概要
Microsoft Active Directory 証明書サービス (AD CS) は、組織内での内部使用するための証明書を作成、検証、および取り消すことができるオンプレミスの公開キー基盤 (PKI) を確立します。 Kandji AD CS インテグレーションは、既存の Microsoft AD CS 環境と通信して AD CS 証明書をリクエストします。これらの証明書は、構成プロファイルを介してデバイスに配信できるため、エンドユーザーがエンタープライズ Wi-Fi ネットワークなどの企業リソースにアクセスするための証明書ベースの認証フローが可能になります。
設定手順
Kandji AD CS 統合をセットアップして構成します。
AD CS コンピューター証明書テンプレートを作成します。
Kandji AD CS Connector Windows アプリケーションをインストールします。
AD CS 証明書をデバイスに展開するライブラリアイテム を作成します。
ネットワーク要件
Active Directory 証明書サービスのネットワーク要件の完全な一覧については、 エンタープライズ環境での Kandji の使用 に関するサポート記事を参照してください。
AD CS 統合のセットアップと構成
AD CS 統合は、Kandji Web アプリの Kandji 統合マーケットプレースから構成します。セットアップが完了したら、Kandji AD CS コネクタサーバーの管理、Microsoft AD CS 認証局 (CA) ホストの追加、ライブラリアイテムの作成をすべて AD CS 統合ページから行うことができます。詳細については、AD CS 統合のセットアップと構成のサポート記事を参照してください。
Kandji AD CS Connector インストーラ メディアは、初期統合セットアップ中にダウンロードされます。
AD CS コンピューター証明書テンプレート
Kandji は、 ライブラリアイテム内で AD CS 証明書をリクエストするときに、AD CS コンピューター証明書テンプレートを使用します。詳細については、 AD CS のコンピューター証明書テンプレートの作成 に関するサポート記事を参照してください。
Kandji AD CSコネクタのインストール
Kandji AD CS Connector は、ローカル ネットワークに存在する Windows サーバー (2016 以降) にインストールされるネイティブの Windows .NET クライアントアプリケーションです。AD CS コネクタは、TCP ポート 443 経由の WebSocket プロトコルを利用して、Kandji テナントとの永続的な信頼関係を自動的に確立します。これにより、初期インストールとセットアップが非常に直感的になり、ほとんどの環境で特定のポートを開く必要がなくなります。AD CS コネクタは、Microsoft リモート プロシージャ コール フレームワークを使用して、ローカルの AD CS 環境と通信します。インストールが完了すると、AD CS Connector は、Kandji との間で継続的に証明書リクエストを受信し、仲介できるようになります。
ライブラリアイテムの作成
Kandji を使用して、AD CS 証明書構成プロファイルをライブラリアイテムを通じて作成およびデバイスに配布できます。
証明書リクエストフロー
証明書リクエストは、WebSocket 接続 (TCP 443) を介して Kandji から Kandji AD CS コネクタに送信されます。
AD CS コネクタは、証明書キー ペア (公開と秘密) をローカルに生成し、DCE/RPC 経由で証明書署名リクエストを Microsoft AD CS に送信します。注: キーは、 ライブラリアイテム経由でインストールされた管理対象エンドポイント以外の場所には保存されません。
AD CS はリクエストを処理、証明書を発行し、署名された証明書を AD CS コネクタに送り返します。
AD CS コネクタは、暗号化された .p12 ファイルとリクエスト ID を WebSocket 経由で Kandji に転送します。
最後に、 Kandji は証明書バンドル (.p12) を構成プロファイル ペイロードでクライアント デバイスに送信します。
