管理対象のモバイル デバイスと Chrome OS デバイス用の証明書を設定する

モバイル デバイスこの機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Cloud Identity Premium。 エディションの比較

Chrome OS デバイス: デバイスベースの証明書には Chrome Enterprise が 必要です。

管理者は、オンプレミスの認証局（CA）から発行された証明書を配布することで、ユーザーが組織の Wi-Fi ネットワーク、内部アプリ、内部ウェブサイトにモバイルおよび Chrome OS デバイスからアクセスできるようにするかを制御できます。Windows サービスの Google Cloud Certificate Connector により、Simple Certificate Enrollment Protocol（SCEP）サーバーからユーザーのモバイル デバイスおよび Chrome OS デバイスに対し、証明書と認証鍵が安全に配布されます。詳細

Chrome OS デバイスの場合は、ユーザーベースまたはデバイスベースの証明書を設定できます。ユーザー証明書は特定のユーザーのデバイスに追加され、そのユーザーがアクセスできるようになります。デバイス証明書はデバイスに基づいて割り当てられ、そのデバイスにログインしているすべてのユーザーがアクセスできます。詳しくは、Chrome デバイスのクライアント証明書を管理するをご覧ください。

モバイル デバイスと Chrome OS デバイスは異なる RSA 鍵タイプをサポートしているため、モバイル デバイスと Chrome OS デバイスの両方で Wi-Fi ネットワーク アクセスを管理したい場合は、SCEP プロファイルと Wi-Fi ネットワークを別々に設定する必要があります。

鍵の保管に関する注意事項:

• モバイル デバイスの場合、証明書の秘密鍵が Google サーバー上で生成されます。鍵は、証明書がデバイスにインストールされた後、または鍵の生成から 24 時間後のいずれか早いほうのタイミングで、Google サーバーから完全に削除されます。
• Chrome OS デバイスの場合、証明書の秘密鍵は Chrome デバイスで生成されます。対応する公開鍵は Google のサーバーに一時的に保存され、証明書のインストール後に完全に削除されます。

システム要件

• SCEP サーバー向けの Microsoft Active Directory 証明書サービスと、Microsoft Network Device Enrollment Service（NDES）を使用して、証明書をユーザーに配布します。
• モバイル デバイス: モバイルの詳細管理が適用されている iOS デバイスと Android デバイス。詳しくは、デバイスの要件をご覧ください。
• Chrome OS デバイス:
  • デバイス証明書: Chrome OS バージョン 89 以降（Chrome Enterprise で管理）
  • ユーザー証明書: Chrome OS バージョン 86 以降。注: 87 より前のバージョンの場合、ユーザーはデバイスを再起動するか、ユーザー証明書がデプロイされるまで数時間待つ必要があります。

始める前に

• 証明書のサブジェクト名で Active Directory のユーザー名を使用する必要がある場合は、Active Directory および Google Directory を Google Cloud Directory Sync（GCDS）と同期する必要があります。必要に応じて、GCDS を設定します。
• Google 管理コンソールで CA 証明書をまだアップロードしていない場合は、証明書を追加します。
• 予期せぬ挙動を回避するために、既知の問題をご確認ください。

既知の問題

• デバイスにインストールした後の証明書を取り消すことはできません。
• SCEP プロファイルでは動的な本人確認はサポートされていません。
• 場合によっては、組織部門間での SCEP プロファイルの継承が機能しなくなることがあります。たとえば、ある組織部門に対して SCEP プロファイルを設定し、子組織部門の SCEP プロファイルを変更した場合、子組織部門に対して親組織部門の SCEP プロファイルを一切継承することはできません。
• モバイル デバイスの場合、SCEP プロファイルは Wi-Fi にのみ適用可能で、VPN またはイーサネットの設定には適用できません。
• Chrome OS デバイスでは、SCEP プロファイルを VPN やイーサネットの設定に直接適用することはできません。SCEP プロファイルを VPN またはイーサネット設定に間接的に適用するには、発行元または件名のパターンを使用して、使用する証明書を自動選択します。
• Chrome OS デバイスのユーザーに対して証明書をデプロイできるのは、管理対象デバイスにログインしているユーザーのみです。ユーザーとデバイスは同じドメインに属している必要があります。

