Microsoft Intune MDM ソリューション向けDigiCert® 統合ガイド

DigiCert

_{統合ガイド}

2

Microsoft Intune MDM ソリューション向け

DigiCert

®

統合ガイド

本書で説明するソフトウェアはライセンス契約のもとで提供され、ご使用の際には契約条項に従っていただく必要があります。 文書作成日 : 2018年 7 月 31 日

法的通知

Copyright © 2018 DigiCert, Inc. All rights reserved.

DigiCert および DigiCert のロゴは DigiCert, Inc. の登録商標です。シマンテック（Symantec）、ノートン（Norton）、およびそれぞ れのロゴは、Symantec Corporation のライセンスに基づき使用される商標です。その他の名称もそれぞれの所有者による商標であ る可能性があります。 本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバースエンジニアリングを制限するライセンスに基づいて頒布さ れています。本書のいかなる部分も、その形式や手段にかかわらず、DigiCert, Inc. およびそのライセンサーからの書面による事前の 承諾を得ることなく無断で複製することはできません。 本書は現状有姿で提供されるものであり、明示的または黙示的であるかを問わず、商品性、特定目的に対する適合性、非侵害性に関 する黙示的な保証を含むすべての条件、表明、および保証は、この免責が法的に無効であると見なされない限り、免責されるものとし ます。DigiCert, Inc. は、本書の提供、遂行、使用に関連する付随的または結果的損害に対して一切の責任を負いません。本書の内 容は、事前に通知することなく変更される場合があります。 ライセンス対象ソフトウェアおよび付属文書は、商用コンピュータソフトウェア（FAR 12.212 に定義）と見なされ、Commercial Computer Software - Restricted Rights（FAR Section 52.227-19 に定義）および Rights in Commercial Computer Software or Commercial Computer Software Documentation（DFARS 227.7202 に定義）、その他の後継規制の規定により制限権利の 対象となります。米国政府によるライセンス対象ソフトウェアおよび付属文書の使用、修正、複製リリース、動作、表示、開示は、該当 する使用許諾契約の条項に従ってのみ行われるものとします。本書では、お客様のソフトウェアまたはサービス契約には存在しない機 能について説明している場合があります。本製品で使用できる機能の詳細については、担当者にお問い合わせください。 デジサート・ジャパン合同会社 〒 104-0061 東京都中央区銀座 6 丁目 10 番地 1 号 GINZA SIX 8階 03-4560-3900 https://www.digicert.co.jp [email protected]

3

目次

はじめに

...4

統合の概要

...5

前提条件

...6

Intune

コネクタのシステム要件

...7

デジサート

RA

証明書を取得してインストールする

...8

Microsoft Intune Certificate Connector

をインストールして設定する

... 10

プロファイルを作成する

... 12

DigiCert PKI 証明書プロファイルを作成する ... 12

Intune の信頼された証明書プロファイルを作成する ... 14

Intune の証明書プロファイルを作成する ... 15

統合の成功を検証する ... 15

ログおよびトラブルシューティング

... 16

4

はじめに

Microsoft Intune は、モバイルデバイスとアプリケーションの 管理機能を有し、組織内の各ユーザーがアクセスできるデー タを管理することができます。統合されたデータ保護機能とコ ンプライアンス機能により、Office やその他のモバイルアプリ ケーション内でユーザーが実行できるデータ操作を定義するこ とができます。

Microsoft Intune と DigiCert PKI Platform を統合することで、 ユーザー名とパスワードの入力やハードウェアトークンの追加 を必要とせずに、信頼性を提供する電子証明書を生成すること ができます。また、DigiCert PKI Platform は短期間で導入し、 容易に管理することができます。その上、先進のセキュリティが ついているため、内製の PKI ソリューションとは比較になりま せん。

本書では、Microsoft Intune と DigiCert PKI Platform 8.17.x を統合し、クライアント認証のためにモバイルデバイスにエン ドエンティティ証明書を発行する方法について説明します。

