Microsoft IntuneのMicrosoft クラウド PKIの概要
適用対象:
- Windows
- Android
- iOS
- macOS
Microsoft クラウド PKIを使用して、Intune で管理されるデバイスの証明書を発行します。 Microsoft クラウド PKIは、Intune で管理されるデバイスの証明書ライフサイクル管理を簡素化および自動化するクラウドベースのサービスです。 オンプレミスのサーバー、コネクタ、またはハードウェアを必要とせずに、organization専用の公開キー インフラストラクチャ (PKI) を提供します。 Intune でサポートされているすべてのプラットフォームの証明書の発行、更新、失効を処理します。
この記事では、Intune のMicrosoft クラウド PKIの概要、のしくみ、およびそのアーキテクチャについて説明します。
PKI とは
PKI は、デジタル証明書を使用して、デバイスとサービス間のデータを認証および暗号化するシステムです。 PKI 証明書は、VPN、Wi-Fi、電子メール、Web、デバイス ID など、さまざまなシナリオをセキュリティで保護するために不可欠です。 ただし、特に多数のデバイスとユーザーを持つ組織では、PKI 証明書の管理は困難でコストがかかり、複雑になる可能性があります。 Microsoft クラウド PKIを使用して、デバイスとユーザーのセキュリティと生産性を強化し、フル マネージド クラウド PKI サービスへのデジタル変換を加速できます。 さらに、 の クラウド PKI サービスを利用して、Active Directory Certificate Services (ADCS) またはプライベートオンプレミス証明機関のワークロードを削減できます。
管理センターでクラウド PKI Microsoft Intune管理する
Microsoft クラウド PKIオブジェクトは、Microsoft Intune管理センターで作成および管理されます。 そこから、次のことができます。
- organizationにMicrosoft クラウド PKIを設定して使用します。
- テナントでクラウド PKIを有効にします。
- 証明書プロファイルを作成してデバイスに割り当てます。
- 発行された証明書を監視します。
クラウド PKI発行元 CA を作成した後、数分で証明書の発行を開始できます。
サポートされているデバイス プラットフォーム
Microsoft クラウド PKI サービスは、次のプラットフォームで使用できます。
- Android
- iOS/iPadOS
- macOS
- Windows
デバイスは Intune に登録する必要があり、プラットフォームは Intune デバイス構成 SCEP 証明書プロファイルをサポートする必要があります。
機能の概要
次の表に、Microsoft クラウド PKIとMicrosoft Intuneでサポートされる機能とシナリオを示します。
| 機能 | 概要 |
|---|---|
| Intune テナントに複数の CA を作成する | クラウドでルートと発行元 CA を使用して 2 層 PKI 階層を作成します。 |
| 独自の CA を持ち込む (BYOCA) | Active Directory Certificate Services または Microsoft 以外の証明書サービスを使用して、Intune 発行元 CA をプライベート CA に固定します。 既存の PKI インフラストラクチャがある場合は、同じルート CA を維持し、外部ルートにチェーンする発行元 CA を作成できます。 このオプションには、外部プライベート CA N+ 層階層のサポートが含まれています。 |
| 署名と暗号化アルゴリズム | Intune では、RSA、キー サイズ 2048、3072、4096 がサポートされています。 |
| ハッシュ アルゴリズム | Intune では、SHA-256、SHA-384、SHA-512 がサポートされています。 |
| HSM キー (署名と暗号化) | キーは、 Azure マネージド ハードウェア セキュリティ モジュール (Azure HSM) を使用してプロビジョニングされます。 ライセンスを持つ Intune Suite または クラウド PKI スタンドアロン アドオンを使用して作成された CA では、HSM 署名と暗号化キーが自動的に使用されます。 Azure HSM には Azure サブスクリプションは必要ありません。 |
| ソフトウェア キー (署名と暗号化) | Intune Suite または クラウド PKI スタンドアロン アドオンの試用期間中に作成された CA では、 を使用してソフトウェアによる署名と暗号化キーを使用System.Security.Cryptography.RSAします。 |
