SCEPman Community Edtionと証明書関連の設定/SCEPman_Community_Edtion_and_certificate-related_settings

Transcript

1. SCEPman Community Edtionと証明書関連の設定 初版作成日: 2024/05/15 作成者: MyHomeNWLab

2. SCEPmanについて • SCEPmanは証明書の発行や管理を行うためのソリューションです。 • MDM (Mobile Device Management)と連携してデバイスにクライア ント証明書を配布できます。 •

   AzureやMicrosoft 365の利用者をターゲットにしており、Azure上に SCEPmanをデプロイして利用します。そのため、同じMicrosoft製品で MDMであるIntuneとは相性が良いです。

3. 本資料の概要 • SCEPmanのCommunity Editionを用いて証明書を発行し、 Intuneにより端末に配布する手順を整理しました。 • 参考のために認証サーバーであるCisco ISEでEAP-TLSによる認証を 行う際の証明書関連の設定方法も入れ込んでおります。 •

   EAP-TLS自体の検証はCatalyst 9800のWireless LAN Controllerを用いた無線LAN環境で行っております。

4. 本資料の対象範囲 • 本資料の対象範囲を整理します。 製品 設定値 対象範囲 SCEPman • SCEPmanのデプロイと各種設定 本資料の対象

   Intune • 証明書の信頼設定 • 端末への証明書の配布 • EAP-TLSの設定 本資料の対象 認証サーバー (例: Cisco ISE) • Network Access Device (NAD) スコープ外 (Out of Scope) • Trusted Certificate 本資料の対象 WLC (例: Catalyst 9800) • RADIUS • Authentication Method • WLAN (Layer2, AAA) スコープ外 (Out of Scope)

5. 設定要素の図解 WLC (Catalyst 9800) 無線AP (Catalyst 9100) 無線LAN端末 認証局 /

   CA (SCEPman) 認証サーバー (Cisco ISE) CA Root Certificate EAP Authentication Certificate 【設定の概要】 • 証明書の信頼設定 信頼: CA Root Certificate 信頼: EAP Authentication Certificate • 端末への証明書の配布 Device Certificate, User Certificate • EAP-TLSの設定 【設定の概要】 ※スコープ外 • RADIUS • Authentication Method • WLAN (Layer2, AAA) 【設定の概要】 • Network Access Device (NAD) ※スコープ外 • Trusted Certificate ※スコープ内 信頼: CA Root Certificate Device Certificate User Certificate 無線LAN端末へ証明書の発行 RADIUS EAP-TLS 証明書の信頼 (取り込み) 証明書の信頼 (取り込み) 【設定の概要】 • SCEPmanのデプロイと各種設定 Intune

6. 作業概要 1. SCEPman Community Edition (CE)のデプロイ 2. (任意) Certificate Masterへのアクセス

   3. Intuneの事前設定と各種設定の整理 4. SCEPmanのRoot Certificateのダウンロード 5. SCEPmanのRoot Certificateの配布 6. Device/User Certificateの設定の注意点 7. Device Certificateの配布 8. User Certificateの配布 9. Intuneによる設定の手動更新 10. 端末で証明書配布状況の確認 11. Cisco ISEのEAP用CertificateのExport 12. IntuneによるCisco ISEのEAP用Certificateの配布 13. Intuneによる端末へのEAP-TLS設定の配布 14. SCEPman関連設定の後始末 15. SCEPmanのデプロイし直し 16. 最後の補足

7. 各種サービスの管理画面のURL • アクセスしやすいように管理画面のURLを張っておきます。 • Azure Portal • https://portal.azure.com/ • Intune

   • https://intune.microsoft.com/

8. SCEPman Community Edition (CE)のデプロイ

9. SCEPman Community Editionのデプロイ • Azure PortalのMarketplaceより 「SCEPman – Certificates Simplified

   (Deployment)」 をデプロイします。 • 似たようなものがいくつかあるので注意して選択してください。

10. いくつか種類がありますが、 「SCEPman – Certificates Simplified (Deployment)」 を選択してください。

11. 「Create」ボタンを押下します。 備考: 筆者の確認時はひとつのプランしか選択できませんでした。

12. Create SCEPman – Certificates Simplified (Deployment) • Basics タブ 設定項目

    設定値 備考 Subscription 任意 Resource Group 例: rg-scepman-YYYYMMDD-hhmm 同じ名称で短時間に作成/削除を繰り返すと、 Key Vaultの生成でエラーが出る可能性が あります。詳細は後述します。 Region 例: Japan East Organization Name 例: Personal SCEPmanのRoot Certificateにおいて 「O=」フィールドの設定値に利用されます。 License Key ※Community Editionでは入力不要です。 Update Channel Production Channel