1. Microsoft Intune は、デジサートの認証局と通信して RA 証明書を生成します。

2. Intune 管理者は、DigiCert PKI Platform で作成された プロファイルに対応する証明書テンプレートを Microsoft Intune 内に作成します。

3. Intune は、デジサートの認証局から証明書を取得します。 4. Intune は、指定されたグループのモバイルデバイスに

5

統合の概要

統合の概要は以下のとおりです。 1. 統合の前提条件とシステム要件を確認する 2. RA 証明書を生成する 3. Microsoft Intune コネクタを設定する 4. DigiCert PKI プロファイルを作成する 5. Intune の信頼された証明書プロファイルを作成する 6. Intune の証明書プロファイルを作成する 7. プロファイルをユーザーおよびデバイスに割り当てる 8. テストする

6

前提条件

統合を始める前に、チームメンバーが以下にアクセスできることを確認してください。

• DigiCert PKI アカウント管理者による DigiCert PKI Platform の DigiCert PKI Manager ポータルへのアクセス • Microsoft Intune アカウント管理者による Microsoft Intune 管理ポータルへのアクセス

7

Intune

コネクタのシステム要件

Intune Certificate Connector をインストールするための最小システム要件は以下のとおりです。 • Microsoft Windows Server 2012 R2 または Microsoft Windows Server 2008 R2

• Microsoft .NET Framework 3.5 • ASP.NET

8

デジサート RA 証明書を取得して

インストールする

この章の内容は以下のとおりです。

• 鍵ペアと CSR を生成する（サーバー管理者） • DigiCert PKI Manager から RA 証明書を取得する

（PKI 管理者）

• RA 証明書をインストールする（サーバー管理者） Intune は、DigiCert PKI Platform （CA）に証明書を要求する RA アプリケーションです。Intune を RA として設定するには、 デジサート RA 証明書を取得する必要があります。

ルート RA および中間 RA の証明書を

インストールするには

すべてのルート証明書には、その他の証明書による信頼チェー ンが必要です。インストールする RA 証明書に信頼チェーンが 存在することを確認してください。 詳細については、以下のページを参照してください。 • https://knowledge.digicert.com/ja/jp/solution/ SO29805.html

鍵ペアおよび CSR を生成するには

1. Intune コネクタ（NDES サーバー）をインストールする システム上に certreq.inf ファイルを作成します。 2. 管理者権限付きのコマンドプロンプトを開きます。以下の [NewRequest]

Subject = “CN=Registration Authority” KeySpec = 1 KeyLength = 2048 Exportable = FALSE MachineKeySet = TRUE PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE

ProviderName = “Microsoft RSA SChannel Cryptographic Provider” ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 HashAlgorithm = sha256 ;-- ---certreq.inf ファイルの例 コマンドを実行して CSR を生成します。

certreq.exe -new certreq.inf racertificate.req

これにより、racertificate.req ファイル内に CSR ファ イルが入りました。この CSR を使用して、DigiCert PKI Manager に RA 証明書を要求します。

3. racertificate.req ファイルを、DigiCert PKI Manager に アクセスできるコンピュータにコピーします。

9

DigiCert PKI Manager

から

RA

証明書を取得するには

1. racertificate.req ファイルをテキストエディタで開き、ファ イルの内容をクリップボードにコピーします。

2. DigiCert PKI Manager にアクセスし、［タスク］＞［RA 証 明書の取得］を選択します。 3. リクエストフィールドに CSR を貼り付けます。［続行］をク リックします。 4. プロンプトが表示されたら、生成された RA-certificate. p7b 証明書ファイルをダウンロードします。 5. RA-certificate.p7b 証明書を NDES サーバーにコピーし ます。 これで、RA 証明書をインストールする準備ができました。

