Microsoft Intune で認証に証明書を使用する
Intune で証明書を使用し、VPN、Wi-Fi、電子メール プロファイルを介してアプリケーションや企業リソースに対してユーザーが本人であることを確認します。 接続の認証に証明書を使用すると、エンド ユーザーはユーザー名とパスワードを入力する必要がなくなり、アクセスがシームレスになります。 証明書は、S/MIME を使用した電子メールの署名と暗号化にも使用されます。
Intune での証明書の概要
証明書により、次の 2 つのフェーズを通じて、遅延なく認証されたアクセスが提供されます。
- 認証フェーズ: ユーザーの信頼性をチェックし、ユーザーが主張しているとおりの人物であることを確認します。
- 承認フェーズ: ユーザーには、ユーザーにアクセス権を付与する必要があるかどうかを判断する条件が適用されます。
証明書の一般的な使用シナリオは次のとおりです。
- デバイスまたはユーザーの証明書を使用したネットワーク認証 (802.1x など)
- デバイスまたはユーザーの証明書を使用した VPN サーバーでの認証
- ユーザー証明書に基づいた電子メールへの署名
Intune により、デバイスに証明書をプロビジョニングする方法として、Simple Certificate Enrollment Protocol (SCEP)、公開キー暗号化標準 (PKCS)、インポートされた PKCS 証明書がサポートされています。 プロビジョニング方法が異なれば、要件と結果も異なります。 例:
- SCEP によって、証明書の各要求に固有の証明書がプロビジョニングされます。
- PKCS によって各デバイスに一意の証明書がプロビジョニングされます。
- インポートされた PKCS を使用すると、メール サーバーなどのソースからエクスポートしたものと同じ証明書を複数の受信者に展開できます。 この共有証明書は、すべてのユーザーまたはデバイスが、その証明書によって暗号化された電子メールを、確実に暗号化を解除できるようにするのに役立ちます。
特定の種類の証明書を使用してユーザーまたはデバイスをプロビジョニングするために、Intune により証明書プロファイルが使用されます。
3 種類の証明書とプロビジョニング方法に加えて、信頼された証明機関 (CA) からの信頼されたルート証明書が必要になります。 CA には、オンプレミスの Microsoft 証明機関、またはサードパーティの証明機関を使用できます。 信頼されたルート証明書によって、デバイスから、他の証明書の発行元であるルートまたは中間 (発行元) CA への信頼が確立されます。 この証明書を展開するには、"信頼された証明書" プロファイルを使用して、それを SCEP、PKCS、およびインポートされた PKCS の証明書プロファイルを受信するのと同じデバイスとユーザーに展開します。
ヒント
Intune により、スマートカードを使用する必要がある環境での派生資格情報の使用もサポートされています。
証明書の使用に必要なもの
- 証明機関。 CA は、証明書が認証のために参照する信頼のソースです。 Microsoft CA またはサードパーティの CA を使用できます。
- オンプレミスのインフラストラクチャ。必要なインフラストラクチャは、使用する証明書の種類によって異なります。
- 信頼されたルート証明書。 SCEP または PKCS 証明書プロファイルを展開する前に、"信頼された証明書" プロファイルを使用して、CA から信頼されたルート証明書を展開します。 このプロファイルは、デバイスから CA への信頼を確立するのに役立ち、他の証明書プロファイルで必要になります。
信頼されたルート証明書を展開すると、認証用の証明書を使用して証明書プロファイルを展開して、ユーザーとデバイスをプロビジョニングする準備が整います。
使用する証明書プロファイル
次の比較は包括的なものではありませんが、さまざまな種類の証明書プロファイルの使用を区別するために用意されています。
| プロファイルの種類 | 詳細 |
|---|---|
| 信頼された証明書 | ルート CA または中間 CA からユーザーおよびデバイスに公開キー (証明書) を展開して、ソース CA への信頼を確立するために使用します。他の証明書プロファイルには、信頼できる証明書プロファイルとそのルート証明書が必要です。 |
| SCEP 証明書 | 証明書要求のテンプレートをユーザーとデバイスに展開します。 SCEP を使用してプロビジョニングされた各証明書は一意であり、証明書を要求するユーザーまたはデバイスに関連付けられています。 SCEP を使用すると、ユーザー アフィニティのないデバイスに証明書を展開できます。これには、SCEP を使用したキオスクまたはユーザーのいないデバイスでの証明書のプロビジョニングが含まれます。 |
| PKCS 証明書 | ユーザーまたはデバイスの証明書の種類を指定する証明書要求のテンプレートを展開します。 - ユーザーの証明書の種類に対する要求には、常にユーザー アフィニティが必要です。 ユーザーに展開すると、各ユーザーのデバイスは一意の証明書を受け取ります。 ユーザーがいるデバイスに展開すると、そのユーザーがそのデバイスの証明書に関連付けられます。 ユーザーがいないデバイスに展開すると、証明書はプロビジョニングされません。 - デバイスという証明書の種類を使用するテンプレートには、証明書をプロビジョニングするためのユーザー アフィニティは必要ありません。 デバイスに展開することでデバイスがプロビジョニングされます。 ユーザーに展開すると、ユーザーがサインインしているデバイスが証明書を使ってプロビジョニングされます。 |
