Configuration Manager の証明書プロファイルの概要Introduction to certificate profiles in Configuration Manager

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

証明書プロファイルは、Active Directory 証明書サービスおよびネットワーク デバイス登録サービス (NDES) ロールと共に使用されます。Certificate profiles work with Active Directory Certificate Services and the Network Device Enrollment Service (NDES) role. ユーザーが組織のリソースに簡単にアクセスできるように、マネージド デバイスに認証証明書を作成して展開します。Create and deploy authentication certificates for managed devices so that users can easily access organizational resources. たとえば、証明書プロファイルを作成して展開し、ユーザーが VPN 接続およびワイヤレス接続に必要な証明書を提供することができます。For example, you can create and deploy certificate profiles to provide the necessary certificates for users to connect to VPN and wireless connections.

証明書プロファイルでは、Wi-Fi ネットワークや VPN サーバーなど組織のリソースにアクセスするために、ユーザー デバイスを自動的に構成できます。Certificate profiles can automatically configure user devices for access to organizational resources such as Wi-Fi networks and VPN servers. ユーザーは、手動で証明書をインストールしたり、帯域外プロセスを使用したりすることなく、これらのリソースにアクセスできます。Users can access these resources without manually installing certificates or using an out-of-band process. 証明書プロファイルを使用すると、公開キー基盤 (PKI) でサポートされているさらに安全な設定を使用できるため、リソースをセキュリティで保護するために役立ちます。Certificate profiles help to secure resources because you can use more secure settings that are supported by your public key infrastructure (PKI). たとえば、マネージド デバイスに必要な証明書を展開しているため、すべての Wi-Fi 接続と VPN 接続に対してサーバー認証を要求します。For example, require server authentication for all Wi-Fi and VPN connections because you've deployed the required certificates on the managed devices.

証明書プロファイルが提供する管理機能:Certificate profiles provide the following management capabilities:

  • 異なる OS の種類とバージョンを実行しているデバイスの証明機関 (CA) からの証明書の登録と更新。Certificate enrollment and renewal from a certification authority (CA) for devices that run different OS types and versions. これらの証明書を Wi-Fi 接続と VPN 接続に使用できます。These certificates can then be used for Wi-Fi and VPN connections.

  • 信頼されたルート CA 証明書と中間 CA 証明書の展開。Deployment of trusted root CA certificates and intermediate CA certificates. これらの証明書では、サーバー認証が必要な場合に VPN 接続のデバイスと Wi-Fi 接続のデバイスで信頼関係のチェーンを構成します。These certificates configure a chain of trust on devices for VPN and Wi-Fi connections when server authentication is required.

  • インストールされている証明書を監視してレポートします。Monitor and report about the installed certificates.

例 1:すべての従業員が、複数のオフィスにある Wi-Fi ホットスポットに接続する必要があります。Example 1: All employees need to connect to Wi-Fi hotspots in multiple office locations. 簡単なユーザー接続を有効にするには、最初に Wi-Fi への接続に必要な証明書を展開します。To enable easy user connection, first deploy the certificates needed to connect to Wi-Fi. 次に、証明書を参照する Wi-Fi プロファイルを展開します。Then deploy Wi-Fi profiles that reference the certificate.

例 2:PKI が配置されています。Example 2: You have a PKI in place. より柔軟でセキュリティで保護された方法で証明書を展開する必要があります。You want to move to a more flexible, secure method of deploying certificates. ユーザーは、セキュリティを低下させることなく、個人のデバイスから組織のリソースにアクセスする必要があります。Users need to access organizational resources from their personal devices without compromising security. 特定のデバイス プラットフォーム用にサポートされている設定とプロトコルを使用して、証明書プロファイルを構成します。Configure certificate profiles with settings and protocols that are supported for the specific device platform. デバイスは、インターネットに接続された登録サーバーに対してこれらの証明書を自動的に要求することができます。The devices can then automatically request these certificates from an internet-facing enrollment server. その後、デバイスが組織のリソースにアクセスできるように、これらの証明書を使用するように VPN プロファイルを構成します。Then, configure VPN profiles to use these certificates so that the device can access organizational resources.

種類Types

次の 3 種類の証明書プロファイルがあります。There are three types of certificate profiles:

  • 信頼された CA 証明書: 信頼されたルート CA 証明書または中間 CA 証明書を展開します。Trusted CA certificate: Deploy a trusted root CA or intermediate CA certificate. デバイスでサーバーを認証する必要がある場合、これらの証明書で信頼関係のチェーンが形成されます。These certificates form a chain of trust when the device must authenticate a server.

  • Simple Certificate Enrollment Protocol (SCEP) :SCEP プロトコルを使用して、デバイスまたはユーザーの証明書を要求します。Simple Certificate Enrollment Protocol (SCEP): Request a certificate for a device or user by using the SCEP protocol. この種類には、Windows Server 2012 R2 以降を実行するサーバー上のネットワーク デバイス登録サービス (NDES) ロールが必要です。This type requires the Network Device Enrollment Service (NDES) role on a server running Windows Server 2012 R2 or later.