13. 補足: SCEPmanにおけるResource GroupとKey Vault • まず前提情報ですが、Key Vault名はグローバルで一意にする必要があります。 • SCEPmanで利用されるKey Vault名の一部には「Resource

    Group ID」のハッ シュが含まれています。 • そして「Resource Group ID」には下記の要素で構成されています。 • 以上の情報より、組織内で「同じSubscription」を用いて、「同じResource Group Name」で作成と削除を短時間に行うと、前回分のKey Vaultのリソースの 解放が間に合わずに重複していまいエラーが出る可能性があります。 Resource Group ID = {Subscription ID}/resourceGroups/{Resource Group Name} "keyVaultName": "[concat('kv-scepman-',uniquestring(resourceGroup().id))]",
14. None

15. TERMSを確認した上で Create ボタンを押下します。 電話番号の情報は適宜修正します。 入力無しでも通ります。

16. 正常にデプロイが完了したか確認します。

17. 一例ですが、Key Vault名が重複してデプロイが失敗したケースです。

18. SCEPmanのApp Servicesへの移動 • SCEPmanのWeb UIにアクセスして、PowerShellのCmdletを実行す る必要があります。 • App Serviceには「SCEPman」と「Certificate Master

    (略称: CertMaster」の2種類があり、設定上の名称が似通っているため作業 対象を意識します。 Name 役割 app-scepman-cm-<文字列> Certificate Master (略称: CertMaster) app-scepman-<文字列> SCEPman -cm の有無が違いです。

19. Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman SCEPman (-cm が含まれていない方)にアクセスします。

20. URLにアクセスします。 SCEPman (-cm が含まれていない方)であるのを確認します。

21. Azure Cloud Shellを開いてCmdletを実行します。 注記: 環境固有情報が入っています。

22. PowerShellでCmdletの実行 • Azure Cloud Shellで「PowerShell」に切り替えて、「app- scepman-<文字列>」のFinalize Setupに記載されているCmdletを 実行します。 Install-Module SCEPman

    -Scope CurrentUser –Force Complete-SCEPmanInstallation -SCEPmanAppServiceName 'app-scepman-####' -SearchAllSubscriptions 6>&1 先ほどデプロイしたSCEPmanのApp Serviceの名称に紐付きます。 接尾辞が付与されており、文字列が環境によって変わります。 検証用途で何度でも作成しなおす場合は、本コマンドを流用できません。 Parameter 説明 SCEPmanAppServiceName The name of the existing SCEPman App Service. Leave empty to get prompted. 「Complete-SCEPmanInstallation.ps1」のコードよりParameterの情報

23. PowerShell に切り替えます。 注意: 環境に固有の情報があります。

24. (任意) Certificate Masterへのアクセス

25. (任意) Certificate Masterへのアクセス • Certificate Master (略称: CertMaster)の管理画面はアクセス 制御されているため、Enterprise applicationsで許可設定が必要

    です。 • Community EditionではCertMasterで利用できる機能が実質的 にないため、基本的に不要の設定になります。 • しかしながら検証目的であれば、管理画面がどのようになっているかは把 握しておいた方が良いので設定方法を記載します。

26. × ボタンを押下して、検索の絞り込みを解除します。 Microsoft Entra IDのEnterprise applicationsにアクセスします。

27. None

28. Role には Full Admin を指定します。 CertMasterにアクセスさせたいUserもしくはGroupを指定します。

29. Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman Certificate Master (-cm

