これまでは証明書認証(Wi-Fi/VPN)のために、オンプレミスにAD CSやNDESサーバー、コネクタを構築・維持する膨大な工数とコストが不可欠でした。
そんな課題を解決するのが Microsoft Cloud PKI です。
Microsoft Cloud PKIにより、サーバーレスで証明書発行・管理がクラウド上で完結します。
本ページでは、Intuneアドオンとして提供される本サービスの料金体系から、詳細機能まで全体像を解説をしていきいます。
目次
- 1.Microsoft Cloud PKIとは?
- 2.主な機能と「できること」
- 3.こんな課題を解決します
- 4.料金体系とライセンス
- 5.導入の前提条件・チェックリスト
- 6.導入の流れ(イメージ)
- 7.yjk365security.jp による導入支援
1. Microsoft Cloud PKIとは?
Microsoft Cloud PKIは、一言で言えば、「Intune純正のフルマネージドな認証局サービス」です。
従来、デバイスに証明書を配布するにはオンプレミス環境に「Active Directory 証明書サービス(AD CS)」や「NDES(ネットワークデバイス登録サービス)」を構築し、Intune証明書コネクタを維持する必要がありました。
しかしCloud PKIを利用することで、ルートCA(証明機関)および発行CAをクラウド上でホストし、Intune登録デバイスに対してSCEP(Simple Certificate Enrollment Protocol)経由でクライアント証明書を直接配布できるようになります。
2. 主な機能と「できること」
- 2層CA構成の構築: ルートCAおよび発行CAをクラウド上に数クリックで作成。
- BYOCA(Bring Your Own CA): 既存のプライベートCA(オンプレミス等)をルートとし、クラウド発行CAをその下位に紐付ける構成が可能。
- フルライフサイクル管理: 証明書の発行、更新、失効(CRL/AIAのホスト含む)をIntune管理コンソールから一元操作。
- 高セキュアな鍵保護: Azure Managed HSM(専用ハードウェアセキュリティモジュール)による鍵の保護。
- マルチプラットフォーム対応: Windows、iOS/iPadOS、Android、macOSのすべてに対応。
3.こんな課題を解決します
- Wi-Fi / VPN 認証(EAP-TLS): パスワード入力を廃止し、証明書による安全なネットワーク接続を実現。
- パスワードレスへの移行: 証明書ベースの認証(CBA)により、セキュリティレベルを向上。
- 脱オンプレミス: 老朽化した AD CS サーバーの運用から解放され、インフラコストを削減。
- PCのみでMFAをしたい: 全社に対しMFAを強制したいがPCのみしか配布していない。
4.料金体系とライセンス
Microsoft Cloud PKI は、Intune のアドオン機能として提供されます。
| 項目 | Cloud PKI 単体アドオン | Microsoft Intune Suite |
| 参考価格(月額/ユーザー) | 年額 3,588円 / 1ユーザー(月額換算: 299円) | 年額 17,988円 / 1ユーザー(月額換算: 1,499円) |
| 主な内容 | Cloud PKI 機能のみ | Cloud PKI + リモートヘルプ + 特権管理(EPM) 等 |
| 前提ライセンス | Intune Plan 1 (BusinessPremium/E3/E5等) | Intune Plan 1 (BusinessPremium/E3/E5等) |
5. 導入の前提条件・チェックリスト
- ライセンス: 上記アドオンのいずれかを保有していること。
- 管理者権限: RBAC にて Cloud PKI の作成・管理権限を持つロールが割り当てられていること。
- デバイス状態: 対象デバイスが Intune に登録済みであり、SCEP プロファイルをサポートしていること。
- 試用時の制限: 試用版で作成した CA は「ソフトウェア鍵」となります。購入後に HSM(ハードウェア鍵)へ変換することはできないため、本番移行時は再作成が必要です。
6.導入の流れ(イメージ)
- 1.CA作成: IntuneコンソールでCAタイプ(ルート/発行)を選択し作成。
- 2.信頼プロファイル配布: 作成したCA証明書(公開鍵)をデバイスにプロファイル配付。
- 3.SCEPプロファイル作成: SCEPサーバーURL(Cloud PKIが生成)をコピーし、デバイス構成プロファイルを作成。
- 4.自動デプロイ: デバイスがIntuneと同期するタイミングで証明書が自動発行。
- 5.認証テスト: 実際にWi-FiやVPNで証明書を用いた接続ができるか検証。
7.yjk365security.jp による導入支援
複雑なライセンス選定から、既存の AD CS からの移行設計、VPN/Wi-Fi 機器との連携検証まで、専門のエンジニアがトータルでサポートいたします。
「自社の既存ネットワーク機器で Cloud PKI が使えるか試算してほしい」
「スマホなし MFA を実現するための具体的な条件付きアクセス設定を知りたい」
「既存のAD CSからどう移行すればいい?」
「BYOCA構成と新規構成どっちがいい?」
といったご要望がございましたら、お気軽にお問い合わせください。
※参考記事
[Microsoft Cloud PKI で証明書を発行し、Microsoft 365 にサインインする方法]
https://yjk365.jp/config/signinmicrosoft-365usingcertificate2/