    Simple Certificate Enrollment Protocol (SCEP) の証明書プロファイルを作成するには、最初に信頼された CA 証明書プロファイルを作成します。To create a Simple Certificate Enrollment Protocol (SCEP) certificate profile, first create a Trusted CA certificate profile.

  • Personal information exchange (.pfx) :デバイスまたはユーザーの .pfx (別名、PKCS #12) 証明書を要求します。Personal information exchange (.pfx): Request a .pfx (also known as PKCS #12) certificate for a device or user. PFX 証明書プロファイルを作成するには、次の 2 つの方法があります。There are two methods to create PFX certificate profiles:

    注意

    Configuration Manager では、このオプション機能は既定で無効です。Configuration Manager doesn't enable this optional feature by default. この機能は、使用する前に有効にする必要があります。You must enable this feature before using it. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

    Personal information exchange (.pfx) 証明書の証明機関として Microsoft または Entrust を使用できます。You can use Microsoft or Entrust as certificate authorities for Personal information exchange (.pfx) certificates.

要件Requirements

SCEP を使用する証明書プロファイルを展開するには、証明書登録ポイントをサイト システム サーバーにインストールします。To deploy certificate profiles that use SCEP, install the certificate registration point on a site system server. また、NDES 用のポリシー モジュール (Configuration Manager ポリシー モジュール) を Windows Server 2012 R2 以降を実行するサーバーにインストールします。Also install a policy module for NDES, the Configuration Manager Policy Module, on a server that runs Windows Server 2012 R2 or later. このサーバーには、Active Directory 証明書サービスの役割が必要です。This server requires the Active Directory Certificate Services role. また、証明書が必要なデバイスにアクセスできる動作中の NDES も必要です。It also requires a working NDES that's accessible to the devices that require the certificates. デバイスでインターネットからの証明書を登録する必要がある場合は、NDES サーバーにインターネットからアクセスできる必要があります。If your devices need to enroll for certificates from the internet, then your NDES server must be accessible from the internet. たとえば、インターネットから NDES サーバーへのトラフィックを安全に有効にするには、Azure アプリケーション プロキシを使用できます。For example, to safely enable traffic to the NDES server from the internet, you can use Azure Application Proxy.

PFX 証明書には、証明書登録ポイントも必要です。PFX certificates also require a certificate registration point. また、証明書の証明機関 (CA) と関連するアクセス資格情報も指定します。Also specify the certificate authority (CA) for the certificate and the relevant access credentials. 証明機関として Microsoft または Entrust のいずれかを指定できます。You can specify either Microsoft or Entrust as certificate authorities.

Configuration Manager で証明書を展開するためのネットワーク デバイス登録サービスとポリシー モジュールのしくみについては、「Using a Policy Module with the Network Device Enrollment Service」 (ポリシー モジュールとネットワーク デバイス登録サービスの使用) を参照してください。For more information about how NDES supports a policy module so that Configuration Manager can deploy certificates, see Using a Policy Module with the Network Device Enrollment Service.

要件に応じて、Configuration Manager では、さまざまなデバイスの種類やオペレーティング システム上で異なる証明書ストアへの証明書の展開をサポートします。Depending on the requirements, Configuration Manager supports deploying certificates to different certificate stores on various device types and operating systems. 次のデバイスとオペレーティング システムがサポートされています。The following devices and operating systems are supported:

  • Windows 10Windows 10

  • Windows 10 MobileWindows 10 Mobile

  • Windows 8.1Windows 8.1

  • Windows Phone 8.1Windows Phone 8.1

注意

Windows Phone 8.1 と Windows 10 Mobile を管理するには、Configuration Manager オンプレミス MDM を使用します。Use Configuration Manager on-premises MDM to manage Windows Phone 8.1 and Windows 10 Mobile. 詳細については、「オンプレミス MDM」を参照してください。For more information, see On-premises MDM.

Configuration Manager の一般的なシナリオは、Wi-Fi および VPN サーバーを認証するために、信頼されたルート CA 証明書をインストールすることです。A typical scenario for Configuration Manager is to install trusted root CA certificates to authenticate Wi-Fi and VPN servers. 一般的な接続では、次のプロトコルを使用します。Typical connections use the following protocols:

  • 認証プロトコル:EAP-TLS、EAP-TTLS、および PEAPAuthentication protocols: EAP-TLS, EAP-TTLS, and PEAP
  • VPN トンネリング プロトコル:IKEv2、L2TP/IPsec、および Cisco IPsecVPN tunneling protocols: IKEv2, L2TP/IPsec, and Cisco IPsec

デバイスが SCEP 証明書プロファイルを使用して証明書を要求するには、そのデバイスにエンタープライズ ルート CA 証明書がインストールされている必要があります。An enterprise root CA certificate must be installed on the device before the device can request certificates by using a SCEP certificate profile.

