ステップ 1
|
Microsoft Azure ポータルにログインし、[Azure Active Directory] に移動します。
|
ステップ 2
|
を選択します。
|
ステップ 3
|
[新規登録(New Registration)] をクリックします。
|
ステップ 4
|
表示される [アプリケーションの登録(Register An Application)] ウィンドウで、[名前(Name)] フィールドに値を入力します。
|
ステップ 5
|
[サポートされているアカウントタイプ(Supported Account Types)] 領域で、[この組織ディレクトリ内のみのアカウント(Accounts in this organization directory only)] オプションボタンをクリックします。
|
ステップ 6
|
[Register] をクリックします。
新しく登録されたアプリケーションの [概要(Overview)] ウィンドウが表示されます。このウィンドウを開いた状態で、Cisco ISE 管理ポータルにログインします。
|
ステップ 7
|
|
ステップ 8
|
表示される証明書のリストから、[デフォルトの自己署名サーバー証明書(Default self-signed server certificate)] チェックボックスまたは隣接するチェックボックスまたは [管理者(Admin)] 用に設定したその他の証明書を選択します。
|
ステップ 9
|
[エクスポート(Export)] をクリックします。
|
ステップ 10
|
表示されるダイアログボックスで、[証明書のみをエクスポート(Export Certificate Only)] オプションボタンをクリックし、[エクスポート(Export)] をクリックします。
|
ステップ 11
|
[表示(View)] をクリックして、この証明書の詳細を表示します。表示される [証明書の階層(Certificate Hierarchy)] ダイアログボックスで [フィンガープリント(Fingerprints)] 領域まで下方向にスクロールします。(これらの値は、後の手順で参照します。)
|
ステップ 12
|
Microsoft Azure Active Directory ポータルで、左側ペインの [Certificates & secrets] をクリックします。
|
ステップ 13
|
[証明書のアップロード(Upload Certificate)] をクリックし、Cisco ISE からエクスポートした証明書をアップロードします。
|
ステップ 14
|
証明書がアップロードされたら、ウィンドウに表示される [サムプリント(Thumbprint)] の値が Cisco ISE 証明書の [フィンガープリント(Fingerprint)] の値と一致することを確認します(ステップ 11)。
|
ステップ 15
|
左ペインで [マニフェスト(Manifest)] をクリックします。
|
ステップ 16
|
表示される内容で、[表示名(displayName)] の値を確認します。この値は、Cisco ISE 証明書に記載されている共通名と一致する必要があります。
|
ステップ 17
|
左側のペインで [API権限] をクリックします。
|
ステップ 18
|
[権限を追加(Add a permission)] をクリックし、次の権限を追加します。
API/権限名
|
タイプ
|
説明
|
Intune
|
get_device_compliance
|
[アプリケーション(Application)]
|
Microsoft Intune からデバイスの状態とコンプライアンス情報を取得します。
|
Microsoft Graph
|
Application.Read.All
|
Application
|
すべてのアプリケーションを読み取ります。
|
|
ステップ 19
|
<テナント名> の [管理者の同意を付与する(Grant admin consent)] をクリックします。
|
ステップ 20
|
アプリケーションの [概要(Overview)] ウィンドウの次の詳細をメモします。
-
アプリケーション(クライアント)ID
-
ディレクトリ(テナント)ID
|
ステップ 21
|
[概要(Overview)] ウィンドウで [エンドポイント(Endpoints)] をクリックし、[Oauth 2.0トークンのエンドポイント(V2)(Oauth 2.0 Token Endpoint(V2))] フィールドに値をメモします。
|
ステップ 22
|
PEM(チェーン)形式で https://www.digicert.com/kb/digicert-root-certificates.htm から Microsoft Intune 証明書をダウンロードします。
Microsoft は、新しい証明書を定期的にリリースしています。「Connection Failed to the MDM server: There is a problem with the server Certificates or
ISE trust store」というエラーが表示されて統合が失敗した場合は、Cisco ISE PAN でパケットキャプチャを実行して、MDM サーバーによって送信された正確な証明書を確認することを推奨します。使用中の証明書がわかっている場合は、Microsoft PKI リポジトリから証明書をダウンロードできます。Cisco ISE と Microsoft Intune 間の信頼された通信のために必要な証明書をダウンロードしてください。
|
ステップ 23
|
Cisco ISE 管理ポータルで、[Menu] アイコン()をクリックし、 を選択します。
|
ステップ 24
|
