Active Directory 証明書サービスとは
Microsoft Active Directory Certificate Services (AD CS) は、組織が内部で使用する証明書を発行、検証、失効させるためのオンプレミスの公開キー インフラストラクチャ (PKI) を作成します。 Kandji AD CS 統合は、既存の Microsoft AD CS セットアップと連携して、AD CS に証明書を要求します。その後、構成プロファイルを介してこれらの証明書をデバイスにプッシュすると、証明書ベースの認証が有効になり、ユーザーはエンタープライズ Wi-Fi ネットワークなどの企業リソースにアクセスできます。
ネットワーク要件
Active Directory 証明書サービスのネットワーク要件の完全な一覧については、 エンタープライズ環境での Kandji の使用 サポート記事を参照してください。
AD CS コンピュータ証明書テンプレート
Kandji は、 Library Items内で AD CS 証明書を要求するときに、AD CS コンピューター証明書テンプレートを使用します。詳細については、 AD CS の「コンピューター証明書テンプレートの作成 」のサポート記事を参照してください。
AD CS 統合構成
AD CS 統合は、Kandji Web アプリの Kandji 統合 ページから構成します。セットアップが完了したら、AD CS 統合ページから Kandji AD CS コネクタ サーバーの管理、AD CS 認証局 (CA) ホストの追加、Library Itemsの作成を行うことができます。
Kandji AD CS コネクタのインストール
AD CS コネクタには、Windows Server 2016 以降と Microsoft .NET (Core) 8 以降が必要です。
Kandji AD CS コネクタは、ローカル ネットワーク上にある Windows Server (2016 以降) にインストールされるネイティブの Windows .NET クライアント アプリケーションです。AD CS コネクタは、TCP ポート 443 経由の WebSocket プロトコルを利用して、Kandji テナントとの永続的な信頼できる接続を自動的に確立するため、特定のポートを開く必要がなくなります。AD CS コネクタは、Microsoft リモート プロシージャ コール フレームワークを使用して、ローカルの AD CS 環境と通信します。インストールされると、AD CS コネクタは、Kandjiとの間で証明書要求を継続的に受信し、促進できるようになります。
Library Item 作成
Kandji を使用して、次の Library Itemsを使用して AD CS 証明書構成プロファイルを作成し、デバイスに配布できます。
強力な証明書マッピング
強力な証明書マッピング (Windows UpdateKB5014754以降に必要) をサポートするには 、ADCS 強力なマッピング ID の Uniform Resource 識別子 (URI) を追加する必要があります。ライブラリアイテムのサブジェクト別名(SAN)セクションで、「追加」をクリックしてURI SANを作成し、正確な値「
$ADCS_STRONG_MAPPING_ID」を入力します。
証明書要求フロー
Kandji は、TCP ポート 443 を介した WebSocket 接続を介して Kandji AD CS コネクタに証明書要求を送信します。
AD CS コネクタは、証明書キーのペア (公開キーと秘密キー) をローカルで生成し、DCE/RPC を使用して証明書署名要求を Microsoft AD CS に送信します。キーは、ライブラリ項目を介してデプロイされるマネージドエンドポイントにのみ格納されます。
AD CS は要求を処理し、証明書を発行し、署名された証明書を AD CS コネクタに送り返します。
AD CS コネクタは、暗号化された .p12 ファイルを要求 ID とともに WebSocket 接続経由で Kandji に送り返します。
Kandji は、構成プロファイルペイロードを介して証明書バンドル(.p12ファイル)をクライアントデバイスに配信します。
