AADJ オンプレミス シングル サインオン用の証明書の使用

適用対象:

  • Windows 10
  • Azure Active Directory に参加済み
  • ハイブリッド展開
  • 証明書信頼

オンプレミスのシングル サインオンに証明書を使用する場合は、次の追加の手順に**** 従って、Azure AD に参加しているデバイスの Windows Hello for Business 証明書を登録するように環境を構成します。

重要

続行する前に 、Azure ADに参加しているデバイスで構成を実行Single-Signオンにします。

次のような手順を実行します。

要件

Azure に参加しているデバイスにオンプレミスのシングルサインオンをAD追加のインフラストラクチャをインストールして構成する必要があります。

  • R2 以降Windows Server 2012既存の証明書Enterprise証明機関
  • ネットワーク Windows Server 2012登録サービスの役割をホストする R2 ドメイン参加サーバー

High Availaibilty

ネットワーク デバイス登録サービス (NDES) サーバーの役割は、証明機関として機能します。 証明書登録サーバーは、ユーザーに代わって証明書を登録します。 ユーザーは、発行元の証明機関から直接ではなく、NDES サービスから証明書を要求します。

NDES サーバーのアーキテクチャは、高可用性のためにクラスター化または負荷分散を行うのを防止します。 高可用性を実現するには、同一に構成された複数の NDES サーバーをインストールし、Microsoft Intune を使用して (ラウンドロビン方式で) 負荷分散を行う必要があります。

ネットワーク デバイス登録サービス (NDES) サーバーの役割は、最大 3 つの一意の証明書テンプレートを発行できます。 サーバーの役割は、証明書要求の目的を構成済みの証明書テンプレートにマッピングすることでこれを実現します。 証明書要求の目的には、次の 3 つのオプションがあります。

  • 署名
  • 暗号化
  • 署名と暗号化

参加しているデバイスに 3 つ以上の種類の証明書を Azure ADする必要がある場合は、追加の NDES サーバーが必要です。 または、証明書テンプレートを統合して証明書テンプレートの数を減らすことを検討してください。

ネットワーク要件

すべての通信は、ポート 443 を通して安全に行われます。

Azure の準備AD Connect

証明書を使用してオンプレミス リソースへの認証を成功するには、オンプレミス ドメインに関するヒントを提供する証明書が必要です。 ヒントには、ユーザーの Active Directory 識別名を証明書のサブジェクトとして指定するか、サフィックスが Active Directory ドメイン名と一致するユーザーのユーザー プリンシパル名を指定できます。

ほとんどの環境では、組織の外部ドメイン名 (またはバニティ ドメイン) に一致するユーザー プリンシパル名サフィックスが変更され、ユーザー プリンシパル名がドメイン コントローラーを見つけ出すヒントとして防止されます。 したがって、ドメイン コントローラーを適切に検索するには、サブジェクト内のユーザーのオンプレミス識別名が必要です。

オンプレミスの識別名を証明書のサブジェクトに含めるには、Azure AD Connect は Active Directoryの識別名属性を Azure Active Directory onPremisesDistinguishedName属性にレプリケートする必要があります。 Azure AD Connectバージョン 1.1.819 には、これらの属性に必要な適切な同期ルールが含まれています。

AAD のバージョンConnectする

ローカル管理者と同等のアクセス権を持つ Azure AD Connectを実行しているコンピューター_にサインインします_。

  1. Azureの [同期サービス] フォルダー AD Connectします。
  2. 同期サービス マネージャーで、[ヘルプ]クリックし 、[概要] を クリックします
  3. バージョン番号が1.1.819以降ではない場合は、Azure AD Connect最新バージョンにアップグレードします。

onPremisesDistinguishedName 属性が同期されているのを確認する

onPremisesDistingushedNamne 属性が同期されているのを確認する最も簡単な方法は、Azure AD Graph エクスプローラーを使用する方法です。

  1. Web ブラウザーを開き、 https://graphexplorer.azurewebsites.net/
  2. [ ログイン] を クリックし、Azure 資格情報を指定する
  3. Azure AD Graph エクスプローラーの URL に「userid」と入力します。ここで https://graph.windows.net/myorganization/users/ 、[userid] はユーザーのユーザー プリンシパル名Azure Active Directory。 [移動 ] をクリックします。
  4. 返される結果で 、onPremisesDistinguishedName 属性の JSON データを確認します。 属性に値が設定され、指定したユーザーの値が正確に設定されている必要があります。 Azure AD Connect On-Prem DN 属性

ネットワーク デバイス登録サービス (NDES) サービス アカウントの準備

NDES サーバーのグローバル セキュリティ グループを作成する

展開では 、NDES Servers セキュリティ グループを使用して、NDES サービスに適切なユーザー権限の割り当てを割り当てる。

ドメイン管理者と同等のアクセス権を持つドメイン コントローラーまたは管理ワークステーション にサインインします

  1. [Active Directory ユーザーとコンピューター] を開きます。
  2. ナビゲーション ウィンドウでドメイン ノードを展開します。
  3. [Users] コンテナーをクリックします。 [新規] に カーソルを合 わせると、[グループ] をクリックします
  4. [ グループ名] テキスト ボックスに「NDES サーバー」と 入力します。
  5. [OK] をクリックします。

NDES サーバーを NDES Server グローバル セキュリティ グループに追加する

ドメイン管理者と同等のアクセス権を持つドメイン コントローラーまたは管理ワークステーション にサインインします

  1. [Active Directory ユーザーとコンピューター] を開きます。
  2. ナビゲーション ウィンドウでドメイン ノードを展開します。
  3. ナビゲーション ウィンドウ から [ コンピューター] をクリックします。 NDES サーバーの役割をホストする NDES サーバーの名前を右クリックします。 [グループに追加]をクリックします。.
  4. [ 選択するオブジェクト名を入力する] に「NDES サーバー 」と入力します[OK] をクリックします。 [Active Directory ドメイン サービスの成功 ] ダイアログ ボックスで [OK] をクリックします。 ****

注意

高可用性を実現するには、Hello for Business 証明書要求に対して複数の NDES サーバー Windowsサービスを提供する必要があります。 Hello for Business NDES Windowsをこのグループに追加して、適切な構成を受け取る必要があります。

NDES サービス アカウントの作成

ネットワーク デバイス登録サービス (NDES) の役割は、サービス アカウントで実行されます。 通常、グループ管理サービス アカウント (GMSA) を使用してサービスを実行することを優先します。 NDES の役割は、GMSA を使用して実行するように構成することができますが、Intune 証明書コネクタは GMSA を使用して設計もテストもされていません。サポートされていない構成と見なされます。 展開では、通常のサービス アカウントを使用します。

ドメイン管理者と同等のアクセス権を持つドメイン コントローラーまたは管理ワークステーション にサインインします

  1. ナビゲーション ウィンドウで、ドメイン名を持つノードを展開します。 [Users] をクリックします。
  2. [Users] コンテナーをクリックします。 [新規] に カーソルを 合わせると、[ユーザー] を選択します。 [ 完全な名前] と [ユーザー ログオン 名] に 「NDESSvc」 と入力します[次へ] をクリックします。
  3. [パスワード] にセキュリティで保護されたパスワードを 入力します。 [パスワードの確認] でセキュリティで 保護されたパスワードを確認します[ユーザーは次回ログオン時にパスワード変更が必要] チェックボックスをオフにします。 [次へ] をクリックします。
  4. [完了] をクリックします。

