Microsoft マネージド デスクトップ用に証明書とネットワーク プロファイルを準備するPrepare certificates and network profiles for Microsoft Managed Desktop

証明書ベースの認証は、Microsoft Managed Desktop を使用しているお客様に共通の要件です。Certificate-based authentication is a common requirement for customers using Microsoft Managed Desktop. VPN ソリューションへの接続、または組織内Wi-Fiにアクセスするために、証明書が必要になる場合があります。You might require certificates to access Wi-Fi or LAN, to connect to VPN solutions, or for accessing internal resources in your organization.

Microsoft Managed Desktop デバイスは Azure Active Directory (Azure AD) に参加し、Microsoft Intune によって管理されますので、Intune と統合された簡易証明書登録プロトコル (SCEP) または公開キー暗号化標準 (PKCS) 証明書インフラストラクチャを使用して、このような証明書を展開する必要があります。Because Microsoft Managed Desktop devices are joined to Azure Active Directory (Azure AD) and are managed by Microsoft Intune, you must deploy such certificates by using a Simple Certificate Enrollment Protocol (SCEP) or Public Key Cryptography Standard (PKCS) certificate infrastructure that is integrated with Intune.

証明書の要件Certificate requirements

ルート証明書は、SCEP または PKCS インフラストラクチャを介して証明書を展開するために必要です。Root certificates are required to deploy certificates through a SCEP or PKCS infrastructure. 組織内の他のアプリケーションとサービスでは、ルート証明書を Microsoft Managed Desktop デバイスに展開する必要があります。Other applications and services in your organization might require root certificates to be deployed to your Microsoft Managed Desktop devices.

SCEP または PKCS 証明書を Microsoft Managed Desktop に展開する前に、組織内のユーザーまたはデバイス証明書を必要とする各サービスの要件を収集する必要があります。Before you deploy SCEP or PKCS certificates to Microsoft Managed Desktop, you should gather requirements for each service that requires a user or device certificate in your organization. このアクティビティを簡単にするために、次のいずれかの計画テンプレートを使用できます。To make this activity easier, you can use one of the following planning templates:

Wi-Fiの要件Wi-Fi connectivity requirements

エンタープライズ ネットワークに必要な構成をデバイスに自動的にWi-Fiするには、構成プロファイルをWi-Fiがあります。To allow a device to be automatically provided with the required Wi-Fi configuration for your enterprise network, you might need a Wi-Fi configuration profile. Microsoft Managed Desktop を構成して、これらのプロファイルをデバイスに展開できます。You can configure Microsoft Managed Desktop to deploy these profiles to your devices. ネットワーク セキュリティでデバイスがローカル ドメインの一部である必要がある場合は、Wi-Fi ネットワーク インフラストラクチャを評価して Microsoft Managed Desktop デバイスと互換性を確認する必要があります (Microsoft マネージ デスクトップ デバイスは Azure AD に参加しているのみ)。If your network security requires devices to be part of the local domain, you might also need to evaluate your Wi-Fi network infrastructure to make sure it's compatible with Microsoft Managed Desktop devices (Microsoft Managed Desktop devices are Azure AD-joined only).

Microsoft Managed Desktop デバイスにWi-Fi構成を展開する前に、ネットワークごとに組織の要件をWi-Fiされます。Before you deploy a Wi-Fi configuration to Microsoft Managed Desktop devices, you will be required to gather your organization’s requirements for each Wi-Fi network. このアクティビティを簡単にするために、この WiFi プロファイル テンプレート を使用できますTo make this activity easier, you can use this WiFi profile template.

有線接続要件と 802.1x 認証Wired connectivity requirements and 802.1x authentication

802.1x 認証を使用してデバイスからローカル エリア ネットワーク (LAN) へのアクセスをセキュリティで保護する場合は、必要な構成の詳細を Microsoft Managed Desktop デバイスにプッシュする必要があります。If you use 802.1x authentication to secure access from devices to your local area network (LAN), you will need to push the required configuration details to your Microsoft Managed Desktop devices. Windows 10 バージョン 1809 以降を実行している Microsoft Managed Desktop デバイスは、WiredNetwork 構成サービス プロバイダー (CSP) を介した 802.1x 構成の展開をサポートします。Microsoft Managed Desktop devices running Windows 10, version 1809 or later support deploying an 802.1x configuration through the WiredNetwork configuration service provider (CSP). 詳細については 、「WiredNetwork CSP のドキュメント」を参照 してください。For more information, see WiredNetwork CSP documentation.

