本ガイドは、Active Directory 証明書サービス (AD CS) を PKI プロバイダまたは認証局として使用して、Jamf Pro で AD CS ソースの証明書をコンピュータまたはモバイルデバイスに配布する IT 管理者を対象としています。
- Jamf AD CS Connector (本ガイドで説明する方法) —Jamf Pro と AD CS 間の通信を管理する Web アプリケーション。Jamf AD CS Connector は、SCEP または証明書ペイロードのいずれかを使用して Jamf Pro で構成できます。
- Microsoft ネットワークデバイス登録サービス (NDES) を使用した簡易証明書登録プロトコル (SCEP) —この方法は、Jamf Pro の SCEP プロキシ機能もサポートできます。詳しくは、Jamf Pro を構成プロファイルの SCEP プロキシとして有効にするを参照してください。
- Active Directory 証明書ペイロード (macOS のみ) —この方法では、Mac を Active Directory にバインドする必要があります。詳しくは、Apple プラットフォーム導入の Apple デバイスの Active Directory 証明書 MDM ペイロードの設定を参照してください。
下表は、各展開方法でサポートされている機能を示しています。
| 機能 | Jamf AD CS Connector - SCEP ペイロード | Jamf AD CS Connector - 証明書ペイロード | NDES を使用した SCEP | Active Directory 証明書ペイロード (macOS のみ) |
|---|---|---|---|---|
| 証明書の失効 | X | X | — | — |
| 証明書の更新 | X | X | X | X |
| デバイスにバインドされたプライベートキー | X | — | X | — |
| Jamf Pro プロキシ通信 | X | X | X | — |
| ダイナミックチャレンジ | X | X | X | — |
| ドメインにバインドされていないデバイスにもオープン | X | X | X | — |
| インバウンド通信 | X | X | X | X |
| アウトバウンド通信 | X1 | X1 | — | — |
| 複数の証明書テンプレート | X | X | —2 | X |
1 Jamf AD CS Connector 2.0.0以降を使用する場合
2 複数の NDES サーバを実行する必要があります。Jamf Pro をプロキシとして使用する場合、指定できる NDES サーバは1つのみです。
本ガイドの残りの部分では、Jamf AD CS Connector を使用して Jamf Pro を AD CS と統合する方法について説明します。
- Jamf AD CS Connector 通信モード
インバウンド通信モードまたはアウトバウンド通信モードのいずれかで実行するように Jamf AD CS Connector を構成できます。所属する組織のニーズに最も適したモードを選択する必要があります。お使いの Jamf Pro インスタンスが Jamf Cloud でホストされており、AD CS インフラストラクチャへのファイアウォールポートを開かない場合は、コネクタのアウトバウンドモードを使用する必要があります。オンプレミスの Jamf Pro 環境があり、リモートで署名された証明書がある場合は、コネクタのアウトバウンドモードを利用できます。それ以外の場合は、インバウンドモードを使用する必要があります。
- インバウンド通信モード —
インバウンド通信モードでは、デバイスが証明書を必要とすると、Jamf Pro が証明書要求を AD CS に渡す Jamf AD CS Connector に連絡します。AD CS は新しく生成された証明書を Jamf Pro に返します。このインバウンド接続では、通常、ファイアウォールポートを開き、DMZ経由でブリッジを構成して Jamf Cloud からネットワークへの接続を許可する必要があります。詳しくは、インバウンド通信モード を参照してください。
- アウトバウンド通信モード —
アウトバウンドモードでは、コネクタは定期的にアウトバウンドを Jamf Pro に接続し、未処理の証明書要求を取得します。ファイアウォールポートやリバースプロキシの構成は不要です。アウトバウンドモードには Jamf Pro 11.13.0以降および Jamf AD CS Connector 2.0.0以降が必要です。詳しくは、アウトバウンド通信モード を参照してください。
- インバウンド通信モード —
- 証明書の配布
Jamf Pro からコンピュータおよびモバイルデバイスに構成プロファイルを展開することにより、AD CS 証明書を配布します。まず、AD CS は Jamf Pro で認証局として構成する必要があります。
構成プロファイル内で証明書ペイロードまたは SCEP ペイロードのいずれかを選択して、AD CS 証明書をコンピュータまたはモバイルデバイスに配布できます。どちらのペイロードもキーサイズのカスタマイズ、証明書の自動失効、インバウンドまたはアウトバウンド通信、複数のテンプレートを提供します。
SCEP 経由の証明書配布では、各デバイスが独自のキーペアを生成し、そのキーペアがデバイスから外部に漏れることがないため、キーが侵害されるリスクが軽減され、セキュリティが強化されます。
詳しくは、DigiCert PKI Platform 8 (レガシー) を参照してください。
- 社内専用 App
Jamf Certificate SDK で開発された ID 識別用の社内専用 App を配布して、証明書ベースの認証に対応できます。これらにより、シングルサインオン (SSO) またはご使用の環境に特有のその他の操作を実行できます。Jamf Pro を使用すると、配布中に管理対象 App 構成を App に適用し、App が必要な証明書を要求できるようになります。
詳しくは、Jamf Certificate SDK で開発された社内 App の配布 を参照してください。