-
-
-
-
-
オンプレミスデバイス正常性構成証明サーバーの構成
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
オンプレミスDevice Health Attestationサーバーの構成
オンプレミスのWindowsサーバーを介して、Windows 10およびWindows 11モバイルデバイス向けにDevice Health Attestation (DHA) を有効にできます。オンプレミスでDHAを有効にするには、まずDHAサーバーを構成します。
-
DHAサーバーを構成したら、オンプレミスDHAサービスを有効にするCitrix Endpoint Managementポリシーを作成します。詳しくは、「Device Health Attestationデバイスポリシー」を参照してください。
-
DHAサーバーの前提条件
- Desktop Experienceインストールオプションを使用してインストールされた、Windows Server Technical Preview 5以降を実行しているサーバー。
- 1台以上のWindows 10およびWindows 11クライアントデバイス。これらのデバイスには、最新バージョンのWindowsを実行しているTPM 1.2または2.0が搭載されている必要があります。
- 次の証明書:
- DHA SSL証明書: エクスポート可能な秘密キーを持つエンタープライズ信頼済みルートにチェーンするx.509 SSL証明書。この証明書は、DHAデータ通信を転送中に保護します。これには以下が含まれます。
- サーバー間(DHAサービスとMDMサーバー)通信
- サーバーとクライアント間(DHAサービスとWindows 10またはWindows 11デバイス)通信
- DHA署名証明書: エクスポート可能な秘密キーを持つエンタープライズ信頼済みルートにチェーンするx.509証明書。DHAサービスはこの証明書をデジタル署名に使用します。
- DHA暗号化証明書: エクスポート可能な秘密キーを持つエンタープライズ信頼済みルートにチェーンするx.509証明書。DHAサービスはこの証明書を暗号化にも使用します。
- 次のいずれかの証明書検証モードを選択します。
- EKCert: EKCert検証モードは、インターネットに接続されていない組織内のデバイス向けに最適化されています。EKCert検証モードで実行されているDHAサービスに接続するデバイスは、インターネットに直接アクセスできません。
- AIKCert: AIKCert検証モードは、インターネットにアクセスできる運用環境向けに最適化されています。AIKCert検証モードで実行されているDHAサービスに接続するデバイスは、インターネットに直接アクセスでき、MicrosoftからAIK証明書を取得できる必要があります。
- 1台以上のWindows 10およびWindows 11クライアントデバイス。これらのデバイスには、最新バージョンのWindowsを実行しているTPM 1.2または2.0が搭載されている必要があります。
WindowsサーバーにDHAサーバーの役割を追加する
- Windowsサーバーで、サーバーマネージャーがまだ開いていない場合は、[スタート] をクリックし、[サーバーマネージャー] をクリックします。
- [役割と機能の追加] をクリックします。
- [開始する前に] ページで、[次へ] をクリックします。
- [インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール] をクリックし、[次へ] をクリックします。
- [対象サーバーの選択] ページで、[サーバープールからサーバーを選択] をクリックし、サーバーを選択して、[次へ] をクリックします。
- [サーバーの役割の選択] ページで、[Device Health Attestation] チェックボックスをオンにします。
- オプション:[機能の追加] をクリックして、その他の必要な役割サービスと機能をインストールします。
- [次へ] をクリックします。
- [機能の選択] ページで、[次へ] をクリックします。
- [Webサーバーの役割(IIS)] ページで、[次へ] をクリックします。
- [役割サービスの選択] ページで、[次へ] をクリックします。
- [Device Health Attestationサービス] ページで、[次へ] をクリックします。
- [インストール選択の確認] ページで、[インストール] をクリックします。
- インストールが完了したら、[閉じる] をクリックします。
SSL証明書をサーバーの証明書ストアに追加する
- SSL証明書ファイルに移動して選択します。
-
ストアの場所として [現在のユーザー] を選択し、[次へ] をクリックします。
-
秘密キーのパスワードを入力します。
-
インポートオプション [すべての拡張プロパティを含める] が選択されていることを確認します。[次へ] をクリックします。
-
このウィンドウが表示されたら、[はい] をクリックします。
-
証明書がインストールされていることを確認します。
-
コマンドプロンプトウィンドウを開きます。
-
mmcと入力し、Enterキーを押します。ローカルコンピューターのストアで証明書を表示するには、管理者ロールである必要があります。 -
[ファイル] メニューで、[スナップインの追加と削除] をクリックします。
-
[追加] をクリックします。
-
[スタンドアロンスナップインの追加] ダイアログボックスで、[証明書] を選択します。
-
[追加] をクリックします。
-
[証明書スナップイン] ダイアログボックスで、[マイユーザーアカウント] を選択します。(サービスアカウントホルダーとしてサインインしている場合は、[サービスアカウント] を選択します)。
-
[コンピューターの選択] ダイアログボックスで、[完了] をクリックします。
-
-
[サーバーマネージャー]>[IIS] に移動し、アイコンの一覧から [サーバー証明書] を選択します。
-