さまざまな環境や接続要件に合わせてカスタマイズされた証明書を要求するように、SCEP 証明書プロファイルに設定を指定できます。You can specify settings in a SCEP certificate profile to request customized certificates for different environments or connectivity requirements. 証明書プロファイルの作成ウィザード には、登録パラメーター用のページが 2 つあります。The Create Certificate Profile Wizard has two pages for enrollment parameters. 1 つ目の [SCEP 登録] には、登録要求の設定と証明書のインストール先の場所が含まれています。The first, SCEP Enrollment, includes settings for the enrollment request and where to install the certificate. もう 1 つの [証明書のプロパティ] は、要求する証明書自体を説明するページです。The second, Certificate Properties, describes the requested certificate itself.

デプロイDeploy

SCEP 証明書プロファイルを展開すると、Configuration Manager クライアントがポリシーを処理します。When you deploy a SCEP certificate profile, the Configuration Manager client processes the policy. 次に、管理ポイントから SCEP チャレンジ パスワードを要求します。It then requests a SCEP challenge password from the management point. デバイスは公開キーと秘密キーのペアを作成し、証明書署名要求 (CSR) を生成します。The device creates a public/private key pair, and generates a certificate signing request (CSR). この要求を NDES サーバーに送信します。It sends this request to the NDES server. NDES サーバーは、NDES ポリシー モジュールを使用して、証明書登録ポイントのサイト システムに要求を転送します。The NDES server forwards the request to the certificate registration point site system via the NDES policy module. 証明書登録ポイントは、要求を検証し、SCEP チャレンジ パスワードを確認して、要求が改ざんされていないことを確認します。The certificate registration point validates the request, checks the SCEP challenge password, and verifies that the request wasn't tampered with. その後、要求を承認または拒否します。It then approves or denies the request. 承認されると、NDES サーバーは署名のために署名要求を接続された証明機関 (CA) に送信します。If approved, the NDES server sends the signing request to the connected certificate authority (CA) for signing. CA は要求に署名し、要求元のデバイスに証明書を返します。The CA signs the request, and then it returns the certificate to the requesting device.

ユーザーまたはデバイスのコレクションに証明書プロファイルを展開します。Deploy certificate profiles to user or device collections. 各証明書の保存先ストアを指定できます。You can specify the destination store for each certificate. 適用規則によって、デバイスが証明書をインストールできるかどうかが決まります。Applicability rules determine whether the device can install the certificate.

証明書プロファイルをユーザー コレクションに展開する場合は、ユーザーとデバイスのアフィニティによって、証明書をインストールするユーザーのデバイスが決まります。When you deploy a certificate profile to a user collection, user device affinity determines which of the users' devices install the certificates. ユーザー証明書を使用して証明書プロファイルをデバイス コレクションに展開すると、既定では、各ユーザーのプライマリ デバイスによって証明書がインストールされます。When you deploy a certificate profile with a user certificate to a device collection, by default each of the users' primary devices install the certificates. ユーザーの任意のデバイス上に証明書をインストールするには、証明書プロファイルの作成ウィザード[SCEP 登録] ページでこの動作を変更します。To install the certificate on any of the users' devices, change this behavior on the SCEP Enrollment page of the Create Certificate Profile Wizard. デバイスがワークグループに含まれている場合、Configuration Manager はユーザー証明書を展開しません。If the devices are in a workgroup, Configuration Manager doesn't deploy user certificates.

モニターMonitor

コンプライアンスの結果やレポートを表示し、証明書プロファイルの展開を監視できます。You can monitor certificate profile deployments by viewing compliance results or reports. 詳細については、「証明書プロファイルを監視する方法」を参照してください。For more information, see How to monitor certificate profiles.

自動失効Automatic revocation

Configuration Manager で、証明書プロファイルを使用して展開したユーザー証明書とコンピューター証明書は次のような場合に自動的に失効します。Configuration Manager automatically revokes user and computer certificates that were deployed by using certificate profiles in the following circumstances:

  • デバイスが Configuration Manager の管理下のインベントリから削除された場合。The device is retired from Configuration Manager management.

  • デバイスが Configuration Manager の階層からブロックされた場合。The device is blocked from the Configuration Manager hierarchy.

証明書を失効させるために、サイト サーバーが、証明書の発行元の証明機関に失効コマンドを送信します。To revoke the certificates, the site server sends a revocation command to the issuing certification authority. この失効の理由は、「 運用停止 」です。The reason for the revocation is Cease of Operation.

注意

証明書を適切に失効させるには、階層内の最上位サイトのコンピューター アカウントに、CA で証明書の発行と管理を行うためのアクセス許可が必要です。To properly revoke a certificate, the computer account for the top-level site in the hierarchy needs the permission to issue and manage certificates on the CA.

セキュリティを強化するために、CA の CA マネージャーを制限することもできます。For improved security, you can also restrict CA managers on the CA. 次に、サイトの SCEP プロファイルに使用する特定の証明書テンプレートに対してのみ、このアカウントのアクセス許可を与えます。Then only give this account permissions on the specific certificate template that you use for the SCEP profiles on the site.

次のステップNext steps