デバイスポスチャサービスによるデバイス証明書チェック
デバイスポスチャ サービスでデバイス証明書チェックを設定するには、管理者はデバイスから発行者証明書をインポートする必要があります。デバイスポスチャ サービスに有効な発行者証明書が存在すると、管理者はデバイスポスチャポリシーの一部としてデバイス証明書チェックを使用できます。
注意事項
- デバイスポスチャサービスはPEM発行者証明書タイプのみをサポートします。
- Windows でデバイス証明書をチェックするには、エンドデバイスの EPA クライアントを管理権限でインストールする必要があります。その他のチェックでは、ローカル管理者権限は必要ありません。サポートされているスキャンの詳細については、「 デバイスポスチャでサポートされるスキャン」を参照してください。
管理者権限で EPA クライアントを Windows にインストールするには、EPA クライアントプラグインをダウンロードした場所で次のコマンドを実行します。
msiexec /i epasetup.msi
- デバイスポスチャ サービスによるデバイス証明書チェックは、証明書失効チェックをサポートしていません。
デバイス証明書が中間証明書によって署名されている場合は、ルート証明書と中間証明書を含むチェーン全体を 1 つの PEM ファイルにアップロードする必要があります。
Example: chain.pem -----BEGIN CERTIFICATE----- ****************************** -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ****************************** -----END CERTIFICATE
デバイス証明書をアップロード
- デバイスポスチャのホームページで [ 設定 ] をクリックします。
- [ 管理] をクリックし、[ 発行証明書のインポート] をクリックします。
- [ 証明書の種類] で、証明書のタイプを選択します。PEM タイプのみがサポートされます。
- [ 証明書ファイル] で、[証明書を選択] をクリックして発行者証明書を選択します。
- [ 開く] をクリックし、[インポート] をクリックします。
選択した証明書は [設定] > [発行者証明書] に表示されます。複数の証明書をインポートできます。
インポートした証明書を表示する
- デバイスポスチャのホームページで [ 設定 ] をクリックします。
- [発行者証明書]で、[管理] をクリックします。
- [発行者証明書] ページには、インポートされた発行者証明書が一覧表示されます。
エンドデバイスにデバイス証明書をインストールします
Windows:
- [ スタート ] メニューから、[ コンピューター証明書マネージャー] を開きます。
-
証明書が
Certificates - Local Computer\Personal\Certificates
にインストールされていることを確認します。- 意図された目的には 、 クライアント認証を含める必要があります。
- 発行者列は 、管理 GUI で設定された発行者名と一致する必要があります。
macOS:
- 「 キーチェーンアクセス 」を開き、「 システム」を選択します。
-
[ ファイル] > [項目のインポート ] をクリックして証明書をインポートします。
発行者フィールドには 、証明書の発行者名が表示されている必要があります。