[操作] メニューから [インポート…] を選択して、SSL証明書をインポートします。
証明書のサムプリントを取得して保存する
- ファイルエクスプローラーの検索バーに
mmcと入力します。 -
[コンソールルート] ウィンドウで、[ファイル]>[スナップインの追加と削除] をクリックします。
-
利用可能なスナップインから証明書を選択し、選択したスナップインに追加します。
-
[マイユーザーアカウント] を選択します。
-
証明書を選択し、[OK] をクリックします。
-
証明書をダブルクリックし、[詳細] タブを選択します。スクロールして証明書のサムプリントを表示します。
- サムプリントをファイルにコピーします。PowerShellコマンドでサムプリントを使用する場合は、スペースを削除します。
署名証明書と暗号化証明書をインストールする
Windowsサーバーで次のPowerShellコマンドを実行して、署名証明書と暗号化証明書をインストールします。
プレースホルダー ReplaceWithThumbprint を置き換え、示されているように二重引用符で囲みます。
$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}
$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname icacls $keypath /grant IIS_IUSRS`:R
<!--NeedCopy-->
TPMルート証明書を抽出し、信頼された証明書パッケージをインストールする
Windowsサーバーで次のコマンドを実行します。
mkdir .\TrustedTpm
expand -F:\* .\TrustedTpm.cab .\TrustedTpm
cd .\TrustedTpm
.\setup.cmd
<!--NeedCopy-->
DHAサービスを構成する
Windowsサーバーでこのコマンドを実行して、DHAサービスを構成します。
プレースホルダー ReplaceWithThumbprint を置き換えます。
Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint
-SigningCertificateThumbprint ReplaceWithThumbprint
-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint
-SupportedAuthenticationSchema "AikCertificate"
<!--NeedCopy-->
Windowsサーバーで次のコマンドを実行して、DHAサービスの証明書チェーンポリシーを設定します。
$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy
<!--NeedCopy-->
これらのプロンプトに次のように応答します。
Confirm
Are you sure you want to perform this action?
Performing the operation "Install-DeviceHealthAttestation" on target "[Machine Name]".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Adding SSL binding to website 'Default Web Site'.
Add SSL binding?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.
Add application pool?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.
Add web application?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.
Add firewall rule?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Setting initial configuration for Device Health Attestation Service.
Set initial configuration?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Registering User Access Logging.
Register User Access Logging?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
<!--NeedCopy-->
構成を確認する
DHASActiveSigningCertificate がアクティブかどうかを確認するには、サーバーで次のコマンドを実行します。
Get-DHASActiveSigningCertificate
証明書がアクティブな場合、証明書の種類(署名)とサムプリントが表示されます。
DHASActiveSigningCertificate がアクティブかどうかを確認するには、サーバーで次のコマンドを実行します。
プレースホルダー ReplaceWithThumbprint を置き換え、示されているように二重引用符で囲みます。
Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force
Get-DHASActiveEncryptionCertificate
<!--NeedCopy-->
証明書がアクティブな場合、サムプリントが表示されます。
最終確認を行うには、次のURLにアクセスします。
https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1
DHAサービスが実行されている場合、「Method not allowed」と表示されます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.