この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk

Microsoft Cloud PKI

このドキュメントでは、Intune と Microsoft Cloud PKI を使用して証明書ベースのWiFi認証を実装するために必要な構成手順について説明します。

Microsoft Cloud PKI が Root CA と Issuing CA の両方をホストしているものと想定します。BYOCA を含むシナリオについては、Microsoft のオンライン リソースまたは Web を参照してください。

1

Microsoft Cloud PKI を展開する

Intune admin center で Root CA を作成する

管理対象デバイスに証明書を発行する前に、信頼のアンカーとして機能する Root CA をテナントに作成する必要があります。Intune admin center で Root CA を作成するには、次の手順に従ってください こちら Microsoft のガイド。

CRL 配布ポイントは後で 手順 2.

Intune admin center で Issuing CA を作成する

Intune 管理デバイス用の証明書を発行するには、Issuing CA が必要です。Cloud PKI は、証明書登録機関として機能する SCEP サービスを自動的に提供します。SCEP プロファイルを使用して、Intune 管理デバイスに代わって Issuing CA から証明書を要求します。Issuing CA を作成するには、次の手順に従ってください こちら Microsoft のガイド。

CRL 配布ポイントは後で 手順 2.

Root CA と Issuing CA
2

RADIUSaaS と Microsoft Cloud PKI の間で信頼を確立する

Microsoft Cloud PKI によって発行されたクライアント認証証明書を信頼するように RADIUSaaS を構成します。クラウド PKI には段階的な CA 構成が必要なため、Root CA と Issuing CA の両方、つまり信頼チェーン全体をアップロードする必要があります。これを行うには、以下の手順に従ってください:

  1. 次に移動します 信頼済み証明書.

  2. アップロード Contoso Cloud PKI Root CA, を選択し Client Authentication をアップロード プロセスで選択します。

  3. 検証方法として CRL DER エンコーディングを選択します。

  4. Root CA のコピーした CRL 配布ポイント URL を CRL Distribution Points の URL 入力フィールドに使用します。

  5. Contoso Cloud PKI Issuing CA, を選択し Client Authentication をアップロード プロセスで選択します。

  6. 再度、検証方法として CRL とともに選択します DER エンコーディングを選択します。

  7. Issuing CA のコピーした CRL 配布ポイント URL を CRL Distribution Points の URL 入力フィールドに使用します。

3

RADIUS サーバー証明書を構成する

エンドポイント デバイスと RADIUSaaS の間でサーバー信頼を確立するには、次の手順に従ってください これらの手順.

4

ネットワーク機器を構成する

ネットワーク機器(WiFi アクセスポイント、スイッチ、または VPN ゲートウェイ)を構成するには、以下に従ってください。 これらの手順.

手順 2 - 4 を正常に完了すると、 信頼済み証明書 ページは以下の例のようになります。なお、この例では RadSec 対応の MikroTik アクセスポイント。

Microsoft Cloud PKI に必要な Trusted Certificates Overview。
5

Intune プロファイルを構成する

証明書ベースの WiFi 認証を設定するには、いくつかのプロファイルを作成し、Intune 経由で展開する必要があります。これらのプロファイルは次のとおりです:

プロファイルの種類
目的

信頼済み証明書

Root CA 証明書を展開します。

信頼済み証明書

Issuing CA 証明書を展開します。

信頼済み証明書

RADIUS サーバー証明書を発行した Root CA 証明書を展開します。

SCEP 証明書

クライアント認証証明書を登録します。

Wi-Fi

ワイヤレス ネットワーク アダプターの設定を展開します。

関連する Intune プロファイル

Trusted certificate プロファイル

Microsoft Cloud PKI

で作成した Root CA および Issuing CA 証明書を展開します 手順 1 という 信頼済み証明書 プロファイルを使用してデバイスに配布するには、 Intune admin center に移動し、次に Home > Devices > Windows > Configuration profiles > Create > New Policy に移動して、次のパラメーターを設定します:

  • Platform = Windows 10 and later

  • Profile type = Template

  • Template name = Trusted certificate.

該当する証明書ファイル (*.cer) を、対応するプロファイルにアップロードします:

  • 作成された Root CA 証明書 ここ

  • 作成された Issuing CA 証明書 ここ

Trusted certificate プロファイルと SCEP プロファイルには、同じグループを割り当てる必要があることに注意してください。そうしないと、Intune の展開が失敗する可能性があります。

これは、このサービスを使用するすべてのデバイス プラットフォーム(例: Windows、macOS など)に対して繰り返す必要があります

RADIUS Server Trust

次に、こちらで説明されているように、RADIUS Server Certificate を発行した Root CA 証明書をプッシュします:

サーバー信頼

SCEP 証明書プロファイル

を作成するには SCEP 証明書 Intune admin center でプロファイルを作成するには、まず、次の場所から SCEP URI をコピーします Home > Tenant admin > Cloud PKI > Contoso Issuing CA > Properties > SCEP URI。

次に、 Home > Devices > Windows > Configuration profiles > Create > New Policy に移動して、次のパラメーターを設定します:

  • Platform = Windows 10 and later

  • Profile type = Template

  • Template name = SCEP certificate

に移動し、以下のスクリーンショットに従ってテンプレートを構成し、 Contoso Root Certificate を手順 1 で以前に作成したものと SCEP URI のコピーを添付したことを確認します。

SCEP デバイス証明書の構成

これは、このサービスを使用するすべてのデバイス プラットフォーム(例: Windows、macOS など)に対して繰り返す必要があります

Wi-Fi プロファイル

この記事に従って、WiFi アダプターの設定をデバイスに展開します:

WiFi プロファイル
6

アクセス許可と技術担当者

7

ルール

これは 任意の 手順です。

VLAN ID を割り当てたり、認証要求を特定の信頼済み CA や WiFi アクセスポイントに制限したりするなど、追加のルールを構成したい場合は、RADIUSaaS Rule Engine を確認してください。

ルール

最終更新

役に立ちましたか?