インターネットやクラウドを活用した業務環境が進むにつれ、証明書によるデバイス認証や通信のセキュリティ強化が求められるようになりました。そこで注目されるのが、Azure Intune と連携した SCEP(Simple Certificate Enrollment Protocol)CA の構築です。以下では、SCEP 証明書エラーの解説と Intune との連携手順を紹介しながら、実際に構築・運用するためのポイントを詳しく解説します。
SCEP 証明書エラーとは
SCEP 証明書エラーは、デバイスが証明書を自動取得または更新しようとする際に発生する問題の総称です。Windows イベント ビューアーに「SCEP Certificate enrollment initialization for local system」関連のメッセージやエラーが記録され、正しく証明書が見つからない・更新されないなどの症状が現れます。
具体的なエラーメッセージの例
- 「SCEP Certificate enrollment initialization for Local system failed…」
- 「Certificate not found for SCEP…」
- 「NDES サーバーに接続できませんでした…」
このようなメッセージが出力される原因として、以下が考えられます。
- 既存の SCEP 証明書の有効期限切れや管理ミス
- Microsoft 側が特定の開発者向けビルドの証明書更新を実施しなかった可能性
- 設定ファイルの不整合や Azure Intune 上のプロファイル設定エラー
- ネットワーク接続や Firewall の設定不備による SCEP サーバーへのアクセス不能
エラー放置のリスク
SCEP 証明書が取得できないままでは、デバイス認証や暗号化通信に欠かせない証明書が適切に配置されず、セキュリティ レベルが低下する恐れがあります。業務で必要なアプリや VPN 接続が使えなくなるケースもあるため、早期解決が重要です。
Intune と SCEP CA を組み合わせるメリット
Microsoft が提供するクラウドベースのデバイス管理サービスである Intune は、Windows、iOS、Android といったさまざまなデバイスを一元管理できる強みがあります。この Intune に SCEP CA を連携させると、認証用や暗号化用の証明書を自動配布し、デバイスのセキュリティを効率的に高めることが可能です。
クラウド管理の利点
- デバイスがインターネットに接続できる環境下であれば、場所を選ばずに証明書を配布・更新
- 管理者が専用サーバーや社内ネットワークに常駐せずとも証明書の発行・運用が可能
- ポータルを通じて直感的にポリシーや証明書プロファイルを設定できる
自社構築 PKI との比較
企業によってはオンプレミスの Active Directory Certificate Services (AD CS) やサードパーティの CA を運用している場合があります。オンプレミス中心の PKI は、社内ネットワークに閉じたセキュアな環境を構築できますが、リモートワークやモバイルデバイスへの配布に難点があることも事実です。
一方、Intune 上で SCEP を利用する場合は、デバイスがインターネットに接続している限り自動で証明書を取得・更新できるため、テレワークや外部拠点からのアクセスにも強い柔軟性を発揮します。
Azure Intune と組み合わせた SCEP CA 構築の流れ
ここでは、Azure と Intune を利用して SCEP CA を構築し、証明書をデバイスに展開するおおまかな手順を紹介します。実際の構築には環境ごとに微調整が必要となるので、公式ドキュメントや実運用の要件を踏まえて対応してください。
1. 管理者権限の確認
- Azure サブスクリプションを扱うための管理者権限 (グローバル管理者、Intune 管理者 など)
- Intune テナント全体を操作できる権限
- 必要に応じてオンプレミスの AD や自社 CA 管理に関する権限
複数アカウントを使う環境では、どのアカウントが Azure 上のリソースを管理できるのかを事前に明確にしておきましょう。必要に応じて IT 管理者やグローバル管理者に権限を付与してもらうか、管理アカウントを用いて作業を進めることが重要です。
2. PKI(公開鍵基盤)の準備
SCEP を利用するには、証明書を発行するための CA (証明書機関) が必要です。オンプレミスの AD CS を利用するケースもあれば、クラウド ネイティブの CA を利用する場合もあります。いずれにしても、以下の点に留意しながら PKI 環境を準備します。
- CA 設計(ルート CA、サブ CA の配置や証明書の有効期間 など)
- Revocation List(失効リスト)や OCSP 応答の仕組み
- 高可用性の確保(必要に応じて NDES サーバーの冗長化 など)
3. Intune での SCEP 設定