重要

サービスのアカウント パスワードを Password に構成すると、有効期限が切れることはありませんが、セキュリティ リスクが発生します。 通常のサービス アカウントのパスワードは、組織のユーザー パスワードの有効期限ポリシーに従って期限切れになる必要があります。 有効期限が切れる 2 週間前にサービス アカウントのパスワードを変更するリマインダーを作成します。 パスワードの有効期限が切れる前にパスワードを変更できる他のユーザーとリマインダーを共有します。

NDES Service User Rights グループ ポリシー オブジェクトを作成する

グループ ポリシー オブジェクトは、NDES サービス アカウントに、NDES サーバー グループ内のすべての NDES サーバーを割り当てる適切なユーザー 権限を持つ必要 があります。 環境とこのグループに新しい NDES サーバーを追加すると、サービス アカウントはグループ ポリシーを通じて適切なユーザー権限を自動的に受け取ります。

Domain Admin と同等の資格情報を使用して、ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
  2. ドメインを展開して、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト] ノードを選択します。
  3. [グループ ポリシー オブジェクト] を右クリックして [新規] を選択します。
  4. 名前 ボックスに「NDES Service Rights」 と入力し 、[OK] をクリックします
  5. コンテンツ ウィンドウで 、NDES Service Rights グループ ポリシー オブジェクトを右クリックし、[編集] を クリックします
  6. ナビゲーション ウィンドウの [コンピューターの構成][ポリシー] を展開します。
  7. [セキュリティ Windows 設定 > ローカル 設定 >] を展開します。 [ユーザー 権限の割り当て] を選択します
  8. コンテンツ ウィンドウで、[ローカルでログオン を許可する] をダブルクリックします。 [これらのポリシー設定の定義] を選択し****、[OK] をクリックします。 [ユーザー またはグループの追加]をクリックします。. [ユーザーまたは グループの追加] ダイアログ ボックスで 、[参照] を クリックします。 [ユーザー、 コンピューター、サービス アカウント、または グループの選択] ダイアログ ボックスで、「Administrators」と 入力します。バックアップ演算子;DOMAINNAME\NDESSvc;DOMAINNAME がドメイン の NetBios 名であるユーザー (ユーザー名とグループ名の CONTOSO\NDESSvc の )。 [OK] を 2回クリックします。
  9. コンテンツ ウィンドウで、[バッチ ジョブとして ログオン] をダブルクリックします。 [これらのポリシー設定の定義] を選択し****、[OK] をクリックします。 [ユーザー またはグループの追加]をクリックします。. [ユーザーまたは グループの追加] ダイアログ ボックスで 、[参照] を クリックします。 [ユーザー、 コンピューター、サービス アカウント、または グループの選択] ダイアログ ボックスで、「Administrators」と 入力します。バックアップ演算子;DOMAINNAME\NDESSvc;DomainNAMEドメイン の NetBios 名であるパフォーマンス ログ ユーザー (ユーザー名とグループ名の CONTOSO\NDESSvc の )。 [OK] を 2回クリックします。
  10. コンテンツ ウィンドウで、[サービスとしてログオン ] をダブルクリックします。 [これらのポリシー設定の定義] を選択し****、[OK] をクリックします。 [ユーザー またはグループの追加]をクリックします。. [ユーザーまたは グループの追加] ダイアログ ボックスで 、[参照] を クリックします。 [ユーザー **** 、コンピューター、サービス アカウント、またはグループの選択] ダイアログ ボックスに 、「NT SERVICE\ALL SERVICES;DOMAINNAME\NDESSvc」 と入力します。ドメイン名はユーザー名とグループ名にドメインの**** NetBios 名 (CONTOSO\NDESSvc の例) です。 **** [OK] を 3回クリックします。
  11. グループ ポリシー管理エディターを閉じます。

NDES Service User Rights グループ ポリシー オブジェクトのセキュリティを構成する

NDES Service User Rightsグループ ポリシー オブジェクトを展開する最善の方法は、セキュリティ グループ フィルターを使用する方法です。 これにより、グループ ポリシー設定を受け取るコンピューターをグループに追加して簡単に管理できます。

ドメイン管理者と同等のアクセス権を持つドメイン コントローラーまたは管理ワークステーション にサインインします

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
  2. ドメインを展開して、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト] ノードを選択します。
  3. NDES Service User Rights グループ ポリシーオブジェクトをダブルクリックします。
  4. コンテンツ ウィンドウの [セキュリティ フィルター処理] のセクションで [追加] をクリックします。 NDES サーバーまたは以前に作成したセキュリティ グループの名前を入力し 、[OK] をクリックします
  5. [委任] タブをクリックします。[Authenticated Users] をクリックして、[詳細] をクリックします。
  6. [グループ名またはユーザー名] ボックスの一覧の [Authenticated Users] をクリックします。 [Authenticated Users のアクセス許可] ボックスの一覧で、[グループ ポリシーの適用] アクセス許可の [許可] チェック ボックスをオフにします。 [OK] をクリックします。

NDES Service User Rights グループ ポリシー オブジェクトを展開する

NDES Service User Rights グループポリシー オブジェクトのアプリケーションでは、セキュリティ グループ フィルターが使用されます。 これにより、ドメインでグループ ポリシー オブジェクトをリンクし、グループ ポリシー オブジェクトがスコープ内のすべてのコンピューターに確実にリンクできます。 ただし、セキュリティ グループ フィルターを使用すると 、NDES Servers グローバル セキュリティ グループに含まれるコンピューターだけがグループ ポリシー オブジェクトを受け取って適用し、その結果 、NDESSvc サービス アカウントに適切なユーザー権限が提供されます。

ドメイン管理者と同等のアクセス権を持つドメイン コントローラーまたは管理ワークステーション にサインインします

  1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
  2. ナビゲーション ウィンドウで、ドメインを展開し、Active Directory のドメイン名を持つノードを右クリックして、[既存の GPO のリンク] をクリックします。
  3. [GPO の選択] ダイアログ ボックスで 、[NDES Service User Rights] または以前に作成したグループ ポリシー オブジェクトの名前を選択し 、[OK] をクリックします

重要

NDES Service User Rightsグループ ポリシー オブジェクトをドメインにリンクすると、グループ ポリシー オブジェクトがすべてのコンピューターのスコープになります。 ただし、すべてのコンピューターにポリシー設定が適用されるわけではありません。 ポリシー設定を受け取る のは、NDES Servers グローバル セキュリティ グループのメンバーであるコンピューターのみです。 他のすべてのコンピューターは、グループ ポリシー オブジェクトを無視します。

Active Directory 証明機関の準備

Microsoft Intune およびネットワーク デバイス登録サービス (NDES) サーバーの役割を使用して証明書の発行をサポートするには、公開キー インフラストラクチャと発行元証明機関を準備する必要があります。 このタスクでは、次の作業を実行します。

  • Intune に有効期間を提供する証明機関を構成する
  • 認証証明書テンプレートNDES-Intune作成する
  • Hello for Business 認証ADテンプレートWindows Azure クライアントを作成する
  • 証明書テンプレートの発行

Intune に有効期間を提供する証明機関を構成する

Microsoft Intune を使用して証明書を展開する場合、証明書テンプレートの有効期間に依存するのではなく、SCEP 証明書プロファイルに有効期間を指定できます。 有効期間が異なる同じ証明書を発行する必要がある場合は、1 つの NDES サーバーが発行できる証明書の数が限られている場合に、SCEP プロファイルを使用する方が有利な場合があります。

