Soliton OneGate 管理ガイド
MDM方式(Intune連携)の事前設定

MDM方式(Intune連携)の事前設定

各OSの端末で証明書の配付設定を行う前に、MDM方式(Intune連携)に必要な設定を事前に行います。

MDM方式(Intune連携)の事前設定は、以下のフローに従って、Microsoft Entra ID、OneGateそれぞれで行います。

事前設定1:Microsoft Entra ID側の設定

まずは、Microsoft Entra ID側で以下の設定を行います。

アプリを登録する

Microsoft Entra管理センターにサインインし、新規にアプリを登録します。

  1. Microsoft Entra管理センター(https://entra.microsoft.com/)に管理者としてサインインする

  2. メニューから「アプリの登録」を選択し、[新規登録]をクリックする

  3. 「名前」に任意の名前を入力し、以下の項目を設定して[登録]をクリックする

      

    サポートされているアカウントの種類

    「この組織ディレクトリのみに含まれるアカウント」を選択します。

    リダイレクトURL

    空欄にします。

      

    「アプリケーション○○が正常に作成されました。」のメッセージが表示されたら、アプリの登録は完了です。

    画面には、「アプリケーション概要」が表示されます。

  4. アプリケーション概要の内容を確認し、「アプリケーション(クライアント)ID」をメモ帳などにコピーして控える

      

    ポイント

    「アプリケーション(クライアント)ID」は、OneGateの「外部連携証明書」の「Microsoft Intune連携設定」を行う際に使用します。

APIアクセス許可を追加する

登録したアプリに対し、OneGateとの連携に必要なAPIのアクセス許可を設定します。

  1. Microsoft Entra管理センターの「アプリケーション概要」画面で、「APIのアクセス許可」を選択し、[+アクセス許可の追加]をクリックする

  2. [Intune]をクリックする

    Intuneの設定項目が表示されます。

  3. [アプリケーションの許可]をクリックし、アクセス許可の一覧で[scep_challenge_provider SCEP challenge validation]をチェックし、[アクセス許可の追加]をクリックする

  4. 再度、[+アクセス許可の追加]をクリックする

  5. [Microsoft Graph]をクリックする

    Microsoft Graphの設定項目が表示されます。

  6. [アプリケーションの許可]をクリックし、アクセス許可の一覧で「Application - Application.Read.All Read All applications」をチェックして、[アクセス許可の追加]をクリックする

    続けて、追加したアクセス許可に管理者の同意を設定します。

  7. [○○に管理者の同意を与えます]をクリックし、「状態」が「○○に付与されました」になったことを確認する

  8. [はい]をクリックする

      

    「同意する」のメッセージが表示されたら、APIアクセス許可の設定は完了です。

クライアントシークレットを発行する

「APIアクセス許可」画面から続けて、Microsoft Entra ID連携に必要なクライアントシークレットを取得します。

注意

クライアントシークレットは必ず有効期限内に再設定してください。

ポイント

「クライアントシークレット」は、OneGateの「外部連携証明書」の「Microsoft Intune連携設定」を行う際に使用します。

  1. 「APIアクセス許可」画面で「証明書とシークレット」を選択し、[+新しいクライアントシークレット]をクリックする

  2. 以下の項目を設定し、[追加]をクリックする

      

    説明 

    任意の説明(例:Intune連携)を入力します。

    有効期限 

    任意の期限を入力します。

      

    注意

    クライアントシークレットの有効期限は最長2年です

    1. 定期的な運用として、有効期限内の再設定が必要です。

    1. OneGate側でも有効期限内に差し替えが必要になります。

      

    「アプリケーション○○の資格情報が正常に更新されました」のメッセージが表示されたら、クライアントシークレットの取得は完了です。

  3. 「クライアントシークレット」の値をメモ帳などにコピーして控える

      

    注意

    クライアントシークレットの値は作成時しか画面に表示されません

    クライアントシークレットの値を忘れた場合、クライアントシークレットの作成操作を繰り返し、再取得が必要になります。

    必ず、このタイミングでメモ帳にコピーするなどして控えてください。

事前設定2:OneGate側でのIntune連携設定

OneGate側でMicrosoft Intuneとの連携設定を行い、構成プロファイル用の設定情報を確認します。

Microsoft Intune連携設定を行う

  1. OneGate管理メニューの[証明書管理]>[外部連携設定]をクリックする

  2. [Microsoft Intune連携設定]をクリックする

  3. 「接続設定」で以下の項目を設定し、[接続テスト]をクリックする

      

    Microsoft Intune連携

    [有効にする]をチェックします。

    接続先ドメイン名

    Microsoft Intune連携先のフルドメイン名を設定します。

    アプリケーションクライアントID

    アプリを登録する」で控えたアプリケーションクライアントIDを入力します。

    アプリケーションキー

    クライアントシークレットを発行する」で控えたクライアントシークレットの値を入力します。

    接続テスト結果が表示されます。

  4. 結果を確認し、「証明書設定」で必要な情報を設定して[保存]をクリックする

      

    証明書の有効期限

    iOS/iPadOS、MacOSの場合、証明書の有効期限を年数または日数で設定します。

    Windows、Androidは、Microsoft Intune の構成プロファイルで設定された有効期限が設定されます。

    拡張キー使用法

    iOS/iPadOS、MacOSの場合、証明書の拡張キー使用法を設定します。
    ・「TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)」
    ・「電子メール保護 (1.3.6.1.5.5.7.3.4)」
    ・「任意の目的 (2.5.29.37.0)」

    Windows、Androidは、Microsoft Intuneの構成プロファイルで設定された拡張キー使用法が設定されます。

構成プロファイル用の設定情報を確認する

Microsoft Intuneの設定情報を確認し、必要に応じてコピー・ダウンロードします。

設定情報は、Microsoft Intune連携の構成プロファイルの作成に使用します。

  1. 「外部連携設定」画面で[Microsoft Intune連携設定]の[設定情報]をクリックする

  2. 表示内容を確認し、以下の情報をメモ帳にコピーするなどして控える

         

    SCEPサーバーのURL

    OneGateの証明書発行機能のURLです。「SCEP 証明書」構成プロファイルの作成で使用します。

    コピーアイコンをクリックし、メモ帳などにコピーします。

    ルート証明書ファイルのダウンロード

    [DER形式]または[PEM形式]をクリックし、現在のCA証明書をダウンロードします。

    コピーアイコンをクリックし、下部に表示されたBase64エンコード証明書をメモ帳などにコピーします。