    が含まれている方)にアクセスします。

30. Certificate Master (-cm が含まれている方)であるのを確認します。 URLにアクセスします。

31. Certificate Master の方にアクセスできたのを確認します。

32. Intuneの事前設定と各種設定の 整理

33. 本例のIntuneの設定について • 本例のIntuneの各種設定は下記のドキュメントをベースにしています。 • Windows - SCEPman • URL: https://docs.scepman.com/certificate-

    deployment/microsoft-intune/windows-10

34. 事前設定: Groupの作成 • Intuneで「設定を配布する対象」をGroupとして事前に作成しておきま す。

35. Intuneの各種設定の整理 • メニュー: Devices > Policy セクション > Configuration profiles

    からIntuneの各種 設定を行います。 • 下記に設定対象を整理します。まずはSCEPmanに関わる設定です。 • 次にCisco ISEと無線LAN端末に関わる設定です。 用途 設定種別 (Template name) 設定名 Root Certificateの配布 Trusted certificate Trusted_certificate_SCEPman_Root_Cert Device Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_Device_Cert User Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_User_Cert 用途 設定種別 (Template name) 設定名 Cisco ISEのEAP用Certificateの配布 Trusted certificate Trusted_certificate_ISE_EAP_Auth_Cert EAP-TLSの設定配布 Wi-Fi Wi-Fi_EAP-TLS

36. SCEPmanのRoot Certificate のダウンロード

37. SCEPmanのRoot Certificateのダウンロード • IntuneでSCEPmanのRoot Certificateの信頼設定を行う必要があ るため、まずは対象の証明書ファイルをダウンロードします。 • 初回のためRoot Certificateの作成ステップが指示されます。

38. Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman SCEPman (-cm が含まれていない方)にアクセスします。

39. URLにアクセスします。 SCEPman (-cm が含まれていない方)であるのを確認します。

40. 展開 ポップアップ ここから証明書がダウンロードできます。 初回のRoot Certificateの作成ステップが指示されます。

41. SCEPmanのRoot Certificate の配布

42. SCEPmanのRoot Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name Trusted certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name Trusted_certificate_SCEPman_Root_Cert

43. 「Trusted certificate」を指定します。 SCEPmanのRoot Certificateの配布

44. Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの配布

45. SCEPmanのRoot Certificateのアップロード • Configuration settings タブでSCEPmanのRoot Certificateを アップロードします。 設定項目 設定値

    備考 Certificate file ファイル名: scepman-root.cer 拡張子が「.cer」もしくは「.crt」の必要があります。 Destination store Compute certificate store - Root デフォルト値のままです。

46. SCEPmanのRoot Certificateをアップロードします。 SCEPmanのRoot Certificateの配布

47. 設定を割り当てる対象のGroupを指定します。 SCEPmanのRoot Certificateの配布

48. 「Applicability Rules」タブは設定不要です。 そのまま「Next」ボタンを押下します。 SCEPmanのRoot Certificateの配布

49. 設定内容を再確認した上で「Create」ボタンを押下します。 SCEPmanのRoot Certificateの配布

50. Device/User Certificateの設 定の注意点

51. Device/User Certificateの設定の注意点 • ここからのDevice CertificateとUser Certificateの設定は、一部を 除いて共通しています。ドキュメントでも繰り返しになる手順の説明は省か れており、差異のみ記載されています。 • そのため、意識して設定しないと混乱する可能性があるため注意してくだ

    さい。

52. Device Certificateの配布

53. Device Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name SCEP_certificate_SCEPman_Device_Cert Device Certificateの設定であるのを 分かりやすくします。 Device Certificate固有

54. 「SCEP certificate」を指定します。 Device Certificateの配布

55. SCEP_certificate_SCEPman_Device_Cert Device Certificateの配布

56. Device Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。

    設定項目 設定値 備考 Certificate type Device Subject name format CN={{AAD_Device_ID}} Device を選択時のデフォルト値です。 次のスライドで設定理由を補足します。 Subject alternative name Attribute Value URI IntuneDeviceId://{{DeviceId}} Device CertificateとUser Certificateで 設定内容が異なる箇所です。(本表の設定) Device Certificate固有

57. 備考: Subject name formatの指定方法 • 「Subject name format」は下記のドキュメントの情報を参考にして「{{DeviceId}}」による指 定を避けました。 •