手順 1: Google Cloud Certificate Connector をダウンロードする

SCEP サーバーで、または SCEP サーバーでサービスとしてログインできるアカウントを持つ Windows パソコンで、次の手順を実施します。アカウントの認証情報を用意しておいてください。

組織に複数のサーバーがある場合は、それらすべてのサーバーで同じ証明書コネクタ エージェントを使用できます。以下の手順に沿って、インストール ファイル、設定ファイル、鍵ファイルを 1 台のパソコンにダウンロードしてインストールします。次に、この 3 つのファイルを別のサーバー用パソコンにコピーし、そのパソコン上で同じ設定手順を繰り返します。

注: Google Cloud Certificate Connector とそのコンポーネントは、組織用の証明書を最初に設定するときに、一度だけダウンロードします。証明書と SCEP プロファイルでは、1 つの証明書コネクタを共有できます。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
3. [セキュア SCEP] [コネクタをダウンロード] をクリックします。
4. [Google Cloud Certificate Connector] で [ダウンロード] をクリックします。ダウンロードすると、証明書コネクタを含むフォルダがパソコンのデスクトップ上に作成されます。このフォルダに、他のコネクタ設定ファイルもダウンロードすることをおすすめします。
5. [コネクタの設定ファイルをダウンロードする] で [ダウンロード] をクリックします。config.json ファイルがダウンロードされます。
6. [サービス アカウントの鍵を取得する] で [キーを生成] をクリックします。key.json ファイルがダウンロードされます。
7. 証明書コネクタ インストーラを実行します。
   1. インストール ウィザードで [次へ] をクリックします。
   2. 使用許諾契約の条項に同意して [次へ] をクリックします。
   3. サービスのインストール対象となるアカウントを選択し、[次へ] をクリックします。SCEP サーバーでサービスとしてログインする権限のあるアカウントを選択してください。
   4. インストール場所を選択します。デフォルトを使用することをおすすめします。[次へ] をクリックします。
   5. サービス アカウントの認証情報を入力し、[次へ] をクリックします。サービスがインストールされます。
   6. [完了] をクリックしてインストールを完了します。
8. インストール中に作成された Google Cloud Certificate Connector のフォルダ（通常は C:\Program Files\Google Cloud Certificate Connector）に、設定ファイルと鍵ファイル（config.json と key.json）を移動します。
9. Google Cloud Certificate Connector サービスを起動します。
   1. Windows サービスを開きます。
   2. サービスのリストで [Google Cloud Certificate Connector] を選択します。
   3. [開始] をクリックしてサービスを開始します。ステータスが [実行中] に変わることを確認します。パソコンを再起動すると、サービスは自動的に再起動します。

後でサービス アカウントの新しい鍵をダウンロードする場合は、サービスを再起動して、その鍵を適用します。

手順 2: SCEP プロファイルを追加する

SCEP プロファイルにより、ユーザーが Wi-Fi ネットワークにアクセスできるようにする証明書が定義されます。プロファイルを特定のユーザーに割り当てるには、そのプロファイルを組織部門に追加します。複数の SCEP プロファイルを設定して、組織部門別およびデバイスの種類別にアクセスを管理できます。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
3. [SCEP プロファイルを作成] をクリックします。
4. （省略可）設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る 注: 既知の問題として報告されているため、プロファイルを適用する組織部門ごとに SCEP プロファイルを設定することをおすすめします。
5. [セキュア SCEP プロファイルを追加] をクリックします。
6. プロファイルの設定の詳細を入力します。CA によって特定のテンプレートが発行されている場合は、プロファイルの詳細をテンプレートに合わせます。
   • SCEP プロファイル名 - プロファイルのわかりやすい名前を使用します。この名前は、Wi-Fi ネットワーク設定内のプロファイルのリストとプロファイルの選択画面に表示されます。
   • サブジェクト名の形式 - 証明書の所有者を識別する方法を選択します。[完全な識別名] をオンにした場合、証明書の共通名はユーザーのユーザー名になります。
   • サブジェクトの別名 - SAN を指定します。デフォルトは [なし] に設定されています。

