Connector for SCEP 用の Omnissa Workspace ONE を設定する - AWS Private Certificate Authority
前提条件ステップ 1: Omnissa Workspace ONE で認証機関とテンプレートを定義するステップ 2: Omnissa Workspace ONE UEM プロファイル設定を設定するステップ 3: Omnissa Workspace ONE にデバイスを登録するステップ 4: 証明書を発行するトラブルシューティングセキュリティに関する考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Connector for SCEP 用の Omnissa Workspace ONE を設定する

Omnissa Workspace ONE UEM (Unified Endpoint Management) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、SCEP コネクタを作成した後に Omnissa Workspace ONE を設定する方法について説明します AWS。

前提条件

Omnissa Workspace ONE 用の SCEP コネクタを作成する前に、次の前提条件を満たす必要があります。

  • AWS コンソールでプライベート CA を作成します。詳細については、「でプライベート CA を作成する AWS Private CA」を参照してください。

  • 汎用 SCEP コネクタを作成します。詳細については、「コネクタの作成」を参照してください。

  • Organization Group ID を持つアクティブな Omnissa Workspace ONE 環境管理者アカウントがある。

  • Apple デバイスを登録する場合は、MDM の Apple Push Notification Service (APNs) を設定します。詳細については、Omnissa ドキュメントのAPNs 証明書」を参照してください。

ステップ 1: Omnissa Workspace ONE で認証機関とテンプレートを定義する

AWS コンソールでプライベート CA と SCEP コネクタを作成したら、Omnissa Workspace ONE で認証機関とテンプレートを定義します。

認証機関 AWS Private CA として を追加する

  1. システムメニューから、エンタープライズ統合を選択し、認証機関を選択します。

  2. + ADD を選択し、次の情報を指定します。

    • 名前: AWS-Private-CA。

    • 説明: デバイス証明書の発行 AWS Private CA 用。

    • 権限タイプ: 汎用 SCEP を選択します。

    • SCEP URL: SCEP URL を入力します AWS Private CA。

    • チャレンジタイプ: STATIC を選択します。

    • 静的チャレンジ: AWS コンソールで Connector for SCEP 設定から SCEP 静的チャレンジパスワードを入力します。

    • 再試行タイムアウト値と最大再試行値を入力します。

  3. 設定を保存します。

証明書テンプレートを作成する

  1. システムメニューから、エンタープライズ統合を選択し、認証機関を選択し、テンプレートを選択します。

  2. テンプレートの追加を選択し、次の情報を指定します。

    • テンプレート名: Device-Cert-Template。

    • 認証機関: AWS-Private-CA を選択します。

    • サブジェクト名: これはカスタマイズ可能なフィールドです。属性のリストから変数値を選択できます。例えば、CN={DeviceReportedName}、O={DevicePlatform}、OU={CustomAttribute1}

