Microsoft Endpoint Manager Intune の統合
Microsoft Intune と Cisco ISE の統合
Microsoft Endpoint Manager Intune の設定
Microsoft Intune を使用した VPN 接続モバイルデバイスの管理
Microsoft Intune をモバイルデバイス管理サーバーとして Cisco ISE に接続する

Microsoft Endpoint Manager Intune の統合

Microsoft Intune と Cisco ISE の統合

Cisco ISE は、エンドポイント管理ソリューションである Microsoft Intune を MDM 統合としてサポートします。2 つのシステム間の通信は、『Network access control (NAC) integration with Intune』[英語] で詳しく説明されているように、Microsoft の NAC 統合設計によって管理されます。

2024 年 3 月 24 日をもって、Microsoft は MAC アドレスおよび UDID ベースのクエリに対する Intune NAC サービス API のサポートを終了しました。2023 年 7 月 31 日以降、GUID と MAC アドレスをベースとするクエリの両方を許可する Microsoft Compliance Retrieval API（NAC 2.0 API）のみがサポートされています。

2024 年 3 月 24 日以降、Microsoft Intune 統合を引き続き使用するには、次のいずれかの Cisco ISE リリースにアップグレードする必要があります。

Cisco ISE リリース 3.1 パッチ 8
Cisco ISE リリース 3.2 パッチ 4

これらのリリース以前のパッチでは、2024 年 3 月 24 日以降、接続されている Microsoft Intune サーバーからデバイス登録およびコンプライアンス情報を取得できません。

Microsoft の NAC 2.0 API を使用した場合、Cisco ISE は次のエンドポイント属性情報のみを取得できます。

コンプライアンスステータス
Intune による管理
MAC アドレス
登録済みステータス

Microsoft Endpoint Manager Intune の設定

ここでは、Microsoft Endpoint Manager Intune で実行する設定手順の一覧を記載しますので、組織に必要な手順を選択してください。Cisco ISE リリース 3.1 以降のリリースを使用している場合は、Cisco ISE MDM API v3 のサポートを有効にして、Microsoft Intune から GUID を受信できます。このサポートを有効にするには、証明書プロファイルでサブジェクト代替名（SAN）を設定します。SAN を設定すると、Cisco ISE は Intune サーバーからエンドポイントに固有の GUID を受信できます。これにより、ランダムに変化する MAC アドレスに起因する問題を解決できます。

組織が標準の商用 Microsoft Azure 環境を使用していない場合は、Microsoft の国内クラウド展開に関するドキュメントに記載されている、Microsoft が運用する国内クラウドの Graph API エンドポイントのリストを参照してください。

手順

ステップ 1

Microsoft Intune でエンドポイント認証用の証明書を設定します。

ステップ 2

組織のニーズに応じて、SCEP か PKI 証明書管理プロトコルのいずれかと適切な証明書プロファイルを設定します。

SCEP の場合：

Private および Public Key Infrastructure（PKI）の場合：

（注）

SCEP または PKI プロファイルを設定するには、[サブジェクト代替名（Subject Alternative Name）] ページで [属性（Attribute）] として [URI] を選択し、[値（Value）] として ID:Intune:GUID:{{DeviceId}} を選択します。

ID:Intune:GUID:{{DeviceId}} は参照用のテンプレートです。

ステップ 3

Wi-Fi および有線エンドポイントでは、プロファイルを作成し、[Subject Alternative Name] フィールドで前に GUID 値を含めて指定した SCEP または PKI 証明書プロファイルを選択します。

Microsoft Intune での Wi-Fi 設定の詳細については、『Add and use Wi-Fi settings on your devices in Microsoft Intune』[英語] を参照してください。

Intune で VPN プロファイルを作成して VPN サーバーに接続するには、証明書ベースの認証タイプを選択して、GUID 値を Cisco ISE と共有する必要があります。

Microsoft Intune を使用した VPN 接続モバイルデバイスの管理

VPN 接続モバイルデバイスを管理するには、Microsoft Intune で次の設定が必要になります。

Microsoft Intune での VPN 接続 Android デバイスの設定
1. 『Android Enterprise device settings to configure VPN in Intune』[英語] に詳述されている要件に従って、VPN 接続 Android エンドポイントの設定を行います。
2. Cisco Secure Client-AnyConnect アプリケーションを使用するエンドポイント向けに、Microsoft Intune でアプリケーション設定ポリシーを作成します。このポリシーの設定にデバイス識別子設定キーを含めます。
  