Microsoft Managed Desktop デバイスに有線ネットワーク構成プロファイルを展開する前に、組織の有線企業ネットワークの要件を収集してください。Before you deploy a wired network configuration profile to Microsoft Managed Desktop devices, gather your organization’s requirements for your wired corporate network. そのために、以下の手順に従ってください。To do so, follow these steps:

  1. 既存の 802.1x プロファイルが構成され、LAN ネットワークに接続されているデバイスにサインオンします。Sign on to a device that has your existing 802.1x profile configured and is connected to the LAN network.
  2. 管理者資格情報を使用してコマンド プロンプトを開きます。Open a command prompt with administrative credentials.
  3. netsh インターフェイス ショー インターフェイスを実行して LAN インターフェイス名を検索しますFind the LAN interface name by running netsh interface show interface.
  4. netsh lan エクスポート プロファイル フォルダー= を実行して LAN プロファイル XML をエクスポートします。 Interface="interface_name" .Export the LAN profile XML by running netsh lan export profile folder=. Interface=”interface_name”.
  5. Microsoft Managed Desktop デバイスでエクスポートしたプロファイルをテストする必要がある場合は、netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME" を実行しますIf you need to test your exported profile on Microsoft Managed Desktop device, run netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

証明書インフラストラクチャの展開Deploy certificate infrastructure

Intune に既存の SCEP または PKCS インフラストラクチャが既に存在し、この方法が要件を満たしている場合は、Microsoft Managed Desktop でも使用できます。If you already have an existing SCEP or PKCS infrastructure with Intune and this approach meets your requirements, you can also use it for Microsoft Managed Desktop. SCEP または PKCS インフラストラクチャが既に存在しない場合は、準備する必要があります。If no SCEP or PKCS infrastructure already exists, you'll have to prepare one.

詳細については 、「Microsoft Intune でデバイスの証明書プロファイルを構成する」を参照してくださいFor more information, see Configure a certificate profile for your devices in Microsoft Intune.

LAN プロファイルの展開Deploy a LAN profile

LAN プロファイルをエクスポートしたら、次の手順に従って Microsoft Managed Desktop のポリシーを準備できます。Once your LAN profile has been exported, you can prepare the policy for Microsoft Managed Desktop by following these steps:

  1. 次の設定を使用して、LAN プロファイルの Microsoft Intune でカスタム プロファイルを作成します (「Intune で Windows 10デバイスのカスタム設定を使用する」を参照してください)。Create a custom profile in Microsoft Intune for the LAN profile using the following settings (see Use custom settings for Windows 10 devices in Intune). [カスタム OMA-URI 設定] で、[****追加] を選択し、次の値を入力します。In Custom OMA-URI Settings, select Add, and then enter the following values:
    • 名前: モダン Workplace-Windows 10 LAN プロファイルName: Modern Workplace-Windows 10 LAN Profile
    • 説明: 設定の概要、その他の重要な詳細を示す説明を入力します。Description: Enter a description that gives an overview of the setting, and any other important details.
    • OMA-URI (大文字と小文字の区別): Enter ./Device/Vendor/MSFT/WiredNetwork/LanXMLOMA-URI (case sensitive): Enter ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • データ型: [文字列] (XML ファイル) を選択しますData type: select String (XML file).
    • カスタム XML: エクスポートされた XML ファイルをアップロードします。Custom XML: Upload the exported XML file.
  2. Microsoft Managed Desktop Admin ポータルを使用して Microsoft Managed Desktop IT 操作にサポート要求を送信し、構成プロファイルを "モダン ワークプレース デバイス - テスト" に確認して展開します。Submit a Support request to Microsoft Managed Desktop IT Operations using the Microsoft Managed Desktop Admin portal to review and deploy the configuration profile to “Modern Workplace Devices – Test”. Microsoft Managed Desktop IT Operations は、管理ポータルのサポート要求を介して要求が完了した場合に知らせします。Microsoft Managed Desktop IT Operations will let you know when the request is completed via the Support request in the Admin portal.

