イントロダクション
Microsoft Intuneでは、インポートされたPFX証明書の統合が可能で、これは次のような場合によく使用されます。 S/MIME 電子メール プロファイルの暗号化。 Intune は、次のプラットフォーム間での PFX 証明書のインポートをサポートしています。- Android デバイス管理者
- Android エンタープライズ:
- 完全に管理された
- 企業所有の作業プロファイル
- 個人所有の作業プロファイル
- iOS / iPadOS
- macOS
- Windows 10/11
理解する S/MIME Intune を使用した証明書の展開
Intune を使用してインポートされた PFX 証明書をユーザーに展開する場合、デバイスとともに 2 つの主要コンポーネントが役割を果たします。- Intune サービス: このサービスは、PFX 証明書を暗号化された形式で安全に保存し、ユーザーのデバイスへの展開を管理します。これらの証明書の秘密キーを保護するパスワードは、アップロードされる前に、ハードウェア セキュリティ モジュール (HSM) または Windows 暗号化を使用して暗号化されます。これにより、Intune が秘密キーにアクセスできなくなります。
- Microsoft Intune の証明書コネクタ: デバイスがインポートされた PFX 証明書を要求すると、暗号化されたパスワード、証明書、およびデバイスの公開キーがコネクタに転送されます。コネクタは、オンプレミスの秘密キーを使用してパスワードを復号化し、デバイス キーを使用してパスワードを再暗号化します。その後、証明書は Intune に返され、デバイスに配信されます。デバイスは独自の秘密キーを使用して証明書を復号化し、証明書をインストールします。
俳優の具体的な役割
- エントリーID: さまざまな Microsoft サービスおよびエンタープライズ アプリケーションと統合し、主要な ID プロバイダーとして機能します。
- インチューン: システムに登録されているデバイスを管理し、セキュリティ ポリシーを適用し、証明書を展開します。
- S/MIME 証明書: SSL.com が提供するこれらの証明書は、暗号化と電子メールの署名を通じて安全な電子メール通信を保証します。
- エントラコネクト: オンプレミスの Active Directory を Azure Entra ID にリンクして、ハイブリッド ID ソリューションを提供します。
- デバイス: これらは Intune に登録され、証明書で保護されているため、ユーザーは企業リソースに安全にアクセスできるようになります。
ワークフローの概要
- 組織は、Entra ID にエンタープライズ アプリを登録します。
- エンタープライズ アプリの詳細も SSL.com に登録されます。
- Intune 管理者は、SSL.com からユーザーの証明書を購入します。
- 購入時に、管理者は証明書の目的(一般使用など)を選択します。 S/MIME 暗号化、または S/MIME サイン会。
- その後、PFX 証明書がユーザーのアカウントの Intune にインポートされます。
- Intune は Intune コネクタに接続して証明書を検証します。
- 検証されると、Intune は証明書をユーザーのデバイスに展開します。
SSL.comでメールのセキュリティを強化し、機密データを保護します S/MIME 証明書。
Microsoft IntuneとMicrosoft Active Directoryを構成する方法 S/MIME 証明書
前提条件
以下はAPIの前提条件です。これらはIntuneで設定する必要があります。 SSL.com から証明書がインポートされるテナント。- Intune 管理者権限を持つアカウント
ユーザーを追加して権限を付与する – Microsoft Intune | Microsoft Learn - PFX証明書をインポートするすべてのユーザーにIntuneライセンスが割り当てられている必要があります。
Microsoft Intune ライセンスの割り当て | Microsoft Learn - Windows サーバーにインストールされ、構成された Intune 証明書コネクタ
Microsoft Intune の証明書コネクタをインストールする – Azure | Microsoft Learn - Intune コネクタ サーバーからエクスポートされた公開キー
Microsoft Intune でインポートした PFX 証明書を使用する | Microsoft Learn - Microsoft Entraでエンタープライズアプリケーションを作成する
このガイドでは、エンタープライズ アプリがテナントにすでに作成されており、SSL.com に登録済みのエンタープライズ アプリに関する情報があることを前提としています。エンタープライズ アプリを登録するプロセス (Entra ポータルを使用) については、以下で説明します。- Portal.azure.comにログインして検索 Microsoft エントラ ID
- 詳しくはこちら エンタープライズアプリケーション
- 詳しくはこちら 新しいアプリ
- 詳しくはこちら 独自のアプリケーションを作成する
- アプリケーションの名前を入力してクリックします 創造する
- アプリケーションが正常に作成されました。
- 詳しくはこちら アプリの登録
- 詳しくはこちら すべてのアプリケーション
- アプリケーションを選択します。
注意してください アプリケーションID ディレクトリID: これらは API に渡す必要があります。 - 詳しくはこちら 証明書と秘密 次に選択します 新しいクライアントの秘密
- 詳しくはこちら 認証 SSL.com の Web リダイレクト URL を追加します。 リダイレクトURLは https://secure.ssl.com/oauth2/azure 生産と https://sandbox.ssl.com/oauth2/azure サンドボックス用
- キーに名前を付けてクリックします 追加
キーの値をメモします。これを API に渡す必要があります。
- PKCS証明書インポートプロファイルを設定する
証明書をIntuneにインポートしたら、PKCS証明書インポートプロファイルを構成し、関連するMicrosoft Entraグループに割り当てます。詳細な手順については、こちらを参照してください。 Microsoft ガイド.