     Chrome OS デバイスの場合は、ユーザーとデバイスの属性に基づいてサブジェクトの別名を定義できます。カスタムの証明書署名リクエスト（CSR）を使用するには、リクエストに定義されているサブジェクトの値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定します。ここでは、少なくともサブジェクト内の CommonName の値を指定する必要があります。

     次のプレースホルダを使用できます。値はすべて省略可能です。

     • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID
     • ${USER_EMAIL} - ログインしているユーザーのメールアドレス
     • ${USER_EMAIL_DOMAIN} - ログインしているユーザーのドメイン名
     • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号
     • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID
     • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション
     • ${USER_EMAIL_NAME} - ログインしているユーザーのメールアドレスの先頭部分（@ の前）

     プレースホルダの値を取得できない場合、値は空の文字列で置換されます。

   • 署名アルゴリズム - 認証鍵の暗号化に使用するハッシュ関数です。RSA を使う SHA256 のみ使用できます。
   • 鍵の用途 - 鍵の使い方、鍵による暗号化と署名に関するオプションです。複数選択することもできます。
   • 鍵のサイズ（ビット） - RSA 鍵のサイズです。Chrome OS デバイスの場合は「2048」を選択します。
   • SCEP サーバーの URL - SCEP サーバーの URL です。
   • 証明書の有効期間（年数） - デバイス証明書が有効である期間を指定します。数値で入力します。
   • 更新までの日数 - 証明書の更新が可能となる、デバイス証明書の有効期限が切れる前の日数を指定します。
   • 鍵の拡張的用途 - 鍵の利用方法を指定します。複数の値を選択できます。
   • 本人確認の方法 - Google が SCEP サーバーから証明書をリクエストする際、指定された本人確認用フレーズの入力を求められるようにするには、[静的] をオンにしてフレーズを入力します。[なし] をオンにした場合、サーバーはこの確認を必要としません。
   • テンプレート名 - NDES サーバーによって使用されるテンプレートの名前です。
   • 認証局 - 認証局として使用するためにアップロードした証明書の名前です。
   • このプロファイルが適用されるネットワークの種類 - SCEP プロファイルを使用するネットワークの種類です。
   • このプロファイルが適用されるプラットフォーム - SCEP プロファイルを使用するデバイス プラットフォームです。Chrome OS デバイスの場合は、導入する証明書の種類に応じて [Chromebook（ユーザー）]、[Chromebook（デバイス）]、またはその両方をオンにします。
7. [保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。

   継承された値を後で復元するには、[継承] をクリックします。

プロファイルを追加すると、その名前と、そのプロファイルが有効になっているプラットフォームが表示されます。[プラットフォーム] 列で、青色のアイコンのプラットフォームではプロファイルが有効になっており、灰色のアイコンのプラットフォームでは無効になっています。プロファイルを編集するには、行にカーソルを合わせ、編集アイコン をクリックします。

SCEP プロファイルが組織部門内のユーザーに自動的に配布されます。

手順 3: Google Cloud Certificate Connector のキーストアを設定する

証明書が信頼できる CA によって発行された場合、または SCEP サーバーの URL が HTTP で始まる場合は、この手順をスキップしてください。

信頼できる CA によって証明書が発行されていない場合は（自己署名証明書など）、Google Cloud Certificate Connector のキーストアに証明書をインポートする必要があります。そうしなければ、デバイスの証明書をプロビジョニングできず、デバイスを接続できません。