証明書と Wi-Fi/VPN プロファイルの展開Deploy certificates and Wi-Fi/VPN profile

証明書とプロファイルを展開するには、次の手順を実行します。To deploy certificates and profiles, follow these steps:

  1. ルート証明書と中間証明書のそれぞれについてプロファイルを作成します (「信頼できる証明書プロファイルの作成 」を参照してくださいCreate a profile for each of the Root and Intermediate certificates (see Create trusted certificate profiles. これらの各プロファイルには、DD/MM/YYYYY 形式の有効期限を含む説明が必要です。Each of these profiles must have a description that includes an expiration date in DD/MM/YYYY format. 有効期限のない証明書プロファイルは展開されません。Certificate profiles without an expiration date will not be deployed.
  2. SCEP または PKCS 証明書ごとにプロファイルを作成します (「SCEP 証明書プロファイルを作成する」または 「PKCS証明書プロファイルを作成する」を参照) これらの各プロファイルには、DD/MM/YYYY 形式の有効期限を含む説明が必要です。Create a profile for each SCEP or PKCS certificates (see Create a SCEP certificate profile or Create a PKCS certificate profile) Each of these profiles must have a description that includes an expiration date in DD/MM/YYYY format. 有効期限のない証明書プロファイルは展開されません。Certificate profiles without an expiration date will not be deployed.
  3. 企業の WiFi ネットワークごとにプロファイルを作成します (「Windows 10 以降のデバイスのWi-Fi 設定」を参照)。Create a profile for each corporate WiFi network (see Wi-Fi settings for Windows 10 and later devices).
  4. 企業 VPN ごとにプロファイルを作成します (Intune を使用して VPN 接続を追加するには 、「Windows 10 と Windows Holographic デバイスの設定」を参照してください)。Create a profile for each corporate VPN (see Windows 10 and Windows Holographic device settings to add VPN connections using Intune).
  5. Microsoft Managed Desktop Admin ポータルを使用して Microsoft Managed Desktop IT 運用に「証明書の展開」または「Wi-Fi プロファイルの展開」というタイトルのサポート要求を送信し、構成プロファイルを確認し、"モダン Workplace デバイス - テスト" に展開します。Submit a Support request titled “Certificate Deployment” or “Wi-Fi Profile Deployment” to Microsoft Managed Desktop IT Operations using the Microsoft Managed Desktop Admin portal to review and deploy the configuration profile to “Modern Workplace Devices – Test”. Microsoft Managed Desktop IT Operations は、管理ポータルのサポート要求を介して要求が完了した時間を知らせします。Microsoft Managed Desktop IT Operations will let you know when the request has been completed via the Support request in the Admin portal.

準備の手順Steps to get ready

  1. 「Microsoft Managed Desktop の前提条件」を参照してくださいReview Prerequisites for Microsoft Managed Desktop.
  2. 準備 状況評価ツールを使用しますUse Readiness assessment tools.
  3. ゲスト アカウントの前提条件Prerequisites for guest accounts
  4. Microsoft マネージド デスクトップのネットワーク構成Network configuration for Microsoft Managed Desktop
  5. Microsoft Managed Desktop 用の証明書とネットワーク プロファイルを準備 する (この記事)Prepare certificates and network profiles for Microsoft Managed Desktop (This article)
  6. Microsoft マネージド デスクトップ用にオンプレミス リソースアクセスを準備するPrepare on-premises resources access for Microsoft Managed Desktop
  7. Microsoft マネージド デスクトップのアプリApps in Microsoft Managed Desktop
  8. Microsoft マネージド デスクトップ用に、マップされたドライブを準備するPrepare mapped drives for Microsoft Managed Desktop
  9. Microsoft マネージド デスクトップ用に、印刷リソースを準備するPrepare printing resources for Microsoft Managed Desktop