Intune の Microsoft 証明書プロファイルで使用するための NDES の構成のトラブルシューティング

適用対象: Microsoft Intune

このガイドの内容Intune クライアント デバイスへの単純な証明書登録プロトコル (SCEP) の証明書プロファイルを割り当てるには、ネットワーク デバイス登録サービス (NDES) を正しく構成する方法を理解する管理者を支援します。 SCEP 証明書プロファイルの展開をトラブルシューティングする方法の詳細については、 Microsoft Intune でトラブルシューティングの SCEP 証明書プロファイルの展開を参照してください。

対象NDES SCEP の証明書の割り当てを使用する Microsoft Intune 環境監視の実装および管理者です。

内容このガイドでは、ベスト プラクティスのガイダンスと Windows Intune デバイスを登録するときに発生する可能性があるいくつかの一般的な問題を避けることができますように、NDES サーバーを構成する方法の例を提供します。

推定完了時間:30 ~ 45 分です。

NDES サーバーを構成することを開始する前に、環境内で以下の必要なコンポーネントがあることを確認します。

  • Active Directory ドメイン ガイドに記載されているすべてのサーバーは、Active Directory ドメインに参加させる必要があります。
  • ドメイン コント ローラー、ドメイン管理者アカウント、および Active Directory の標準のツールにアクセスします。
  • Active Directory 証明書サービス (AD CS) がインストールされている Windows サーバーです。 エンタープライズ エディションの Windows Server 2008 R2 またはそれ以降のバージョンで実行されるエンタープライズ証明機関 (CA) でなければなりません。 インストールし、エンタプライズ CA を構成する方法の詳細については、証明機関をインストールするを参照してください。 重要スタンドアロン CA の使用はサポートされていません。 CA は、Windows Server 2008 R2 を実行する場合は、修正プログラム2483564をインストールしてください。
  • NDES サーバーとして使用するには、Windows Server 2012 R2 またはそれ以降のバージョンを実行しているドメインに参加しているコンピューターです。 NDES の役割と Intune NDES のコネクタは、このコンピューターにインストールされます。 注: Intune には、エンタープライズ CA を実行している同じコンピューターに NDES のコネクタのインストールをサポートしていません。

これらの要件の詳細については、 Intune の使用と構成の SCEP 証明書.を参照してください。

開始するには、次のいずれかを選択またはで始まる作成 NDES のサービス アカウントを構成しての順序で各手順に従います。

NDES サーバーを構成することを開始する前に、環境内で以下の必要なコンポーネントがあることを確認します。

  • Active Directory ドメイン ガイドに記載されているすべてのサーバーは、Active Directory ドメインに参加させる必要があります。
  • ドメイン コント ローラー、ドメイン管理者アカウント、および Active Directory の標準のツールにアクセスします。
  • Active Directory 証明書サービス (AD CS) がインストールされている Windows サーバーです。 エンタープライズ エディションの Windows Server 2008 R2 またはそれ以降のバージョンで実行されるエンタープライズ証明機関 (CA) でなければなりません。 インストールし、エンタプライズ CA を構成する方法の詳細については、証明機関をインストールするを参照してください。 重要スタンドアロン CA の使用はサポートされていません。 CA は、Windows Server 2008 R2 を実行する場合は、修正プログラム2483564をインストールしてください。
  • NDES サーバーとして使用するには、Windows Server 2012 R2 またはそれ以降のバージョンを実行しているドメインに参加しているコンピューターです。 NDES の役割と Intune NDES のコネクタは、このコンピューターにインストールされます。 注: Intune には、エンタープライズ CA を実行している同じコンピューターに NDES のコネクタのインストールをサポートしていません。

これらの要件の詳細については、 Intune の使用と構成の SCEP 証明書.を参照してください。

開始するには、次のいずれかを選択またはで始まる作成 NDES のサービス アカウントを構成しての順序で各手順に従います。

まず、NDES のサービス アカウントとしてドメイン ユーザー アカウントを作成する必要があります。 発行 ca をインストールし、NDES を構成する前にテンプレートを構成するときは、このアカウントを指定します。