注意

証明書の有効期間を指定Microsoft Intune有効にしない場合は、この手順を省略します。 この構成がない場合、証明書要求は証明書テンプレートで構成された有効期間を使用します。

ローカル管理者と同等のアクセス権を持つ発行元証明機関 にサインインします

  1. 管理者特権のコマンド プロンプトを開き、次のコマンドを入力します。
    certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    
  2. Active Directory 証明書サービス サービスを再起動 します。

認証証明書テンプレートNDES-Intune作成する

NDES は、サーバー認証証明書を使用してサーバー エンドポイントを認証し、サーバー エンドポイントと接続しているクライアントとの間の通信を暗号化します。 Intune 証明書コネクタは、クライアント認証証明書テンプレートを使用して証明書登録ポイントに対する認証を行います。

ドメイン管理者と同等の資格情報を使用して、発行元の証明機関または管理ワークステーション サインインします。

  1. 証明機関管理コンソールを開きます。

  2. [証明書テンプレート] を右クリックし、[管理] をクリックします。

  3. 証明書テンプレート コンソールで、 詳細ウィンドウで [コンピューター テンプレート] を右クリックし、[テンプレートの複製] をクリックします

  4. [全般 ] タブで 、[テンプレートの表示名] に 「NDES-Intune 認証」と入力します。 エンタープライズの要件を満たすように有効期間と更新期間を調整します。

    注意

    異なるテンプレート名を使用する場合は、ラボの異なる部分でこれらの名前を覚えて置き換える必要があります。

  5. [件名 ] タブで 、要求 で [供給] を選択します

  6. [ 暗号化] タブで 、[最小キー サイズ]2048 であるのを検証します

  7. [セキュリティ] タブで [追加] をクリックします。

  8. [ オブジェクト名を入力して選択 する] テキスト ボックス に「NDES server」と入力し 、[OK] をクリックします

  9. [グループ名またはユーザー名] ボックス****の一覧から [NDES サーバー] を選択します。 [アクセス許可 ] セクションで 、[登録] アクセス 許可の [ 許可] チェック ボックス をオン にします。 チェックボックスがオフにされていない場合は、[グループ名] または [ユーザー名]**** ボックスの一覧にある他のすべてのアイテムに対する登録アクセス許可と自動登録アクセス許可の [許可] チェック ボックスをオフにします。 **** **** [OK] をクリックします。

  10. [適用] をクリックして変更を保存し、コンソールを閉じます。

Hello for Business 認証ADテンプレートWindows Azure クライアントを作成する

Hello for Business Windows中に、Windows 10 は Microsoft Intune から認証証明書を要求し、ユーザーに代わって認証証明書を要求します。 このタスクでは、Windows Hello for Business 認証証明書テンプレートを構成します。 NDES Server を構成する場合は、証明書テンプレートの名前を使用します。

Domain Admin と同等の資格情報を使用して、証明機関または管理 ワークステーションに サインインします。

  1. 証明機関管理コンソールを開きます。

  2. [証明書テンプレート] を右クリックし、[管理] をクリックします。

  3. [スマートカード ログオン] テンプレートを右クリックして、[テンプレートの複製] を選択します。

  4. [互換性] タブで、[結果的な変更を表示] チェック ボックスをオフにします。 [証明機関] ボックスから、[Windows Server 2012] または [Windows Server 2012 R2] を選択します。 [証明書の受信者] ボックスから、[Windows Server 2012] または [Windows Server 2012 R2] を選択します。

  5. [全般 ] タブで 、[テンプレートの表示名] に 「AADJ WHFB 認証」と入力します。 エンタープライズの要件を満たすように有効期間と更新期間を調整します。

    注意

    異なるテンプレート名を使用する場合は、展開の異なる部分でこれらの名前を覚えて置き換える必要があります。

  6. [暗号化] タブで、[プロバイダーのカテゴリ] ボックスから [キー格納プロバイダー] を選択します。 [アルゴリズム名] ボックスから [RSA] を選択します。 [キーの最小サイズ] ボックスに「2048」と入力します。 [ハッシュの要求] ボックスから [SHA256] を選択します。

  7. [拡張機能] タブで、[アプリケーション ポリシー] 拡張機能に [スマート カード ログオン] が含まれていることを確認します。

  8. [件名 ] タブで 、要求 で [供給] を選択します

  9. [要求の 処理] タブ で、[目的] リスト から [署名 と暗号化] を選択 します。 [同じ キーで更新する] チェック ボックス をオンにします。 [ユーザー 入力を必要とせずに件名を登録する] を選択します

  10. [セキュリティ] タブで [追加] をクリックします。 [オブジェクト名を入力して選択する]テキスト ボックス「NDESSvc」 と入力し 、[OK] をクリックします

  11. [グループ名またはユーザー名] ボックスの一覧から [NDESSvc] を選択します。 [NDES サーバーのアクセス許可] セクションで、[読み取り] および [登録] の [許可] チェックボックスを****オンにします。 チェックボックスがオフにされていない場合は****、[グループ名またはユーザー名] セクションの他のすべてのエントリに対する登録アクセス許可と自動登録アクセス許可の [許可] チェック ボックスをオフにします。 **** **** [OK] をクリックします。

  12. コンソールを閉じます。

証明書テンプレートの発行

証明機関は、自身に公開された証明書テンプレートに対してのみ証明書を発行できます。 複数の証明機関がある場合に、ある特定の証明書テンプレートに基づいてそれらの証明機関が証明書を発行するようにするには、証明書発行元となるすべての証明機関にその証明書テンプレートを公開する必要があります。

重要

AADJ WHFB 認証証明書テンプレートを、NDES サーバーを通Microsoft Intune使用する証明機関に発行してください。 NDES 構成では、証明書を要求する証明機関を選択する必要があります。 その証明書テンプレートを発行元の証明機関に発行する必要があります。 NDES-Intune 認証証明書は直接登録され、任意の証明機関に発行できます。

Enterprise Admin と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

  1. [証明機関] 管理コンソールを開きます。
  2. ナビゲーション ウィンドウで親ノードを展開します。
  3. ナビゲーション ウィンドウで、[証明書テンプレート] をクリックします。
  4. [証明書テンプレート] ノードを右クリックします。 [新規作成] をクリックし、[発行する証明書テンプレート] をクリックします。
  5. [証明書 テンプレートの有効化] ウィンドウ で、前の手順で作成した NDES-Intune 認証 テンプレートと AADJ WHFB 認証 テンプレートを選択します。 [OK] をクリックして、選択した証明書テンプレートを証明機関に公開します。
  6. コンソールを閉じます。

NDES ロールのインストールと構成

ここでは、次のトピックについて説明します。

  • ネットワーク デバイス登録サービスの役割をインストールする
  • NDES サービス アカウントを構成する
  • NDES の役割と証明書テンプレートを構成する
  • 内部 NDES URL の Web アプリケーション プロキシを作成します。
  • 認証証明書のNDES-Intuneする
  • NDES の Web サーバー証明書を構成する
  • 構成を確認する

