Active Directory 証明書サービスで Kerberos 証明書を配布するように認証局と証明書テンプレートを構成した後、Workspace ONE UEM で認証に使用する証明書を要求し、Workspace ONE UEM Console に認証局を追加できるようにします。ユーザーの証明書を生成するために使用する、認証局を関連付けた証明書テンプレートを追加します。
前提条件
Workspace ONE UEM で認証局を構成します。
手順
- Workspace ONE UEM コンソールで、[システム] > [エンタープライズ統合] > [認証局] に移動します。
- [要求テンプレート] タブを選択し、[追加] をクリックします。
- 証明書テンプレートのページで以下を構成します。
| オプション |
説明 |
| 名前 |
Workspace ONE UEM の新しい要求テンプレートの名前を入力します。 |
| 認証局 |
ドロップダウン メニューで、作成した認証局を選択します。 |
| 発行するテンプレート |
Microsoft CA 証明書テンプレート名を、AD CS で作成したとおりに入力します。たとえば、iOSKerberos のように入力します。 |
| サブジェクト名 |
テンプレートのサブジェクト名を入力します。[+] をクリックして、リストからルックアップ値を選択することができます。テキスト ボックスで、[CN =]の後に値が入力されていることを確認します。ルックアップ タイプに DeviceUid を選択した場合、値の後に半角コロン (:) を入力し、リストからルックアップ値を選択します。 たとえば、[CN = {deviceuid}: {lookupvalue}] のようになります。ここで {} テキスト ボックスは Workspace ONE UEM のルックアップ値です。必ずコロン (:) を含めるようにしてください。このテキスト ボックスに入力するテキストは証明書のサブジェクトで、これにより証明書を受信した人やデバイスを判断することができます。 |
| プライベート キー(秘密鍵)の長さ |
プライベート キーの長さは、AD CS で使用する証明書テンプレートの設定と一致します。通常は、2048 です。 |
| プライベート キーのタイプ |
[署名]および[暗号化] のチェック ボックスをオンにします。 |
| SAN タイプ |
[+追加] をクリックします。代替識別名には、[ユーザー プリンシパル名] を選択します。値は {EnrollmentUser} にする必要があります。 デバイス コンプライアンス チェックが Kerberos 認証で構成されていて、サブジェクト名のルックアップ値として DeviceUid を構成しなかった場合、2 つ目の SAN タイプを追加して、デバイスの一意の識別子 (UDID) を含めます。SAN タイプの [DNS 名]を選択します。値は [UDID={DeviceUid}] にする必要があります。 |
| 証明書の自動更新 |
[証明書の自動更新] チェック ボックスをオンにすると、このテンプレートを使用する証明書は、有効期限が切れる前に自動的に更新されます。 |
| 自動更新期間 (日) |
[証明書の自動更新] を選択した場合は、証明書を自動的にデバイスに再発行する有効期限までの日数を入力します。 |
| 証明書の取り消しを有効化 |
チェック ボックスをオンにすると、該当するデバイスが登録解除された場合や削除された場合、または該当するプロファイルが削除された場合に、証明書が自動的に失効します。 |
| プライベート キーの公開 |
プライベート キーを公開するには、このチェック ボックスを選択します。 |
| プライベート キーの送信先 |
[ディレクトリ サービス] または [カスタム Web サービス] のいずれか。 |
- [保存] をクリックします。
次のタスク
Workspace ONE Access コンソールで、組み込み ID プロバイダに iOS 版モバイル SSO 認証方法を構成します。