それには、以下の手順を実行します。

  1. ドメイン コント ローラーは、DSA のを実行します。MSCを開くActive Directory ユーザーとコンピューター MMC、し Intune NDES のコネクタが使用する新しいドメイン ユーザー アカウントを作成します。 パスワードを無期限に設定されていることを確認します。 例では、アカウントはSVC-Intune-NDESと呼ばれます。
  2. NDES サーバーにログオンし、コンピューターの管理コンソールを開きます。
  3. ローカル ユーザーとグループ>グループIIS_IUSRSグループを選択し、このグループにサービス アカウント (たとえばSVC-Intune-NDES) を追加しを参照してください。
    サービス アカウント

NDES の証明書テンプレートを構成してテンプレートを発行は、以下の手順を実行します。

  1. 実行] ダイアログ ボックスでcertsrv.mscを入力して、証明機関MMC を開くし、し、Enter キーを押します。
  2. ナビゲーション ウィンドウで、CA の名前を右クリックし、し、[プロパティ] をクリックします。
  3. [セキュリティ] タブをクリックして、NDES のサービス アカウントを追加、問題と証明書の管理のアクセス許可を付与]をクリックします。
    アカウントのアクセス許可
  4. ナビゲーション ウィンドウで、CA の名前、[証明書テンプレート]を右クリックし、管理] をクリックします。
  5. 結果ウィンドウで、ユーザーを右クリックしをクリックし、テンプレートを複製します
  6. 新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブでは、 NDES の一般的な目的などのテンプレート名を入力をActive Directory で証明書を発行がオフになっているかどうかを確認します。
    テンプレートのプロパティ
    テンプレート名の値には、スペースが含まれていません。
  7. 要求処理] タブをクリックして、目的の署名暗号化をプロンプトで[はい] をクリックします。
  8. サブジェクト名] タブをクリックして要求に」オプションを選択、プロンプトで [ OK ] をクリックします。
  9. [セキュリティ] タブをクリックして、サービス アカウントを追加し、読み取りおよび登録アクセス許可を付与し。
  10. [セキュリティ] タブで、認証されたユーザーを選択し、読み取りおよび登録アクセス許可を付与し、します。
  11. 拡張機能] タブをクリックして、アプリケーション ポリシー] を選択し、クライアント認証アプリケーション ポリシー の説明に含まれているかどうかを確認しとサーバーを認証します。それ以外の場合、これらのポリシーを追加するのには編集ををクリックします。
  12. [拡張子] タブで、キー使用法]を選択します。 [キー使用法の説明では、確認の署名は発行元の証明リストに表示されないデジタル署名が表示されているとします。 として他のすべての既定値のままに-です。
  13. [互換性] タブをクリックし、証明機関Windows Server 2003に設定されて、その証明書の受信者になっているかどうかを確認Windows XP/Server 2003
  14. [適用] をクリックし、[OK] をクリックします。
  15. NDES の一般的な目的のテンプレートが他のテンプレートと表示されていることを確認します。

それには、以下の手順を実行します。

  1. 証明機関MMC で、発行 CA の証明書テンプレートをクリックします。
  2. [操作] メニューで、新規作成] をポイントし、[発行する証明書テンプレート] をクリックします。 有効にする証明書テンプレートの選択] ダイアログ ボックスが開きます。
  3. ] で、証明書テンプレートを有効にする(この例ではNDES の一般的な目的) が構成されている証明書テンプレートの名前をクリックし、[ OK] をクリックします。