  図 1. Microsoft Intune でのアプリケーション設定ポリシーの設定

Microsoft Intune での VPN 接続 iOS デバイスの設定

VPN 接続 iOS デバイスの場合、Microsoft Intune で必要な VPN 設定は、Microsoft Intune における iOS および iPad OS デバイスの VPN 設定の追加に記載されています。

（注）

iOS または iPadOS デバイスの VPN プロファイルを作成するときは、[ネットワークアクセスコントロール（NAC）の有効化（Enable network access control (NAC)）] 設定を選択して、Microsoft Intune がエンドポイントのデバイス ID を含められるようにする必要があります。

設定が完了すると、Cisco AnyConnect によって ID:Intune:DeviceID:<device id> の形式でデバイス識別子がログに記録されます。Cisco ISE API は、エンドポイントのこのデバイス ID を取得します。システムは、エンドポイントの MAC アドレスではなく、デバイス ID を使用してコンプライアンスをチェックします。

Microsoft Intune をモバイルデバイス管理サーバーとして Cisco ISE に接続する

Microsoft Intune は、2023 年 6 月 30 日に Azure AD Graph アプリケーションのサポートを終了しました。Azure AD Graph を使用するすべての統合を Microsoft Graph に移行する必要があります。Cisco ISE は通常、エンドポイント管理ソリューションである Microsoft Intune との統合に Azure AD Graph を使用しています。

始める前に

Microsoft Intune との統合を成功させるには、Microsoft Graph アプリケーションをサポートする次の Cisco ISE リリースのいずれかにアップグレードする必要があります。

Cisco ISE リリース 3.1 パッチ 3 以降のリリース
Cisco ISE リリース 3.2 以降のリリース

Azure AD Graph から Microsoft Graph への移行の詳細については、次のリソースを参照してください。

Cisco ISE をサポートされているバージョンのいずれかに更新した後、Cisco ISE の各 Microsoft Intune サーバーの統合で、[自動検出URL（Auto Discovery URL）] を手動で更新します。

https://graph.windows.net<Directory (tenant) ID> を https://graph.microsoft.com に置き換えます。

手順

ステップ 1	Microsoft Azure ポータルにログインし、[Azure Active Directory] に移動します。
ステップ 2	[管理（Manage）] > [アプリの登録（App registrations）]を選択します。
ステップ 3	[新規登録（New Registration）] をクリックします。
ステップ 4	[アプリケーションの登録（Register an application）] ページで、[名前（Name）] フィールドに値を入力します。
ステップ 5	[サポートされているアカウントタイプ（Supported Account Types）] 領域で、[この組織ディレクトリ内のみのアカウント（Accounts in this organization directory only）] オプションボタンをクリックします。
ステップ 6	[登録（Register）] をクリックします。新しく登録されたアプリケーションの [概要（Overview）] ウィンドウが表示されます。このウィンドウを開いた状態で、Cisco ISE 管理ポータルにログインします。

Cisco ISE 証明書のエクスポート

手順

ステップ 1	Cisco ISE の GUI で、[メニュー（Menu）] アイコン（）をクリックし、 [管理（Administration）] > [システム（System）] > [証明書（Certificates）] > [システム（System）] > [証明書（Certificates）] の順にクリックします。
ステップ 2	証明書のリストから、[デフォルトの自己署名サーバー証明書（Default self-signed server certificate）]または [管理者（Admin）]用に設定したその他の証明書の横にあるチェックボックスを選択し、[エクスポート（Export）] をクリックします。
ステップ 3	表示されるダイアログボックスで、[証明書のみをエクスポート（Export Certificate Only）]オプションボタンをクリックしてから [エクスポート（Export）] をクリックします。
ステップ 4	[表示（View）]をクリックして、この証明書の詳細を表示します。表示される [証明書の階層（Certificate Hierarchy）] ダイアログボックスで [フィンガープリント（Fingerprints）] エリアまで下方向にスクロールし、値をメモします。

Microsoft Azure への Cisco ISE 証明書のアップロード

手順

ステップ 1

Microsoft Azure Active Directory ポータルで、左ペインの [証明書とシークレット（Certificates and Secrets）] をクリックします。

ステップ 2

[証明書のアップロード（Upload certificate）] をクリックし、エクスポートした Cisco ISE 証明書をアップロードします。

（注）

Cisco ISE の自己署名証明書のステータスに変更がある場合は、Cisco ISE で「Microsoft Intune における MDM サーバーのステータスの管理」の手順を実行する必要があります。

ステップ 3

証明書をアップロードしたら、[サムプリント（Thumbprint）] の値が Cisco ISE 証明書の [フィンガープリント（Fingerprint）] の値と一致していることを確認します。

ステップ 4

左ペインで [マニフェスト（Manifest）] に移動します。

[displayName] の値が Cisco ISE 証明書の共通名と一致していることを確認します。

API 権限の設定とアプリケーションの詳細の収集

手順

ステップ 1

Microsoft Azure ポータルで、 [API権限（API permissions）] をクリックします。

ステップ 2

[権限を追加（Add a permission）] をクリックし、次の権限を追加します。


API または権限名	タイプ	説明
Intune
get_device_compliance	アプリケーション	Microsoft Intune からデバイスの状態とコンプライアンス情報を取得します。
Microsoft Graph
Application.Read.All	アプリケーション	すべてのアプリケーションを読み取ります。

ステップ 3

[管理者の同意を付与する（Grant admin consent for）] > テナント名の順にクリックします。

アプリケーションの [概要（Overview）] ページから、アプリケーション（クライアント）ID とディレクトリ（テナント）ID をメモします。

ステップ 4

[概要（Overview）] ページで、 [エンドポイント（Endpoints）] をクリックします。[Oauth 2.0トークンエンドポイント（V2）（Oauth 2.0 token endpoint (V2)）] フィールドの値をメモします。

Microsoft Intune 証明書のダウンロードと Cisco ISE へのインポート

手順

ステップ 1

PEM 証明書（チェーン）形式で DigiCert ルート証明書から Microsoft Intune 証明書をダウンロードします。

「MDMサーバーへの接続に失敗しました。サーバー証明書または Cisco ISE 信頼ストアに問題があります（Connection Failed to the MDM server: There is a problem with the server Certificates or Cisco ISE trust store）」と表示された場合、このメッセージは Cisco ISE が Microsoft Intune 証明書を信頼していないことを示します。この問題を解決するには、Cisco ISE プライマリ管理ノード（PAN）でネットワークトラフィックをキャプチャし、Microsoft で使用されている証明書を特定します。Microsoft PKI リポジトリから証明書をダウンロードし、Cisco ISE の信頼できる証明書ストアにインポートします。更新後、Cisco ISE で MDM サーバーのステータスを無効にしてから再度有効にし、接続を更新して信頼を復元します。

（注）

Microsoft Intune と Cisco ISE 間の接続を確立するには、新しいルート証明書をインポートします。詳細については、「Intune certificate updates: Action may be required for continued connectivity」[英語] を参照してください。

ステップ 2

Cisco ISE 管理ポータルで、click the Menu icon () をクリックし、[管理（Administration）] > [システム（System）] > [証明書（Certificates）] > [信頼できる証明書（Trusted Certificates）] を選択します。

ステップ 3

ダウンロードされた各証明書に対して、次の手順を実行します。

[インポート（Import）] をクリックします。
[ファイルの選択（Choose File）] をクリックし、システムから対応するダウンロードした証明書を選択します。
[使用目的（Usage）] エリアで、[Cisco ISE内の認証用に信頼する（Trust for authentication within Cisco ISE）] と [シスコサービスの認証用に信頼する（Trust for authentication of Cisco Services）] のチェックボックスをオンにします。
[保存（Save）] をクリックします。

外部 MDM サーバーとしての Microsoft Intune の追加

手順

ステップ 1

Cisco ISE の管理ポータルで、[メニュー（Menu）] アイコン（）をクリックして、[管理（Administration）] > [ネットワークリソース（Network Resources）] > [外部 MDM（External MDM）] を選択します。

ステップ 2

[追加（Add）] をクリックし、[名前（Name）] フィールドに値を入力します。

ステップ 3

[認証タイプ（Authentication Type）] ドロップダウンリストから [OAuth：クライアントクレデンシャル（OAuth – Client Credentials）] を選択します。