Azure Intune の管理コンソールから証明書プロファイルを作成し、SCEP サーバーへの接続情報やチャレンジパスワードなどを設定します。
証明書プロファイルの主要項目
下記のように、Intune 上で必要となる設定項目を整理しておくとスムーズです。
| 項目 | 説明 |
|---|---|
| SCEP サーバー URL | Intune から配布される SCEP サーバーのエンドポイント URL |
| チャレンジ パスワード | SCEP のエンロール時に必要になるパスワード |
| 証明書テンプレート | 発行される証明書の種類や目的を定義するテンプレート |
| 有効期限 | 証明書の有効期間(例:1年や2年など) |
| EKU (Extended Key Usage) | デバイス認証やクライアント認証などの利用用途 |
プロファイル作成からデバイス適用までの流れ
- Intune 管理コンソールで「デバイス構成」→「証明書プロファイル」を選択
- 「SCEP 証明書」を選択し、上記の項目を入力
- 配布対象デバイスやユーザーのグループを指定
- 証明書プロファイルを保存し、デバイスにプッシュ
この時点で、対象となるデバイスがインターネット経由で Intune に接続し、SCEP サーバーから自動的に証明書がインストールされるフローが確立されます。
4. 動作確認とトラブルシュート
構築後は以下の手順で動作確認を行い、問題があれば迅速に原因を特定しましょう。
- 対象デバイス上で、証明書ストアを開き、正しく新しい証明書がインストールされているか確認
- Windows イベント ビューアーで「Application」や「DeviceManagement-Enterprise-Diagnostics-Provider」などのログをチェック
- Azure Intune 管理コンソールのレポート機能で、「証明書の配布状況」を確認
- 必要に応じて NDES サーバー (ネットワーク デバイス エンロールメント サービス) のログや Firewall 設定を見直す
たとえば、チャレンジ パスワードの設定ミスや証明書テンプレートの誤りによってエラーが発生するケースが多々あります。問題が解決しない場合は、Microsoft Docs やコミュニティ フォーラムを活用しましょう。
複数アカウント使用環境での権限付与と運用ポイント
Azure Intune は Microsoft 365 と Azure Active Directory のアカウント基盤を利用するため、複数の管理アカウントを使う組織では権限周りの調整が複雑になることがあります。ここでは主な留意点を解説します。
アカウント ロールと権限スコープ
- グローバル管理者: Azure AD 全般と Microsoft 365 全般を操作できる最上位ロール
- Intune サービス管理者: Intune 内のデバイス管理やポリシー、証明書プロファイルを制御
- ユーザー管理者: アカウント作成やパスワード リセットなどを実施できるロール
アカウントがどのロールに属しているかを把握し、SCEP 設定に必要な操作を行うためのロールが割り当てられているかをチェックしましょう。
実運用時の権限設計
- SCEP CA 構築担当者に適切な管理者ロールを付与する
- 証明書管理を担当するメンバーに細分化された権限を割り当てる
- 不要な管理者ロールを付与しないことでセキュリティ リスクを低減
Azure AD 上で「プリンシパルに必要最小限の権限を与える」という原則があり、誤操作や内部不正のリスクを最小限に抑えるためにも運用ルールを定めておくとよいでしょう。
具体的な構成例:NDES サーバーと Intune の連携
SCEP CA の仕組みを実装するためには、オンプレミスに配置した NDES (Network Device Enrollment Service) サーバーと Intune を連携させることが一般的です。以下は簡単な構成例です。
flowchart LR
A[デバイス] -- SCEPリクエスト --> B[Intune]
B[Intune] -- 証明書プロファイル情報 --> C[NDESサーバー]
C[NDESサーバー] -- 証明書発行(AD CS) --> C
C -- 証明書送付 --> B
B -- 証明書インストール --> A- デバイスが Intune へ SCEP 証明書のリクエストを送信
- Intune は NDES サーバーへ証明書の発行を依頼
- NDES サーバーはオンプレミスの AD CS に証明書発行を要求
- 発行された証明書がデバイスに返却され、ストアにインストール
NDES サーバー構築の流れ
- Windows Server に NDES の役割をインストール
- サービス アカウントやポート設定 (既定ポート: TCP 443) を確認
- Web サービス経由で SCEP リクエストを受け付けられるよう IIS を設定
- Azure AD アプリケーション プロキシを使って NDES をクラウド側から利用できるようにする (任意)
