Windows サーバーへの Microsoft NDES のインストール

ネットワーク上にあるWindowsサーバーにNDESをインストールします。

Cloud Extender ®との証明書統合には同じサーバーを使用できますが、NDES と Cloud Extender の証明書統合は、CA とは異なるサーバーにインストールしてください。 Microsoft Server Manager から NDES をインストールできます。 Cloud Extender は、デバイス証明書を受信するためにのみ NDES と通信する必要があります。 Windows Server に NDES をインストールしていない場合は、Microsoft サーバーで NDES を有効にする方法について、Microsoft の記事 ( https://social.technet.microsoft.com/wiki/contents/articles/9063.active-directory-certificate-services-ad-cs-network-device-enrollment-service-ndes.aspx ) を参照してください。

Microsoft NDES をセットアップするために必要な許可

NDES をセットアップするには、以下の許可が必要です。
権限 説明
SCEP 管理者 サーバーにログインし、NDES をインストールするユーザー。 このユーザーは次の要件を満たす必要があります。
  • ローカル管理者グループのメンバー
  • 以下のテンプレートに対する登録権限
    • Exchange 登録エージェント (オフライン要求)
    • CEP 暗号化
  • 選択した CA にテンプレートを追加するための許可
  • エンタープライズ管理者グループのメンバー
SCEP サービス・アカウント NDES サービスの実行に使用する資格情報。 このアカウントには、以下のような資格情報が必要です。
  • ローカル IIS_IUSRS グループのメンバー
  • 構成されている CA に対する要求許可
  • 構成されたテンプレートに対する読み取り権限と登録権限を持つドメイン・ユーザー・アカウント (詳しくは、「 SCEP サーバーでの証明書テンプレートの構成」トピックを参照してください)
  • Active Directory での SPN の設定
デバイス管理者 デバイスを管理し、セキュリティー登録を有効にするためにサービスに対してワンタイム・パスワードを要求するユーザー。

このユーザーは、CA に対して証明書を要求するために NDES が使用する証明書テンプレートに対する登録権限を備えている必要があります。

SCEP が Cloud Extender サーバーで動作していることの確認

SCEP が Cloud Extender サーバーで動作しているかどうかを確認する手順に従ってください:
  1. Cloud Extender サーバー上の Internet Explorer から SCEP 管理 URL (http://<ServerName>/certsrv/mscep_admin/) にアクセスします。
  2. デバイス管理者の資格情報を指定します。
次にすべきこと SCEPサーバー上の証明書テンプレートの構成