1. CA にログインします。
2. Java JRE がまだインストールされていない場合は、keytool.exe をインストールして使用できます。
3. コマンド プロンプトを開きます。
4. 次のコマンドを実行して CA 証明書をエクスポートし、PEM ファイルに変換します。

   certutil ‑ca.cert C:\root.cer
   certutil ‑encode cacert.cer cacert.pem

5. キーストアに CA 証明書をインポートします。インストール中に作成された Google Cloud Certificate Connector のフォルダのサブディレクトリ（通常は C:\Program Files\Google Cloud Certificate Connector）から、次のコマンドを実行します。

   java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

   java-home-dir は Google Cloud Certificate Connector のフォルダにある JRE へのパスに置き換え、cert-export-dir は手順 4 でエクスポートした証明書へのパスに置き換えます。

手順 4: SCEP プロファイルが要求されるように Wi-Fi ネットワークを設定する（省略可）

ユーザーのモバイル デバイスや Chrome OS デバイスが SCEP サーバーから証明書を受信したら、証明書の認証を要求するように Wi-Fi ネットワークを設定できます。

モバイル デバイスと Chrome OS デバイスの両方で Wi-Fi ネットワークへのアクセスを管理するには、デバイスごとに Wi-Fi ネットワークを設定します。たとえば、モバイル デバイス用に 1 つの Wi-Fi ネットワークを設定し、モバイル デバイス用の SCEP プロファイルを割り当て、Chrome OS デバイス用の別の Wi-Fi ネットワークを設定して、Chrome OS デバイス用の SCEP プロファイルを割り当てます。

証明書を選択し、SCEP プロファイルを Wi-Fi ネットワークに適用するには:

1. Wi-Fi 設定を追加するか、既存の設定を編集します。
2. [プラットフォームへのアクセス] で、[Android] と [iOS] のいずれかまたは両方のチェックボックスをオンにします。
3. [詳細] で、次のように設定します。
   1. [セキュリティ設定] で、[WPA / WPA2 Enterprise（802.1X）] または [Dynamic WEP（802.1 X）] を選択します。
   2. [拡張認証プロトコル] で、[EAP-TLS] または [EAP-TTLS] を選択します。
   3. [SCEP プロファイル] で、このネットワークに適用する SCEP プロファイルを選択します。
4. [保存] をクリックします。

これで、ユーザーが初めて Wi-Fi ネットワークへの接続を試みるとき、デバイスから証明書を提供することが求められます。

• Android デバイスと Chrome OS デバイスの場合、SCEP プロファイルとネットワークに対応する証明書が自動的に入力されるので、ユーザーは [接続] をクリックするだけです。
• iOS デバイスの場合、ユーザーは使用する証明書を選択してから、[接続] をクリックする必要があります。

Google Cloud Certificate Connector を使用した、証明書による認証の仕組み

Google Cloud Certificate Connector は、SCEP サーバーと Google との間に専用の接続を確立する Windows サービスです。証明書コネクタは、組織専用の設定ファイルと鍵ファイルによって設定、保護されます。

SCEP プロファイルを使用してユーザーとデバイスにデバイス証明書を割り当てます。プロファイルを適用するには、組織部門を選択し、その組織部門にプロファイルを追加します。プロファイルには、デバイス証明書を発行する認証局が含まれています。ユーザーがモバイル デバイスや Chrome OS デバイスを管理対象として登録すると、Google エンドポイント管理によってユーザーの SCEP プロファイルが取得され、証明書がデバイスにインストールされます。Chrome OS デバイスの場合、デバイス証明書はユーザーがログインする前にインストールされます。ユーザー証明書はユーザーがログインした後にインストールされます。デバイスがすでに登録されている場合、証明書は通常の同期サイクルの一環としてインストールされます。

ユーザーはネットワークへの接続を試みると、証明書を提供するよう求められます。Android デバイスでは、証明書が自動的に選択されるので、ユーザーは [接続] をクリックするだけです。iOS デバイスでは、ユーザーは証明書を手動で選択してから接続する必要があります。デバイスは、証明書コネクタを介して Google がネゴシエートした鍵を使用して、組織のネットワークにアクセスします。鍵は、セキュリティ ネゴシエーション中は一時的に Google で保管されますが、デバイスへのインストールが完了すると（または生成から 24 時間後）、完全に削除されます。