はじめに
今回は、失敗談 です。
同じことにならない様に注意してください。
Intune には、アドオン サービス というものがありますが、その中で Cloud PKI という機能の検証をしている中で、サポートリクエスト する羽目になりました。
Intune アドオン については こちらで解説しています
背景
Cloud PKI には、以下の2パターンの仕組みがあります。
① Intune が 証明機関 (CA) となり、ルート証明書 と 発行元証明書 を発行する機能
→ Entra ID の証明書認証などで利用可能
② 外部の証明機関 (CA) の下位 CA として、発行元証明書 を発行する機能 (BYOCA と言う)
→ RADIUS , VPN , Wifi の認証を行うためには、こちらが必要
上記の CA から発行された証明書があれば、どちらも、Intune の機能を使って、SCEP 証明書 を発行することが出来るようになります。
SCEP 証明書 というのは、クライアントが Intune から SCEP証明書プロファイルを受け取ったあと、証明書要求 (CSR) を 証明機関 (この場合は Cloud PKI) に対して発行し、それをもとに、動的に クライアント証明書をデバイスに発行する仕組みです。
注意すべき点
以下の公開情報に 既知の問題 として、最大6つの CA を作成できますと説明されており、
さらに、以下の注意書きがあります。
管理センターには、Intune テナントから CA を削除または無効にする方法はありません。
これらのアクションの提供に積極的に取り組んでいます。
利用可能になるまでは、CA を削除する Intune サポート要求を行うことをお勧めします。
公開情報:既知の問題と制限事項
https://learn.microsoft.com/ja-jp/mem/intune/protect/microsoft-cloud-pki-overview#known-issues-and-limitations
ハマった点
もう、上記の注意点を見ただけで、書かなくても判ると思いますが、上限まで CA を作ってしまい、それを消せなくなりました。
CA を作成してしまうと、それを編集する事も出来ないため、作成に失敗すると ゴミ になってしまいます。
一応、言い訳すると、① の 仕組みは 正常に機能させることができました。
1回目に失敗して、2回目に作成成功。なお ルート CA と 発行元 CA で 2つ消費します。
そのあと、私は WiFi の認証で使いたかったので ② の BYOCA の作成に取り組みました。
そこで、うまく成功させることができず、残り3つ分の枠を消費してしまい、それ以上 検証することができなくなりました。
不要な CA 削除までの流れ
サポートに問い合わせたところ、CA の削除は 海外の部署で対応をするため、5営業日ほど掛かるとのことでした。基本的には、「Cloud PKI の CA を消したいです」と言えば、提示すべき情報や手順を示していただけます。
参考:削除依頼時に提示すべき情報
削除のためには、削除する CA がある テナント から サポートリクエストの起票が必須です。
そして、テナント名 (xxx.onmicrosoft.com) もテキストで明記します。
これは、誤って 他人の CA を消したり、他者が悪意で サポートリクエストを起票し 他社テナントの CA を削除してしまうようなことを抑止する目的もあるのだと思います。
さらに、ポータルを 英語モード に切替えた上で、以下のような画面キャプチャを提出する必要があります。
CA の一覧画面
消したい CA を 以下のように明示する必要アリ。
CA ごとの詳細画面
さらに、CA ごとに 詳細ページ も提示する必要があります。
赤線部に、CA ごとのユニークな ID が表示されているので、それを必ず含める。
これで、削除申告を行う事で、手続きに入って頂けます。
受付していただいてから、5営業日 程度 待つ必要があるとのことです。
Cloud PKI で 失敗を重ねたら こういう待ち時間が発生するということを 前もって知っておいていただくと、計画的に対応いただけるかと思います。
それにしても、これ 早く GUI から削除できるようにして欲しいです。
結果報告
対応頂き、無事にキレイさっぱり消えました!
結果的には、想定通り 5 営業日目に連絡が来ました。
今週末に、Cloud PKI の検証を進めたいと思います。