Microsoft Intune 用の証明書コネクタ

重要

2021 年 7 月 29 日以降、Certificate Connector for Microsoft Intune が、PFX Certificate Connector for Microsoft Intune および Microsoft Intune Connector に代わり使用されることになりました。 新しいコネクタには、前のコネクタの両方の機能が含まれています。 この記事で説明されている以前のコネクタのサポートは、2021 年 9 月 22 日、Microsoft 用証明書コネクタのバージョン 6.2109.51.0 のリリースで終了しました。

新しい証明書コネクタのインストール、またはコネクタの再インストールが必要な場合は、新しい Certificate Connector for Microsoft Intune をインストールしてください。 詳細については、「Certificate Connector for Microsoft Intune」を参照してください。

Intune では、認証での証明書の使用、および S/MIME を使用した電子メールの署名と暗号化をサポートするために、証明書コネクタの使用が必要となります。 証明書コネクタはオンプレミス サーバーにインストールするソフトウェアです。 コネクタを使用すると、クラウドで管理されたデバイスで、発行元の証明機関と同様に、オンプレミスのインフラストラクチャから証明書をプロビジョニングすることができます。

使用可能なコネクタ

Intune 用の証明書コネクタは 2 つあります。 それぞれに独自の用途と要件があります。

PFX Certificate Connector for Microsoft Intune

PFX Certificate Connector では、PKCS #12 証明書要求に対する証明書の展開がサポートされ、特定のユーザーを対象にした S/MIME 電子メール暗号化のために Intune にインポートされた PFX ファイルの要求が処理されます。

ヒント

このコネクタの 8 月の更新プログラム (バージョン 6.2008.60.607) の前は、PKCS #12 証明書要求は Intune Certificate Connector によって処理されていました。 8 月の更新プログラムでは、すべての PKCS 証明書要求の機能が PFX Certificate Connector に統合されました。これにより、コネクタの新しいバージョンへの自動更新がサポートされます。また、.NET Framework バージョン 4.7.2 の使用が必要となります。

このコネクタは、次の 3 つのプラットフォームもサポートしています。これは、Microsoft Intune コネクタからはサポートされていません。

• Android Enterprise – フル マネージド
• Android Enterprise – 専用
• Android Enterprise – 企業所有の仕事用プロファイル

Microsoft Intune コネクタの機能は非推奨ではなく、一部のプラットフォームでは、引き続き PKCS 証明書プロファイルと共に使用できます。 ただし、SCEP を使用しない場合や、NDES を使用する必要がある場合は、PFX Certificate Connector に切り替えて、サーバーから NDES を削除することができます。

PFX Certificate Connector:

• 各 Intune テナントに対してこのコネクタの複数のインスタンスがサポートされます。 コネクタの各インスタンスは Windows Server にインストールし、アップロードした PFX ファイルのパスワードの暗号化に使用された秘密キーへのアクセス権を付与する必要があります。

  注:

  すべてのコネクタは同じアクセス許可を持つ必要があり、後で PKCS プロファイルに定義されるすべての証明書機関に接続できる必要があります。

  このコネクタのあらゆるインスタンスで Intune Service キューから保留中の PKCS 要求を取得できます。そのため、各要求を処理するコネクタは定義できません。

  同じことが証明書失効に適用されます。

• "Microsoft Intune コネクタ" のインスタンスがホストされているのと同じサーバーにインストールできます。

• テナントごとにこのコネクタの最大 100 個のインスタンスがサポートされており、各インスタンスは個別の Windows Server 上にあります。 複数のコネクタを使用する場合:

  • 環境内の PFX Certificate Connector のすべてのインスタンスは、同じバージョンである必要があります。
  • ご使用のインフラストラクチャで冗長と負荷分散がサポートされます。使用可能などのコネクタ インスタンスでも証明書要求を処理できるためです。

• 新しいバージョンへの自動更新がサポートされています。 新しいバージョンを自動的にインストールするには、コネクタがホストされているコンピューターからポート 443 で autoupdate.msappproxy.net にコンタクトする必要があります。 コネクタの自動更新に失敗した場合は、コネクタを手動で更新できます。

