はじめに

Intune では、SCEP 証明書プロファイルを利用することで、PC へクライアント証明書を配布する事が可能です。

本記事では、既に "SCEP を提供する環境が構築済み" の前提で、構成プロファイルを使って PC へ証明書を配布する方法を案内したいと思います。

SCEP を提供する環境について（前提となる環境）

冒頭で申し上げたとおり、別途 SCEP を提供する環境が必要です。

SCEP を提供する環境は、以下の３通りの方法が考えられます。

① Intune と NDES を Intune 証明書コネクタで連携した環境
　→　この方法は、私の方で記事化してあります。
　　本記事と組み合わせて検証済み。相性抜群です。

② Microsoft クラウド PKI を使用する
　→　以下の公開情報に記載されている方法で実現可能と思います。
　　（注：私はまだ検証できてません）

③ サードパーティの SCEP 提供サービスを利用する
　→　他社が提供する SCEP 基盤と連携して対応することも可能になっています。
　　　以下の公開情報内にも記載がありますが、複数の会社から提供されている様子です。

　例：SCEPman を使った場合の判りやすい記事

私の記事では、① の NDES を使った環境を使って検証していますが、
上記、いずれの方法を使った場合でも本記事で次章から紹介する SCEP 証明書プロファイルの展開手順を使って、理論上は配布できるはずです。

どの方式を選ぶべきか？　※あくまで私の個人的な見解です
①～③ のどれを選ぶのかは、状況によりますが、以下の観点を踏まえて検討いただくと良いと思います。

① は、オンプレミスの環境が必要です。複数台のサーバーが必要なので、Datacenter Edition の Hyper-V 仮想基盤を既に持っていれば、追加コスト無く構築できるので理想的です。構築手順はボリュームがあり結構複雑なのが難点になります。
既に、エンタープライズ CA を展開済みの環境であれば、親和性が高いため、検討の余地があります。
オンプレ基盤を持っておらず、VM を Azure 上に構成する場合は、検証で動きを見るだけなら良いですが、運用ではコストメリットが出ないと思うので ② か ③ の方法の方が良いと思います。

② は、Intune Suite のライセンスが人数分必要になります。
③ は、サードパーティ製品の利用料が掛かります。
Microsoft のサービスで統一するか、他社製品も活用するかという観点で、コスト試算をして比べてみましょう。

② と ③ は、オンプレミス環境を必要とせず、クラウドのみで完結できる点が大きなメリットになります。

構築手順

構築手順は、以下の公開情報を踏まえて検証して、画面キャプチャ付きでまとめています。

公開情報：Intune で SCEP 証明書プロファイルを作成して割り当てる
https://learn.microsoft.com/ja-jp/mem/intune/protect/certificates-profile-scep

1. ルート証明書プロファイルを作成する

SCEP 証明書プロファイルを発行するためには、クライアント PC が、ルート証明書を保持している必要があります。そのため、ルート証明書も Intune を使って配布しておきます。

公開情報：Microsoft Intune 向けの信頼されたルート証明書プロファイル
https://learn.microsoft.com/ja-jp/mem/intune/protect/certificates-trusted-root

1-1. ルート証明書の入手

② と ③ のルート証明書の入手
1-1.章は、① NDES の方法で構成した場合に、AD CS の証明機関 (CA) から入手する方法を記載しています。

② Microsoft クラウド PKI の場合や ③ サードパーティの場合は、それぞれの基盤からルート証明書を入手したら、1-2.章に進んでください。

(CA に接続可能な PC からブラウザ経由で作業を行います)

証明機関 (CA) のアドレスにブラウザでアクセスします。
　http://[CA のアドレス]/certsrv/
　
以下の通り、CA 証明書、証明書チェーン、または CRL のダウンロード のリンクをクリックします。

　
CA 証明書のダウンロード のリンクをクリックします。

　
以下の通り、ダウンロードされれば OK です。

ダウンロードしたルート証明書は、1-2.章以降で作業を行う PC へコピーしてください。

1-2. ルート証明書プロファイルを作成する

(インターネットアクセス可能な任意の PC からブラウザ経由で作業を行います)

Intune 管理センターへ管理者アカウントでサインインします。
https://intune.microsoft.com
　
左ペインの デバイス から構成を選び、新しいポリシー を選択します。

　
プラットフォーム は、Windows 8.1 以降 を選択し、プロファイルの種類 は、信頼済み証明書 を選択して作成を押します。
※Windows 10 を選ぶのは誤りです。そこには "信頼済み証明書" はありません。

　
基本タブでは、任意の名前を入力して次へを押します。

　
構成設定 タブでは、ファイルのアイコンを押して、ファイル選択ダイアログを表示して、事前に準備しておいたルート証明書のファイルを指定します。
赤下線部は、ファイルを指定した後の状態です。
その後、保存先ストア で、コンピューター証明書ストア - ルート を選択し次へを押します。

　
以下の通知が表示されれば OK です。

　
割り当て タブでは、ルート証明書を配布するグループを選択して次へを押します。
下図のキャプチャは、すべてのデバイスを選択した場合です。

　
確認および作成 タブで最終的な内容を確認して作成を押します。

　
以下の通知が表示されれば OK です。

　
以下のように一覧に表示されれば OK です。

2. SCEP 証明書プロファイルを作成する

本章は、以下の公開情報の章を踏まえて検証して、画面キャプチャ付きでまとめています。

公開情報：SCEP 証明書プロファイルを作成する
https://learn.microsoft.com/ja-jp/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile

(インターネットアクセス可能な任意の PC からブラウザ経由で作業を行います)

左ペインの デバイス から構成を選び、新しいポリシー を選択します。

　
プラットフォーム は、Windows 10 以降 を選択し、プロファイルの種類 は、テンプレート を選択し、テンプレート名で SCEP 証明書 を選び、作成を押します。

　
基本タブでは、任意の名前を入力して次へを押します。

　
構成設定タブ が一番重要です。
証明書の種類は、デバイスを選択した証明書を使って、WiFi - PEAP(EAP-TLS) で接続できることまで検証済みです。

{{...}} は、変数になっていて利用中のデバイスやユーザーの情報を使って証明書要求の文字列を生成する事ができます。

ちょっと難しいですが、公開情報をよく読むと、変数の扱い方が説明されています。
もし、ユーザーを選ぶ場合は、サブジェクトの形式やサブジェクトの別名を適宜カスタマイズすると良いと思います。その場合は、UPN を使う事になると思います。

項目名	設定値	備考
証明書の種類	デバイス	この値で検証実績あり
サブジェクトの形式	CN={{AAD_Device_ID}}	この値で検証実績あり
サブジェクトの別名（属性）	DNS	デバイスの場合は DNS を選択
サブジェクトの別名（値）	{{DeviceName}}.[ドメイン名]	証明機関が持つドメイン名を踏まえて記載します
キー記憶域プロバイダー (KSP)	トラステッドプラットフォームモジュール (TPM) KSP が存在する場合は TPM KSP に登録する (それ以外はソフト～	この選択肢で検証実績あり
キー使用法	"2 項目が選択されました" ■デジタル署名 ■キーの暗号化	この選択肢で検証実績あり
キーサイズ	2048	この選択肢で検証実績あり
ハッシュアルゴリズム	SHA-2	この選択肢で検証実績あり