運用時のベスト プラクティス
SCEP CA を Intune と連携させた運用は非常に便利ですが、以下の点に留意することで、より安定したセキュリティ管理が可能になります。
定期的な証明書の更新スケジュール
- 証明書の有効期限切れを見落とさないよう、自動更新の仕組みを活用
- 重要システムの証明書は手動で更新タイミングを管理する場合も検討
ログ モニタリングとアラート設定
- Azure Monitor などを活用し、証明書発行失敗が連続したときにアラートを上げる
- Intune レポートでエラーが頻発していないか定期的にチェック
セキュリティ強化策
- CA サーバーや NDES サーバーへのアクセス制限
- Intune ポリシーによりデバイスへの PIN やパスワード、暗号化を徹底
- MFA (多要素認証) を管理者アカウントに適用し、不正ログインを防ぐ
実務活用に向けたまとめ
企業のモバイルデバイス管理やリモートワーク環境のセキュリティを強化するうえで、SCEP CA は欠かせない存在です。Microsoft Intune と連携させれば、証明書の発行から管理までを一元化し、ユーザーに煩雑な操作を強いずにセキュリティを高めることができます。
一方で、権限設定やネットワーク経路、オンプレミス CA との統合など、設計段階で検討すべき内容は多岐にわたります。特に複数アカウントや複数環境にまたがる運用を行っている組織では、各アカウントが持つロールや範囲を整理し、必要な権限を付与するフローを確立しておくことが重要です。
これから SCEP CA と Azure Intune を組み合わせた環境を構築する方は、事前に権限やネットワーク要件を整理し、Microsoft Docs やコミュニティ リソースを活用しながら進めると円滑に導入できるでしょう。
参考となる追加のステップ
- 「グローバル管理者」アカウントで Intune にログインし、証明書プロファイルが正しくデバイスに割り当てられているか再確認
- Windows 端末のコマンド プロンプトや PowerShell で
certutilコマンドを使ってインストール済み証明書を一覧表示 - NDES サーバー上の IIS ログを参照し、SCEP リクエストが正しく処理されているか解析
トラブルシューティングに便利なコマンド例
運用中に何らかのエラーが発生した場合、Windows PowerShell やコマンド プロンプトで下記のコマンドを活用すると原因が特定しやすくなります。
# certutilコマンドで証明書取得状況を確認
certutil -store My
# SCEP関連イベントをフィルタリング
Get-EventLog -LogName Application | Where-Object { $_.Message -like "*SCEP*" }certutil -store Myで「個人ストア」に格納されている証明書の一覧を表示- イベントログをフィルタリングして SCEP 関連のエラーを特定
トラブルシュート時にこれらを活用することで、証明書がインストールされていない、あるいは期限切れとなっている状況を速やかに確認できます。
ライセンスとコスト面の考慮
Azure Intune や Azure サブスクリプションを活用する場合、以下のライセンス費用が発生する点に注意しましょう。
- Microsoft 365 E3/E5 プランや Enterprise Mobility + Security (EMS) など、Intune を含むプラン
- Azure AD Premium など、さらに高度なセキュリティ機能を使う場合
- オンプレミスの Windows Server ライセンスや CAL (クライアント アクセス ライセンス)
使っていない機能が多いのに高額なプランを導入すると無駄が生じる場合もあるため、導入前に現状分析と必要機能の洗い出しを行い、最適なライセンス形態を選びましょう。
まとめ
SCEP 証明書エラーは、証明書が自動発行・更新されないことによるセキュリティ低下や業務アプリケーションの不具合を引き起こす懸念があります。こうした問題を解決するには、Azure Intune と連携させた SCEP CA の構築が効果的です。クラウドベースの Intune を活用することで、場所を問わずデバイスへ証明書を配布でき、管理者の作業負担も軽減されます。
ただし、複数アカウント環境での権限やアカウント ロールの管理、NDES サーバーとの連携、既存のオンプレミス PKI との統合など、設計段階で検討すべき課題は多いです。最初にしっかりと要件定義や試験運用を行い、運用開始後も定期的な監査とログモニタリングを実施しましょう。
今後はマネージド環境の拡大とともに、Microsoft 365 や Azure サービスがより深く統合される可能性があります。組織としてセキュリティや運用管理を強化するうえでも、Azure Intune と連携した SCEP 証明書インフラの導入は有益な選択肢となるでしょう。
コメント