    Use SCEP certificate profiles with Microsoft Intune | Microsoft Learn • URL: https://learn.microsoft.com/en-us/mem/intune/protect/certificates- profile-scep • 原文 • Note • Avoid using {{DeviceId}} for subject name on Windows devices. In certain instances, certificate generated with this subject name causes sync with Intune to fail. • 日本語訳 ※日本語ページより • 注意 • Windows デバイスでサブジェクト名に {{DeviceId}} を使用しないでください。 特定のイ ンスタンスでは、このサブジェクト名で生成された証明書によって Intune との同期が失敗しま す。

58. Device Certificateの配布

59. Device Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。 設定項目

    設定値 備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するも のを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定 を指定します。 後述のUser Certificateも同様の設定を行います。 Device/User Certificateで共通

60. 先にRoot Certificateの設定を作っておかないと選択肢に出てきません。 Device Certificateの配布

61. Device Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。 設定項目 設定値 Extended

    key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目 設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。 環境依存情報になります。 Device/User Certificateで共通

62. 対象のURLは次のスライドで図示します。 後述のUser Certificateの設定でも同じURLを指定します。 Device Certificateの配布

63. 「SCEP Server URLs」の設定に貼り付けます。 Device Certificateの配布

64. 設定を割り当てる対象のGroupを指定します。 Device Certificateの配布

65. 「Applicability Rules」タブは設定不要です。 そのまま「Next」ボタンを押下します。 Device Certificateの配布

66. 設定内容を再確認した上で「Create」ボタンを押下します。 Device Certificateの配布

67. User Certificateの配布

68. User Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name SCEP_certificate_SCEPman_User_Cert User Certificateの設定であるのを分 かりやすくします。 User Certificate固有

69. 「SCEP certificate」を指定します。 User Certificateの配布

70. SCEP_certificate_SCEPman_User_Cert User Certificateの配布

71. User Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。

    設定項目 設定値 備考 Certificate type User Subject name format CN={{UserName}},E={{EmailAddress}} User を選択時のデフォルト値です。 Subject alternative name Attribute Value User principal name (UPN) {{UserPrincipalName}} Device CertificateとUser Certificateで 設定内容が異なる箇所です。(本表の設定) User Certificate固有

72. User Certificateの配布

73. User Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。 設定項目

    設定値 備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するも のを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定 を指定します。 前述のDevice Certificateの設定と同じ内容です。 Device/User Certificateで共通

74. User Certificateの配布

75. User Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。 設定項目 設定値 Extended

    key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目 設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。 環境依存情報になります。 Device/User Certificateで共通

76. 対象のURLは次のスライドで図示します。 前述のDevice Certificateと同じURLを指定します。 User Certificateの配布

77. 「SCEP Server URLs」の設定に貼り付けます。 User Certificateの配布

78. 設定を割り当てる対象のGroupを指定します。 User Certificateの配布

79. 「Applicability Rules」タブは設定不要です。 そのまま「Next」ボタンを押下します。 User Certificateの配布

80. 設定内容を再確認した上で「Create」ボタンを押下します。 User Certificateの配布

81. Intuneによる設定の手動更新

82. Intuneによる設定の手動更新 • 端末側で設定を手動更新で同期する手順です。 • 下記はWindows 11 Proの「英語環境」の例です。 1. Settings より

    Accounts の Access work or school に移動します。 2. Accountの情報を展開して Managed by Personal の Info ボタンを押下 します。 3. Sync ボタンを押下して同期します。
83. None

84. 展開して「Info」ボタンを押下します。

85. 「Sync」ボタンを押下すると同期が始まります。

86. 端末で証明書配布状況の確認

87. 端末で証明書配布状況の確認 • 「mmc.exe」 (Microsoft Management Console)を実行します。 • Snap-insで「Certificates」を選択して、「My user account」と

    「Computer account」の「Local computer」を追加します。

88. 証明書の確認に必要な情報の整理 • 端末側で証明書の情報を確認するにあたり、識別するための要素を整 理します。 証明書の分類 設定値 例 SCEPmanのRoot Certificate -

    CN = SCEPman-Root-CA-V1 O = YourCorp Device Certificate • 設定値によって変わります。 • 本例: CN={{AAD_Device_ID}} ➢ CN = <Microsoft Entra Device ID> • 別選択肢: CN={{DeviceId}} ➢ CN = <Intune Device ID> 次のスライドで該当IDの確認方法を掲 載します。 User Certificate CN={{UserName}},E={{EmailAddress}} CN = alice E = [email protected]

89. ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}} Microsoft Entra

    Device ID ←→ {{AAD_Device_ID}} 証明書の確認に必要な情報の整理

90. MMCのSnap-inの追加 「mmc.exe」を起動してSnap-inでCertificatesを追加します。

91. MMCのSnap-inの追加 • 「Certificates」の「Add」ボタンによる追加は下記の2つ分あります。 1. 「My user Account」 2. 「Computer account

    (Local computer)」

92. MMCのSnap-inの追加 先ずは「My user Account」を追加します。 この後で「Computer account (Local computer)」を追加します。

93. MMCのSnap-inの追加

94. MMCのSnap-inの追加 「Computer account (Local computer)」を追加します。 備考: 先ほどは「My user Account」の方を追加しました。

95. MMCのSnap-inの追加 「Local computer」を選択します。

96. MMCのSnap-inの追加 2つのCertificatesが追加されているのを確認します。

97. MMCのSnap-inの追加 Certificatesの情報が見えるようになりました。

98. SCEPmanのRoot Certificateの確認 SCEPmanのRoot Certificateを確認します。

99. SCEPmanのRoot Certificateの確認 「O」にはデプロイ時に指定したOrganization Nameの設定値が入ります。

100. Device Certificateの確認 「Issued By」が「SCEPman-Root-CA-V1」のものを確認します。

101. Device Certificateの確認 本設定手順では「CN={{AAD_Device_ID}}」を指定しているため、 「CN」には「Microsoft Entra Device ID」の値が入ります。 ID ←→ 設定項目

     Intune Device ID ←→ {{DeviceId}} Microsoft Entra Device ID ←→ {{AAD_Device_ID}}

102. User Certificateの確認 「Issued By」が「SCEPman-Root-CA-V1」のものを確認します。

103. User Certificateの確認 本例では「CN={{UserName}},E={{EmailAddress}}」を指定しているため、 「CN = alice」, 「E = [email protected]」のような値が入ります。

104. User Certificateの確認 ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}}

     Microsoft Entra Device ID ←→ {{AAD_Device_ID}} 本例では「CN={{UserName}},E={{EmailAddress}}」を指定しているため、 「CN = alice」「E = [email protected]」のような値が入ります。

105. Cisco ISEのEAP用Certificate のExport

106. Cisco ISEのEAP用Certificate • Cisco ISEがEAP Authenticationで利用する証明書があり、EAP-TLSを利用 する場合は接続端末にその証明書の信頼設定を行う必要があります。 • EAP-TLSで用いられる証明書は大きく分けて2つの観点があります。 1.

     「接続端末」の真正性を証明するもの。 • 「接続端末」が「認証サーバー (Cisco ISE)」に提示する証明書 2. 「認証サーバー (Cisco ISE)」の真正性を証明するもの。 • 「認証サーバー (Cisco ISE)」が「接続端末」に提示する証明書 本セクションはこの「2」を扱います。

107. EAP用証明書のExportの手順 • Cisco ISEのWeb UIからメニューの「Administration > System > Certificates」に移動して「Certificate Management」セクションの

     「System Certificates」を開きます。 • 「Used By」に「EAP Authentication」がある証明書を選択して「Export」 ボタンを押下し、「Export Certificate Only」で出力します。 • 証明書ファイルの拡張子を「.cer」もしくは「.crt」にリネームします。デフォルト の「.pem」のままだとIntuneの設定画面で取り込む際にエラーが出るためです。
108. None

109. 「EAP Authentication」の証明書を選択して 「Exportボタンを押下します。」

110. 「Export Certificate Only」を選択して 証明書を「Export」します。

111. 拡張子を「.cer」もしくは「.crt」にリネームします。 デフォルトの「.pem」の拡張子のままで Intuneの設定画面からアップロードしようとするとエラーが出ます。