ステップ 4

それぞれのフィールドに次の詳細を入力します。

[自動検出URL（Auto Discovery URL）]：https://graph.microsoft.com。

（注）

Microsoft Intune が Azure AD Graph アプリケーションをサポートしていたときは、URL https://graph.windows.net<Directory(tenant) ID> が使用されていました。しかしながら、Microsoft Intune は、2023 年 6 月 30 日に Azure AD Graph アプリケーションのサポートを終了しました。統合を成功させるには、Microsoft Graph をサポートする Cisco ISE リリースにアップグレードしてください。

次の Cisco ISE リリースは、Microsoft Graph アプリケーションをサポートしています。

Cisco ISE リリース 3.1 パッチ 3 以降
Cisco ISE リリース 3.2 以降のリリース

[クライアントID（Client ID）]：Microsoft Intune アプリケーションの [アプリケーション（クライアント）ID（Application (client) ID）] の値を入力します。
[トークン発行URL（Token Issuing URL）]：[Oauth 2.0トークンのエンドポイント（V2）（Oauth 2.0 Token Endpoint (V2)）] の値を入力します。

[トークン対象者（Token Audience）]：Cisco ISE の次のリリースを使用する場合は、https://api.manage.microsoft.com//.default と入力します。

Cisco ISE リリース 3.1 パッチ 8 以降のリリース
Cisco ISE リリース 3.2 パッチ 3 以降のリリース
Cisco ISE リリース 3.3 以降のリリース

（注）

上記の Cisco ISE リリースでは、新しい統合を作成する場合、[OAuth：クライアントログイン情報（OAuth–Client Credentials）] を選択すると、新しいトークン対象者の値が自動的に入力されます。既存の統合を使用してこれらのリリースにアップグレードする場合、統合サーバーから更新を受信し続けるには、[Token Audience] フィールドを手動で更新する必要があります。

これは、Microsoft が、認証と認可に Azure Active Directory Authentication Library（ADAL）を使用するアプリケーションを Microsoft Authentication Library（MSAL）に移行することを義務付けているためです。詳細については、『Migrate applications to the Microsoft Authentication Library (MSAL)』[英語] を参照してください。

Cisco ISE の他のリリースでは、https://api.manage.microsoft.com/ と入力します。

ステップ 5

[ポーリング間隔（Polling Interval）] フィールドと [準拠デバイス再認証クエリの間隔（Time Interval For Compliance Device ReAuth Query）] フィールドに必要な値を入力します。

ステップ 6

[テスト接続（Test Connection）] をクリックして、Cisco ISE が Microsoft サーバーに接続できることを確認します。

ステップ 7

接続テストが成功したら、[ステータス（Status）] ドロップダウンリストから [有効（Enabled）] を選択し、[保存（Save）] をクリックします。

Cisco ISE の管理ポータルで、[メニュー（Menu）] アイコン（）をクリックして、[管理（Administration）] > [ネットワークリソース（Network Resources）] > [外部 MDM（External MDM）] を選択します。追加された Microsoft Intune サーバーは、表示される [MDMサーバー（MDM Servers）] のリストに表示される必要があります。

Microsoft Intune における MDM サーバーのステータスの管理

新しい証明書を Microsoft Intune にアップロードしたら、まず MDM サーバーのステータスを無効にしてから再度有効にします。

手順

ステップ 1	[メニュー（Menu）] アイコン（）をクリックし、[管理（Administration）] > [ネットワークリソース（Network Resources）] > [外部MDM（External MDM）] の順に選択します。
ステップ 2	[編集（Edit）] をクリックします。
ステップ 3	[テスト接続（Test Connection）] をクリックして、Cisco ISE が Microsoft サーバーに接続できることを確認します。
ステップ 4	接続テストが成功したら、[ステータス（Status）] ドロップダウンリストから [無効（Disabled）] を選択し、[保存（Save）] をクリックします。
ステップ 5	[編集（Edit）] をクリックしてから [接続のテスト（Test Connection）] をクリックします。
ステップ 6	接続テストが成功したら、[ステータス（Status）] ドロップダウンリストから [有効（Enabled）] を選択し、[保存（Save）] をクリックします。

MDM および UEM サーバーと Cisco ISE の統合

偏向のない言語

翻訳について

Book Title