• 証明書の失効がサポートされます (コネクタがバージョン 6.2008.60.607 以降で実行される必要があります)

• ネットワーク要件は、マネージド デバイスと同じです

  詳細については、「Microsoft Intune のネットワーク エンドポイント」および「Intune のネットワーク構成の要件と帯域幅」をご覧ください。

コネクタのインストール先の Windows Server:

• Windows Server 2012 R2 以降が実行されている必要があります。
• .NET 4.7.2 Framework が実行されている必要があります。

PFX Certificate Connector をインストールするには:

このコネクタのインストールに関するガイダンスについては、PFX Certificate Connector のダウンロード、インストール、および構成に関する記事を参照してください。

Microsoft Intune コネクタ

Microsoft Intune コネクタは、Microsoft Intune Certificate Connector と呼ばれることもあります。 このコネクタでは、Simple Certificate Enrollment Protocol (SCEP) を使用し、Active Directory 証明書サービスの証明機関 (CA) がある場合に、証明書の展開がサポートされます。 この種類の CA は Microsoft CA とも呼ばれます。

Microsoft CA で SCEP を使用する場合は、ネットワーク デバイス登録サービス (NDES) も構成する必要があります。 このため、このコネクタは "NDES 証明書コネクタ" と呼ばれることがよくあります。

サード パーティの証明機関を使用する場合は、このコネクタを使用する必要はありません。NDES は必要ありません。

Microsoft Intune コネクタ:

• SCEP 証明書の発行をサポートする

• ほとんどのデバイス プラットフォームに PKCS 証明書を発行するために使用できますが、すべてではありません。 このコネクタは、次の場合に PKCS 証明書の発行をサポートしていません。

  • Android Enterprise – フル マネージド
  • Android Enterprise – 専用
  • Android Enterprise – 企業所有の仕事用プロファイル

  これらのプラットフォームをサポートするには、PFX Certificate Connector を使用します。これにより、すべてのデバイス プラットフォームへの PKCS 証明書の発行がサポートされます。 SCEP を使用しない場合は、このコネクタをアンインストールして、PFX Certificate Connector のみを使用することができます。

  注:

  PKCS を利用する場合、すべてのコネクタは同じアクセス許可を持つ必要があり、後で PKCS プロファイルに定義されるすべての証明書機関に接続できる必要があります。

  このコネクタのあらゆるインスタンスで Intune Service キューから保留中の PKCS 要求を取得できます。そのため、各要求を処理するコネクタは定義できません。

  同じことが証明書失効に適用されます。

• Windows Server にインストールします。ここでは PFX Certificate Connector をホストすることもできます。

• テナントごとにこのコネクタの最大 100 個のインスタンスがサポートされており、各インスタンスは個別の Windows Server 上にあります。 複数のコネクタを使用する場合:

  • 環境内の "Microsoft Intune コネクタ" のすべてのインスタンスは、同じバージョンである必要があります。
  • ご使用のインフラストラクチャで冗長と負荷分散がサポートされます。使用可能などのコネクタ インスタンスでも証明書要求を処理できるためです。

• 新しいバージョンのコネクタをインストールするには、手動更新が必要です。 手動更新では、現在のコネクタをアンインストールしてから、新しいバージョンのコネクタをインストールする必要があります。 追加のアクションは必要ありません。

• Federal Information Processing Standard (FIPS) モードがサポートされています。 FIPS は必須ではありません。 FIPS が有効になっている場合は、証明書の発行および失効を行うことができます。

• ネットワーク要件は、マネージド デバイスと同じです。

  詳細については、「Microsoft Intune のネットワーク エンドポイント」および「Intune のネットワーク構成の要件と帯域幅」をご覧ください。

コネクタのインストール先の Windows Server:

• Windows Server 2012 R2 以降が実行されている必要があります。
• .NET 4.5 Framework が実行されている必要があります。 このコネクタを PFX Certificate Connector と同じサーバーにインストールする場合は、PFX コネクタで必要とされる .NET 4.7.2 Framework を使用する必要があります。
• 発行元の証明機関 (CA) がホストされているのと同じサーバーとすることはできません。
• Microsoft CA で SCEP に使用する場合は、NDES を実行するサーバーへのアクセスが必要です。 NDES は Windows Server 上で実行されます。このコネクタと同じサーバーで実行できます。

NDES が必要な場合:

• Internet Explorer セキュリティ強化の構成は、NDES がホストされているサーバーと "Microsoft Intune コネクタ" がホストされているサーバーで無効にする必要があります。

• コネクタには、NDES と通信するための追加の構成が必要です。 NDES をインストールして構成する手順については、"Microsoft Intune コネクタ" をインストールする手順を参照してください。

  NDES の詳細については、「ネットワーク デバイス登録サービスのガイダンス」を参照してください。

Microsoft Intune コネクタをインストールするには:

このコネクタのインストールに関するガイダンスについては、「Intune を使用して SCEP をサポートするようにインフラストラクチャを構成する」を参照してください。

コネクタのライフサイクル

重要

2021 年 7 月 29 日以降、Microsoft Intune および Microsoft Intune コネクタの PFX 証明書コネクタの使用は、Microsoft Intune用の証明書コネクタに置き換えられます。 新しいコネクタには、前のコネクタの両方の機能が含まれています。

証明書コネクタの更新されたバージョンが定期的にリリースされます。 新しいコネクタのリリースのアナウンスは、Intune 向けの「新機能」の記事と、この記事の最後近くにある「コネクタの新機能」に表示されます。

新しいバージョンがリリースされると、以前のバージョンのサポートは、継続使用の猶予期間が限定された状態で非推奨となります。 猶予期間が終了すると、その非推奨バージョンのサポートが終了し、いつでも機能が停止する可能性があります。 猶予期間は 6 か月です。

最初の機会に、コネクタを最新バージョンに更新することを計画してください。 各コネクタの更新パスは異なります。

• PFX Certificate Connector for Microsoft Intune - 自動更新がサポートされています。
• Microsoft Intune コネクタ - 手動更新が必要です。

自動更新

コネクタの種類と環境によってサポートされている場合、そのコネクタのバージョンがリリースされた後すぐに、Intune によってコネクタを最新のバージョンに自動的に更新することができます。

自動的に更新するには、コネクタがホストされているサーバーが Azure 更新サービスにアクセスする必要があります。

• ポート: 443
• エンドポイント: autoupdate.msappproxy.net

ファイアウォール、インフラストラクチャ、またはネットワーク構成で自動更新のアクセスが制限されている場合は、ブロックの問題を解決するか、またはコネクタを新しいバージョンに手動で更新してください。

手動更新

証明書コネクタを手動で更新するプロセスは、コネクタを再インストールする場合と同じです。

自動更新がサポートされている場合でも、証明書コネクタを手動で更新できます。 たとえば、ネットワーク構成によって自動更新がブロックされている場合は、コネクタを手動で更新できます。

証明書コネクタをインストールするには

1. コネクタがホストされている Windows Server で、Windows のアプリと機能を使用してコネクタをアンインストールします。

2. 新しいバージョンをインストールするには、新しいバージョンのコネクタをインストールする手順を使用します。 新しいバージョンのコネクタをインストールするときは、新しいまたは更新された前提条件を確認してください。

   • SCEP: Configure infrastructure to support SCEP with Intune (Intune を使用してインフラストラクチャを構成して SCEP をサポートする)
   • PKCS: PFX Certificate Connector for Microsoft Intune のダウンロード、インストール、および構成

コネクタの状態

Microsoft Intune管理センターで、証明書コネクタを選択して、その状態に関する情報を表示できます。

1. Microsoft Intune管理センターにサインインする

2. [テナント管理]>[コネクタとトークン]>[証明書のコネクタ] の順に移動します。

3. 状態を表示するコネクタを選択します。

コネクタの状態を表示する場合:

