Windows 10 以降のデバイス構成プロファイルの作成方法
SingleIDのクライアント証明書の配布手順
事前作業
SingleIDのルートCA証明書ファイルと中間CA証明書ファイルを取得します。
SingleIDのルートCA証明書
- Microsoft Intune 管理センター>デバイス>デバイスの管理>構成>ポリシータブへ移動します。
-
作成>新しいポリシーボタンをクリックし、以下の内容でポリシーを作成します。
設定項目 設定内容 名前 任意です。(例: SingleIDルートCA証明書-windows) プラットフォーム Windows 10 以降を選択します。 プロファイルの種類 信頼された証明書(テンプレート) 証明書ファイル SingleIDのルートCA証明書ファイルを選択します。 保存先ストア コンピュータ証明書ストア - ルートを選択します。 割り当て 構成プロファイルを適用するグループを設定します。(例: すべてのデバイス)
⚠️ 注意: 信頼された証明書とSCEP証明書は同じ割り当てを設定する必要があります。スコープタグ 既定を設定します。
SingleIDの中間CA証明書
- Microsoft Intune 管理センター>デバイス>デバイスの管理>構成>ポリシータブへ移動します。
-
作成>新しいポリシーボタンをクリックし、以下の内容でポリシーを作成します。
設定項目 設定内容 名前 任意です。(例: SingleID中間CA証明書-windows) プラットフォーム Windows 10 以降を選択します。 プロファイルの種類 信頼された証明書(テンプレート) 証明書ファイル SingleIDの中間CA証明書ファイルを選択します。 保存先ストア ユーザー証明書ストア - 中間を選択します。 割り当て 構成プロファイルを適用するグループを設定します。(例: すべてのデバイス)
⚠️ 注意: 信頼された証明書とSCEP証明書は同じ割り当てを設定する必要があります。スコープタグ 既定を設定します。
SingleIDのクライアント証明書
- Microsoft Intune 管理センター>デバイス>デバイスの管理>構成>ポリシータブへ移動します。
-
作成>新しいポリシーボタンをクリックし、以下の内容でポリシーを作成します。
設定項目 設定内容 名前 任意です。(例: SingleIDユーザー証明書-windows) プラットフォーム Windows 10 以降を選択します。 プロファイルの種類 SCEP 証明書(テンプレート) 証明書の種類 ユーザーを選択します。 サブジェクト CN={{UserName}},E={{EmailAddress}},O=SingleIDのアカウント番号(例: 90000013),C=JPを設定します。
⚠️ 注意: CN、E、O、Cの4つの属性は必須属性です。OU属性は任意です。サブジェクトの別名 属性: 電子メールアドレス 値: {{EmailAddress}}
⚠️ 注意: サブジェクトの別名の設定は任意です。
サポートするサブジェクトの別名は、電子メールアドレス、ユーザープリンシパル名、DNS、IPです。それ以外の別名は無視されます。証明書の有効期間 任意です。(例: 5)
⚠️ 注意: ここでの設定に関係なく、5年の有効期間が設定された証明書が発行されます。変更したい場合にはSingleIDへお問い合わせください。キー記憶域プロバイダー (KSP) トラステッド プラットフォーム モジュール (TPM) KSP が存在する場合は TPM KSP に登録する (それ以外はソフトウェア KSP に登録する)を選択します。 キー使用法 キーの暗号化、デジタル署名を選択します。
⚠️ 注意: キーの暗号化、デジタル署名のみサポートしています。ここでの設定に関係なく、キーの暗号化、デジタル署名の使用法が設定された証明書が発行されます。キー サイズ (ビット) 2048を選択します。
⚠️ 注意: 2048のみサポートしています。ここでの設定に関係なく、2048ビットが設定された証明書が発行されます。ハッシュ アルゴリズム SHA-2を選択します。
⚠️ 注意: SHA-2のみサポートしています。ここでの設定に関係なく、SHA-2が設定された証明書が発行されます。ルート証明書 中間CA証明書を選択します。
⚠️ 注意: ルートCA証明書ではなく、中間CA証明書を選択します。拡張キー使用法 クライアント認証を選択します。
