Microsoft Intune 用 Microsoft Cloud PKI の概要
適用対象:
- Windows
- Android
- iOS
- macOS
Microsoft Cloud PKI を使用して、Intune で管理されるデバイスの証明書を発行します。 Microsoft Cloud PKI は、Intune で管理されるデバイスの証明書ライフサイクル管理を簡素化および自動化するクラウドベースのサービスです。 オンプレミスのサーバー、コネクタ、またはハードウェアを必要とせずに、組織専用の公開キー インフラストラクチャ (PKI) を提供します。 Intune でサポートされているすべてのプラットフォームの証明書の発行、更新、失効を処理します。
この記事では、Microsoft Cloud PKI for Intune の概要、その動作、およびそのアーキテクチャについて説明します。
PKI とは
PKI は、デジタル証明書を使用して、デバイスとサービス間のデータを認証および暗号化するシステムです。 PKI 証明書は、VPN、Wi-Fi、電子メール、Web、デバイス ID など、さまざまなシナリオをセキュリティで保護するために不可欠です。 ただし、特に多数のデバイスとユーザーを持つ組織では、PKI 証明書の管理は困難でコストがかかり、複雑になる可能性があります。 Microsoft Cloud PKI を使用して、デバイスとユーザーのセキュリティと生産性を強化し、フル マネージド クラウド PKI サービスへのデジタル変革を加速できます。 さらに、 のクラウド PKI サービスを利用して、Active Directory Certificate Services (ADCS) またはプライベートオンプレミス証明機関のワークロードを削減できます。
Microsoft Intune 管理センターでクラウド PKI を管理する
Microsoft Cloud PKI オブジェクトは、Microsoft Intune 管理センターで作成および管理されます。 そこから、次のことができます。
- 組織に Microsoft Cloud PKI を設定して使用します。
- テナントでクラウド PKI を有効にします。
- 証明書プロファイルを作成してデバイスに割り当てます。
- 発行された証明書を監視します。
クラウド PKI 発行 CA を作成した後、数分で証明書の発行を開始できます。
サポートされているデバイス プラットフォーム
Microsoft Cloud PKI サービスは、次のプラットフォームで使用できます。
- Android
- iOS/iPadOS
- macOS
- Windows
デバイスは Intune に登録する必要があり、プラットフォームは Intune デバイス構成 SCEP 証明書プロファイルをサポートする必要があります。
機能の概要
次の表に、Microsoft Cloud PKI と Microsoft Intune でサポートされる機能とシナリオを示します。
| 機能 | 概要 |
|---|---|
| Intune テナントに複数の CA を作成する | クラウドでルートと発行元 CA を使用して 2 層 PKI 階層を作成します。 |
| 独自の CA を持ち込む (BYOCA) | Active Directory Certificate Services または Microsoft 以外の証明書サービスを使用して、Intune 発行元 CA をプライベート CA に固定します。 既存の PKI インフラストラクチャがある場合は、同じルート CA を維持し、外部ルートにチェーンする発行元 CA を作成できます。 このオプションには、外部プライベート CA N+ 層階層のサポートが含まれています。 |
| 署名と暗号化アルゴリズム | Intune では、RSA、キー サイズ 2048、3072、4096 がサポートされています。 |
| ハッシュ アルゴリズム | Intune では、SHA-256、SHA-384、SHA-512 がサポートされています。 |
| HSM キー (署名と暗号化) | キーは、 Azure マネージド ハードウェア セキュリティ モジュール (Azure Managed HSM) を使用してプロビジョニングされます。 ライセンスを持つ Intune Suite または Cloud PKI スタンドアロン アドオンを使用して作成された CA では、HSM 署名と暗号化キーが自動的に使用されます。 Azure HSM には Azure サブスクリプションは必要ありません。 |
| ソフトウェア キー (署名と暗号化) | Intune Suite または Cloud PKI スタンドアロン アドオンの試用期間中に作成された CA では、 を使用してソフトウェアによる署名と暗号化キーを使用 System.Security.Cryptography.RSAします。 |