ネットワーク デバイス登録サービスの役割をインストールする

発行元の証明機関以外のコンピューターにネットワーク デバイス登録サービスの役割をインストールします。

Enterprise Admin と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

  1. NDES サーバー でサーバー マネージャーを開きます。
  2. [管理者] をクリックします。 [役割 と機能の追加] をクリックします
  3. [開始**** 役割と機能の追加ウィザード] ページで、[へ] をクリックします。 [ インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール ] を選択 します。 [次へ] をクリックします。 [ サーバー プールからサーバーを選択する] をクリックします。 [サーバー プール] リストからローカル サーバーを選択 します。 [次へ] をクリックします。 サーバー マネージャーの宛先サーバー
  4. [サーバーの 役割の選択] ページ で、[役割] リストから [Active Directory 証明書サービス ] を選択 します。 ![[サーバー マネージャー AD CS の役割] [役割と機能ウィザードの追加] ダイアログ ボックスの 機能 の追加] をクリックします。 **** [次へ] をクリックします。 Server Manager の機能の追加
  5. [機能 ] ページで**、[3.5 .NET Framework] を展開します**。 [HTTP ライセンス 認証] を選択します。 [役割 と機能ウィザードの 追加 ] ダイアログ ボックスの [機能の追加] を クリックします。 [.NET Framework 4.5 機能] を展開しますWCF Services を展開します。 [HTTP ライセンス 認証] を選択します。 [役割 と機能ウィザードの 追加 ] ダイアログ ボックスの [機能の追加] を クリックします。 [次へ] をクリックします。 サーバー マネージャー機能 HTTP ライセンス認証
  6. [役割サービス の選択] ページ で、[証明機関] チェック ボックスを オフにします。 ネットワーク デバイス 登録サービスを選択します。 [機能 の追加] ダイアログ ボックス 役割と機能の追加ウィザードクリックします。 [次へ] をクリックします。 サーバー マネージャー ADCS NDES の役割
  7. [Web サーバーの 役割 (IIS)] ページの [次へ] をクリック します。
  8. [Web サービス ] 役割の [役割サービスの選択] ページで、まだ選択されていない場合は次の追加サービスを選択し、[次へ] をクリック します
    • Web Server > セキュリティ >要求フィルター
    • Web Server > アプリケーション開発> ASP.NET 3.5.
    • Web Server > アプリケーション開発> ASP.NET 4.5. .
    • IIS 6 >管理の互換性と IIS 6 メタ>互換性の管理ツール
    • IIS 6 > IIS 6 WMIの互換性>管理ツール Server Manager Web Server の役割
  9. [インストール] をクリックします。 インストールが完了したら、次の手順に進む。 [閉じる] をクリックしない

    重要

    .NET Framework 3.5 は、一般的なインストールには含まれません。 サーバーがインターネットに接続されている場合、インストールは Update を使用してファイルを取得Windowsします。 サーバーがインターネットに接続されていない場合は、:\Sources\SxS\ などの別のソース パスを指定**** <driveLetter> する必要があります。 .NET Side by Side

NDES サービス アカウントを構成する

このタスクは、NDES サービス アカウントをローカル ユーザー グループIIS_USRSします。 このタスクでは、Kerberos 認証および委任用の NDES サービス アカウントも構成します。

NDES サービス アカウントをグループにIIS_USRSする

ローカル管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. ローカル ユーザー とグループの管理コンソール () を起動します lusrmgr.msc
  2. ナビゲーション ウィンドウから [ グループ] を選択します。 グループをダブルクリックIIS_IUSRSします。
  3. [プロパティ] IIS_IUSRSで 、[追加] を クリックしますNDESSvc またはNDES サービス アカウントの名前を入力します。 [ 名前の確認] を クリックして名前を確認し 、[OK] をクリックします[OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。
  4. 管理コンソールを閉じます。

NDES サービス アカウントにサービス プリンシパル名を登録する

ドメイン管理者と同等のアクセス権を持つ NDES サーバーにサインインします

  1. 管理者特権でコマンド プロンプトを開きます。
  2. サービス プリンシパル名を登録するには、次のコマンドを入力します。
    setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
    
    ここで 、[FqdnOfNdesServer] は NDES サーバーの完全修飾ドメイン名であり 、[DomainName\NdesServiceAccount] はドメイン名であり、NDES サービス アカウント名はバックスラッシュ (\) で区切ります。 コマンドの例を次に示します。
    setspn -s http/ndes.corp.contoso.com contoso\ndessvc
    

注意

複数の NDES サーバーに同じサービス アカウントを使用する場合は、NDES サービスを実行する NDES サーバーごとに次のタスクを繰り返します。

SPN コマンド プロンプトの設定

委任用に NDES サービス アカウントを構成する

NDES サービスは、ユーザーに代わって証明書を登録します。 したがって、ユーザーに代わって実行できるアクションを制限する必要があります。 委任を使用してこれを行います。

ドメイン管理者と同等の最小アクセス権を持つドメイン コントローラー にサインインします

  1. [Active Directory ユーザーとコンピューター] を開きます。
  2. NDES サービス アカウント (NDESSvc) を見つける。 右クリックして、[プロパティ] を 選択します。 [委任] タブをクリック します。 [NDES 委任] タブ
  3. [指定 されたサービスへの委任のみこのユーザーを信頼する] を選択します
  4. [任意 の認証プロトコルを使用する] を選択します
  5. [Add] (追加) をクリックします。
  6. [ユーザー ] または [コンピューター]をクリックします。 Hello for Business 認証証明書を Azure Windowsに発行するために使用する_NDES_サーバー AD入力します。 [Avaiable Services] リストから**、[HOST] を選択します**。 [OK] をクリックします。 NDES サービスの NDES ホストへの委任
  7. このサービス アカウントを使用して、NDES サーバーごとに手順 5 と 6 を繰り返します。 [Add] (追加) をクリックします。
  8. [ユーザーまたはコンピューター]をクリックします。 この NDES サービス アカウントが Azure に参加しているデバイスに Windows Hello for Business 認証証明書を発行するために使用する発行元の証明機関のAD入力します。 [利用可能なサービス] リストから****、[dcom] を選択します。 Ctrl キーを 押しながら[ ホスト] を 選択します[OK] をクリックします。
  9. 1 つ以上の NDES サーバーが証明書を要求する発行元の証明機関ごとに、手順 8 と 9 を繰り返します。 NDES サービス委任の完了
  10. [OK] をクリックします。 Active Directory のユーザーとコンピューターを閉じます

NDES の役割と証明書テンプレートを構成する

このタスクでは、NDES の役割と、NDES サーバーが発行する証明書テンプレートを構成します。

NDES ロールの構成

Enterprise Admin と同等の資格情報を使用して、証明機関または管理ワークステーションにサインインします。

注意

最後の一連のタスクから Server Manger を閉じた場合は、サーバー マネージャーを起動し、黄色の感嘆符を示すアクション フラグをクリックします。

Server Manager のインストール後の黄色のフラグ

  1. [宛先サーバー の Active Directory 証明書サービスの構成] リンクをクリック します。
  2. [資格情報] ページで、[ 次へ] を クリックしますNDES インストール資格情報
  3. [役割サービス ] ページで、[ネットワーク デバイス登録サービス] を選択し、次の**** ![ NDES 役割サービス] をクリックします。
  4. [NDES のサービス アカウント] ページで、[ サービス アカウントの指定 (推奨) ] を選択します[Select.... ] をクリックします。[ユーザー名] ダイアログ ボックスに、NDES サービス アカウントのユーザー名とパスワードWindows セキュリティ入力します。 [次へ] をクリックします。 NDES の NDES サービス アカウント
  5. [CA for NDES] ページで、[CA 名]を選択します[Select.... ] をクリックします。 NDES サーバーが証明書を要求する発行元の証明機関を選択します。 [次へ] をクリックします。 NDES CA の選択
  6. RA 情報で 、[次へ] を クリックします
  7. [NDES の暗号化] ページで、[ 次へ] をクリックします
  8. [確認] ページを確認 します。 [構成] をクリックします。 NDES 確認
  9. 構成が 完了したら 、[閉じる] をクリックします。