    • プライベートキーの長さ: 2048 ビット。

    • プライベートキータイプ: 必要に応じて署名暗号化を選択します

    • 自動更新: 有効/無効 (必要に応じて)。

  3. テンプレートを保存します。

ステップ 2: Omnissa Workspace ONE UEM プロファイル設定を設定する

Omnissa Workspace ONE UEM でプロファイルを作成し、デバイスを Connector for SCEP に指示して証明書を発行します。

証明書配布用の SCEP デバイスプロファイルを作成する

  1. リソースメニューから、プロファイルとベースラインを選択し、プロファイルを選択します。

  2. Add を選択してから Add Profile を選択します。

  3. デバイスプラットフォーム (AndroidiOSmacOSWindows) を選択します。

  4. 必要に応じて、管理タイプコンテキストを設定します。

  5. 名前 Device-Cert-Profile を設定します。

  6. SCEP ペイロードまでスクロールします。

  7. SCEP を選択し、+Add を選択します。

  8. 次の設定を使用します。

    • SCEP

      • 認証情報ソース で、定義済み認証局 (デフォルト) を選択します。

      • 認証機関の場合は、AWS-Private-CA を選択します。

      • 証明書テンプレートで、ステップ 1 で定義した Device-Cert-Template を選択します。

  9. 次へ を選択し、「割り当て」セクションで、リストから適切なスマートグループ (デバイスの割り当てグループ) を選択します。

  10. 自動更新を有効にするには、割り当てタイプ自動として選択します。

  11. プロファイルを保存して公開します。

注記

詳細については、Omnissa ドキュメントの「SCEP」を参照してください。

ステップ 3: Omnissa Workspace ONE にデバイスを登録する

スマートグループを作成または検証する

  1. グループと設定からグループを選択し、次に割り当てグループを選択します。

  2. POC-Devices スマートグループを作成または編集します。

    • 名前: POC-Devices。

    • デバイスタイプ: すべてまたは特定のプラットフォーム (Android や iOS など) を選択します。

    • 基準: UserGroupプラットフォームと OSOEM、モデルを使用して、ターゲットデバイスをグループ化する基準を指定します。

    • 所有権: 個人デバイスまたは企業デバイスの場合は任意の を選択します。

  3. ターゲットデバイスを保存してプレビュータブに表示されることを確認します。

手動デバイス登録

Android

  • Google Play から Workspace ONE Intelligent Hub アプリをダウンロードします。

  • アプリを開き、登録 URL を入力するか、QR コードをスキャンします。

  • ログインし、プロンプトに従って MDM 管理デバイスとして登録します。

iOS/macOS

  • デバイスで Safari を開き、登録 URL (https://<WorkspaceONEUEMHostname>/enroll など) に移動します。

  • ユーザー認証情報を使用してログインします。

  • App Store から Workspace ONE Intelligent Hub アプリをダウンロードしてインストールします。

  • プロンプトに従って、設定 > 全般 > VPN & デバイス管理 > プロファイル > インストールで MDM プロファイルをインストールします。

Windows

  • Workspace ONE Intelligent Hub を Workspace ONE サーバーまたは Microsoft Store からダウンロードします。

  • 登録 URL と認証情報を使用して Hub 経由で登録します。

デバイス > リストビュー > その他のアクション > スマートグループへの割り当てで、登録済みデバイスを POC-Devices スマートグループに割り当てます

詳細については、Omnissa ドキュメントの「自動デバイス登録」を参照してください。

登録の確認

  1. Omnissa Workspace ONE UEM コンソールで、デバイスに移動し、ビューを一覧表示します。

  2. 登録済みデバイスが表示され、ステータスが登録済みに設定されていることを確認します。

  3. デバイスの詳細グループタブで、デバイスが POC-Devices スマートグループにあることを確認します。

ステップ 4: 証明書を発行する

証明書の発行をトリガーする

  1. デバイスリストビューで、登録されたデバイスを選択します。

  2. クエリボタンを選択して、チェックインを促します。

  3. Device-Cert-Profile は、 を介して証明書を発行する必要があります AWS Private CA。

証明書のインストールを確認する

Android

「設定」、「セキュリティ」、「信頼できる認証情報」、「ユーザー」を選択して証明書を検証します。

iOS

「設定」に移動し、「全般」、「VPN & デバイス管理」、「設定プロファイル」を選択します。AWS-Private-CA の証明書が存在することを確認します。

macOS

Keychain Access を開き、System Keychain を開いて証明書を検証します。

Windows

certmgr.msc を開き、次に Personal を開き、次に Certificates を開いて証明書を検証します。

トラブルシューティング

SCEP エラー (「22013 - SCEP サーバーが無効なレスポンスを返しました」など)

  • Workspace ONE の SCEP URL と静的チャレンジパスワードが一致していることを確認します AWS Private CA。

  • SCEP エンドポイント接続をテストする: curl <SCEP_URL>。

  • AWS CloudTrail ログに AWS Private CA エラー (IssueCertificate の失敗など) がないか確認します。

APNsの問題 (iOS/macOS)

  • APNs 証明書が有効であり、正しい組織グループに割り当てられていることを確認します。

  • APNs接続をテストする: telnet gateway.push.apple.com 2195。

プロファイルのインストール失敗

  • デバイスが正しいスマートグループ (デバイスリストビューグループ) にあることを確認します。

  • プロファイルの同期を強制する: その他のアクション送信プロファイルリスト

ログ

  • Android: Logcat または Workspace ONE ログを使用します。

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (Xcode/Apple Configurator 経由)。

  • Windows: イベントビューワー、アプリケーションとサービスログMicrosoft-Windows-DeviceManagement

  • Workspace ONE UEM: モニタリングレポートと分析イベントデバイスイベント

での SCEP モニタリング用コネクタの詳細については AWS、「Monitor Connector for SCEP」を参照してください。

セキュリティに関する考慮事項

  • SCEP URLs とシークレットを安全に保存します。詳細については、 AWS Secrets Manager サービスを参照してください。

  • スマートグループ基準をターゲットデバイスのみに制限します。

  • Apple Push Notifications (APNs) 証明書を定期的に更新します (1 年間有効です)。

  • 概念実証プロジェクトの証明書の有効期間を短く設定して、リスクを最小限に抑えます。

  • 個人用デバイスの場合は、クリーンアップによってすべてのプロファイルと証明書が削除されていることを確認します。

SCEP コネクタを使用して Omnissa Workspace ONE UEM と CA の統合を設定する方法については、「Omnissa Workspace ONE ドキュメント」の「SCEP」を参照してください。