管理者は、要件に正確に合わせて、最大 15 個の独自のカスタム認証強度を作成することもできます。 カスタム認証の強度には、前の表でサポートされている組み合わせのいずれかを含めることができます。
Microsoft Entra 管理センターに管理者としてサインインします。
Entra ID>認証メソッド>認証の強度を表示します。
[ 新しい認証強度] を選択します。
新しい認証強度のわかりやすい 名前 を指定します。
必要に応じて 、[説明] を指定します。
許可する使用可能なメソッドのいずれかを選択します。
[ 次へ ] を選択し、ポリシーの構成を確認します。
カスタム認証の強度を更新および削除する
カスタム認証強度を編集できます。 条件付きアクセス ポリシーによって参照されている場合は削除できないため、編集を確認する必要があります。 条件付きアクセス ポリシーによって認証強度が参照されているかどうかを確認するには、[ 条件付きアクセス ポリシー ] 列をクリックします。
FIDO2 セキュリティ キーの詳細オプション
認証子構成証明 GUID (AAGUID) に基づいて、FIDO2 セキュリティ キーの使用を制限できます。 この機能を使用すると、管理者はリソースにアクセスするために特定の製造元の FIDO2 セキュリティ キーを要求できます。 特定の FIDO2 セキュリティ キーを要求するには、最初にカスタム認証強度を作成します。 次に、 FIDO2 セキュリティ キーを選択し、[ 詳細オプション] をクリックします。
[許可された FIDO2 キー] の横にある [+] をクリックし、AAGUID 値をコピーして、[保存] をクリックします。
証明書ベースの認証の詳細オプション
認証方法ポリシーでは、証明書の発行者またはポリシー OID に基づいて、システムで証明書を単一要素認証または多要素認証保護レベルにバインドするかどうかを構成できます。 条件付きアクセス認証の強度ポリシーに基づいて、特定のリソースに対して単一要素認証証明書または多要素認証証明書を要求することもできます。
認証強度の詳細オプションを使用すると、アプリケーションへのサインインをさらに制限するために、特定の証明書発行者またはポリシー OID を要求できます。
たとえば、Contoso は、3 種類の多要素証明書を持つ従業員にスマート カードを発行します。 1 つの証明書は機密のクリアランス用で、もう 1 つは秘密のクリアランス用で、3 つ目は最高機密のクリアランス用です。 それぞれは、ポリシー OID や発行者などの証明書のプロパティによって区別されます。 Contoso は、適切な多要素証明書を持つユーザーのみが分類ごとにデータにアクセスできるようにしたいと考えています。
次のセクションでは、Microsoft Entra 管理センターと Microsoft Graph を使用して CBA の詳細オプションを構成する方法について説明します。
Microsoft Entra 管理センター
Microsoft Entra 管理センターに管理者としてサインインします。
Entra ID>認証メソッド>認証の強度を表示します。
[ 新しい認証強度] を選択します。
新しい認証強度のわかりやすい 名前 を指定します。
必要に応じて 、[説明] を指定します。
[証明書ベースの認証] (単一要素または多要素) の下にある [ 詳細オプション] をクリックします。
ドロップダウン メニューから証明書の発行者を選択し、証明書の発行者を入力し、許可されているポリシー OID を入力します。 ドロップダウン メニューには、テナントのすべての証明機関が、単一要素か多要素かに関係なく一覧表示されます。 証明書の発行者は、テナント内の 証明機関の ドロップダウン証明書発行者を使用するか、または SubjectkeyIdentifier によって他の証明書発行者 を使用して、使用する証明書がテナントの証明機関にアップロードされないシナリオで構成できます。 このような例の 1 つは、ユーザーがホーム テナントで認証を行い、認証強度がリソース テナントに適用されている外部ユーザー シナリオです。
![ドロップダウン メニューの [証明書発行者] の構成オプションを示すスクリーンショット。証明書の発行者を入力し、許可されているポリシー OID を入力します。](media/concept-authentication-strength-advanced-options/or-other-issuer.png)
- 両方の属性証明書発行者とポリシー OID が構成されている場合、AND リレーションシップがあり、ユーザーは、少なくとも 1 つの発行者を持つ証明書と、認証強度を満たすために一覧のポリシー OID のいずれかを持つ証明書を使用する必要があります。
- 証明書発行者属性のみが構成されている場合、ユーザーは認証強度を満たすために少なくとも 1 つの発行者を持つ証明書を使用する必要があります。
- ポリシー OID 属性のみが構成されている場合、ユーザーは認証強度を満たすためにポリシー OID の少なくとも 1 つを持つ証明書を使用する必要があります。