NDES での証明書テンプレートの構成

1 つの NDES サーバーで最大 3 つの証明書テンプレートを要求できます。 NDES サーバーは、SCEP 証明書プロファイルで割り当てられている受信証明書要求に基づいて発行するMicrosoft Intune決定します。 SCEP Microsoft Intuneプロファイルには 3 つの値があります。

  • デジタル署名
  • Key Encipherment
  • Key Encipherment, Digital Signature

各値は、NDES サーバー内のレジストリ値名にマップされます。 NDES サーバーは、受信 SCEP 指定の値を対応する証明書テンプレートに変換します。 次の表に、NDES 証明書テンプレートのレジストリ値名の SCEP プロファイル値を示します。

SCEP プロファイル キーの使用法 NDES レジストリ値の名前
デジタル署名 SignatureTemplate
Key Encipherment EncryptionTemplate
Key Encipherment
デジタル署名
GeneralPurposeTemplate

理想的には、構成を直感的に保つために、証明書要求とレジストリ値名を一致する必要があります (暗号化証明書は暗号化テンプレートを使用し、署名証明書は署名テンプレートを使用します)。 この直感的な設計の結果、NDES サーバーの指数関数的な増加の可能性があります。 Imagine 9 つの固有の署名証明書を発行する必要がある組織を作成します。

必要が生じた場合は、暗号化レジストリ値名で署名証明書を構成するか、署名レジストリ値の暗号化証明書を構成して、NDES インフラストラクチャの使用を最大化できます。 この直感のない設計では、実際の目的に関係なく、SCEP 証明書プロファイルが正しい証明書を登録するように構成されていることを確認するために、構成の最新かつ正確なドキュメントが必要です。 各組織では、構成と管理の容易さと、追加の NDES インフラストラクチャと、そのインフラストラクチャに付属する管理オーバーヘッドのバランスを取る必要があります。

ローカル管理者と同等の資格情報を使用して NDES Server にサインイン します。

  1. 管理者特権でコマンド プロンプトを開きます。
  2. 上記の表を使用して、参加している Azure デバイスの Hello for Business 認証証明書Windows要求するために使用するレジストリ値AD決定します。
  3. 次のコマンドを入力します。
    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
    
    registryValueNameは上記の表の 3 つの値の名前の 1 つであり 、certificateTemplateNameは、Windows Hello for Business Azure AD 参加デバイス用に作成した証明書テンプレートの名前です。 例:
    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d AADJWHFBAuthentication
    
  4. コマンド が既存の値 を上書きするためのアクセス許可を求める場合は、「Y」と入力します。
  5. コマンド プロンプトを閉じます。

重要

証明書テンプレート の名前 を使用します。表示名 ではありません。 証明書テンプレート名にはスペースは含めることはできません。 証明書名を表示するには、証明書テンプレートのプロパティの****[全般] タブを [証明書テンプレート] 管理コンソール () で確認します certtmpl.msc

内部 NDES URL の Web アプリケーション プロキシを作成します。

参加しているデバイスAD Azure の証明書の登録は、インターネットを使用して行われます。 その結果、内部 NDES URL に外部からアクセスできる必要があります。 これを簡単かつ安全に行うには、アプリケーション プロキシAzure Active Directory使用します。 Azure AD アプリケーション プロキシは、ネットワーク デバイス登録サービスなど、オンプレミスでホストされている Web アプリケーションにシングル サインオンとセキュリティで保護されたリモート アクセスを提供します。

複数の外部 NDES URL をMicrosoft Intune SCEP 証明書プロファイルを構成するのが理想的です。 これにより、Microsoft Intune同じ構成の NDES サーバーへの証明書要求をラウンドロビン負荷分散できます (各 NDES サーバーは、約 300 の同時要求に対応できます)。 Microsoft Intuneこれらの要求を Azure アプリケーション プロキシAD送信します。

Azure AD アプリケーション プロキシは、軽量なアプリケーション プロキシ コネクタ エージェントによってサービスされます。 詳細については 、「What is Application Proxy」 を参照してください。 これらのエージェントは、オンプレミスのドメインに参加しているデバイスにインストールされ、Azure への認証されたセキュリティで保護された送信接続を行い、Azure AD アプリケーション プロキシからの要求の処理を待機します。 サービス固有のアプリケーションに特定のコネクタAzure Active Directory割り当てるコネクタ グループを作成できます。

コネクタ グループは自動的にラウンドロビンされ、割り当てられたコネクタ グループ内ADアプリケーション プロキシ要求に対する Azure プロキシ要求の負荷分散が行われます。 これにより、Hello for Business Windows要求に対して、登録要求を満たすために専用の Azure ADアプリケーション プロキシ コネクタが複数用意されています。 NDES サーバーとコネクタの負荷分散は、ユーザーが Hello for Business 証明書をWindowsに登録する必要があります。

アプリケーション プロキシ コネクタ エージェントのダウンロードとインストール

domain user に相当するアクセス権でワークステーションにサインインします。

  1. グローバル管理者と同等の アクセス権を持 つ Azure Portal に サインインします

  2. [すべてのサービス] を選択します。 サービスAzure Active Directoryフィルターする場合は、次のコマンドを入力します。 [サービス] の下の [Azure Active Directory]をクリックします

  3. [ 管理] で、[アプリケーション プロキシ ] をクリックします

  4. [コネクタ サービスのダウンロード] をクリックします。 [用語 の承諾] をクリック&ダウンロードします。 ファイル (AADApplicationProxyConnectorInstaller.exe) をドメイン上の他のユーザーがアクセスできる場所に保存します。 Azure アプリケーション プロキシ コネクタ

  5. ドメイン ユーザーと同等のアクセス権を持つコネクタを実行するコンピューターに サインインします

    重要

    各 NDES アプリケーション プロキシAzure Active Directory 2 つ以上のプロキシ コネクタをインストールします。 Azure ADアプリケーション プロキシ コネクタを組織全体で戦略的に見つけて、可用性を最大限に高め、 コネクタを実行しているデバイスは、Azure およびオンプレミスの NDES サーバーと通信できる必要があります。

  6. [開始 **AADApplicationProxyConnectorInstaller.exe] をクリックします **。

  7. ライセンス条項を読み、[ライセンス条項に 同意する] を選択します[インストール] をクリックします。 Azure アプリケーション プロキシ コネクタ

  8. グローバル管理者と同等Microsoft Azureアクセス権を持つユーザーにサインインしますAzure アプリケーション プロキシ コネクタ

  9. インストールが完了したら。 送信プロキシ サーバーに関する情報を読み取る。 [閉じる] をクリックします。 Azure アプリケーション プロキシ コネクタ

