほとんどのシナリオでは、Intune SCEP プロファイルを使用して SCEPman が証明書を発行できるようにし、たとえばデバイスが初期化された場合には証明書を自動的に失効できるようにしたいはずです。

これを意図どおりに機能させるには、SCEPman にテナント内で特定のロールが必要です。これは、当社のマルチテナント エンタープライズ アプリケーションに同意するか、必要なアクセス許可を持つアプリ登録を自分で提供することで実現できます。

#### テナントを確認

{% hint style="info" %}
Azure テナントへの接続には、期限切れの監視が必要なクライアント シークレットを必要としないため、管理者同意 / マルチテナント エンタープライズ アプリケーション方式を推奨します。
{% endhint %}

の最初の手順は **管理者の同意** フローでは、テナント ID を入力して確認することです。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FvZ3mz8cJtBn8yIzmxbCV%2Fimage.png?alt=media&#x26;token=5dc5ef8f-6dc0-47f3-bc93-0bd3ccbb6f8f" alt=""><figcaption></figcaption></figure>

をクリックすると **テナントを確認** Microsoft の同意ページにリダイレクトされ、認証と、このアプリケーションの初期承認を行います:

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FXX2m3HlBt0xcU4HINfcp%2Fimage.png?alt=media&#x26;token=47767ac7-4021-4747-b78b-580753709adb" alt=""><figcaption></figcaption></figure>

この同意を承認すると、 <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> エンタープライズ アプリケーションがテナントに追加されますが、必要なアクセス許可はまだ追加されません。

#### 管理者の同意

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fs4grwQHgnpggGbQTG2o8%2Fimage.png?alt=media&#x26;token=51c816c9-76f5-484f-93ab-7ba353f9c428" alt=""><figcaption></figcaption></figure>

テナントを確認した後、 **管理者の同意** をクリックすると、再び Microsoft の同意ページにリダイレクトされ、アプリケーションに一覧のアクセス許可を付与するかどうかの確認が求められます。必要なアクセス許可の詳細については、 [セキュリティとプライバシー Q\&A](https://docs.radiusaas.com/ja/sono/faqs/security-and-privacy#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F6F2ZseSEQOU8YLvZYBuA%2Fimage.png?alt=media&#x26;token=17e7374d-9607-4d2f-9c92-e6b14cbb3f39" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
を参照してください。これで SCEPman は Azure テナントに接続し、証明書バインディング用の情報を取得できるようになりました!
{% endhint %}
{% endstep %}

{% step %}

### 証明書エンドポイントを有効にする

多くのシナリオでは、Intune SCEP 証明書プロファイルを利用してデバイスに SCEPman から証明書の要求を行わせることで証明書が展開されます。このエンドポイントを有効にするには、 **設定** > **SCEPman** に再度移動し、 **Intune 検証** 設定を有効にして構成を保存します:

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FiNz9WqtEoDs9q2C55uQd%2Fimage.png?alt=media&#x26;token=0b26b3dc-e554-4757-95b2-b622bf8e50b9" alt=""><figcaption></figcaption></figure>

#### コンプライアンス チェック

SCEPman Enterprise と同様に、SCEPman はバインドされたデバイスの準拠状態を確認することで証明書の有効性を評価できます。この設定の詳細については、  [この設定に関する SCEPman のドキュメント](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-compliancecheck) を参照してください。

#### デバイス ディレクトリ

デバイス ディレクトリの選択は、SCEP プロファイルで選択したバインディングによって異なります:

* `{{DeviceId}}` は **Intune**
* `{{AAD_DeviceID}}` は **AAD** (Entra ID)
* `{{UserPrincipalName}}` (UPN) は **AAD** (Entra ID)

詳細については、 [SCEPman のドキュメント](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) のデバイス ディレクトリの説明を参照してください。

{% hint style="success" %}
これで Intune の検証が有効になり、証明書エンドポイントが利用可能になりました!
{% endhint %}
{% endstep %}

{% step %}

### 証明書を展開する

Intune の検証を有効にすると、SCEPman のステータス ページに Intune MDM 用のエンドポイント URL が表示されます:

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F9gfjWTTgWp5cSoUUISdl%2Fimage.png?alt=media&#x26;token=0d96e310-f583-43b8-9b43-e5f9faf227d5" alt=""><figcaption></figcaption></figure>

この URL は、 **SCEP Server URL**.

