circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Microsoft Cloud PKI

このドキュメントでは、Intune と Microsoft Cloud PKI を使用して証明書ベースの WiFi 認証を実装するために必要な設定手順を説明します。

circle-info

Microsoft Cloud PKI がルート CA と発行 CA の両方をホストしていると想定しています。BYOCA(Bring Your Own CA)を含むシナリオについては、Microsoft のオンライン資料またはウェブを参照してください。

1

hashtag
Microsoft Cloud PKI をデプロイする

hashtag
Intune 管理センターでルート CA を作成する

管理対象デバイスに証明書を発行する前に、信頼のアンカーとして機能するテナント内のルート CA を作成する必要があります。Intune 管理センターでルート CA を作成するには、次に従ってください こちら arrow-up-rightMicrosoft のガイド。

circle-info

後で必要になるため、CRL 配布ポイントに注意してください(これを ステップ 2.

hashtag
Intune 管理センターで発行 CA を作成する

Intune 管理下のデバイスに証明書を発行するには発行 CA が必要です。Cloud PKI は自動的に証明書登録機関として機能する SCEP サービスを提供します。SCEP プロファイルを使用して、Intune 管理デバイスに代わり発行 CA から証明書を要求します。発行 CA を作成するには、次に従ってください こちら arrow-up-rightMicrosoft のガイド。

circle-info

後で必要になるため、CRL 配布ポイントに注意してください(これを ステップ 2.

ルートおよび発行 CA
2

hashtag
RADIUSaaS と Microsoft Cloud PKI 間の信頼を確立する

RADIUSaaS が Microsoft Cloud PKI によって発行されたクライアント認証証明書を信頼するように構成します。クラウド PKI は階層化された CA 構造を必要とするため、ルート CA と発行 CA(つまり完全な信頼チェーン)の両方をアップロードする必要があります。これを実現するために、以下の手順に従ってください:

  1. に移動します 信頼された証明書.

  2. アップロード Contoso Cloud PKI ルート CA を選択し クライアント認証 のアップロードプロセスで選択します。

  3. 検証方法として選択するのは CRL と共に DER エンコーディングです。

  4. ルート CA のコピーした CRL 配布ポイント URL を CRL 配布ポイント の URL 入力フィールドに使用してください。

  5. Contoso Cloud PKI をアップロードする 発行 CA を選択し クライアント認証 のアップロードプロセスで選択します。

  6. 再度、検証方法として CRL を選択し、共に DER エンコーディングです。

  7. 発行 CA のコピーした CRL 配布ポイント URL を CRL 配布ポイント の URL 入力フィールドに使用してください。

3

hashtag
RADIUS サーバー証明書を構成する

エンドポイント デバイスと RADIUSaaS 間でサーバー信頼を確立するには、次の手順に従ってください これらの手順.

4

hashtag
ネットワーク機器を構成する

ネットワーク機器(WiFi アクセスポイント、スイッチ、または VPN ゲートウェイ)を構成するには、次に従ってください これらの手順.

手順 2 - 4 が正常に完了すると、 信頼された証明書 あなたの RADIUSaaS インスタンスのページは下の例のようになります。例では RadSec 対応の MikroTik アクセスポイント。

Microsoft Cloud PKI に必要な信頼できる証明書の概要。
5

hashtag
Intune プロファイルを構成する

証明書ベースの WiFi 認証を設定するために、いくつかのプロファイルを作成して Intune 経由で展開する必要があります。これらのプロファイルは次のとおりです:

プロファイル種類
目的

信頼された証明書

ルート CA 証明書を展開する。

信頼された証明書

発行 CA 証明書を展開する。

信頼された証明書

RADIUS サーバー証明書を発行したルート CA 証明書を展開する。

SCEP 証明書

クライアント認証証明書を登録する。

Wi-Fi

ワイヤレス ネットワークアダプターの設定を配布します。

関連する Intune プロファイル

hashtag
信頼された証明書プロファイル

Microsoft Cloud PKI

ステップ 1 で作成したルート CA と発行 CA 証明書をデバイスにデプロイする。 ステップ 1 を介して 信頼された証明書 プロファイルを作成してデバイスに配布するには、次に移動します Intune 管理センター 次に ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメータで:

  • プラットフォーム = Windows 10 以降

  • プロファイルタイプ = テンプレート

  • テンプレート名 = 信頼できる証明書。

それぞれのプロファイルに関連する証明書ファイル(*.cer)をアップロードします:

  • 作成されたルート CA 証明書 ここ

  • 作成された発行 CA 証明書 ここ

circle-info

Trusted certificate(信頼できる証明書)と SCEP プロファイルの割り当てに同じグループを使用する必要があることに注意してください。そうでない場合、Intune の展開が失敗する可能性があります。

この操作は、サービスを使用するすべてのデバイス プラットフォーム(例:Windows、macOS、…)に対して繰り返す必要があります。

RADIUS サーバーの信頼

次に、RADIUS サーバー証明書を発行したルート CA 証明書をここで説明されているようにプッシュします:

サーバー信頼chevron-right

hashtag
SCEP 証明書プロファイル

を作成するには SCEP 証明書 Intune 管理センターでプロファイルを作成するには、まずから SCEP URI をコピーしてください ホーム > テナント管理 > Cloud PKI > Contoso 発行 CA > プロパティ > SCEP URI。

次に、に移動します ホーム > デバイス > Windows > 構成プロファイル > 作成 > 新しいポリシー 次のパラメータで:

  • プラットフォーム = Windows 10 以降

  • プロファイルタイプ = テンプレート

  • テンプレート名 = SCEP 証明書

次に、テンプレートを下のスクリーンショットに従って構成し、必ず次を添付してください: Contoso ルート証明書 ステップ 1 で以前に作成したものと、 SCEP URI 上でコピーしたもの。

SCEP デバイス証明書の構成

この操作は、サービスを使用するすべてのデバイス プラットフォーム(例:Windows、macOS、…)に対して繰り返す必要があります。

hashtag
Wi-Fi プロファイル

次の記事に従って WiFi アダプタ設定をデバイスに展開してください:

WiFi プロファイルchevron-right
6

hashtag
権限と技術担当者

7

hashtag
ルール

circle-info

これは オプションの 手順です。

追加のルール(例えば VLAN ID を割り当てたり、特定の信頼された CA や Wi-Fi アクセスポイントに対して認証要求を制限したり)を構成したい場合は、RADIUSaaS のルールエンジンをご確認ください。

ルールchevron-right

最終更新

役に立ちましたか?