112. IntuneによるCisco ISEのEAP 用Certificateの配布

113. 「Trusted certificate」を指定します。 Cisco ISEのEAP用Certificateの配布

114. Trusted_certificate_ISE_EAP_Auth_Cert Cisco ISEのEAP用Certificateの配布

115. 拡張子を「.cer」もしくは「.crt」で アップロードします。 Cisco ISEのEAP用Certificateの配布

116. 設定を割り当てる対象のGroupを指定します。 Cisco ISEのEAP用Certificateの配布

117. 「Applicability Rules」タブは設定不要です。 そのまま「Next」ボタンを押下します。 Cisco ISEのEAP用Certificateの配布

118. 設定内容を再確認した上で「Create」ボタンを押下します。 Cisco ISEのEAP用Certificateの配布

119. Intuneによる端末へのEAP-TLS 設定の配布

120. 端末へのEAP-TLS設定の配布 • 先のCisco ISEのEAP用Certificate設定を参照して信頼設定するた め、EAP-TLS設定の配布はその後に実行する必要があります。 • 端末がネットワークに繋がっていないと本設定を配布できないため、有線も しくは別のSSIDで一度繋げるなどして設定を配布してください。 • 2024年01月時点で「Platform:

     Windows 10 and later」の 「Template: Wi-Fi」でWPA3-Enterpriseの設定は用意されていな かったです。本設定を行うとWPA2-Enterpriseでの接続設定が入り ます。Wi-Fi 6Eでの6GHz帯の接続にはWPA3が必要になるため注意 が必要です。

121. 端末へのEAP-TLS設定の配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値 備考

     Platform Windows 10 and later Profile type Templates Template name Wi-Fi 設定項目 設定値 備考 Name Wi-Fi_EAP-TLS

122. 「Wi-Fi」を指定します。 端末へのEAP-TLS設定の配布

123. Wi-Fi_EAP-TLS 端末へのEAP-TLS設定の配布

124. Wi-Fiの設定情報 (1/2) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。 設定項目

     設定値 備考 Wi-Fi Type Enterprise Wi-Fi name (SSID) 例: Your_SSID 環境に応じた値を設定します。 Connection name 例: Your_SSID 環境に応じた値を設定します。 Authentication Method 下記から用途に応じて指定します。 • User • Machine • User or machine 筆者はUserを選んでいます。

125. ↓↓ 画面の下側に続きます。 ↓↓ 端末へのEAP-TLS設定の配布

126. Wi-Fiの設定情報 (2/2) • Configuration settings タブの設定の続きです。 設定項目 設定値 備考 EAP-Type

     EAP-TLS Certificate server names 例: ise01.lab.test Cisco ISEのHostname (FQDN)を指定します。 Root certificates for server validation Trusted_certificate_ISE_EAP_Auth_Cert 事前に設定したCisco ISEのEAP用Certificateを指定 します。 Client Authentication SCEP certificate Client certificate for client authentication (Identity certificate) SCEP_certificate_SCEPman_User_Cert もしくは SCEP_certificate_SCEPman_Device_Cert 用途に応じてDevice/User Certificateのどちらか を選びます。 筆者はUser Certificateを指定しています。

127. Subjectの値と一致させます。 ↓ Cisco ISEのEAP用Certificate ↓ ※前のスライドからの続きです。 設計に合わせてDevice/User Certificateのどちらかを選びます。 端末へのEAP-TLS設定の配布

128. 端末へのEAP-TLS設定の配布 設定を割り当てる対象のGroupを指定します。

129. 端末へのEAP-TLS設定の配布 「Applicability Rules」タブは設定不要です。 そのまま「Next」ボタンを押下します。

130. 端末へのEAP-TLS設定の配布 設定内容を再確認した上で「Create」ボタンを押下します。

131. SCEPman関連設定の後始末

132. SCEPman関連設定の後始末 • SCEPman関連の設定はAzureのResource Groupだけではなく、 App registrationsとEnterprise applicationsにも設定がある ため該当箇所を整理します。

133. 対象のResource Groupを削除します。 Resource Groupの削除

134. Microsoft Entra IDからApp registrationを開きます。 App registrationsからSCEPman関連設定の削除

135. App registrationはOverviewにDeleteボタンがあります。 ※設定を開いた直後の画面です。 App registrationsからSCEPman関連設定の削除

136. × ボタンを押下して、検索の絞り込みを解除します。 • 「SCEPman-api」と「SCEPman-CertMaster」を削除します。 • 「app-scepman-」から始まるものはResource Groupに紐付くので個別に削除は不要です。 Microsoft Entra IDからEnteprise

     applicationsを開きます。 Enterprise applicationsからSCEPman関連設定の削除

137. Enterprise Applicationは Properties の中に Delete ボタンがあります。 Propertiesの画面の中にあります。 ※設定を開いた直後のOverview画面にはないため注意してください。 Enterprise applicationsからSCEPman関連設定の削除