• 非推奨のコネクタは、警告と共に表示されます。 6 か月の猶予期間が経過すると、警告はエラーに変わります。
• 猶予期間を超えたコネクタには、エラーが表示されます。 これらのコネクタはサポートされなくなったため、いつでも動作を停止することができます。

ログ記録

"以下のログの詳細は、コネクタ バージョン 6.2101.13.0 以降で使用できます。"

PFX Certificate Connector のログは、そのコネクタがインストールされているサーバー上のイベント ログとして使用できます。

• [イベント ビューアー]>[アプリケーションとサービス ログ]>[Microsoft]>[Intune]>[証明書のコネクタ]

以下のログは、自動アーカイブを有効にした状態で使用することができ、既定値は 50 MB です。

• 管理ログ - このログには、コネクタに対する要求ごとに 1 つのログ イベントが格納されます。 イベントには、要求に関する情報を伴う "成功" または要求およびエラーに関する情報を伴う "エラー" のいずれかが含まれます。
• 操作ログ - このログには、管理ログで検出された情報よりも詳細な情報が表示され、問題をデバッグするときに役に立ちます。 さらに、このログに表示されるのは、単一イベントではなく、PFX Certificate Connector に対する進行中の操作となります。

イベント ID

すべてのイベントには、次のいずれかの ID が含まれています。

• 0001 から 0999 - 特定のシナリオに関連付けられていません
• 1000 から 1999 - PKCS
• 2000 から 2999 - PKCS インポート
• 3000 から 3999 - 取り消し

タスク カテゴリ

すべてのイベントには、フィルター処理に役立つようにタスク カテゴリを使用してタグが付けられます。 タスク カテゴリの内容を次に一覧しますが、これに限定されるものではありません。

PKCS

• Admin
  • PkcsRequestSuccess - PKCS 要求を正常に実行し、Intune にアップロードしました。
  • PkcsRequestFailure - PKCS 要求の実行または Intune へのアップロードが失敗しました。
• 運用中
  • PkcsDownloadSuccess - Intune から PKCS 要求を正常にダウンロードしました
  • PkcsDownloadFailure - Intune から PKCS 要求をダウンロードするときにエラーが発生しました
  • PkcsDownloadedRequest - Intune からダウンロードされた単一要求の詳細です
  • PkcsIssuedSuccess - 要求の証明書を発行しました
  • PkcsIssuedFailedAttempt - 要求の証明書の発行中にエラーが発生しました
  • PkcsIssuedFailure - 要求の証明書の発行に失敗しました
  • PkcsUploadSuccess - Intune へのアップロードが正常に行われた要求の詳細です
  • PkcsUploadFailure - 要求を Intune にアップロードするときにエラーが発生しました
  • PkcsUploadedRequest - Intune にアップロードされた要求の詳細です

PKCS インポート

• Admin
  • PkcsImportRequestSuccess - Intune から PKCS インポート要求を正常にダウンロードしました
  • PkcsImportRequestFailure - Intune から PKCS インポート要求をダウンロードするときにエラーが発生しました
• 運用中
  • PkcsImportDownloadSuccess - Intune から PKCS インポート要求を正常にダウンロードしました
  • PkcsImportDownloadFailure - Intune から PKCS インポート要求をダウンロードするときにエラーが発生しました
  • PkcsImportDownloadedRequest - Intune からダウンロードされた単一要求の詳細です
  • PkcsImportReencryptSuccess - インポートされた証明書を再暗号化しました
  • PkcsImportReencryptFailedAttempt - インポートされた証明書の再暗号化中にエラーが発生しました
  • PkcsImportReencryptFailure - インポートされた証明書の再暗号化に失敗しました
  • PkcsImportUploadFailure - Intune に要求をアップロードするときにエラーが発生しました
  • PkcsImportUploadedRequest - Intune にアップロードされた要求の詳細です