注
認証強度の構成では、最大 5 つの発行者と 5 つの OID を構成できます。
- [ 次へ ] をクリックして構成を確認し、[ 作成] をクリックします。
Microsoft Graph
証明書の組み合わせ構成を使用して新しい条件付きアクセス認証の強度ポリシーを作成するには:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
既存のポリシーに新しい combinationConfiguration を追加するには:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
制限事項
FIDO2 セキュリティ キーの詳細オプション
- FIDO2 セキュリティ キーの詳細オプション - 高度なオプションは、リソース テナントとは異なる Microsoft クラウドにあるホーム テナントを持つ外部ユーザーではサポートされていません。
証明書ベースの認証の詳細オプション
各ブラウザー セッションで使用できる証明書は 1 つだけです。 証明書を使用してサインインすると、セッション中はブラウザーにキャッシュされます。 認証強度の要件を満たしていない場合は、別の証明書を選択するように求められません。 セッションを再起動するには、サインアウトしてもう一度サインインする必要があります。 次に、関連する証明書を選択します。
証明機関とユーザー証明書は、X.509 v3 標準に準拠している必要があります。 具体的には、発行者のSKI CBA制限を強制するには、証明書に有効な権限キー識別子(AKI)が必要です。
注
証明書が準拠していない場合、ユーザー認証は成功する可能性がありますが、認証強度ポリシーの issuerSki 制限を満たしていません。
サインイン時に、エンド ユーザー証明書の最初の 5 つのポリシー OID が考慮され、認証強度ポリシーで構成されたポリシー OID と比較されます。 エンド ユーザー証明書に 5 つ以上のポリシー OID がある場合は、認証強度要件に一致する構文順の最初の 5 つのポリシー OID が考慮されます。
B2B ユーザーの場合、Contoso が Fabrikam からテナントにユーザーを招待した例を見てみましょう。 この場合、Contoso はリソース テナントであり、Fabrikam はホーム テナントです。
- テナント間アクセス設定が オフ の場合 (Contoso はホーム テナントによって実行された MFA を受け入れない) - リソース テナントでの証明書ベースの認証の使用はサポートされていません。
- テナント間アクセス設定が [オン] の場合、Fabrikam と Contoso は同じ Microsoft クラウド上にあります。つまり、Fabrikam テナントと Contoso テナントの両方が、Azure 商用クラウドまたは Azure for US Government クラウド上にあります。 さらに、Contoso はホーム テナントで実行された MFA を信頼します。 この場合、次のようになります。
- 特定のリソースへのアクセスは、カスタム認証強度ポリシーのポリシー OID または "SubjectkeyIdentifier による他の証明書発行者" を使用して制限できます。
- 特定のリソースへのアクセスは、カスタム認証強度ポリシーの "SubjectkeyIdentifier によるその他の証明書発行者" 設定を使用して制限できます。
- テナント間アクセス設定が [オン] の場合、Fabrikam と Contoso は同じ Microsoft クラウド上にありません。たとえば、Fabrikam のテナントは Azure 商用クラウド上にあり、Contoso のテナントは Azure for US Government クラウド上にあります。特定のリソースへのアクセスは、カスタム認証強度ポリシーの発行者 ID またはポリシー OID を使用して制限することはできません。
認証強度の詳細オプションのトラブルシューティング
ユーザーが FIDO2 セキュリティ キーを使用してサインインできない
条件付きアクセス管理者は、特定のセキュリティ キーへのアクセスを制限できます。 ユーザーが使用できないキーを使用してサインインしようとすると、 ここからアクセスできない というメッセージが表示されます。 ユーザーはセッションを再起動し、別の FIDO2 セキュリティ キーを使用してサインインする必要があります。
証明書ポリシー OID と発行者を確認する方法
個人証明書のプロパティが、認証強度の詳細オプションの構成と一致しているのを確認できます。
ユーザーのデバイスで、管理者としてサインインします。 [ 実行] をクリックし、「 certmgr.msc」と入力して Enter キーを押します。 ポリシー OID を確認するには、[ 個人用] をクリックし、証明書を右クリックして [ 詳細] をクリックします。