RA

証明書をインストールして

結果を検証するには

1. 管理者権限付きのコマンドプロンプトに戻り、RA 証明書 をインストールします。

certreq -accept -machine RA- certificate.p7b

2. certutil コマンドを実行します。

certutil -store MY

10

Microsoft Intune Certificate Connector を

インストールして設定する

この章の内容は以下のとおりです。

• Intune Certificate Connector ファイルを ダウンロードしてインストールする

• RA 証明書を使用できるようにコネクタを設定する

• サービスを開始する

Intune Certificate Connector

を

ダウンロードするには

Microsoft Intune ポータルにアクセスし、コネクタをダウン ロードします。

Intune Certificate Connector を

インストールして設定するには

1. コネクタファイルをダウンロードしたコンピュータで、 管理者権限を使用して NDESConnectorSetup.exe を 実行します。 2. インストールオプションとして［PFX Distribution （PFX ディストリビューション）］を選択します。 画面の指示に従ってインストールを完了します。 RA 証明書を使用すると、Intune コネクタが組織の MPKI ア カウントとセキュアに通信できるようになります。RA 証明書を 使用できるようにするには、Intune コネクタの構成を更新して RA 証明書のサムプリントを指定する必要があります。

RA

証明書のサムプリント値を

準備するには

1. 以下のコマンドを実行します。 certutil -store MY 2. 証明書リストが表示されます。リストから RA 証明書を 見つけます。 3. Cert Hash 値をコピーします。 4. テキストエディターに Cert Hash 値を貼り付け、値の間に ある空白を削除します。 （例） 削除前 91 6c 8d 18 47 0a ad 55 db cf a3 6b 0f 5c fe 61 88 削除後 916c8d18470aad55dbcfa36b0f5cfe6188 変更後（削除後）の Cert Hash 値をすぐに参照できるようにし ておきます。

11

DigiCert PKI Platform

へのコネクタ

アクセスを有効化する（RA 証明書を使用

できるようにコネクタを設定する）には

1. テキストエディタで %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe. config ファイルを開きます。 2. RACertThumbprint キーの値を見つけます。この値を、 上記で準備した Cert Hash 値で置き換えます。 Cert Hash 値の例 916c8d18470aad55dbcfa36b0f5cfe6188 3. ファイルを保存して終了します。 4. services.msc を開きます。

5. Intune Connector Service を見つけ、停止した後で 再起動します。 6. ［サービス］ウィンドウを閉じます。

Intune へのコネクタアクセスを

有効化するには

1. %ProgramFiles%\Microsoft Intune\ NDESConnectorUI\NDESConnectorUI.exe を 実行して、NDES コネクタのユーザーインターフェースを 起動します。 2. ［Enrollment（申請）］タブをクリックし、次に［Sign In （サインイン）］をクリックします。 3. 指定されたテキストボックスに、Intune テナントの管理者 用クレデンシャルを入力します。 4. ［Sign In （サインイン）］をクリックします。確認ダイアログ が開き、［Successfully enrolled（申請に成功しました）］ というメッセージが表示されます。 5. NDES コネクタのユーザーインターフェースを閉じます。

12

次に、DigiCert PKI Platform と Intune の両方のプロファイルを設定する必要があります。DigiCert PKI Platform の証明書プロファ イルを作成したら、Intune プロファイルの作成で使用するので、証明書プロファイルの一意な OID を書き留めておきます。

DigiCert PKI 証明書プロファイルを

作成する

証明書プロファイルによって、モバイルデバイスにインストール する証明書の種類が決まります。

DigiCert PKI Platform で証明書

プロファイルを作成するには

1. DigiCert PKI Platform にログインします。

2. DigiCert PKI Manager ダッシュボードで［証明書プロファ

イルの管理］をクリックします。 3. 画面上部にある［証明書プロファイルの追加］をクリック します。 4. プロファイルのモードを選択し、［続行］をクリックします。 5. ［Client Authentication］証明書プロファイルテンプレー トの横にあるラジオボタンをクリックし、次に［続行］をク リックします。次に、このプロファイルを設定します。

証明書プロファイルを設定するには

1. ［証明書フレンドリ名］フィールドに、憶えやすい証明書名 を入力します。 2. ［申請方法］をクリックして選択します。 ［PKI Web サービス］に変更します。 3. ［詳細オプション］ボタンをクリックします。

コモンネーム属性の削除と再追加

［Subject DN］ の［コモンネーム (CN)］フィールドは、デフォル トでは ［firstname（名）］および［lastname（姓）］属性で構成 されています。 Intune はコモンネームの形式を使用して Web サービスリク エストを送信しますが、この属性を直接サポートするには、コモ ンネームフィールドをいったん削除してから再度追加し、一番上 に移動する必要があります。 1. ボタンをクリックして、現在のコモンネームを削除し ます。フィールドが無効になります。