138. SCEPmanのデプロイし直し

139. SCEPmanのデプロイし直し作業の概要 • Intune • SCEPmanのRoot Certificate • SCEPmanのRoot Certificateファイルのアップロード •

     Device Certificate • SCEP URL Server URLの書き換え • User Certificate • SCEP URL Server URLの書き換え • Cisco ISE • Trusted Certificate • 新規EAP Authentication Certificateの追加 • 既存EAP Authentication Certificateの削除

140. SCEPmanのRoot Certificateの配布 SCEPmanのRoot Certificateの設定を開きます。 本例では「Trusted_certificate_SCEPman_Root_Cert」です。

141. Configuration settings の Edit ボタンを押下します。 SCEPmanのRoot Certificateの配布

142. 新しいSCEPmanのRoot Certificateをアップロードします。 当該証明書自体はApp ServiceのSCEPmanからダウンロードしてきます。 (次スライドで図示します。) SCEPmanのRoot Certificateの配布

143. App ServiceのSCEPmanからGet CA Certificateで Root Certificateを入手して先の設定個所にアップロードします。 SCEPmanのRoot Certificateの配布

144. 設定の変更内容を確認した上でSaveします。 SCEPmanのRoot Certificateの配布

145. Device Certificateの再設定 Device Certificateの設定を開きます。 本例では「SCEP_certificate_SCEPman_Device_Cert」です。

146. Configuration settings の Edit ボタンを押下します。 Device Certificateの再設定

147. Device Certificateの再設定 SCEP Server URLsを新しいURLに書き換えます。 当該URLはApp ServiceのSCEPmanから確認できます。 (次スライドで図示します。)

148. Device Certificateの再設定 先の設定個所を新しいIntune MDMのURLに書き換えます。 Device/User Certificateで同じURLです。

149. Device Certificateの再設定 設定の変更内容を確認した上でSaveします。

150. Device Certificateの再設定 User Certificateの設定を開きます。 本例では「SCEP_certificate_SCEPman_User_Cert」です。

151. User Certificateの再設定 Configuration settings の Edit ボタンを押下します。

152. User Certificateの再設定 SCEP Server URLsを新しいURLに書き換えます。 当該URLはApp ServiceのSCEPmanから確認できます。 (次スライドで図示します。)

153. User Certificateの再設定 先の設定個所を新しいIntune MDMのURLに書き換えます。 Device/User Certificateで同じURLです。

154. User Certificateの再設定 設定の変更内容を確認した上でSaveします。

155. Cisco ISEのTrusted Certificateの再設定 • Cisco ISEにはSECPmanのRoot Certificateの信頼設定を行ってい るため、再デプロイに伴って古い証明書から新しい証明書に入れ替える必 要があります。 •

     古い証明書の認証設定が使われてる可能性もあるので、先に新しい証 明書を入れてから古い証明書を削除します。 • 同じ名称で証明書を取り込もうとすると、名称重複になるため年月日 (YYYYMMDD)などを接尾辞に付与してください。

156. Cisco ISEのTrusted Certificateの再設定

157. Cisco ISEのTrusted Certificateの再設定

158. EAP Authentication Certificate YYYYMMDD 既存のEAP用Certificateと重複しないように命名します。 Cisco ISEのTrusted Certificateの再設定

159. Cisco ISEのTrusted Certificateの再設定 既存のEAP用Certificateが不要であれば削除します。

160. Cisco ISEのTrusted Certificateの再設定 対象に誤りがないのを確認してからOKを押下します。

161. 最後の補足

162. 最後の補足 • 実際にEAP-TLSなどで証明書を用いた認証を利用する際は、ネットワー ク機器 (例: WLCのCatalyst 9800)や認証サーバー (例: Cisco ISE)にもRADIUSの設定などが追加で必要になります。

163. End Of File 本スライドが資料の最後です。