デバイスポスチャサービスによるデバイス証明書チェック

デバイスポスチャ サービスでデバイス証明書チェックを設定するには、管理者はデバイスから発行者証明書をインポートする必要があります。デバイスポスチャ サービスに有効な発行者証明書が存在すると、管理者はデバイスポスチャポリシーの一部としてデバイス証明書チェックを使用できます。

注意事項

  • デバイスポスチャサービスはPEM発行者証明書タイプのみをサポートします。
  • Windows でデバイス証明書をチェックするには、エンドデバイスの EPA クライアントを管理権限でインストールする必要があります。その他のチェックでは、ローカル管理者権限は必要ありません。サポートされているスキャンの詳細については、「 デバイスポスチャでサポートされるスキャン」を参照してください。
  • 管理者権限で EPA クライアントを Windows にインストールするには、EPA クライアントプラグインをダウンロードした場所で次のコマンドを実行します。

    msiexec /i epasetup.msi

  • デバイスポスチャ サービスによるデバイス証明書チェックは、証明書失効チェックをサポートしていません。
  • デバイス証明書が中間証明書によって署名されている場合は、ルート証明書と中間証明書を含むチェーン全体を 1 つの PEM ファイルにアップロードする必要があります。

    Example: chain.pem
    
    -----BEGIN CERTIFICATE-----
    ******************************
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    ******************************
    -----END CERTIFICATE
    

デバイス証明書をアップロード

  1. デバイスポスチャのホームページで [ 設定 ] をクリックします。
  2. [ 管理] をクリックし、[ 発行証明書のインポート] をクリックします。
  3. [ 証明書の種類] で、証明書のタイプを選択します。PEM タイプのみがサポートされます。
  4. [ 証明書ファイル] で、[証明書を選択] をクリックして発行者証明書を選択します。
  5. [ 開く] をクリックし、[インポート] をクリックします。

デバイス証明書をインポートする

選択した証明書は [設定] > [発行者証明書] に表示されます。複数の証明書をインポートできます。

インポートした証明書を表示する

  1. デバイスポスチャのホームページで [ 設定 ] をクリックします。
  2. [発行者証明書]で、[管理] をクリックします。
  3. [発行者証明書] ページには、インポートされた発行者証明書が一覧表示されます。

インポートされた証明書

エンドデバイスにデバイス証明書をインストールします

Windows:

  1. [ スタート ] メニューから、[ コンピューター証明書マネージャー] を開きます。
  2. 証明書がCertificates - Local Computer\Personal\Certificatesにインストールされていることを確認します。

    • 意図された目的にはクライアント認証を含める必要があります
    • 発行者列は 、管理 GUI で設定された発行者名と一致する必要があります。

証明書のインストール

macOS:

  1. キーチェーンアクセス 」を開き、「 システム」を選択します。
  2. [ ファイル] > [項目のインポート ] をクリックして証明書をインポートします。

    発行者フィールドには 、証明書の発行者名が表示されている必要があります。

証明書 macOS のインストール

デバイスポスチャサービスによるデバイス証明書チェック