  10. Hello for Business 証明書の展開用に Azure AD アプリケーション プロキシ コネクタを実行する各デバイスWindows手順 5 ~ 10 を繰り返します。

コネクタ グループの作成

domain user に相当するアクセス権でワークステーションにサインインします。

  1. グローバル管理者と同等の アクセス権を持 つ Azure Portal に サインインします
  2. [すべてのサービス] を選択します。 サービスAzure Active Directoryフィルターする場合は、次のコマンドを入力します。 [サービス] の下の [Azure Active Directory]をクリックします
  3. [ 管理] で、[アプリケーション プロキシ ] をクリックしますAzure アプリケーション プロキシ コネクタ グループ
  4. [新 しいコネクタ グループ] をクリックします。 [ 名前]「NDES WHFB コネクタ」と入力しますAzure Application New Connector Group
  5. Hello for Business**** 証明書の登録要求に対応するコネクタ Windowsコネクタ エージェントを選択します。
  6. [保存] をクリックします。

Azure アプリケーション プロキシの作成

domain user に相当するアクセス権でワークステーションにサインインします。

  1. グローバル管理者と同等の アクセス権を持 つ Azure Portal に サインインします

  2. [すべてのサービス] を選択します。 サービスAzure Active Directoryフィルターする場合は、次のコマンドを入力します。 [サービス] の下の [Azure Active Directory]をクリックします

  3. [ 管理] で、[アプリケーション プロキシ ] をクリックします

  4. [アプリ の構成] をクリックします

  5. [名前] 設定[基本設定] で**、「WHFB NDES 01」と入力します**。 この Azure のアプリケーション プロキシ設定とオンプレミスの NDES AD関連付ける名前を選択します。 2 台の NDES サーバーが同じ内部 URL を共有できないAD、各 NDES サーバーには独自の Azure サーバーとアプリケーション プロキシが必要です。

  6. [ 内部 URL] の横に、この Azure アプリケーション プロキシに関連付けられている NDES サーバーの内部の完全修飾 DNS AD入力します。 例: https://ndes.corp.mstepdemo.net)。 NDES サーバーのプライマリ ホスト名 (AD コンピューター アカウント名) と一致し、URL の先頭に httpsを付けます。

  7. [ 内部 URL] で、最初 の https:// から [外部] を選択します。 [アプリケーション プロキシ] の横 https:// 、Azure アプリケーション プロキシの外部ホスト名として使用するホスト名AD入力します。 入力したホスト名の横にあるリストで、Azure アプリケーション プロキシで外部で使用する DNS サフィックスAD選択します。 [tenantName] が現在のテナント名 (-mstephendemo.msappproxy.net) である既定の -[tenantName].msapproxy.net を使用Azure Active Directoryをお勧めします。 Azure NDES アプリケーション プロキシの構成

  8. [ 認証前] リストから [パススルー] を選択 します。

  9. [ コネクタ グループ] リストから [NDES WHFB コネクタ] を選択 します。

  10. [その他の設定] で、[バックエンド アプリケーションのタイムアウト] から [既定] を選択します。 [URL の 変換] セクションで、[ ヘッダー] の 横にある [は い] を選択 、[アプリケーション本文] の横にある [いいえ ] を選択します

  11. [Add] (追加) をクリックします。

  12. Azure Portal からサインアウトします。

    重要

    内部 URL と外部 URL を書き出します。 この情報は、認証証明書を登録するときにNDES-Intune必要です。

認証証明書NDES-Intune登録する

このタスクでは、Intune コネクタと NDES サーバーで使用されるクライアント認証証明書とサーバー認証証明書を登録します。

ローカル管理者と同等のアクセス権を持つ NDES サーバーにサインインします

  1. ローカル コンピューターの証明書マネージャー (certlm.msc) を起動します。
  2. ナビゲーション ウィンドウで [個人] ノードを展開します。
  3. [個人] を右クリックします。 [すべてのタスク] を選び、[新しい証明書の要求] を選択します。
  4. [開始する前に] ページで、[次へ] をクリックします。
  5. [証明書の登録ポリシーの選択] ページで、[次へ] をクリックします。
  6. [証明書の要求] ページで****、[NDES-Intune 認証] チェック ボックスをオンにします。
  7. [この 証明書の登録に必要な詳細] をクリックします。[設定] リンクの [ 証明書のプロパティの件名] タブの例を構成するには、ここをクリックします。これは、上記のリンクをクリック  すると表示されます。
  8. [サブジェクト名] の下で、[種類] ボックスから [共通名] を選択します。 前のタスクで使用した内部 URL (たとえば、https:// など) を ndes.corp.mstepdemo.net し、[追加] を クリックします
  9. [別名] の下で、[種類] ボックスから [DNS] を選択します。 前のタスクで使用した内部 URL を入力します (たとえば、https:// を使用ndes.corp.mstepdemo.net)。 [Add] (追加) をクリックします。 前のタスクで使用した外部 URL を入力します (たとえば、https:// を使用ndes-mstephendemo.msappproxy.net)。 [追加] をクリックします。 完了したら、[OK] をクリックします。
  10. [登録] をクリックします。
  11. 参加している Azure デバイスの Hello for Business 認証証明書Windows要求するために使用AD手順を繰り返します。

Web サーバーの役割を構成する

このタスクでは、サーバー認証証明書を使用する NDES サーバー上の Web サーバーの役割を構成します。

ローカル管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. 管理インターネット インフォメーション サービス (IIS) マネージャーを****起動します
  2. NDES サーバーの名前を持つノードを展開します。 [サイト ] を展開 し、[ 既定の Web サイト] を選択しますNDES IIS コンソール
  3. [Bindings...] をクリックします。_ 下 _Actions*. [Add] (追加) をクリックします。 NDES IIS コンソール
  4. [種類 ] から [https]選択します。 ポートの値が****443 です。
  5. SSL 証明書の一覧から、以前に登録した 証明書を選択 します。 [OK] を選択します。 NDES IIS コンソール
  6. [ サイト バインド ] リスト から [http] を選択 します。 [削除] をクリックします
  7. [サイト バインド] ダイアログ ボックスの [閉じる] を クリックします。
  8. インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

構成を確認する

このタスクは、NDES サーバーの TLS 構成を確認します。

ローカル管理者と同等のアクセス権を持つ NDES サーバー にサインインします

セキュリティInternet Explorer構成を無効にする

  1. [サーバー マネージャー] を開きます。 ナビゲーション ウィンドウから [ローカル サーバー ] をクリックします。
  2. [プロパティ ] セクション[IE 拡張セキュリティ構成] の 横にある [ オン] を クリックします。
  3. [セキュリティの Internet Explorer構成] ダイアログの [管理者] で、[ オフ]選択します[OK] をクリックします。
  4. サーバー マネージャーを閉じます

NDES Web サーバーをテストする

  1. [ファイル Internet Explorer] を開きます
  2. ナビゲーション バーで、次のコマンドを入力します。
    https://[fqdnHostName]/certsrv/mscep/mscep.dll
    
    [fqdnHostName] は、NDES サーバーの完全修飾内部 DNS ホスト名です。

次のような Web ページが Web ブラウザーに表示されます。 同様のページが表示されない場合、 または 503 Service が使用できないメッセージが表示される場合は、NDES Service アカウントに適切なユーザー権限が与えられないことを確認してください。 NetworkDeviceEnrollmentSericeソースを使用して、アプリケーション イベント ログでイベントを確認することもできます。

NDES IIS コンソール

Web サイトがサーバー認証証明書を使用しているのを確認します。 NDES IIS コンソール

ネットワーク デバイス登録サービスを構成して、ネットワーク デバイス登録サービスをMicrosoft Intune

ネットワーク デバイス登録サービスが正常に構成されました。 Intune 証明書コネクタを使用するには、構成を変更する必要があります。 このタスクでは、長い URL を処理するために NDES サーバーhttp.sysを有効にします。