| 証明書登録機関 | クラウド PKI 発行元 CA ごとに、簡易証明書登録プロトコル (SCEP) をサポートするクラウド証明機関を提供する。 |
| 証明書失効リスト (CRL) 配布ポイント | Intune は、CA ごとに CRL 配布ポイント (CDP) をホストします。 CRL の有効期間は 7 日間です。 発行と更新は 3.5 日ごとに行われます。 CRL は、すべての証明書失効で更新されます。 |
| 機関情報アクセス (AIA) エンドポイント | Intune は、発行元 CA ごとに AIA エンドポイントをホストします。 AIA エンドポイントは、証明書利用者が親証明書を取得するために使用できます。 |
| ユーザーとデバイスのエンド エンティティ証明書の発行 | リーフ証明書の発行とも呼ばれます。 サポートは、SCEP (PKCS#7) プロトコルと認定形式、および SCEP プロファイルをサポートする Intune-MDM 登録済みデバイスを対象としています。 |
| 証明書のライフサイクル管理 | エンド エンティティ証明書の発行、更新、取り消し。 |
| レポート ダッシュボード | Intune 管理センターの専用ダッシュボードから、アクティブな証明書、期限切れ証明書、失効した証明書を監視します。 発行されたリーフ証明書やその他の証明書のレポートを表示し、リーフ証明書を取り消します。 レポートは 24 時間ごとに更新されます。 |
| 監査 | Intune 管理センターでの作成、取り消し、検索アクションなどの管理者アクティビティを監査します。 |
| ロールベースのアクセス制御 (RBAC) のアクセス許可 | Microsoft Cloud PKI アクセス許可を使用してカスタム ロールを作成します。 使用可能なアクセス許可を使用すると、CA の読み取り、CA の無効化と再有効化、発行されたリーフ証明書の取り消し、証明機関の作成を行うことができます。 |
| スコープ タグ | 管理センターで作成した任意の CA にスコープ タグを追加します。 スコープ タグは、追加、削除、編集できます。 |
アーキテクチャ
Microsoft Cloud PKI は、公開キー インフラストラクチャの複雑さと管理を簡素化するために連携するいくつかの主要なコンポーネントで構成されています。証明機関を作成およびホストするためのクラウド PKI サービス。証明書登録機関と組み合わせて、Intune に登録されたデバイスからの受信証明書要求を自動的に処理します。 登録機関は、簡易証明書登録プロトコル (SCEP) をサポートしています。
コンポーネント:
A - Microsoft Intune
B - Microsoft Cloud PKI サービス
- B.1 - Microsoft Cloud PKI サービス
- B.2 - Microsoft Cloud PKI SCEP サービス
- B.3 - Microsoft Cloud PKI SCEP 検証サービス
証明機関は、図の B.2 と B.3 を構成します。
これらのコンポーネントは、オンプレミスの証明機関、NDES、Intune 証明書コネクタの必要性を置き換えます。
操作:
デバイスが Intune サービスにチェックインする前に、Microsoft Cloud PKI サービスを管理するためのアクセス許可を持つ Intune 管理者または Intune ロールが必要です。
- Microsoft Intune でルートと発行元 CA に必要なクラウド PKI 証明機関を作成します。
- ルートおよび発行元 CA に必要な信頼証明書プロファイルを作成して割り当てます。 このフローは図には表示されません。
- 必要なプラットフォーム固有の SCEP 証明書プロファイルを作成して割り当てます。 このフローは図には表示されません。
注:
Intune マネージド デバイスの証明書を発行するには、クラウド PKI 発行元証明機関が必要です。 クラウド PKI は、証明書登録機関として機能する SCEP サービスを提供します。 サービスは、SCEP プロファイルを使用して、Intune で管理されるデバイスに代わって発行元 CA に証明書を要求します。
- デバイスは Intune サービスでチェックインし、信頼された証明書と SCEP プロファイルを受け取ります。
- SCEP プロファイルに基づいて、デバイスは証明書署名要求 (CSR) を作成します。 秘密キーはデバイス上に作成され、デバイスから離れることはありません。 CSR と SCEP チャレンジは、クラウドの SCEP サービス (SCEP プロファイルの SCEP URI プロパティ) に送信されます。 SCEP チャレンジは、Intune SCEP RA キーを使用して暗号化され、署名されます。
- SCEP 検証サービスは、SCEP チャレンジに対して CSR を検証します (図の B.3 として示されています)。 検証により、登録されたマネージド デバイスからの要求が確実に送信されます。 また、チャレンジがアンamperedされ、SCEP プロファイルから予期される値と一致することも保証されます。 これらのチェックのいずれかが失敗した場合、証明書要求は拒否されます。