プロファイルを作成する

13 2. ［フィールドを追加］をクリックします。 3. ［証明書フィールドの追加］で以下のとおりに指定します。 • ［証明書フィールド］: コモンネーム（CN） • ［フィールド値のソース］: Web サービスリクエスト • ［必須とするか］: はい 4. ［保存］ボタンをクリックして、プロファイルを保存します。 5. 証明書プロファイルの入力が完了したら、証明書プロファ イル OID の値を書き留めます。 この証明書プロファイル OID の値が、後で使用する PKIManagerCertificateProfileOID の値になります。

14

プロファイルを作成する

DigiCert PKI Manager

から信頼された

ルート証明書を取得するには

1. DigiCert PKI Manager にアクセスし、［タスク］＞［CA の 管理］を選択します。 2. CA リストから組織のプライベート認証局を選択します。 3. ［ルート証明書のダウンロード］をクリックし、信頼された ルート証明書をダウンロードします。

Intune 管理ポータルで信頼された証明書

プロファイルを追加するには

1. Intune 管理ポータルで、［Device configuration

（デバイス構成）］＞［プロファイル］＞［プロファイルを作成］ をクリックします。 2. ［Name（名前）］フィールドと［Description（説明）］ フィールドに必要な情報を追加します。 3. プラットフォームを選択します。 4. プロファイルのドロップダウンメニューで、［Trusted certificate（信頼された証明書）］プロファイルを選択し ます。

5. DigiCert PKI Manager から取得したルート証明書をアッ プロードし、［OK］をクリックします。

6. ［Device Configuration（デバイス構成）］で ［Assignments（割り当て）］をクリックし、テスト用に

15

Intune

プロファイルを作成するには

1. Intune 管理ポータルで、［Device Configuration（デバイス構成）］＞［プロファイル］＞［プロファイルを作成］を選択します。

2. ［Settings（設定）］で、［Configure（構成）］をクリックします。フォームのすべての項目に入力します。

フィールド名 値 注記

Profile type PKCS certificate プルダウンメニューからこの値を選択します。

Certificate authority (production) https://pki-ws.symauth.com 値を正確に入力してください。

Certification authority name Symantec 値を正確に入力してください。

Certificate template name PKIManagerCertificateProfileOID DigiCert PKI Manager 証明書プロファイル の OID 値。

3. ［OK］をクリックして、プロファイルを保存します。

4. ［Device Configuration（デバイス構成）］で［Assignments（割り当て）］をクリックし、テスト用にユーザーまたは

デバイスにプロファイルを割り当てます。

統合の成功を検証する

統合の成功を検証するには

1. テスト用のデバイスに、Microsoft Intune Company Portal アプリケーションをダウンロードします。

2. テストユーザーとしてサインインします。プロンプトに従い、Intune によってデバイスを管理できるようにします。 3. 割り当てられたプロファイルが正常にインストールされたことを確認します。

16

ログおよびトラブルシューティング

Microsoft Network Device Enrollment Services （NDES） コネクタは、Microsoft Intune サービスおよび DigiCert PKI サービス（認証局）へのアウトバウンド接続を確立することで、 ブリッジとして機能します。DigiCert PKI サービスは、pki-ws. symauth.com にあります。Intune のネットワーク接続要件に ついては、Microsoft から提供された情報を参照してください。 NDES コネクタのログファイルがある場所は以下のとおり です。 • NDES コネクタと Intune 間の通信 : %ProgramFiles%\Microsoft Intune\ NDESConnectorSvc\Logs\*

• NDES コネクタと DigiCert PKI Platform 間の通信 : %ProgramFiles%\Microsoft Intune\ PfxRequest\* ターゲット デバイス Intune https ポート 443 Intune Certificate Connector （NDES PFX コネクタ） https ポート 443 ポート 80、443

© 2018 DigiCert, Inc. All rights reserved.DigiCert は、米国およびその他の国における DigiCert, Inc. の登録商標です。 その他すべての商標および登録商標は、それぞれの所有者に帰属します。