Microsoft Intune で SCEP 証明書と PKCS 証明書を削除する
Microsoft Intune では、Simple Certificate Enrollment Protocol (SCEP) および Public Key Cryptography Standards (PKCS) 証明書プロファイルを使って、デバイスに証明書を追加できます。
これらの証明書は、デバイスをワイプしたり、インベントリから削除したりするときに削除できます。 Intune によってプロビジョニングされた証明書は、証明書をプロビジョニングしたプロファイルがデバイスまたはユーザーを対象としなくなった場合にも削除されます。 証明書が自動的に削除されるシナリオや、証明書がデバイスに残るシナリオもあります。 この記事では、いくつかの一般的なシナリオと、PKCS 証明書と SCEP 証明書への影響について説明します。
注:
オンプレミスの Active DirectoryまたはMicrosoft Entra IDから削除されているユーザーの証明書を削除および取り消すには、次の手順に従います。
- ユーザーのデバイスをワイプします (または、インベントリから削除します)。
- ユーザーをオンプレミスの Active DirectoryまたはMicrosoft Entra IDから削除します。
この記事の大部分は SCEP および PKCS 証明書プロファイルに適用されますが、インポートされた PKCS 証明書には適用されません。 インポートされた PKCS 証明書は、会社のデータがデバイスから削除された場合、またはデバイスが管理から登録解除された場合、Intune によって削除されます。
手動で削除された証明書
証明書の手動での削除は、SCEP または PKCS 証明書プロファイルによってプロビジョニングされたプラットフォームと証明書全体に適用されるシナリオです。 たとえば、デバイスが証明書ポリシーのターゲットのままであるときに、ユーザーがそのデバイスから証明書を削除する可能性があります。
このようなシナリオでは、証明書の削除後、次回デバイスが Intune にチェックインしたときに、それが想定される証明書を持っていないためコンプライアンスに準拠していないことがわかります。 そこで、デバイスのコンプライアンスを復元するために、Intune により新しい証明書が発行されます。 証明書を復元するために、その他のアクションは必要ありません。
注:
SCEP 証明書は削除されますが、サード パーティの証明機関を使用する場合は 取り消されません 。
Windows デバイス
SCEP 証明書
SCEP 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
- デバイスがMicrosoft Entra グループから削除されます。
- 証明書プロファイルがグループ割り当てから削除される。
SCEP 証明書は次の場合に取り消されます。
- 管理者が SCEP プロファイルを変更または更新する。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
- 証明書プロファイルがグループ割り当てから削除される。
SCEP 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
PKCS 証明書
PKCS 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合に削除されます。
- PKCS 証明書プロファイルがデバイスまたはユーザーを対象としなくなった。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
- 管理者が PKCS プロファイルを変更または更新する。
iOS デバイス
SCEP 証明書
SCEP 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
- デバイスがMicrosoft Entra グループから削除されます。
- 証明書プロファイルがグループ割り当てから削除される。
SCEP 証明書は次の場合に取り消されます。
- 管理者が SCEP プロファイルを変更または更新する。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
SCEP 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
PKCS 証明書
PKCS 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合に削除されます。
- 証明書プロファイルがグループ割り当てから削除される。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
- 管理者が PKCS プロファイルを変更または更新する。
Android KNOX デバイス
SCEP 証明書
SCEP 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
SCEP 証明書は次の場合に取り消されます。
- 管理者がインベントリからの削除アクションを実行する。
- デバイスがMicrosoft Entra グループから削除されます。
- 証明書プロファイルがグループ割り当てから削除される。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
- 管理者が SCEP プロファイルを変更または更新する。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
SCEP 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
PKCS 証明書
PKCS 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がワイプ アクションを実行する。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
- 管理者が PKCS プロファイルを変更または更新する。
- 証明書プロファイルがグループ割り当てから削除される。
注:
Android for Work デバイスは、上記のシナリオで検証されていません。 Android の従来のデバイス (Samsung 以外のすべての、仕事用プロファイル以外のデバイス) では証明書の削除が無効です。
macOS 証明書
SCEP 証明書
SCEP 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がインベントリからの削除アクションを実行する。
- デバイスがMicrosoft Entra グループから削除されます。
- 証明書プロファイルがグループ割り当てから削除される。
SCEP 証明書は次の場合に取り消されます。
- 管理者が SCEP プロファイルを変更または更新する。
SCEP 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
注:
ワイプ アクションを使用して macOS デバイスを工場出荷時の状態にリセットすることはできません。
PKCS 証明書
PKCS 証明書は次の場合に取り消され、その上、削除されます。
- ユーザーの登録が解除される。
- 管理者がインベントリからの削除アクションを実行する。
ルート証明書は次の場合に削除されます。
- ユーザーの登録が解除される。
- 管理者がインベントリからの削除アクションを実行する。
PKCS 証明書は次の場合にデバイスに残ります (証明書は取り消されず、削除されません)。
- エンドユーザーが Intune ライセンスを失う。
- 管理者が Intune ライセンスを取り消す。
- 証明書プロファイルがグループ割り当てから削除される。 (プロファイルは削除されます)。
- 管理者は、ユーザーまたはグループをMicrosoft Entra IDから削除します。
- 管理者が PKCS プロファイルを変更または更新する。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示