セキュリティ上の理由から、CA で登録エージェントの制限を構成し、ユーザーの代わりに証明書を登録する権限を、新しく作成した登録エージェントユーザーだけに与えるようにしてください。そのためには、以下の手順を実行します。
認証局スナップインを開き、CA の名前を右クリックして [プロパティ] をクリックします。
[登録エージェント] タブをクリックし、[登録エージェントを制限する] をクリックし、表示されるメッセージで [OK] をクリックします。
[登録エージェント] の下にある [追加] をクリックし、前の手順で作成した登録エージェントユーザーの名前を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。
[証明書テンプレート] の下にある [追加] をクリックし、作成したテンプレート(PrlsEnrollmentAgent と PrlsSmartcardLogon)を選択し、[OK] をクリックします。証明書テンプレートの名前を追加する作業が終わったら、<All> をクリックし、[削除] をクリックします。
[権限] の下にある [追加] をクリックし、名前またはグループ(SAML を使用して RAS 環境にログインするユーザーまたはグループ)を入力し、[OK] をクリックします。[すべてのユーザー] をクリックし、[削除] をクリックします。
他のユーザーやコンピューターやグループの証明書を登録エージェントが管理できないようにブロックする場合は、[アクセス許可] の下でそのユーザーやコンピューターやグループを選択し、[拒否] をクリックします。
登録エージェントの制限の構成が完了したら、[OK] または [適用] をクリックします。
注: 登録エージェントの制限が適用されているユーザーやグループは、登録エージェントの制限付きのアクセス許可が構成されていてもいなくても、CA の有効な登録エージェント証明書を持っていなければ、登録エージェントとして機能できません。