失効

• Admin
  • RevokeRequestSuccess - Intune から取り消し要求を正常にダウンロードしました
  • RevokeRequestFailure - Intune から取り消し要求をダウンロードするときにエラーが発生しました
• 運用中
  • RevokeDownloadSuccess - Intune から取り消し要求を正常にダウンロードしました
  • RevokeDownloadFailure - Intune から取り消し要求をダウンロードするときにエラーが発生しました
  • RevokeDownloadedRequest - Intune からダウンロードされた単一要求の詳細です
  • RevokeSuccess - 証明書を正常に取り消しました
  • RevokeFailure - 証明書の取り消し中にエラーが発生しました
  • RevokeFailedAttempt - 証明書の取り消しに失敗しました
  • RevokeUploadSuccess - Intune に正常にアップロードされた要求の詳細です
  • RevokeUploadFailure - Intune に要求をアップロードするときにエラーが発生しました
  • RevokeUploadedRequest - Intune にアップロードされた要求の詳細です

コネクタの新機能

2 つの証明書コネクタの更新プログラムは、定期的にリリースされます。 コネクタが更新された場合、その変更についてここから確認することができます。

重要

2022 年 4 月以降、バージョン 6.2101.13.0 より前の証明書コネクタは非推奨となり、 エラーの状態が表示されます。 この状態は機能には影響しません。 2022 年 6 月以降、このようなコネクタは証明書を発行できません。 新しい Certificate Connector for Microsoft に移行する方法の詳細については、この記事の冒頭にあるメモを参照してください。

PFX Certificate Connector のリリース履歴

Microsoft Intuneサポートの自動更新用の PFX 証明書コネクタ。

2021 年 3 月 10 日

バージョン 6.2101.16.0。 - このリリースの変更点:

• PFX の作成フローが改善され、コネクタをホストするオンプレミスのサーバー上での証明書要求ファイルの重複が防止されます。

2021 年 2 月 24 日

バージョン 6.2101.13.0。 この新しいコネクタ バージョンでは、次に示すログに関する機能強化が PFX コネクタに加えられます。

• イベント ログの新しい場所。ログが管理、操作、デバッグに分割されます。
• 管理および操作ログの既定値は 50 MB で、自動アーカイブが有効になっています。
• PKCS インポート、PKCS 作成、および取り消しの EventID。

2021 年 1 月 26 日

バージョン 6.2009.2.0 - このリリースの変更点:

• コネクタ サービスを実行するアカウントを保持するようにコネクタのアップグレードを改善します。

2021 年 1 月 15 日

バージョン 6.2009.1.9 - このリリースの変更点:

• コネクタ証明書の更新の改善。

2020 年 10 月 2 日

バージョン 6.2008.60.612 - このリリースの変更点:

• Android Enterprise のフル マネージド デバイスへの PKCS 証明書の配信に関する問題を修正しました。 この問題では、暗号化キー格納プロバイダー (KSP) がレガシ プロバイダーである必要がありました。 Cryptographic Next Generation (CNG) キー格納プロバイダーも使用できるようになりました。
• PFX Certificate Connector の [CA アカウント] タブに対する変更: 指定したユーザー名とパスワード (資格情報) は、証明書の発行と証明書の失効に使用されるようになりました。 以前は、これらの資格情報は証明書の失効のみに使用されていました。

Microsoft Intune コネクタのリリース履歴

2019 年 4 月 2 日

バージョン 6.1904.1.0 - このリリースの変更点:

• グローバル管理者アカウントを使用してコネクタにサインインした後に、コネクタが Intune への登録に失敗することがある問題を修正しました。
• 証明書の失効への信頼性の修正が含まれています。
• PKCS 証明書の要求の処理速度を向上するパフォーマンスの修正が含まれています。

次の手順

使用する各プラットフォーム用に SCEP、PKCS、または PKCS のインポートされた証明書プロファイルを作成します。 続行するには、次の記事をご覧ください。

• Intune を使用して SCEP 証明書をサポートするようにインフラストラクチャを構成する
• Intune で PKCS 証明書を構成して管理する
• PKCS のインポートされた証明書プロファイルを作成する
• Microsoft Intune コネクタの問題のトラブルシューティング