- CSR が検証された後、SCEP 検証サービス ( 登録機関とも呼ばれます) は、発行元 CA が CSR に署名することを要求します (図の B.1 として示されています)。
- 署名された証明書は、Intune MDM に登録されたデバイスに配信されます。
注:
SCEP チャレンジは、Intune SCEP 登録機関キーを使用して暗号化され、署名されます。
ライセンスの要件
Microsoft Cloud PKI には、次のいずれかのライセンスが必要です。
- Microsoft Intune Suite ライセンス
- Microsoft Cloud PKI スタンドアロン Intune アドオン ライセンス
ライセンス オプションの詳細については、「 Microsoft Intune ライセンス」を参照してください。
ロールベースのアクセス制御
カスタム Intune ロールに割り当てるには、次のアクセス許可を使用できます。 これらのアクセス許可を使用すると、ユーザーは管理センターで CA を表示および管理できます。
- CA の読み取り: このアクセス許可を割り当てられたすべてのユーザーは、CA のプロパティを読み取ることができます。
- 証明機関の作成: このアクセス許可を割り当てられたユーザーは、ルートまたは発行元の CA を作成できます。
- 発行されたリーフ証明書を取り消す: このアクセス許可を割り当てられたユーザーは、発行元 CA によって発行された証明書を手動で取り消すことができます。 このアクセス許可には、 CA の読み取り アクセス許可も必要です。
スコープ タグをルートに割り当て、CA を発行できます。 カスタム ロールとスコープ タグを作成する方法の詳細については、「 Microsoft Intune でのロールベースのアクセス制御」を参照してください。
Microsoft Cloud PKI を試す
試用期間中は、Intune 管理センターで Microsoft Cloud PKI 機能を試すことができます。 利用可能な試用版は次のとおりです。
試用期間中は、テナントに最大 6 つの CA を作成できます。 試用版中に作成されたクラウド PKI CA は、ソフトウェアでサポートされるキーを使用し、キーの生成と署名に使用 System.Security.Cryptography.RSA します。 クラウド PKI ライセンスを購入した後も引き続き CA を使用できます。 ただし、キーはソフトウェアでサポートされたままであり、HSM によってサポートされるキーに変換することはできません。 Microsoft Intune サービスマネージド CA キー。 Azure HSM 機能に Azure サブスクリプションは必要ありません。
CA 構成の例
2 層のクラウド PKI ルート & CA を発行し、独自の CA を Intune に共存させることができます。 例として提供される次の構成を使用して、Microsoft Cloud PKI で CA を作成できます。
- 1 つのルート CA と 5 つの発行元 CA
- それぞれ 1 つの発行元 CA を持つ 3 つのルート CA
- それぞれ 1 つの発行元 CA を持つ 2 つのルート CA と、2 つの Bring-your-own CA
- 独自の CA を 6 つ持ち込む
既知の問題と制限事項
最新の変更と追加については、「 Microsoft Intune の新機能」を参照してください。
- Intune テナントには、最大 6 つの CA を作成できます。
- ライセンス付きクラウド PKI – Azure mHSM キーを使用して合計 6 つの CA を作成できます。
- 試用版クラウド PKI - Intune Suite または Cloud PKI スタンドアロン アドオンの試用中に、合計 6 つの CA を作成できます。
- 次の CA の種類は、CA 容量にカウントされます。
- クラウド PKI ルート CA
- クラウド PKI 発行元 CA
- BYOCA 発行元 CA
- 管理センターには、Intune テナントから CA を削除または無効にする方法はありません。 これらのアクションの提供に積極的に取り組んでいます。 利用可能になるまでは、CA を削除する Intune サポート要求を行うことをお勧めします。
- 管理センターで、[発行元 CA のすべての証明書を表示 する] を選択すると、Intune には最初の 1000 個の発行済み証明書のみが表示されます。 この制限に対処するために積極的に取り組んでいます。 回避策として、[デバイスモニター]> に移動します。 次に、[ 証明書 ] を選択して、発行されたすべての証明書を表示します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示