| PKCS のインポートされた証明書 | 1 つの証明書を複数のデバイスとユーザーに展開します。これにより、S/MIME 署名や暗号化などのシナリオがサポートされます。 たとえば、各デバイスに同じ証明書を展開することにより、各デバイスは、同じメール サーバーから受信した電子メールの暗号化を解除できます。 他の証明書の展開方法はこのシナリオには不十分です。それは、SCEP では要求ごとに一意の証明書が作成され、PKCS ではユーザーごとに異なる証明書が関連付けられ、ユーザーごとに受け取る証明書が異なるためです。 |
Intune でサポートされている証明書と使用方法
| Type | 認証 | S/MIME 署名 | S/MIME 暗号化 |
|---|---|---|---|
| 公開キー暗号化標準 (PKCS) のインポートされた証明書 |  |
|
|
| PKCS#12 (または PFX) | |
|
|
| Simple Certificate Enrollment Protocol (SCEP) | |
|
このような証明書を配備するには、証明書プロファイルを作成し、デバイスに割り当てます。
作成する証明書プロファイルは、1 つにつきプラットフォームを 1 つサポートします。 たとえば、PKCS 証明書を使用する場合、Android 用の PKCS 証明書プロファイルと iOS/iPadOS 用の別の PKCS 証明書プロファイルを別々に作成します。 この 2 つのプラットフォームに SCEP 証明書も使用する場合、Android 用に 1 つ、iOS/iPadOS 用に 1 つ、SCEP 証明書プロファイルを作成します。
Microsoft の証明機関を使用する場合の一般的な考慮事項
Microsoft の証明機関 (CA) を使用する場合:
SCEP 証明書プロファイルを作成するには:
- Intune で使用するネットワーク デバイス登録サービス (NDES) サーバーを設定します。
- Certificate Connector for Microsoft Intune をインストールします。
PKCS 証明書プロファイルを使用するには、次を実行します。
PKCS のインポートされた証明書を使用するには:
- Certificate Connector for Microsoft Intune をインストールします。
- 証明機関から証明書をエクスポートし、Microsoft Intune にインポートします。「PFXImport PowerShell プロジェクト」を参照してください。
次のメカニズムで証明書を展開します。
- 信頼された証明書プロファイル: 信頼されたルート CA 証明書をルートまたは中間 (発行) CA からデバイスに展開するため
- SCEP 証明書プロファイル
- PKCS 証明書のプロファイル
- PKCS のインポートされた証明書プロファイル
サードパーティの証明機関を使用する場合の一般的な考慮事項
サードパーティ (Microsoft 以外) の証明機関 (CA) を使用する場合:
SCEP 証明書プロファイルを作成するには:
- サポートされているパートナーのいずれかからのサードパーティの CA との統合を構成します。 セットアップには、サードパーティの CA からの指示に従って、CA と Intune の統合を完了することも含まれます。
- SCEP 証明書チャレンジの検証を行うために Intune に権限を委任するアプリケーションを Azure AD で作成します。
PKCS のインポートされた証明書では、Certificate Connector for Microsoft Intune をインストールする必要があります。
次のメカニズムで証明書を展開します。
- 信頼された証明書プロファイル: 信頼されたルート CA 証明書をルートまたは中間 (発行) CA からデバイスに展開するため
- SCEP 証明書プロファイル
- PKCS 証明書プロファイル (Digicert PKI プラットフォームでのみサポートされています)
- PKCS のインポートされた証明書プロファイル
サポートされているプラットフォームと証明書プロファイル
| プラットフォーム | 信頼された証明書プロファイル | PKCS 証明書プロファイル | SCEP 証明書プロファイル | PKCS のインポートされた証明書プロファイル |
|---|---|---|---|---|
| Android デバイス管理者 | (注 1 を参照) |
|
|
|
| Android エンタープライズ - フル マネージド (デバイスの所有者) |
|
|
|
|
| Android エンタープライズ - 専用 (デバイスの所有者) |
|
|
|
|
| Android エンタープライズ - 会社所有の仕事用プロファイル |
|
|
|
|
| Android エンタープライズ - 個人所有の仕事用プロファイル |
|
|
|
|
| Android (AOSP) | |
|
||
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 以降 | |
|
||
| Windows 10 または 11 | (注 2 を参照) |
(注 2 を参照) |
(注 2 を参照) |
|
- *注 1 - Android 11 以降では、信頼された証明書プロファイルによって、"Android デバイス管理者" として登録されたデバイスに信頼されたルート証明書をインストールできなくなりました。 この制限は Samsung KNOX には適用されません。 詳細については、「Android デバイス管理者向けの信頼された証明書プロファイル」を参照してください。
- 注 2 - このプロファイルは、Windows Enterprise マルチセッション リモート デスクトップでサポートされています。
次の手順
その他のリソース
証明書プロファイルの作成: