[Intune|Configuration Manager]中間証明機関 (中間 CA) のある環境で iOS に証明書を配布する場合の注意点

こんにちは。Intune サポート チームです。 InTune と Configuration Manager で証明書を配布するというシチュエーションはよくありますよね。PKCS または SCEP で配布することができます。 もし、「検証環境ではうまくいったのに、本番環境ではうまくいかない」という問題に遭遇したら、本番環境には「中間 CA」があることが理由かもしれません。 中間 CA がある場合の iOS 証明書配布のポイントについてご紹介します。   ■ 中間 CA 証明書は配布する必要はありません 結論から言いますと、中間 CA がある場合でも中間 CA 証明書は利用しません。使用するのはルート CA の証明書だけです。 iOS の仕様上、ルート CA 証明書と中間 CA 証明書を両方配布してしまうと、PKCS・SCEP 証明書の配布が上手くいきません。考えてみれば、iOS には Windows のように「信頼されたルート証明機関」と「中間証明機関」のような証明書ストアの違いは無いですよね。 Configuration Manager における SCEP 証明書配布の画面を例に、正しい設定内容を紹介いたします。   ■ 設定例の紹介 [1] 配布する証明書一覧 以下の通り、配布するのはルート CA 証明書と SCEP 証明書のプロファイルのみで問題ありません。…


PowershellでMicrosoft Graph APIを通じてソフトウェア インベントリを取得する方法について

こんにちは。 本日は、Microsoft Graph API で Intune に登録されている各デバイスのソフトウェア インベントリを取得する PowerShell スクリプトを紹介致します。 前回のブログでは、Microsoft Graph API を使うアプリの登録、そしてアクセス許可の調整についてご紹介しておりますので、まだご覧になっていない方は是非こちらをご参照ください!   ソフトウェア インベントリを取得するには、こちらのスリプトをダウンロードします。前回のスクリプトと同じく、clientID の値を有効なアプリケーション ID と入れ替えてください。アクセス許可を調整したい場合は必ず登録したアプリのアプリケーション ID をご入力ください。本スクリプトを PowerShell から実行することで、各デバイスで検出されたアプリを表示できます。   なお、本情報の取得には次の Microsoft Graph のアクセス許可が必要となります: Read Microsoft Intune Devices (DeviceManagementManagedDevices.Read.All) Microsoft Graph API の次の URI が使用されます: 1)https://graph.microsoft.com/beta/managedDevices ― すべてのデバイスの情報を取得します。 2)https://graph.microsoft.com/beta/managedDevices/{deviceID} ― ユーザー ID を取得するために一台のデバイスの情報を抽出します。 3)https://graph.microsoft.com/beta/managedDevices/{deviceID}/detectedApps ― 一台のデバイスを ID で検索し検出されたアプリを抽出します。   Windows Azure Active Directory…


PowershellでMicrosoft Graph APIを使う方法について

こんにちは。 本日は、Microsoft Graph APIの使い方についてご紹介いたします。   (1)事前準備 ~初めてのGraph API~ Microsoft Graph API(旧Office 365 Unified API)によって、Azure AD、Intune、Excel など、様々なプラットフォームから、1 つのパス(URI)を使ってデータにアクセスをすることができるようになりました。従来の Office 365 API を使用する場合は、Office Graph REST API、Outlook REST API、OneDrive REST API など、複数のエンドポイントを呼び出すことがありましたが、Microsoft Graph API で単一のエンドポイントから幅広くクラウド リソースをご利用いただけます。様々なエンドポイントをまとめる API になっていますので、リソースごとのアクセス トークンの取り直しが不要であり、しかも、リソースに対するアクセス許可をより細かくコントロールすることも可能です。 早速、本機能の使用方法についてご紹介していきます。 まずは Azure で Microsoft Graph API を使用するアプリを登録する必要があります。Azure AD の認証も必要となりますので、管理者として PowerShell を実行し、「Install-Module AzureAD」か「Install-Module AzureADPreview」を実行しモジュールをインストールしてください。Powershell v4.0 が必要最小限ですので、PowerShell のバージョンもご確認ください。 アプリを登録する際は、テナントの管理者アカウントで実行するか、Azureメニューでの「ユーザーとグループ」>「ユーザー設定」の「ユーザーはアプリケーションを登録できる」という設定を有効にする必要があります。 Azure Portal…