それには、以下の手順を実行します。

  1. NDES サーバーで、エンタープライズの管理者としてサインインして NDES をインストールするの役割と機能の追加ウィザードを使用してください。
  2. サーバーの役割の選択] ページで、[ Active Directory の証明書サービスをチェックし、
  3. AD CS役割サービスの選択] ページ、[ネットワーク デバイス登録サービスを確認して、証明機関をオフにし、次のウィザードがインストールを完了します。
  4. [インストールの進行状況] ページでは、 AD CS の構成ウィザードを開くには、移行先サーバー上に Active Directory 証明書サービスを構成するをクリックします。 AD CS の構成ウィザードが開いたら、 [役割の追加と機能のウィザードを閉じます。
    AD CS を構成します。
  5. AD CS の構成ウィザードで、[資格情報] ページで既定の資格情報をそのまま使用し、
  6. [役割サービス] ページで、ネットワーク デバイス登録サービスを確認し、
  7. NDES のサービス アカウント] ページで、[ ...] を選択をすると、NDES のサービス アカウントを選択] をクリックし、[次へ] をクリックします。
    サービス アカウントを選択します。
  8. CANDES のページで、 CA の名前の既定の設定のまま、 ...] を選択、発行元 CA を選択する] をクリックし、[次へ] をクリックします。
  9. RA 情報] ページで、既定値を使用して
  10. NDES の暗号化] ページで、既定値を使用し、[次へ] をクリックします。 注: 登録機関のキーには、CryptoAPI サービス プロバイダーのみがサポートされます。 暗号化 API: 次生成 (CNG) プロバイダーがサポートされません。
  11. [確認] ページで、構成] をクリックし、構成が完了するまで待つし、ウィザードを終了します。 大事な 処理中にエラーが発生する場合は、コンピューターを再起動し、もう一度 NDES サーバーの役割を構成する手順を繰り返します。
  12. NDES サーバーで、管理者特権のコマンド プロンプトを開き、NDES のサービス アカウントの SPN を設定するのには次のコマンドを実行します。 setspn -s http/<DNS name of the NDES server> <Domain name>\<NDES service account name> 次に例を示します。 setspn -s http/FC-CM01.fourthcoffee.local fourthcoffee\SVC-Intune-NDES
  13. インストールが完了したら、レジストリ エディターを開くし、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\の次の値を設定し、のレジストリ キー。
    • 名: EncryptionTemplate 種類: REG_SZ データ: < NDES 証明書テンプレートの名前 > (スペースなし)
    • 名: GeneralPurposeTemplate 種類: REG_SZ データ: < NDES 証明書テンプレートの名前 > (スペースなし)
    • 名: SignatureTemplate 種類: REG_SZ データ: < NDES 証明書テンプレートの名前 > (スペースなし)
    例を以下に示します。

    レジストリ

  14. NDES サーバーを再起動します。

それには、以下の手順を実行します。

  1. NDES の役割がサーバーに追加されると、IIS がインストールされてもします。 サーバーがインストールされている次の IIS 機能を持っていることを確認します。
    • Web サーバー>セキュリティ>要求のフィルタ リング
    • Web サーバー>アプリケーションの開発>ASP.NET 3.5 ASP.NET 3.5 をインストールすると、.NET Framework 3.5 がインストールされます。 .NET Framework 3.5 をインストールするときは、中核となる.NET Framework 3.5の機能とHTTP アクティブ化の両方をインストールします。
    • Web サーバー>アプリケーションの開発>ASP.NET 4.5 ASP.NET 4.5 をインストールすると、.NET Framework 4.5 がインストールされます。 .NET Framework 4.5 をインストールするときは、 .NET Framework 4.5のコア機能、 ASP.NET 4.5、およびWCF サービス>HTTP アクティブ化機能をインストールします。
    • Web サーバー (IIS) > 管理ツール>IIS 6 管理互換>IIS 6 メタベース互換性
    • Web サーバー (IIS) > 管理ツール>IIS 6 管理互換> IIS 6 WMI 互換です。
    または、次を実行することができますをインストールし、IIS を構成する PowerShell コマンドに関連する NDES サーバーで機能します。 Add-WindowsFeature -Name @("ADCS-Device-Enrollment","Web-Server","Web-WebServer","Web-Common-Http","Web-Default-Doc","Web-Dir-Browsing","Web-Http-Errors","Web-Static-Content","Web-Http-Redirect","Web-Health","Web-Http-Logging","Web-Log-Libraries","Web-Request-Monitor","Web-Http-Tracing","Web-Performance","Web-Stat-Compression","Web-Security","Web-Filtering","Web-Windows-Auth","Web-App-Dev","Web-Net-Ext","Web-Net-Ext45","Web-Asp-Net","Web-Asp-Net45","Web-ISAPI-Ext","Web-ISAPI-Filter","Web-Mgmt-Tools","Web-Mgmt-Console","Web-Mgmt-Compat","Web-Metabase","Web-WMI","NET-Framework-Features","NET-Framework-Core","NET-HTTP-Activation","NET-Framework-45-Features","NET-Framework-45-Core","NET-Framework-45-ASPNET","NET-WCF-Services45","NET-WCF-HTTP-Activation45","NET-WCF-TCP-PortSharing45","RSAT-ADCS-Mgmt","WAS","WAS-Process-Model","WAS-NET-Environment","WAS-Config-APIs") Windows PowerShell の詳細についてを参照してここで
  2. レジストリ エディターを開き、レジストリキーを探し、 HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters  し、次の値を追加します。
    • 名前: MaxFieldLength 種類: DWORD データ: 65534 (10 進)
    • 名前: MaxRequestBytes 種類: DWORD データ: 65534 (10 進)