#### Root Certificate

続行する前に、Intune で **Trusted Certificate** プロファイルを作成し、 **SCEP 証明書** プロファイルに進んで <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> の CA 証明書をクライアントに展開してください。

[SCEPman ドキュメント: Root Certificate](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10#root-certificate)

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FAJGdaC7h6GTNWVhU1m3n%2Fimage.png?alt=media&#x26;token=fc0c04a2-6c13-459f-8a0c-212889eb460b" alt=""><figcaption></figcaption></figure>

#### SCEP Certificate

SCEP 証明書プロファイルの作成手順は SCEPman Enterprise と同じです。

[SCEPman ドキュメント: SCEP - Intune - Windows](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10)

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FK0Mj6thqRO714qXEBZ1o%2Fimage.png?alt=media&#x26;token=28eaf12d-7a0f-4f38-885c-09606b09563d" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
これでクライアントは SCEPman によって発行された証明書を受け取るはずです!
{% endhint %}
{% endstep %}
{% endstepper %}

## 信頼を確立する

デバイスが <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code> CA の証明書を使って認証できるようにし、アクセスポイントが RADIUSaaS インスタンスへの RadSec 接続を確立できるようにするには、その CA 証明書を信頼する必要があります。そのためには、まず **SCEPman** > **ステータス** ページの。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FxlMuZhVhgRPluw3vecSM%2Fimage.png?alt=media&#x26;token=6f0dfc1c-9d85-4384-8aeb-6e5feb9142e4" alt=""><figcaption></figcaption></figure>

CA 証明書を用意したら、 **設定** > **信頼済み証明書** に移動して新しい証明書を追加します。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FEpZNRoOZvfrrQI3KZ25Q%2Fimage.png?alt=media&#x26;token=2effc58b-d8db-4a73-89c5-44378e6eb45e" alt=""><figcaption></figcaption></figure>

ダウンロードした証明書ファイルをアップロードして保存します:

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FcJlVeYyWkKItOyMIzKc7%2Fimage.png?alt=media&#x26;token=16940fd7-6814-4d8f-8d6d-75f7a241c672" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
これで RADIUSaaS は、SCEPman によって発行された証明書を使用する受信接続を受け入れるようになります!
{% endhint %}

## RADIUSaaS サーバー証明書の管理を有効にする

を登録した後 <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>、 **設定** > **Server Settings** 下の SCEPman 接続セクションで、証明書の事前生成と接続のセットアップができることに気づくはずです。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FR6lHASt8GhOzGORV4g44%2Fimage.png?alt=media&#x26;token=ce87ba5c-d533-45af-bd83-0e98e64bd22e" alt=""><figcaption></figcaption></figure>

この時点ですでに SCEPman インスタンスへの接続は確立されており、RADIUSaaS はサーバー証明書を要求できます。次に進む正しい方法は、現在すでに RADIUSaaS を使ってクライアントを認証しているか、あるいはこれが新規セットアップかによって異なります。

#### 証明書を事前生成

RADIUSaaS はサーバー証明書を要求して証明書一覧に追加しますが **それを有効化したり、自動管理を有効にしたりはしません。**

現在 RADIUSaaS にクライアントが認証している場合、これにより Wi-Fi プロファイルでサーバー検証に使用される名前が正しいかどうか、およびサーバー検証に使用されるルート証明書が正しいかどうかを確認できます。

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fjp9KpyVKoacpGi9IKgCS%2Fimage.png?alt=media&#x26;token=e1f3ae26-89fd-4677-b268-1fd9bc4beea7" alt=""><figcaption></figcaption></figure>

#### 接続をセットアップ

これが新規セットアップであるか、クライアントがサーバー証明書の検証に正しい情報を使用していることを確認済みであれば、 **接続をセットアップ**.

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FOINrrk50uCnZqZoo38It%2Fimage.png?alt=media&#x26;token=8aacb961-33d0-4dd5-abb6-85d30ecc6e28" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
をクリックしてサーバー証明書の自動管理を有効にできます。これで RADIUSaaS は SCEPman からサーバー証明書を要求し、有効化し、失効前に適切なタイミングで更新します!
{% endhint %}

## その他の証明書エンドポイント

その他の証明書エンドポイントの設定は、SCEPman Enterprise での設定方法と同様です。関連ドキュメントをご確認ください:

#### 一般

{% content-ref url="../ptaru/settings/scepman" %}
[scepman](https://docs.radiusaas.com/ja/ptaru/settings/scepman)
{% endcontent-ref %}

#### Jamf

{% embed url="<https://docs.scepman.com/certificate-management/jamf/general>" %}

#### 静的検証

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/static-validation>" %}

#### Static-AAD 検証

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/staticaad-validation>" %}

#### DC

{% embed url="<https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/dc-validation>" %}

## ログ

SCEPman Enterprise で期待されるすべてのアプリケーション ログは、 **ログ** セクションで見つけることができます。これには以下が含まれます:

* サービス正常性メッセージ
* 発行済み証明書
* OCSP 応答
* 検証および発行中の警告とエラー

<figure><img src="https://992520889-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F9hu1ZpLgx2bpqO0bCpwE%2Fimage.png?alt=media&#x26;token=e7010882-a6c0-4527-901a-3ed6a577bfa5" alt=""><figcaption></figcaption></figure>