エンタープライズアプリケーションが証明書をインポートするための権限要件
- アプリの登録 >> アプリケーション名で、「API 権限」をクリックします。
- 詳しくはこちら 権限を追加する.
- 詳しくはこちら Microsoft Graph.
- 詳しくはこちら 委任されたアクセス許可 user.readを検索します。 ユーザー.読み取り and ユーザー.読み取り.すべて.
- 詳しくはこちら 委任された権限 「グループ」を検索します。 グループ.読み取り書き込み.すべて.
- 詳しくはこちら 委任されたアクセス許可 「DeviceManagementApps」を検索します。 デバイス管理アプリ.読み取り書き込み.すべて.
- 検索する 「DeviceManagementConfiguration」のチェックボックスをオンにします デバイス管理構成.読み取り.すべて and デバイス管理構成.読み取り書き込み.すべて。 クリックに進みます 権限を追加
- 詳しくはこちら 権限を追加する.
- 選択する Microsoft Graph.
- 詳しくはこちら アプリケーションの許可 「user.read」を検索します。 ユーザー.読み取り.すべて and ユーザー.読み取り書き込み.すべて.
- 詳しくはこちら アプリケーションの許可 「グループ」を検索します。 グループ.読み取り書き込み.すべて.
- 詳しくはこちら アプリケーションの許可 「deviceManagementApps」を検索します。 デバイス管理アプリ.読み取り書き込み.すべて
- 詳しくはこちら アプリケーションの許可 「DeviceManagementService」を検索します。 デバイス管理サービス.読み取り書き込み.すべて
- 検索する 「DeviceManagementConfiguration」を選択し、 デバイス管理構成.読み取り.すべて and デバイス管理構成。読み取り書き込み。すべて。 クリックに進みます 権限の追加
- すべての権限が割り当てられたら、 [組織名] に管理者の同意を与える.
- 詳しくはこちら あり 許可を与える
- これで、許可が正常に付与されるはずです。
SSL.com Azure 統合ツールを使用して Azure Active Directory に証明書をエクスポートする方法
次のセクションでは、SSL.com Azure 統合ツールを使用して証明書を Azure Active Directory にエクスポートする方法について説明します。SSL.com からの要件
- 有効な一括注文ID事前検証契約。手順については、 このガイドアクティブ化されると、次のセクションの手順を実行できます。
- 前のセクションで説明したように、Microsoft Entra および Intune アカウントを構成しました。 Microsoft IntuneとMicrosoft Active Directoryを構成する方法 S/MIME 証明書.
Azure Sync を構成する
- SSL.comアカウントにログインしてクリック インテグレーション 上部のメニューで、リストされたオプションから、 アズールAD.
- Azure統合に必要なフィールドに入力します。その後、 Save
- 顧客IDアプリケーション(クライアント)ID。
- クライアントシークレットクライアント資格情報からクライアントシークレットの値をコピーします。
- テナントIDディレクトリ(テナント)ID。
- Intune 公開キーIntuneコネクタサーバーからエクスポートされた公開キーのBase64バージョン。詳細については、こちらをご覧ください。 Microsoft リソース.
SSL.com Azure統合ツールを使用して、 S/MIME 証明書
- 一度 Azure 設定が作成されました。 承認する リンクをクリックします。
- 詳しくはこちら Azure ユーザー Azure のユーザー リストを SSL.com のシステムにインポートできるようになります。
- Microsoft アカウントにログインするように求められます。
- クリック ユーザーのインポート SSL.com Azure 統合ツールのボタン。
- SSL.com は、デジタル証明書が割り当てられる Azure ユーザーの情報がインポート中であることを通知します。ページを再読み込みして、これらがインポートされたことを確認します。
- SSL.com は、Azure ユーザーのリストを、名、姓、電子メール アドレスで表示します。証明書が割り当てられるすべてのユーザーのチェック ボックスをオンにします。 リストに表示されるユーザーの数は、ページの左下にあるドロップダウン矢印をクリックすると増やすことができます。選択したユーザーを確定したら、 登録証明書 ボタンを押して続行します。
- 証明書の要件を満たします。
- 認証: 選択したユーザーに割り当てる証明書の種類を選択します。
- 最大掲載期間: 証明書の有効期限が切れるまでの時間を指定します。
- 意図された目的: 汎用、SMIME 暗号化、または SMIME 署名の中から選択します。
- 選択が完了したら、 追加
- 認証: 選択したユーザーに割り当てる証明書の種類を選択します。
- 各ユーザーにはここから新しい証明書の注文が割り当てられます。ID事前検証契約がある場合、各注文は自動的に検証され発行されます。証明書の発行が成功したかどうかは、 注文 トップメニューから details 特定の注文のリンクをクリックします。下にスクロールして エンドエンティティ証明書 セクションには、証明書の詳細が表示されます。 発行済み 状態。