それには、以下の手順を実行します。

  1. NDES サーバーで、 Internet Explorerを起動し、以下の URL を参照します。 NDES サーバーの http://<FQDN >/certsrv/mscep/mscep.dll 注: この URL は、外部ネットワークから使用できません。
  2. 結果が次のようになっていることを確認します。
    NDES のメッセージ
  3. インターネット インフォメーション サービス (IIS) マネージャーを開きを参照してサイト > 既定の Web サイト をダブルクリックし、要求のフィルタ リングします
  4. [操作] ウィンドウで、[機能設定の編集]をクリックします。
  5. 要求のフィルタ リングの設定の編集] ダイアログ ボックスで次の設定を確認します。
    フィルターの設定を要求します。
    これらの値が設定されていない、次の値を設定および NDES サーバーを再起動します。
    • 最大のコンテンツの長さ (バイト): 30000000
    • URL の最大長 (バイト): 65534
    • 最大のクエリ文字列 (バイト): 65534
  6. サイト > 既定の Web サイトでは、操作ウィンドウで、バインド... ] をクリックします。
  7. HTTPSが指定されていることを確認します。
  8. HTTPSを選択して [編集] をクリックし、 HTTPSを Intune の唯一のサポートされているポートは、ポート443に設定されているかどうかを確認します。 また、CA から要求される SSL 証明書が指定されていることを確認します。
    サイトのバインド
  9. 次の HTTPS URL を参照してください。 NDES サーバーの https://<FQDN >/certsrv/mscep/mscep.dll 手順 2 と同じページに返す必要があります。
  10. 南京錠のアイコンをクリックし、[証明書のプロパティを確認する証明書を表示します。
    View certificate
  11. [詳細] タブをクリックして、見つけて拡張キー使用法]を選択します。 値が、サーバー認証クライアント認証に設定されていることを確認します。
    証明書

