管理対象のモバイル デバイスと ChromeOS デバイス用の証明書を設定する

モバイル デバイス: この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Cloud Identity Premium。エディションを比較する

ChromeOS デバイス: デバイスベースの証明書には Chrome Enterprise が必要です。

管理者は、オンプレミスの認証局(CA)から発行された証明書を配布することで、ユーザーが組織の Wi-Fi ネットワーク、イーサネット ネットワーク、バーチャル プライベート ネットワーク(VPN)、内部アプリ、内部ウェブサイトにモバイルおよび ChromeOS デバイスからアクセスできるようにするかを制御できます。Windows サービスの Google Cloud Certificate Connector により、Simple Certificate Enrollment Protocol(SCEP)サーバーからユーザーのモバイル デバイスおよび ChromeOS デバイスに対し、証明書と認証鍵が安全に配布されます。詳しくは、このページの Google Cloud Certificate Connector を使用した証明書認証の仕組みをご覧ください。

ChromeOS デバイスでは、ユーザーベースまたはデバイスベースの証明書を設定できます。ユーザー証明書は特定のユーザーのデバイスに追加され、その特定のユーザーがアクセスできます。デバイス証明書はデバイスに基づいて割り当てられ、そのデバイスにログインしているすべてのユーザーがアクセスできます。詳しくは、Chrome デバイスのクライアント証明書を管理するをご覧ください。

モバイル デバイスと ChromeOS デバイスの両方で Wi-Fi ネットワークへのアクセスを制御する場合は、モバイル デバイスと ChromeOS デバイスでサポートされている RSA 鍵の種類が異なるため、個別の SCEP プロファイルと Wi-Fi ネットワークを設定する必要があります。

鍵の保管に関する注意事項:

  • モバイル デバイスの場合、証明書の秘密鍵は Google サーバーで生成されます。鍵は、証明書がデバイスにインストールされた後、または鍵の生成から 24 時間後のいずれか早いほうのタイミングで、Google サーバーから完全に削除されます。
  • ChromeOS デバイスの場合、証明書の秘密鍵は ChromeOS デバイスで生成されます。対応する公開鍵は Google のサーバーに一時的に保存され、証明書のインストール後に完全に削除されます。

システム要件

  • SCEP サーバー向けの Microsoft Active Directory 証明書サービスと、Microsoft Network Device Enrollment Service(NDES)を使用して、証明書をユーザーに配布します。
  • モバイル デバイス: モバイルの詳細管理が適用されている iOS デバイスと Android デバイス。詳しくは、デバイスの要件をご覧ください。
  • ChromeOS デバイス:
    • デバイス証明書: ChromeOS バージョン 89 以降(Chrome Enterprise で管理)
    • ユーザー証明書: ChromeOS バージョン 86 以降。
      注: バージョン 87 より前の場合は、ユーザー証明書のデプロイには、デバイスを再起動するか、数時間待つ必要があります。

始める前に

  • 証明書のサブジェクト名で Active Directory のユーザー名を使用する必要がある場合は、Active Directory および Google Directory を Google Cloud Directory Sync(GCDS)と同期する必要があります。必要に応じて、GCDS を設定します。
  • Google 管理コンソールで CA 証明書をまだアップロードしていない場合は、証明書を追加します。
  • 予期せぬ挙動を回避するために、既知の問題をご確認ください。

既知の問題

  • デバイスにインストールした後の証明書を取り消すことはできません。
  • SCEP プロファイルでは動的な本人確認はサポートされていません。
  • 組織部門間の SCEP プロファイルの継承が機能しない場合があります。たとえば、組織部門に SCEP プロファイルを設定し、子組織部門の SCEP プロファイルを変更した場合、親組織部門の SCEP プロファイルは子組織部門に再度継承されません。
  • モバイル デバイスの場合、SCEP プロファイルは Wi-Fi にのみ適用可能で、VPN またはイーサネットの設定には適用できません。
  • ChromeOS デバイスの場合、SCEP プロファイルは VPN またはイーサネットの設定に直接適用できません。SCEP プロファイルを VPN またはイーサネットの設定に間接的に適用するには、発行元のパターンまたはサブジェクト パターンを使用して、使用する証明書を自動的に選択します。
  • ChromeOS デバイスのユーザーの場合、証明書は管理対象デバイスにログインしているユーザーに対してのみデプロイできます。ユーザーとデバイスは同じドメインに属している必要があります。

ステップ 1: Google Cloud Certificate Connector をダウンロードする

SCEP サーバーで、または SCEP サーバーでサービスとしてログインできるアカウントを持つ Windows パソコンで、次の手順を実施します。アカウントの認証情報を用意しておいてください。

組織に複数のサーバーがある場合は、そのすべてのサーバーで同じ証明書コネクタ エージェントを使用できます。以下の手順に沿って、インストール ファイル、設定ファイル、鍵ファイルを 1 台のパソコンにダウンロードしてインストールします。次に、この 3 つのファイルを別のサーバー用パソコンにコピーし、そのパソコン上で同じ設定手順を繰り返します。

注: Google Cloud Certificate Connector とそのコンポーネントは、組織用の証明書を最初に設定するときに一度だけダウンロードします。証明書と SCEP プロファイルでは、1 つの証明書コネクタを共有できます。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [ネットワーク] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. [セキュア SCEP] 次に [コネクタをダウンロード] をクリックします。
  3. [Google Cloud 証明書コネクタをインストールする] で [ダウンロード] をクリックします。
  4. [Google Cloud Certificate Connector] ページで、[ダウンロード] をクリックして connector_installer.exe ファイルをダウンロードします。
  5. [Google Cloud Certificate Connector をダウンロードしていただきありがとうございます。] ページを閉じます。
  6. 管理コンソールの [コネクタの設定ファイルをダウンロードする] で、[ダウンロード] をクリックして config.json ファイルをダウンロードします。
  7. [サービス アカウントの鍵を取得] で [キーを生成] をクリックして、key.json ファイルをダウンロードします。
  8. 管理者として connector_installer.exe を実行します。
    : インストーラは、デフォルトの認証情報(LocalService)を使用してコネクタ サービスを登録します。後で、別のサービス アカウントとして実行するようにサービスを変更できます。これを行うには、コネクタのインストール ディレクトリに移動し、configtool.exe を実行して ConfigTool を開きます。
  9. インストール中に作成された Google Cloud Certificate Connector のフォルダ(通常は C:\Program Files\Google Cloud Certificate Connector)に、設定ファイルと鍵ファイル(config.json と key.json)を移動します。
  10. Google Cloud Certificate Connector サービスを開きます。
    1. Windows サービスを開きます。
    2. サービスのリストで [Google Cloud Certificate Connector] を選択します。
    3. [開始] をクリックしてサービスを開始します。ステータスが [実行中] に変わることを確認します。パソコンを再起動すると、サービスは自動的に再起動します。

後でサービス アカウントの新しい鍵をダウンロードする場合は、サービスを再起動して、その鍵を適用します。

ステップ 2: SCEP プロファイルを追加する

SCEP プロファイルにより、ユーザーが Wi-Fi ネットワーク、イーサネット ネットワーク、または VPN にアクセスできるようにする証明書が定義されます。プロファイルを特定のユーザーに割り当てるには、そのプロファイルを組織部門に追加します。複数の SCEP プロファイルを設定して、組織部門別およびデバイスの種類別にアクセスを管理できます。プロファイルを適用する組織部門ごとに個別の SCEP プロファイルを設定することをおすすめします。

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [ネットワーク] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  3. [セキュア SCEP] で、[セキュア SCEP プロファイルを作成] をクリックします。SCEP プロファイルをすでに作成している場合は、[セキュア SCEP] 次に [セキュア SCEP プロファイルを追加] をクリックします。

  4. プロファイルの設定の詳細を入力します。CA によって特定のテンプレートが発行されている場合は、プロファイルの詳細をテンプレートに合わせます。

    • このプロファイルが適用されるプラットフォーム - SCEP プロファイルを使用するデバイス プラットフォームです。ChromeOS デバイスの場合は、デプロイする証明書の種類に応じて、[Chromebook(ユーザー)]、[Chromebook(デバイス)]、またはその両方を必ずオンにしてください。
    • SCEP プロファイル名 - プロファイルのわかりやすい名前を使用します。この名前は、Wi-Fi ネットワーク設定内のプロファイルのリストとプロファイルの選択画面に表示されます。
    • サブジェクト名の形式 - 証明書の所有者を識別する方法を選択します。[完全な識別名] をオンにした場合、証明書の共通名はユーザーのユーザー名になります。

