手順 7.4.Step 7.4. 条件付きアクセスルート証明書をオンプレミスの AD にデプロイするDeploy conditional access root certificates to on-premises AD

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

このステップでは、オンプレミスの AD への VPN 認証用の信頼されたルート証明書として、条件付きアクセスルート証明書をデプロイします。In this step, you deploy the conditional access root certificate as trusted root certificate for VPN authentication to your on-premises AD.

  1. [VPN 接続] ページで、 [証明書のダウンロード] を選択します。On the VPN connectivity page, select Download certificate.

    注意

    [Base64 証明書のダウンロード] オプションは、展開に base64 証明書を必要とする一部の構成で使用できます。The Download base64 certificate option is available for some configurations that require base64 certificates for deployment.

  2. エンタープライズ管理者権限でドメインに参加しているコンピューターにログオンし、管理者のコマンドプロンプトから次のコマンドを実行して、クラウドのルート証明書をエンタープライズ NTauthストアに追加します。Log on to a domain-joined computer with Enterprise Admin rights and run these commands from an Administrator command prompt to add the cloud root certificate(s) into the Enterprise NTauth store:

    注意

    VPN サーバーが Active Directory ドメインに参加していない環境では、クラウドルート証明書を信頼された_ルート証明機関_ストアに手動で追加する必要があります。For environments where the VPN server is not joined to the Active Directory domain, the cloud root certificates must be added to the Trusted Root Certification Authorities store manually.

    コマンドCommand 説明Description
    certutil -dspublish -f VpnCert.cer RootCA Cn = AIAおよびCn = 証明機関のコンテナーの下に2つのmicrosoft vpn ルート ca gen 1コンテナーを作成し、各ルート証明書をMicrosoft Vpn ルート CA gen 1コンテナーの_cacertificate を_属性の値として発行します。Creates two Microsoft VPN root CA gen 1 containers under the CN=AIA and CN=Certification Authorities containers, and publishes each root certificate as a value on the cACertificate attribute of both Microsoft VPN root CA gen 1 containers.
    certutil -dspublish -f VpnCert.cer NTAuthCA Cn = AIAおよびCn = 証明機関コンテナーの下に1つのcn = ntauthcertificatesコンテナーを作成し、各ルート証明書をCn = ntauthcertificatesコンテナーの_cacertificate を_属性の値として発行します。Creates one CN=NTAuthCertificates container under the CN=AIA and CN=Certification Authorities containers, and publishes each root certificate as a value on the cACertificate attribute of the CN=NTAuthCertificates container.
    gpupdate /force Windows サーバーとクライアントコンピューターにルート証明書を追加します。Expedites adding the root certificates to the Windows server and client computers.
  3. ルート証明書がエンタープライズ NTauth ストアに存在し、信頼済みとして表示されていることを確認します。Verify that the root certificates are present in the Enterprise NTauth store and show as trusted:

    1. 証明機関管理ツールがインストールされているエンタープライズ管理者権限でサーバーにログオンします。Log on to a server with Enterprise Admin rights that has the Certificate Authority Management Tools installed.

    注意

    既定では、証明機関の管理ツールは、証明機関のサーバーにインストールされます。By default the Certificate Authority Management Tools are installed Certificate Authority servers. サーバーマネージャーの役割管理ツールの一部として、他のメンバーサーバーにインストールすることができます。They can be installed on other members servers as part of the Role Administration Tools in Server Manager.

    1. VPN サーバーの [スタート] メニューで、「 pkiview .msc 」と入力して、[エンタープライズ PKI] ダイアログを開きます。On the VPN server, in the Start menu, enter pkiview.msc to open the Enterprise PKI dialog.
    2. [スタート] メニューから、「 pkiview .msc 」と入力して、[エンタープライズ PKI] ダイアログを開きます。From the Start menu, enter pkiview.msc to open the Enterprise PKI dialog.
    3. [エンタープライズ PKI] を右クリックし、 [AD コンテナーの管理] を選択します。Right-click Enterprise PKI and select Manage AD Containers.
    4. 各 Microsoft VPN ルート CA gen 1 証明書が次の下に存在することを確認します。Verify that each Microsoft VPN root CA gen 1 certificate is present under:
      • NTAuthCertificatesNTAuthCertificates
      • AIA コンテナーAIA Container
      • 証明機関コンテナーCertificate Authorities Container

次のステップNext steps

手順 7.5.OMA-URI ベースの VPNv2 プロファイルを Windows 10 デバイスに作成する: この手順では、Intune を使用して oma-uri ベースの VPNv2 プロファイルを作成し、VPN デバイス構成ポリシーを展開することができます。Step 7.5. Create OMA-DM based VPNv2 Profiles to Windows 10 devices: In this step, you can create OMA-DM based VPNv2 profiles using Intune to deploy a VPN Device Configuration policy. VPNv2 プロファイルを作成するために SCCM または PowerShell スクリプトを使用する場合、詳細については、 VPNV2 CSP 設定を参照してください。If you want to SCCM or PowerShell Script to create VPNv2 profiles, see VPNv2 CSP settings for more details.