それには、以下の手順を実行します。

  1. コネクタをインストールする前に、NDES サーバー上で次の役割がインストールされていることを確認します。
    • ASP.NET の web サーバー
    • IIS 6 WMI 互換性
    • .Net framework 3.5
  2. NDES サーバーで実行されているSQL Server レポート サービスを使っている場合は停止し、NDES コネクタをインストールする前にサービスを無効にします。 インストールが完了した後を有効にして、サービスを開始します。
  3. Intune 管理ポータルを開く、>の証明機関デバイスの構成に、追加] をクリックし、 NDESConnectorSetup.exe をダウンロードするのには、証明書のコネクタをダウンロードするソフトウェア.  
    コネクタの証明書をダウンロードします。
  4. ダウンロードが完了したら、 NDESConnectorSetup.exeを右クリックし [管理者として実行を、セットアップを開始します。
  5. [インストール オプション] ページで、 SCEP と PFX プロファイルの配布を選択し、[次へ] をクリックします。
    インストール オプション
  6. Microsoft Intune コネクタ用のクライアント証明書] ページで [ ...] を選択] をクリックします
  7. [証明書の選択] ページで、証明書を選択します。 証明書のプロパティを表示するのにはここをクリックを選択し、拡張キー使用法が少なくとも含まれているかどうかを確認クライアントを認証します。
  8. [Ok]をクリックし、クリックして
  9. NDES のポリシー モジュールのクライアント証明書] ページで、[証明書の詳細を確認しをクリックし、
  10. Microsoft Intune NDES のコネクタをインストールする準備ができました] ページで、インストール プロセスを開始するインストールをクリックします。
  11. インストールが完了すると、 Intune NDES コネクタの起動] チェック ボックスをオンし、し、[完了] をクリックします。
    インストールが完了しました
  12. NDES コネクタ] ウィンドウで、[登録] タブで、[サインイン] をクリックし、Intune テナントのグローバル管理者であるし、 Intune のライセンスを持つユーザー アカウントを使用してサインインしています。
    サインイン
  13. [サインイン] ページで、Microsoft Intune の資格情報を入力し、し、[サインイン] をクリックします。 それが表示されたら、パスワードを保存するかどうか、[はい] をクリックします。
  14. 正常に登録されているメッセージが表示されたら、[ OK] をクリックします。
  15. [詳細] タブで、既定のシステム アカウントを選択や、CA の証明書を失効させるアクセス許可を持つアカウントを指定し、[適用] をクリックします。
    資格情報を入力してください。
    メモ(通常は、NDES サービス アカウント) を指定するアカウントでは、CA の発行と管理アクセス許可が必要、証明書を失効するのにはこのアクセス許可が必要です。
    アクセス許可
  16. CA の [アカウントの詳細情報が保存されましたが、メッセージが表示されたら[ OK] をクリックします。
  17. 閉じるNDES コネクタ] ウィンドウを終了する] をクリックします。
  18. コマンド プロンプトを開きますservices.msc」と入力し、Enter キーを押します。
  19. Intune コネクタ サービスを右クリックし、し、[再起動] をクリックします。
  20. World Wide Web 発行サービスを再起動します。
  21. Internet Explorer では、次の HTTPS URL を参照してください。 NDES サーバーの https://<FQDN >/certsrv/mscep/mscep.dll それには、次のような HTTP 403 エラーが返されます。
    HTTP 403
  22. 南京錠のアイコンをクリックし、証明書を表示] をクリックします。
  23. [詳細] タブをクリックし、拡張キー使用法フィールドします。 値は、サーバー認証クライアント認証を設定する必要があります。
    証明書

おめでとうございます。 Intune NDES のコネクタの問題を解決します。

別の問題の解決策を探しても、Intune に関する詳細情報を探している場合、Microsoft Intune フォーラムで質問を投稿するここで。 多くのサポート エンジニア、Mvp と、開発チームのメンバーは、フォーラムを頻繁にします。 、は、高い確率で必要な情報を持つユーザーを見つけることができます。の詳細についてはNDES と Intune、 Intune の使用と構成の SCEP 証明書を参照してください

すべての最新ニュース、情報および技術のヒントは、公式、Intune ブログを参照してください。

別の問題の解決策を探しても、Intune に関する詳細情報を探している場合、Microsoft Intune フォーラムで質問を投稿するここで。 多くのサポート エンジニア、Mvp と、開発チームのメンバーは、フォーラムを頻繁にします。 、は、高い確率で必要な情報を持つユーザーを見つけることができます。の詳細についてはNDES と Intune、 Intune の使用と構成の SCEP 証明書を参照してください

すべての他の失敗し、Intune の Microsoft 製品サポート チームにサポート ・ リクエストを開く場合は、方法については、ここでの情報を検索できます。

Intune のマイクロソフトのサポートを取得する方法

すべての最新ニュース、情報および技術のヒントは、公式、Intune ブログを参照してください。

SSL 証明書は、IIS/NDES サーバー Intune クライアントまたはプロキシからの接続をセキュリティで保護する必要があります。 これを行うには、新しい証明書が PKI から要求され、IIS にバインドされています。 手順は、使用されている PKI によって大幅に異なることができます。 SSL 証明書を取得する方法がわからない場合、ほとんどの場合は、組織の PKI 管理者、最適なリソースです。