    • サブジェクトの別名 - SAN を指定します。デフォルトは [なし] に設定されています。ChromeOS デバイスの場合は、ユーザーとデバイスの属性に基づいてサブジェクトの別名を定義できます。カスタムの証明書署名リクエスト(CSR)を使用するには、リクエストに定義されているサブジェクトの値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定します。ここでは、少なくともサブジェクト内の CommonName の値を指定する必要があります。
      次のプレースホルダを使用できます。値はすべて省略可能です。

      • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID
      • ${USER_EMAIL} - ログインしているユーザーのメールアドレス
      • ${USER_EMAIL_DOMAIN} - ログインしているユーザーのドメイン名
      • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号
      • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID
      • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられているロケーション
      • ${USER_EMAIL_NAME} - ログイン ユーザーのメールアドレスの先頭部分(「@」の前)

      プレースホルダの値を取得できない場合、値は空の文字列に置き換えられます。

    • 署名アルゴリズム - 認証鍵の暗号化に使用するハッシュ関数です。RSA を使う SHA256 のみ使用できます。

    • 鍵の用途 - 鍵の使い方、鍵による暗号化と署名に関するオプションです。複数選択することもできます。

    • 鍵のサイズ(ビット) - RSA 鍵のサイズです。ChromeOS デバイスの場合は、2048 を選択します。

    • [セキュリティ] で、接続済みのデバイスに必要な証明書のタイプを選択します。この設定はモバイル デバイスには適用されません。

    • [SCEP サーバーの属性] セクションで、SCEP サーバーの値と設定を構成します。

      • SCEP サーバーの URL - SCEP サーバーの URL です。
      • 証明書の有効期間(年) - デバイス証明書が有効である期間を指定します。数値で入力します。
      • 更新までの日数 - 証明書の更新が可能となる、デバイス証明書の有効期限が切れる前の日数を指定します。
      • 鍵の拡張的用途 - 鍵の利用方法を指定します。複数の値を選択できます。
      • チャレンジの種類 - Google が SCEP サーバーに証明書をリクエストする際、Google に特定の本人確認用フレーズの提供を求めるには、[静的] をオンにしてフレーズを入力します。[なし] をオンにした場合、サーバーはこの確認を必要としません。
      • テンプレート名 - NDES サーバーによって使用されるテンプレートの名前です。
      • 認証局 - 認証局として使用するためにアップロードした証明書の名前です。
      • このプロファイルが適用されるネットワークの種類 - SCEP プロファイルを使用するネットワークの種類です。
  5. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承した値を復元するには、[継承] をクリックします。

プロファイルを追加すると、その名前と、そのプロファイルが有効になっているプラットフォームが表示されます。[プラットフォーム] 列で、青色のアイコンのプラットフォームではプロファイルが有効になっており、灰色のアイコンのプラットフォームでは無効になっています。プロファイルを編集するには、行にカーソルを合わせ、編集アイコン をクリックします。

SCEP プロファイルが組織部門内のユーザーに自動的に配布されます。

ステップ 3: Google Cloud Certificate Connector のキーストアを構成する

証明書が信頼できる CA によって発行されている場合、または SCEP サーバーの URL が HTTP で始まる場合は、この手順をスキップします。

信頼できる CA によって証明書が発行されていない場合は(自己署名証明書など)、Google Cloud Certificate Connector のキーストアに証明書をインポートする必要があります。そうしなければ、デバイスの証明書をプロビジョニングできず、デバイスを接続できません。

  1. CA にログインします。
  2. Java JRE がまだインストールされていない場合は、keytool.exe を使用できるようにインストールします。
  3. コマンド プロンプトを開きます。

  4. 次のコマンドを実行して、CA 証明書をエクスポートし、PEM ファイルに変換します。

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. CA 証明書をキーストアにインポートします。インストール中に作成された Google Cloud Certificate Connector フォルダのサブディレクトリ(通常は C:\Program Files\Google Cloud Certificate Connector)から、次のコマンドを実行し、java-home-dir を Google Cloud Certificate Connector フォルダにある JRE へのパスに置き換え、cert-export-dir を手順 4 でエクスポートした証明書へのパスに置き換えます。java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

手順 4: SCEP プロファイルが要求されるようにネットワークを設定する(省略可)

ネットワークの種類に応じて、SCEP プロファイルが要求されるように設定できます。

Wi-Fi ネットワークに SCEP プロファイルを要求する

モバイル デバイスと ChromeOS デバイスの両方の Wi-Fi ネットワーク アクセスを制御するには、それぞれに個別の Wi-Fi ネットワークを設定します。たとえば、モバイル デバイス用の Wi-Fi ネットワークを 1 つ設定し、モバイル デバイス用の SCEP プロファイルを割り当てます。次に、ChromeOS デバイス用の別の Wi-Fi ネットワークを設定し、ChromeOS デバイス用の SCEP プロファイルを割り当てます。

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [ネットワーク] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  3. [Wi-Fi] で、[Wi-Fi ネットワークを作成] をクリックします。すでに Wi-Fi ネットワークが設定されている場合は、[Wi-Fi] 次に [Wi-Fi を追加] をクリックします。
  4. [プラットフォームへのアクセス] で、必要に応じて [Android]、[iOS]、[Chromebook(ユーザー別)]、[Chromebook(デバイス別)]、[Google Meet ハードウェア] のチェックボックスをオンにします。
  5. [詳細] セクションで、次の操作を行います。
    1. Wi-Fi ネットワークの名前と SSID を入力します。
    2. [セキュリティ設定] で、[WPA/WPA2 Enterprise(802.1X)] または [Dynamic WEP(802.1X)] を選択します。
    3. [拡張認証プロトコル] で、[EAP-TLS] または [EAP-TTLS] を選択します。
    4. [EAP-TLS] を選択した場合は、[プロビジョニングの種類] で [SCEP プロファイル] または [証明書のパターン] を選択し、次のいずれかを選択します。
      • [SCEP プロファイル] で、ステップ 2 で追加した SCEP プロファイルを選択します。
      • [証明書のパターン] で、[クライアントの登録 URL] に値を入力し、[発行元のパターン] または [サブジェクトのパターン] に 1 つ以上の値を入力します。
    5. 必要なその他の Wi-Fi の詳細について、値を入力するかオプションを選択します。
  6. [保存] をクリックします。
  7. ネットワークへの接続について、ユーザーに次の情報を伝えます。
    • ユーザーは、Wi-Fi ネットワークへの接続を試みるたびに、デバイスから証明書を提供する必要があります。
    • Android デバイスと ChromeOS デバイスの場合、ユーザーの SCEP プロファイルとネットワークに対応する証明書が自動的に入力されるので、ユーザーは [接続] をクリックするだけです。
    • iOS デバイスの場合、ユーザーは使用する証明書を選択してから、[接続] をクリックします。

イーサネット ネットワークに SCEP プロファイルを要求する

ChromeOS デバイスのイーサネット ネットワーク アクセスを制御できます。デバイスのネットワークを設定し、SCEP プロファイルを割り当てます。

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [ネットワーク] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  3. [イーサネット] で、[イーサネット ネットワークを作成] をクリックします。すでにイーサネット ネットワークが設定されている場合は、[イーサネット] 次に [イーサネットを追加] をクリックします。
  4. [プラットフォームへのアクセス] で、必要に応じて [Chromebook(ユーザー別)]、[Chromebook(デバイス別)]、[Google Meet ハードウェア] のチェックボックスをオンにします。
  5. [詳細] セクションで、次の操作を行います。
    1. イーサネット ネットワークの名前を入力します。
    2. [認証] で、[Enterprise(802.1X)] を選択します。
    3. [拡張認証プロトコル] で、[EAP-TLS] または [EAP-TTLS] を選択します。
    4. [EAP-TLS] を選択した場合は、[プロビジョニングの種類] で [SCEP プロファイル] または [証明書のパターン] を選択し、次のいずれかを選択します。
      • [SCEP プロファイル] で、ステップ 2 で追加した SCEP プロファイルを選択します。
      • [証明書のパターン] で、[クライアントの登録 URL] に値を入力し、[発行元のパターン] または [サブジェクトのパターン] に 1 つ以上の値を入力します。
    5. 必要なその他のイーサネットの詳細について、値を入力するかオプションを選択します。
  6. [保存] をクリックします。
  7. ネットワークへの接続について、ユーザーに次の情報を伝えます。
    • ユーザーは、イーサネット ネットワークへの接続を試みるたびに、デバイスから証明書を提供する必要があります。
    • ChromeOS デバイスでは、SCEP プロファイルとネットワークに対応する証明書が自動的に入力されるので、ユーザーは [接続] をクリックするだけです。