  • 長い URL をサポートする NDES を構成する

長い URL をサポートするために NDES と HTTP を構成する

ローカル管理者と同等のアクセス権を持つ NDES サーバー にサインインします

既定の Web サイトを構成する

  1. 管理インターネット インフォメーション サービス (IIS) マネージャーを****起動します
  2. NDES サーバーの名前を持つノードを展開します。 [サイト ] を展開 し、[ 既定の Web サイト] を選択します
  3. コンテンツ ウィンドウで、[要求フィルター] をダブルクリックします。 [機能の編集] 設定... をクリックします。操作ウィンドウで[機能の編集] をクリックします。 Intune NDES 要求フィルター
  4. [リスト に登録されていないファイル名の拡張子を許可する] を選択します
  5. [リスト に登録されていない動詞を許可する] を選択します
  6. [ハイ ビット文字を許可する] を選択します
  7. [最大許容コンテンツ長 (バイト)]「30000000」 と入力します。
  8. [URL の最大長 (バイト) ] に**「65534」** と入力します。
  9. [最大**クエリ文字列 (バイト)] に「65534」**と入力します
  10. [OK] をクリックします。 インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

[パラメーターの構成] HTTP.SYS

  1. 管理者特権でコマンド プロンプトを開きます。
  2. 次のコマンドを実行します。
    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
    
  3. NDES サーバーを再起動します。

Intune 証明書コネクタのダウンロード、インストール、構成

Intune 証明書コネクタ アプリケーションを使用すると、Microsoft Intuneによって管理されるデバイス上のユーザーに対して、オンプレミス PKI を使用して証明書を登録Microsoft Intune。

Intune 証明書コネクタのダウンロード

domain user に相当するアクセス権でワークステーションにサインインします。

  1. 管理者センターにサインインMicrosoft エンドポイント マネージャーします
  2. [テナント管理コネクタ > とトークン] [ > 証明書コネクタの追加] を > 選択します
  3. [証明書 コネクタのインストール] セクションの下にある [証明書コネクタ ソフトウェアのダウンロード] をクリック します。 Intune 証明機関
  4. ダウンロードしたファイル (NDESConnectorSetup.exe) を NDES サーバーからアクセスできる場所に保存します。
  5. 管理センターからMicrosoft エンドポイント マネージャーサインアウトします。

Intune 証明書コネクタのインストール

ドメイン管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. 前のタスクでダウンロードした Intune 証明書コネクタセットアップ (NDESConnectorSetup.exe) をローカルで NDES サーバーにコピーします。

  2. 管理者 NDESConnectorSetup.exe として実行します。 NDESコネクタに HTTP ライセンス認証がMicrosoft Intuneするダイアログがセットアップに表示される場合は、管理者としてアプリケーションを起動し、NDES サーバーで HTTP ライセンス認証が有効になっているか確認します。

  3. [次へ ] Microsoft Intune、[ 次へ] をクリックしますIntune コネクタ のインストール 01

  4. エンド ユーザー 使用許諾契約書を読む。 [ 次へ] をクリックして契約に同意し、インストールを続行します。

  5. [移動先 フォルダー] ページで 、[次へ] を クリックします

  6. [インストール オプション ] ページで**、[SCEPと PFX プロファイルの配布] を選択し、[次へ] をクリックします**。 Intune コネクタ のインストール 03

  7. [クライアント証明書 ] ページで、[Microsoft Intune]クリックします。 NDES サーバーに以前登録した証明書を選択します。 [次へ] をクリックします。 Intune コネクタ のインストール 05

    注意

    クライアント認証証明書を選択Microsoft Intune[ クライアント証明書] ページは更新されない。 ただし、アプリケーションは選択範囲を再設定し、次のページに表示します。

  8. [NDES ポリシー モジュールのクライアント証明書] ページで、証明書情報を確認し、[次へ] をクリックします

  9. [コネクタをインストールする準備Microsoft Intune] ページをオンにします。 [インストール] をクリックします。 Intune コネクタ のインストール 06

    注意

    インストールの結果は 、C:\NDESConnectorSetupMsiフォルダーにあるSetupMsi.logファイルを使用して確認できます。

  10. インストールが完了したら、[Intune コネクタの起動] を選択し、[完了 ] をクリックします。 [Intune 証明書コネクタの構成] タスクに進みます。 Intune Connector のインストール 07

Intune 証明書コネクタを構成する

ドメイン管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. NDES Connector ユーザーインターフェイスは、最後のタスクから開く必要があります。

    注意

    NDES Connector ユーザーインターフェイスが開いていない場合は、次のページから** <install_Path> 開始\NDESConnectorUI\NDESConnectorUI.exe。 **

  2. 組織でプロキシ サーバーを使用し、NDES サーバーがインターネットにアクセスするためにプロキシが必要な場合は****、[プロキシ サーバーの使用] を選択し、接続するプロキシ サーバー名、ポート、資格情報を入力します。 Intune証明書 ![ コネクタ構成 01 の適用] をクリックします。

  3. [ サインイン] をクリックします。 Intune 管理者またはグローバル管理者ディレクトリロールを持つテナント管理者の 資格情報を 入力します。 Intune 証明書コネクタ構成 02

    重要

    ユーザー アカウントに有効な Intune ライセンスが割り当てられている必要があります。 ユーザー アカウントに有効な Intune ライセンスが存在しない場合、サインインは失敗します。

  4. 必要に応じて、証明書失効用に NDES コネクタを構成できます。 これを行う場合は、次のタスクに進む。 それ以外の場合は 、[閉じる] をクリックし 、Intune Connector Service と World Wide Web Publishing Serviceを再起動し、次のタスクをスキップします。

証明書失効用に NDES コネクタを構成する (オプション)

必要に応じて (必須ではありません)、デバイスがワイプ、登録解除、または証明書プロファイルが対象ユーザーのスコープから外れた場合 (ユーザーが削除、削除、またはプロファイルが削除された場合) に、証明書失効用に Intune コネクタを構成できます。

失効のための NDES サービス アカウントの有効化

ドメイン管理者と同等のアクセス権を持つ NDES コネクタで使用される証明機関 にサインインします

  1. 証明機関の 管理コンソールを 起動します。
  2. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] を 選択します
  3. [セキュリティ] タブをクリック します。 [追加 ] をクリックします。 [ 選択するオブジェクト名を入力 してください] ボックスに 「NDESSvc(または NDES Service アカウントに指定した名前)」と入力します。 [名前 の確認] をクリックします[OK] をクリックします。 グループ名またはユーザー名の一覧から NDES サービス アカウントを選択 します。 [発行 ] および [ 証明書の 管理] アクセス許可の [許可] を選択 します。 [OK] をクリックします。 Intune 証明書失効の構成 02
  4. 証明機関を 閉じる

証明書の失効に対して NDES コネクタを有効にする

ドメイン管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. NDES Connector ユーザー インターフェイス(\NDESConnectorUI\NDESConnectorUI.exe)** <install_Path> を開きます**。
  2. [詳細設定] タブをクリック します。 [別 のアカウントのユーザー名とパスワードを指定する] を選択します。 NDES サービス アカウントのユーザー名とパスワードを入力します。 [適用] をクリックします。 [OK] をクリックして確認ダイアログ ボックスを閉じます。 [閉じる] をクリックします。 Intune Connector 証明書失効構成 04
  3. Intune Connector Service と World Wide Web Publishing Service を再起動します