次には、適切な証明書テンプレートを作成して要求し、Azure AD アプリケーション プロキシを使用する場合は、SSL 証明書を構成する例を示します。

  1. CA サーバーに接続し、証明機関 MMC を開き、[実行] ダイアログ ボックスでcertsrv.mscを入力して、し、Enter キーを押します。
  2. [ナビゲーション ウィンドウで、CA の名前、証明書テンプレート] を右クリックし、管理] をクリックします。
  3. 結果ペインで、 Web サーバーを右クリックし、[テンプレートの複製] をクリックします。 注:Windows Server 2003 または Windows Server 2008 の互換性を選択するメッセージが表示されたら、Windows Server 2003 を選択します。
  4. 新しいテンプレートのプロパティ] ダイアログ ボックスで、[互換性] タブをクリックして、 Windows XP に設定する受信者の証明書証明機関Windows Server 2003に設定されていることを確認/サーバー2003
  5. [全般] タブをクリックし、 NDESIISなど、新しいテンプレートの名前を入力します。
  6. 要求処理] タブをクリックして、目的署名と暗号化を選択します。
  7. 拡張機能] タブをクリックして、アプリケーション ポリシー] を選択し、クライアントの認証サーバー認証アプリケーション ポリシー説明にはが含まれているかどうかを確認し、します。 それ以外の場合、これらのポリシーを追加するのには編集ををクリックします。
    拡張機能
  8. [サブジェクト名] タブをクリックし、要求に含まれる] オプションを選択します。
  9. [セキュリティ] タブをクリックして、両方のドメインのコンピュータードメインの管理者読み取り書き込みおよび登録アクセス許可があることを確認します。
    アクセス許可
  10. [適用] をクリックし、証明書テンプレートを作成するのには[ok]をクリックします。

テンプレートを構成した後は、NDES と IIS サーバーから SSL 証明書を要求するのにことを使用します。 それには、以下の手順を実行します。

  1. NDES と IIS サーバーから実行] ダイアログ ボックスで certlm.msc を入力し、し、Enter キーを押します。
  2. 証明書 - ローカル コンピューター、[個人] を展開、証明書を右クリックし、すべてのタスク] をポイントし、新しい証明書の要求]をクリックし、します。
  3. 証明書の登録ウィザードで、証明書の要求] ページで [証明書テンプレートを作成して詳細についてはをクリックし、この証明書を登録するために必要で、します。ここをクリックすると、設定を構成する.
    証明書を選択します。
  4. 証明書のプロパティ] ダイアログ ボックスで、[件名] タブをクリックし、次の操作します。
    • [サブジェクト名の種類」ドロップ ダウン リストで共通名を選択します。 [] ボックスで、クライアントは、プロキシのパブリック インターフェイスのように、接続する外部の完全修飾ドメイン名 (FQDN) を入力し、し、[追加] をクリックします。
    • 代替名] の下の種類」ドロップ ダウン ボックスの一覧でDNSを選択します。 [] ボックスで、外部 FQDN (たとえば ndes.contoso.com) と (たとえば ndes.contoso.local) の内部 FQDN を入力し、し、[追加] をクリックします。
    例は次のとおりです。
    証明書のサブジェクト
  5. [全般] タブをクリックして、それが実行され、 [ok]証明書のプロパティ] ダイアログ ボックスを閉じる] をクリックすると、すぐ、証明書を簡単に認識されることができますように、 IIS の NDESなどのわかりやすい名前を入力します。
  6. [証明書の要求] ページで、表示されている証明書の一覧から証明書を選択し、[登録] をクリックします。
    証明書を登録します。
  7. [証明書のインストールの結果] ページで、証明書をインストールすると、完了するまでの待機し、し、[完了] をクリックします。
  8. [証明書 -ローカル コンピューター証明書が表示されていることを確認> 個人 >証明書