ダウンロードした 4 つの証明書のそれぞれについて次の手順を実行します。
-
[インポート(Import)] をクリックします。
-
[ファイルの選択(Choose File)] をクリックし、システムから対応するダウンロードした証明書を選択します。
-
証明書をインフラストラクチャとシスコサービスで使用するために信頼できるようにします。[使用目的(Usage)] 領域で、[ISE 内の認証用に信頼する(Trust for authentication within ISE)] と [シスコサービスの認証用に信頼する(Trust for authentication of Cisco Services)] のチェックボックスをオンにします。
-
[Save] をクリックします。
|
ステップ 25
|
|
ステップ 26
|
[Add] をクリックします。
|
ステップ 27
|
[名前(Name)] フィールドに値を入力します。
|
ステップ 28
|
[認証タイプ(Authentication Type)] ドロップダウンリストから [OAuth:クライアントクレデンシャル(OAuth – Client Credentials)] を選択します。
|
ステップ 29
|
次のフィールドには、Microsoft Azure Active Directory の Microsoft Intune アプリケーションからの情報が必要です。
-
[Auto Discovery URL] フィールドに https://graph.microsoft.com と入力します。
(注)
|
Microsoft Intune が Azure AD Graph アプリケーションをサポートしていたときは、URL https://graph.windows.net<Directory (tenant) ID> が使用されていました。 しかしながら、Microsoft Intune は、2023 年 6 月 30 日に Azure AD Graph アプリケーションのサポートを終了しました。統合を成功させるには、Microsoft Graph をサポートする Cisco ISE リリースにアップグレードしてください。
次の Cisco ISE リリースは、Microsoft Graph アプリケーションをサポートしています。
-
Cisco ISE リリース 2.7 パッチ 7 以降
-
Cisco ISE リリース 3.0 パッチ 5 以降
-
Cisco ISE リリース 3.1 パッチ 3 以降
-
Cisco ISE リリース 3.2 以降のリリース
|
-
[クライアント ID(Client ID)] フィールドに、Microsoft Intune アプリケーションの [アプリケーション(クライアント)ID(Client ID)] の値を入力します。
-
[トークン発行URL(Token Issuing URL)] フィールドに、[Oauth 2.0トークンのエンドポイント(V2)(Oauth 2.0 Token Endpoint (V2))] の値を入力します。
-
Cisco ISE の次のリリースを使用する場合は、[Token Audience] フィールドに https://api.manage.microsoft.com//.default と入力します。
-
Cisco ISE リリース 3.0 パッチ 8 以降のリリース
-
Cisco ISE リリース 3.1 パッチ 8 以降のリリース
-
Cisco ISE リリース 3.2 パッチ 3 以降のリリース
-
Cisco ISE リリース 3.3 以降のリリース
(注)
|
上記の Cisco ISE リリースでは、新しい統合を作成する場合、ステップ 31 で [OAuth – Client Credentials] を選択すると、新しいトークン対象者の値が自動的に入力されます。既存の統合を使用してこれらのリリースにアップグレードする場合、統合サーバーから更新を受信し続けるには、[Token Audience] フィールドを手動で更新する必要があります。
これは、Microsoft が、認証と認可に Azure Active Directory Authentication Library(ADAL)を使用するアプリケーションを Microsoft Authentication Library(MSAL)に移行することを義務付けているためです。詳細については、「Microsoft Authentication Library(MSAL)へのアプリケーションの移行」を参照してください。
|
Cisco ISE の他のリリースでは、https://api.manage.microsoft.com/ と入力します。
|
ステップ 30
|
[ポーリング間隔(Polling Interval)] フィールドと [準拠デバイス再認証クエリの間隔(Time Interval For Compliance Device ReAuth Query)] フィールドに必要な値を入力します。
|
ステップ 31
|
[テスト接続(Test Connection)] をクリックして、Cisco ISE が Microsoft サーバーに接続できることを確認します。
|
ステップ 32
|
テスト接続が成功したら、[ステータス(Status)] ドロップダウンリストから [有効(Enabled)] を選択します。
|
ステップ 33
|
[Save] をクリックします。
|
ステップ 34
|
Cisco ISE の管理ポータルで、[Menu] アイコン()をクリックして、を選択します。追加された Microsoft Intune サーバーは、表示される [MDMサーバー(MDM Servers)] のリストに表示される必要があります。
|