| 証明書登録機関 | 発行 CA ごとに、簡易証明書登録プロトコル (SCEP) をサポートするクラウド証明機関クラウド PKI提供します。 |
| 証明書失効リスト (CRL) 配布ポイント | Intune は、CA ごとに CRL 配布ポイント (CDP) をホストします。 CRL の有効期間は 7 日間です。 発行と更新は 3.5 日ごとに行われます。 CRL は、すべての証明書失効で更新されます。 |
| 機関情報アクセス (AIA) エンドポイント | Intune は、発行元 CA ごとに AIA エンドポイントをホストします。 AIA エンドポイントは、証明書利用者が親証明書を取得するために使用できます。 |
| ユーザーとデバイスのエンド エンティティ証明書の発行 | リーフ証明書の発行とも呼ばれます。 サポートは、SCEP (PKCS#7) プロトコルと認定形式、および SCEP プロファイルをサポートする Intune-MDM 登録済みデバイスを対象としています。 |
| 証明書のライフサイクル管理 | エンド エンティティ証明書の発行、更新、取り消し。 |
| レポート ダッシュボード | Intune 管理センターの専用ダッシュボードから、アクティブな証明書、期限切れ証明書、失効した証明書を監視します。 発行されたリーフ証明書やその他の証明書のレポートを表示し、リーフ証明書を取り消します。 レポートは 24 時間ごとに更新されます。 |
| 監査 | Intune 管理センターでの作成、取り消し、検索アクションなどの管理者アクティビティを監査します。 |
| ロールベースのアクセス制御 (RBAC) のアクセス許可 | Microsoft クラウド PKIアクセス許可を持つカスタム ロールを作成します。 使用可能なアクセス許可を使用すると、CA の読み取り、CA の無効化と再有効化、発行されたリーフ証明書の取り消し、証明機関の作成を行うことができます。 |
| スコープ タグ | 管理センターで作成した任意の CA にスコープ タグを追加します。 スコープ タグは、追加、削除、編集できます。 |
アーキテクチャ
Microsoft クラウド PKIは、公開キー インフラストラクチャの複雑さと管理を簡素化するために連携する複数のキー コンポーネントで構成されています。証明機関を作成およびホストするためのクラウド PKI サービスと、証明書登録機関を組み合わせて Intune 登録済みデバイスからの受信証明書要求を自動的に処理します。 登録機関は、簡易証明書登録プロトコル (SCEP) をサポートしています。
コンポーネント:
A - Microsoft Intune
B - Microsoft クラウド PKI サービス
- B.1 - Microsoft クラウド PKI サービス
- B.2 - MICROSOFT クラウド PKI SCEP サービス
- B.3 - MICROSOFT クラウド PKI SCEP 検証サービス
証明機関は、図の B.2 と B.3 を構成します。
これらのコンポーネントは、オンプレミスの証明機関、NDES、Intune 証明書コネクタの必要性を置き換えます。
操作:
デバイスが Intune サービスにチェックインする前に、Microsoft クラウド PKI サービスを管理するためのアクセス許可を持つ Intune 管理者または Intune ロールが必要です。
- ルートに必要なクラウド PKI証明機関を作成し、Microsoft Intuneで CA を発行します。
- ルートおよび発行元 CA に必要な信頼証明書プロファイルを作成して割り当てます。 このフローは図には表示されません。
- 必要なプラットフォーム固有の SCEP 証明書プロファイルを作成して割り当てます。 このフローは図には表示されません。
注:
Intune マネージド デバイスの証明書を発行するには、クラウド PKI発行元証明機関が必要です。 クラウド PKIは、証明機関として機能する SCEP サービスを提供します。 サービスは、SCEP プロファイルを使用して、Intune で管理されるデバイスに代わって発行元 CA に証明書を要求します。
- デバイスは Intune サービスでチェックインし、信頼された証明書と SCEP プロファイルを受け取ります。
- SCEP プロファイルに基づいて、デバイスは証明書署名要求 (CSR) を作成します。 秘密キーはデバイス上に作成され、デバイスから離れることはありません。 CSR と SCEP チャレンジは、クラウドの SCEP サービス (SCEP プロファイルの SCEP URI プロパティ) に送信されます。 SCEP チャレンジは、Intune SCEP RA キーを使用して暗号化され、署名されます。