VPN に SCEP プロファイルを要求する

ChromeOS デバイスの VPN アクセスを制御できます。デバイスのネットワークを設定し、SCEP プロファイルを割り当てます。

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [ネットワーク] に移動します。

    共有デバイス設定の管理者権限が必要です。

  2. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  3. [VPN] で、[VPN ネットワークを作成] をクリックします。すでに VPN を設定している場合は、[VPN] 次に [VPN を追加] をクリックします。
  4. [プラットフォームへのアクセス] で、必要に応じて [Chromebook(ユーザー別)] または [Chromebook(デバイス別)] のチェックボックスをオンにします。
  5. [詳細] セクションで、次の操作を行います。
    1. VPN の名前とリモートホストを入力します。
    2. [VPN の種類] で、必要な VPN の種類を選択し、その種類の詳細を入力します。
    3. [OpenVPN] を選択し、[クライアント証明書を使用する] チェックボックスをオンにした場合は、[プロビジョニング タイプ] で [SCEP プロファイル] または [証明書のパターン] を選択し、次のいずれかを選択します。
      • [SCEP プロファイル] で、ステップ 2 で追加した SCEP プロファイルを選択します。
      • [証明書のパターン] で、[クライアントの登録 URL] に値を入力し、[発行元のパターン] または [サブジェクトのパターン] に 1 つ以上の値を入力します。
    4. 必要な VPN の詳細について、値を入力するかオプションを選択します。
  6. [保存] をクリックします。
  7. ネットワークへの接続について、ユーザーに次の情報を伝えます。
    • ユーザーは、VPN に接続するたびに、デバイスから証明書を提供する必要があります。
    • ChromeOS デバイスでは、SCEP プロファイルとネットワークに対応する証明書が自動的に入力されるので、ユーザーは [接続] をクリックするだけです。

Google Cloud Certificate Connector を使用した証明書認証の仕組み

Google Cloud Certificate Connector は、SCEP サーバーと Google との間に専用の接続を確立する Windows サービスです。証明書コネクタは、組織専用の設定ファイルと鍵ファイルによって設定、保護されます。

SCEP プロファイルを使用してユーザーとデバイスにデバイス証明書を割り当てます。プロファイルを割り当てるには、組織部門を選択し、その組織部門にプロファイルを追加します。プロファイルには、デバイス証明書を発行する認証局が含まれています。ユーザーがモバイル デバイスまたは ChromeOS デバイスを管理対象として登録すると、Google エンドポイント管理によってユーザーの SCEP プロファイルが取得され、証明書がデバイスにインストールされます。ChromeOS デバイスの場合、デバイス証明書はユーザーのログイン前にインストールされますが、ユーザー証明書はユーザーのログイン後にインストールされます。デバイスがすでに登録されている場合、証明書は通常の同期サイクルの一環としてインストールされます。

ユーザーはネットワークへの接続を試みると、証明書を提供するよう求められます。Android デバイスでは、証明書が自動的に選択されるので、ユーザーは [接続] をクリックするだけです。iOS デバイスでは、ユーザーは証明書を手動で選択してから接続する必要があります。デバイスは、証明書コネクタを介して Google がネゴシエートした鍵を使用して、組織のネットワークにアクセスします。鍵は、セキュリティ ネゴシエーション中は一時的に Google で保管されますが、デバイスへのインストールが完了すると(または生成から 24 時間後)、完全に削除されます。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。