NDES コネクタのテスト

ドメイン管理者と同等のアクセス権を持つ NDES サーバー にサインインします

  1. コマンド プロンプトを開きます。
  2. 次のコマンドを入力して、NDES Connector の最後の接続時間が最新の状態を確認します。
    reg query hklm\software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
    
  3. コマンド プロンプトを閉じます。
  4. [ファイル Internet Explorer] を開きます
  5. ナビゲーション バーで、次の入力を行います。
    https://[fqdnHostName]/certsrv/mscep/mscep.dll
    
    [fqdnHostName] は、NDES サーバーの完全修飾内部 DNS ホスト名です。 403 エラー (次のような) を示す Web ページが Web ブラウザーに表示されます。 同様のページが表示されない場合、 または 503 Service が使用できないメッセージが表示される場合は、NDES Service アカウントに適切なユーザー権限が与えられないことを確認してください。 NetworkDeviceEnrollmentSericeソースを使用して、アプリケーション イベント ログでイベントを確認することもできます。 Intune 証明書コネクタ後の NDES Web サイト テスト
  6. Server Manager を使用して、拡張 Internet Explorer構成を有効にします

簡易証明書登録プロトコル (SCEP) 証明書プロファイルの作成と割り当て

AADJ WHFB 証明書ユーザー グループの作成

domain user に相当するアクセス権でワークステーションにサインインします。

  1. グローバル管理者と同等の アクセス権を持 つ Azure Portal に サインインします
  2. [すべてのサービス] を選択します。 サービスAzure Active Directoryフィルターする場合は、次のコマンドを入力します。 [サービス] の下の [Azure Active Directory]をクリックします
  3. [グループ ] をクリックします。 [新 しいグループ] をクリックします
  4. [グループ の種類 ] ボックス の一覧から [セキュリティ] を 選択します。
  5. [ グループ名] に、グループの名前を入力します。 たとえば 、AADJ WHFB 証明書ユーザーです
  6. 該当する場合 は、グループの説明を指定します。
  7. [メンバーシップ の種類 ] ボックス の一覧から [割り当て済み] を 選択します。 Azure AD新しいグループの作成
  8. [メンバー ] をクリックします。 [メンバーの 選択] ウィンドウを 使用して、このグループにメンバーを追加します。 完了したら、[選択] をクリックします
  9. [作成] をクリックします。

SCEP 証明書プロファイルの作成

domain user に相当するアクセス権でワークステーションにサインインします。

  1. 管理者センターにサインインMicrosoft エンドポイント マネージャーします

  2. [デバイス ] を選択し、[構成プロファイル] をクリックします

  3. [プロファイル の作成] を選択しますIntune デバイス構成プロファイルの作成

  4. [プラットフォーム] 一覧から [Windows 10 以降] を選択します。

  5. [ プロファイル] リストから [SCEP 証明書 ] を選択 し、[作成] を 選択します

  6. SCEP 証明書ウィザードが開きます。 [名前]の横に**「WHFB 証明書の登録」と入力します**。

  7. [説明] の横にある環境にわかりやすい説明を入力し、[次へ] を 選択します

  8. [証明書 の種類 としてユーザー] を選択します。

  9. 組織 に合わせて証明書の有効期間 を構成します。

    重要

    証明書の有効性を構成するには、証明機関を構成Microsoft Intuneする必要があります。

  10. [登録] を選択Windows Hello for Businessにアクセスします。それ以外の場合は、キー ストレージ プロバイダー (KSP) リストから失敗 (Windows 10以降) します。

  11. [ サブジェクト名の形式] の横に CN={{OnPrem_Distinguished_Name} と入力して、発行された証明書のサブジェクトをオンプレミスの識別名にします。

  12. サブジェクト の代替名パラメーターとしてユーザー プリンシパル名 (UPN) を指定 します。 その値を {{UserPrincipalName}として設定します。

  13. レジストリで AADJ WHFB 認証証明書テンプレートを構成する方法については、「NDES で証明書テンプレートを構成する」タスクを参照してください。 レジストリで構成済みの NDES**** テンプレートにマップするキー使用法リストから、キー使用法の適切な組み合わせを選択します。 この例では 、AADJ WHFB 認証 証明書テンプレートが SignatureTemplate レジストリ値名に追加されました。 その レジストリ値名 にマップされるキーの使用法は、 デジタル署名です

  14. 発行元の 証明機関のルート 証明書と一致する、以前に構成された信頼できる証明書プロファイルをプロファイルのルート証明書として選択します。

  15. [ 拡張キーの使用法] で、[ 名前] に 「スマート カード ログオン」入力します。 オブジェクト 識別子の下に 1.3.6.1.4.1.311.20.2.2 と入力します[Add] (追加) をクリックします。

  16. [更新しきい値] の横にパーセンテージ****(パーセント記号なし) を入力して、証明書が更新を試みる必要がある場合を決定します。 推奨される値は 20 ですWHFB SCEP 証明書プロファイル EKUs

  17. [SCEP Server URL] の下に、構成した Azure ADの完全修飾外部名を入力します。 /certsrv/mscep/mscep.dll。 例: https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll。 [Add] (追加) をクリックします。 Hello for Business 証明書を発行するように構成した追加の NDES Azure ADアプリケーション プロキシごとにWindows手順を繰り返します。 Microsoft Intune、SCEP 証明書プロファイルにリストされている URL 間で要求を負荷分散します。

  18. [次へ] をクリックします。

  19. [次へ] を数回クリックして、ウィザードの [**** スコープ タグ]、[り当て]、および [適用ルール] の各手順をスキップし、[作成] をクリックします

WHFB 証明書登録証明書プロファイルにグループを割り当てる

domain user に相当するアクセス権でワークステーションにサインインします。

  1. 管理者センターにサインインMicrosoft エンドポイント マネージャーします
  2. [デバイス ] を選択し、[構成プロファイル] をクリックします
  3. [WHFB 証明書の登録] をクリックします
  4. [プロパティ ] を選択し、[割り当て] セクションの横にある [編集] をクリックします。 ****
  5. [割り 当て] ウィンドウ で、[ 割り当て先] ボックスの一覧 から [ 選択したグループ] を選択 します。 [含 めるグループの選択] をクリックしますWHFB SCEP プロファイルの割り当て
  6. [AADJ WHFB 証明書ユーザー] グループを選択します。 [選択 ] をクリックします
  7. [ 確認] + [保存] の順にクリックし、[保存] をクリックします

構成が正常に完了しました。 Hello for Business 認証証明書を登録するWindowsする必要があるユーザーをAADJ WHFB 証明書ユーザー グループに追加します。 このグループは、デバイス登録 Windows Hello for Business 構成と組み合わせて、ユーザーに Windows Hello for Business の登録を求め、オンプレミス リソースへの認証に使用できる証明書を登録するように求められます。

セクションの確認

  • 要件
  • Azure の準備AD Connect
  • ネットワーク デバイス登録サービス (NDES) サービス アカウントの準備
  • Active Directory 証明機関の準備
  • NDES ロールのインストールと構成
  • ネットワーク デバイス登録サービスを構成して、ネットワーク デバイス登録サービスをMicrosoft Intune
  • Intune 証明書コネクタのダウンロード、インストール、および構成
  • 簡易証明書登録プロトコルの作成と割り当て (SCEP 証明書プロファイル)