- SCEP 検証サービスは、SCEP チャレンジに対して CSR を検証します (図の B.3 として示されています)。 検証により、登録されたマネージド デバイスからの要求が確実に送信されます。 また、チャレンジがアンamperedされ、SCEP プロファイルから予期される値と一致することも保証されます。 これらのチェックのいずれかが失敗した場合、証明書要求は拒否されます。
- CSR が検証された後、SCEP 検証サービス ( 登録機関とも呼ばれます) は、発行元 CA が CSR に署名することを要求します (図の B.1 として示されています)。
- 署名された証明書は、Intune MDM に登録されたデバイスに配信されます。
注:
SCEP チャレンジは、Intune SCEP 登録機関キーを使用して暗号化され、署名されます。
ライセンスの要件
Microsoft クラウド PKIには、次のいずれかのライセンスが必要です。
- Microsoft Intune Suite ライセンス
- スタンドアロン Intune アドオン ライセンスのMicrosoft クラウド PKI
ライセンス オプションの詳細については、「Microsoft Intune ライセンス」を参照してください。
ロールベースのアクセス制御
カスタム Intune ロールに割り当てるには、次のアクセス許可を使用できます。 これらのアクセス許可を使用すると、ユーザーは管理センターで CA を表示および管理できます。
- CA の読み取り: このアクセス許可を割り当てられたすべてのユーザーは、CA のプロパティを読み取ることができます。
- 証明機関の作成: このアクセス許可を割り当てられたユーザーは、ルートまたは発行元の CA を作成できます。
- 発行されたリーフ証明書を取り消す: このアクセス許可を割り当てられたユーザーは、発行元 CA によって発行された証明書を手動で取り消すことができます。 このアクセス許可には、 CA の読み取り アクセス許可も必要です。
スコープ タグをルートに割り当て、CA を発行できます。 カスタム ロールとスコープ タグを作成する方法の詳細については、「Microsoft Intuneを使用したロールベースのアクセス制御」を参照してください。
Microsoft クラウド PKIを試す
試用期間中は、Intune 管理センターでMicrosoft クラウド PKI機能を試すことができます。 利用可能な試用版は次のとおりです。
試用期間中は、テナントに最大 6 つの CA を作成できます。 クラウド PKI試用版中に作成された CA は、ソフトウェアでサポートされるキーを使用し、キーの生成と署名に使用System.Security.Cryptography.RSAします。 クラウド PKI ライセンスを購入した後も引き続き CA を使用できます。 ただし、キーはソフトウェアでサポートされたままであり、HSM によってサポートされるキーに変換することはできません。 Microsoft Intune サービスマネージド CA キー。 Azure HSM 機能に Azure サブスクリプションは必要ありません。
CA 構成の例
2 層クラウド PKIルート & 発行元 CA と Bring-your-own CA は Intune で共存できます。 例として提供される次の構成を使用して、Microsoft クラウド PKIで CA を作成できます。
- 1 つのルート CA と 5 つの発行元 CA
- それぞれ 1 つの発行元 CA を持つ 3 つのルート CA
- それぞれ 1 つの発行元 CA を持つ 2 つのルート CA と、2 つの Bring-your-own CA
- 独自の CA を 6 つ持ち込む
既知の問題と制限事項
最新の変更と追加については、「Microsoft Intuneの新機能」を参照してください。
- Intune テナントには、最大 6 つの CA を作成できます。
- ライセンスクラウド PKI – Azure mHSM キーを使用して合計 6 つの CA を作成できます。
- 試用版クラウド PKI - Intune Suite の試用版中またはスタンドアロン アドオンクラウド PKI、合計 6 つの CA を作成できます。
- 次の CA の種類は、CA 容量にカウントされます。
- ルート CA のクラウド PKI
- クラウド PKI発行元 CA
- BYOCA 発行元 CA
- 現在、管理センターでは次の CA アクションを使用できませんが、提供に積極的に取り組んでいます。
- Intune テナントから CA を削除または無効にします。
これらのアクションが使用可能になるまで、CA を削除するための Intune サポート要求を行うことをお勧めします。
- Intune テナントから CA を削除または無効にします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示