Microsoft Intune で管理されているデバイス向けのオンボード CA と SCEP の統合
Juniper Mist のオンボード CA 構成 Access Assurance は、Intune と直接統合してクライアント証明書の自動配布を行うクラウドネイティブの SCEP サービスを提供します。これにより、外部PKIが不要になり、EAP-TLS認証による安全なWi-Fiオンボーディングが簡素化されます。
Juniper Mist Access Assuranceは、フルマネージドのSimple Certificate Enrollment Protocol(SCEP)インフラストラクチャを提供するオンボード認証局(CA)設定を提供します。オンボード CA を有効にすると、Access Assurance によって Intune SCEP URL が自動的にプロビジョニングされます。この URL を使用すると、ユーザーは、外部の PKI またはオンプレミスの SCEP サービスを展開または維持することなく、Intune を Mist Access Assurance と統合できます。その後、Access Assurance によって提供されるオンボード CA 証明書を使用して、Intune内で SCEP プロファイルを構成し、登録済みデバイスへの安全なクライアント証明書の発行を可能にします。
Access Assurance SCEP インフラストラクチャを活用することで、Intune で管理されるエンドポイントへのクライアント証明書の配布を自動化し、EAP-TLS 認証のために Wi-Fi プロファイルにバインドできます。この機能により、ネットワークに接続するすべてのデバイスが強力な証明書ベースの信頼によって認証されると同時に、Juniper Mist Access Assuranceクラウドから完全に管理されます。
Intune でクライアント証明書配布の SCEP インフラストラクチャとして Juniper Mist Access Assurance を活用できるようにするには、次の手順に従います。
オンボード CA 設定の有効化
オンボード CA 設定を有効にするには、次の手順を実行します。
Juniper Mist ポータルの左側のメニューから、 [Organization > Access > Certificates](証明書へのアクセス) を選択します。
[認証局] ページが表示されます。
ページの右上隅にある設定アイコンをクリックし、[ CA 設定のオンボード(Onboard CA Configuration)] を選択します。
「 アクティブ 」を選択し、「 OK」をクリックします。
オンボード認証局サービスが有効になり、MDM ごとにそれぞれの SCEP エンドポイントが生成されます。
オンボード CA 構成がアクティブになると、次のタブが表示されます。
[外部(External)]:外部 CA の詳細を表示します。
[内部(Internal)]:組み込み CA が NAC ポータルまたは MDM を通じて発行したクライアント証明書の詳細を表示します。
ページの右上隅にある設定アイコンをもう一度クリックし、「 MDM統合情報」を選択します。
Intune に一覧表示されている Intune SCEP URL をコピーします。この URL は、Intune SCEP プロファイルで使用する必要があります。
Mist Org CA をダウンロードして、CA 証明書をオンボードする
Mist 組織 CA 証明書は、Intune マネージド クライアントが Mist Access Assurance サービスの RADIUS サーバー証明書を信頼するように構成するために必要です。オンボード CA 証明書は、Intune で SCEP プロファイルを構成するために必要です。
[証明書] ページの右上隅にある設定アイコンをクリックし、[ オンボード CA 証明書のダウンロード ] を選択して、組み込みの Mist 組織 CA によって発行された証明書をダウンロードします。
[ Organization>Access>Certificates] に移動します。[ View Mist Certificate ] をクリックし、[ Download] をクリックします。
手記:カスタム RADIUS サーバー証明を使用している場合、Mist Org CA 証明書は必要ありません。カスタム RADIUS サーバー証明発行者のルート CA 証明書が必要です。
Intune を Mist ポータルにリンクする
Intune アカウントを Juniper Mist にリンクします。「 Intune を Mist ポータルに追加する」を参照してください。
構成プロファイルの作成
Intune で OS 固有の構成プロファイルを作成します。
信頼できる証明書プロファイルの作成
登録する予定の OS の種類ごとに、2 つの信頼された証明書プロファイル (1 つは Mist CA 証明書用、もう 1 つは Mist SCEP CA 証明書用) を作成します。
- デバイス>構成に移動し、作成>新しいポリシーをクリックします。
プラットフォームを選択します。この例では、Windows 10 以降を使用しました。
「プロファイル・タイプ」として 「テンプレート 」を選択します。
テンプレートリストから 「信頼 」を選択し、「 作成」をクリックします。
Mist Org CA の信頼できる証明書の名前を入力し、[ 次へ] をクリックします。
前にダウンロードした Mist Org CA 証明書をアップロードします。
カスタム RADIUS サーバー証明を使用している場合、Mist Org CA 証明書は必要ありません。カスタム RADIUS サーバー証明発行者のルート CA 証明書が必要です。
このプロファイルを特定のユーザーグループまたはすべてのデバイスに割り当てます。
「 次へ 」をクリックし、「 作成」をクリックします。
手順 1 から 8 を繰り返して、Mist オンボード CA 証明書を取得します。
SCEP 証明書プロファイルの作成
SCEP 証明書プロファイルは、Mist SCEP サービスからクライアント証明書を取得するようにクライアントに指示します。この例では、ユーザー証明書の種類を使用していますが、デバイス証明書についても同じ手順に従うことができます。
- デバイス>構成に移動し、作成>新しいポリシーをクリックします。
プラットフォームを選択します。この例では、Windows 10 以降を使用しました。
「プロファイル・タイプ」として 「テンプレート 」を選択します。
テンプレートリストから SCEP を選択し、[ 作成] をクリックします。
証明書の名前を入力し、[ 次へ] をクリックします。
次の例に示すように、構成設定を入力します。[ SCEP Server URLs ] フィールドに SCEP URL を追加します。
NAC がポリシー評価で使用できるように、ユーザーまたはデバイスに関する追加情報をエンコードできるように、証明書の最適な形式を提供します。この例では、Intune デバイス ID が SAN:DNS フィールドにエンコードされているため、デバイスのコンプライアンスを定期的にチェックできます。完全なユーザー プリンシパル名は SAN:UPN フィールドにエンコードされ、Entra ID に対するグループ メンバーシップの検索が可能になります。
クライアントは、Mist SCEP CA 証明書を信頼するように指示されます。
このプロファイルを特定のユーザーグループまたはすべてのデバイスに割り当てます。
「 次へ 」をクリックし、「 作成」をクリックします。
プロファイルが Windows クライアントにプッシュされると、 [個人ユーザー証明書のストレージ] に新しいクライアント証明書が発行されます。
Juniper Mist ポータルに切り替えて、クライアント証明書が [Certificates>Internal] で発行されていることを確認します。
Wi-Fi プロファイルを作成する
- デバイス>構成に移動し、作成>新しいポリシーをクリックします。
プラットフォームを選択します。この例では、Windows 10 以降を使用しました。
「プロファイル・タイプ」として 「テンプレート 」を選択します。
テンプレートのリストから [Wi-Fi ] を選択します。
証明書の名前を入力し、[ 次へ] をクリックします。
次の例に示すように、構成設定を入力します。
セキュリティの種類として [エンタープライズ ] を選択します。
SSID 名を入力します。
クライアントに提供する SCEP 証明書の種類に基づいて、正しい認証モード (ユーザーとコンピューター、ユーザー、またはコンピューター) を設定します。
Mist CA 証明書をサーバー(RADIUS)検証のルート証明書として追加します。
SCEP プロファイルをクライアント認証用のクライアント証明書として追加します。
Intune からデバイスの同期を開始して、デバイスが最新のプロファイル更新プログラムを取得できるようにします。クライアントデバイスは、デジタル証明書を自動的に取得できます。