⚠️ 注意: クライアント認証のみサポートしています。ここでの設定に関係なく、クライアント認証が設定された証明書が発行されます。更新しきい値 (%) 任意です。(例: 20) SCEP サーバーの URL SingleIDから提供されるSCEPサーバのエンドポイントURLを設定します。 割り当て 構成プロファイルを適用するグループを設定します。(例: すべてのデバイス)
⚠️ 注意: 信頼された証明書とSCEP証明書は同じ割り当てを設定する必要があります。スコープタグ 既定を設定します。
Wi-Fi設定の配布手順
Let's EncryptのルートCA証明書
Info
SingleIDのクラウドRADIUSサーバは Let's Encrypt によって署名されたサーバ証明書を使用しています。Windows 10以降には通常、Let's EncryptのルートCA(ISRG Root X1)が既にインストールされていますが、IntuneのWi-Fi構成プロファイルでは、明示的に信頼されたルート証明書を指定する必要があるため、配布設定が必要です。
Warning
- SingleID クラウドRADIUSのサーバ証明書が信頼されないと、Wi-Fi接続時に警告が表示されたり自動接続が失敗します。
- Intuneでは、Wi-Fi構成におけるサーバー検証項目で明示的にルートCAを参照するため、この設定が必須です。
-
以下のURLより、Let's EncryptのルートCA(ISRG Root X1)ダウンロードします。
-
Microsoft Intune 管理センター>デバイス>デバイスの管理>構成>ポリシータブへ移動します。
-
作成>新しいポリシーボタンをクリックし、以下の内容でポリシーを作成します。
設定項目 設定内容 名前 任意です。(例: LEルートCA証明書-windows) プラットフォーム Windows 10 以降を選択します。 プロファイルの種類 信頼された証明書(テンプレート) 証明書ファイル ダウンロードしたLet's EncryptのルートCA証明書(ISRG Root X1)ファイルを選択します。 保存先ストア コンピュータ証明書ストア - ルートを選択します。 割り当て 構成プロファイルを適用するグループを設定します。(例: すべてのデバイス)
⚠️ 注意: SCEP証明書と同じ割り当てを設定する必要があります。スコープタグ 既定を設定します。
Wi-Fi設定
- Microsoft Intune 管理センター>デバイス>デバイスの管理>構成>ポリシータブへ移動します。
-
作成>新しいポリシーボタンをクリックし、以下の内容でポリシーを作成します。
設定項目 設定内容 名前 任意です。(例: Wi-Fi設定-windows) プラットフォーム Windows 10 以降を選択します。 プロファイルの種類 Wi-Fi(テンプレート)を選択します。 Wi-Fi の種類 Enterpriseを選択します。 Wi-Fi 名 (SSID) 接続する無線APのSSIDを入力します。 接続名 任意です。通常は、Wi-Fi 名 (SSID)と同一です。 範囲内にある場合は自動的に接続する 任意です。(例: はいを選択します。) ネットワークが SSID をブロードキャストしていない場合でも、このネットワークに接続する 任意です。(例: はいを選択します。) 範囲内にある場合は自動的に接続する 任意です。(例: はいを選択します。) 認証モード ユーザーを選択します。 EAP の種類 EAP-TLSを選択します。 サーバー信頼 証明書サーバー名 顧客管理者ポータル>認証>RADIUS>基本情報タブ画面のホスト名を入力します。(例: radius-02-0001.poc.singleid.jp) サーバー検証に使用するルート証明書 Let's EncryptのルートCA証明書の手順で設定した信頼された証明書を選択します。 クライアント認証 認証方法 SCEP証明書を選択します。 クライアント認証に使用するクライアント証明書 (ID 証明書) SingleIDのクライアント証明書の手順で設定したSCEP証明書を選択します。 割り当て 構成プロファイルを適用するグループを設定します。(例: すべてのデバイス)
⚠️ 注意: SCEP証明書と同じ割り当てを設定する必要があります。スコープタグ 既定を設定します。