次の方法で共有

Microsoft Entra 証明書ベースの認証とは

組織では、Microsoft Entra 証明書ベースの認証 (CBA) を使用して、アプリケーションとブラウザーのサインインに Microsoft Entra ID で認証された X.509 証明書を使用して、ユーザーに直接認証を許可または要求できます。

この機能を使用して、フィッシングに強い認証を採用し、公開キー基盤 (PKI) に対して X.509 証明書を使用して認証します。

Microsoft Entra CBA とは何ですか?

CBA から Microsoft Entra ID へのクラウド管理のサポートを利用できるようになる前に、組織は、Microsoft Entra ID に対して X.509 証明書を使用してユーザーが認証できるように、フェデレーション CBA を実装する必要がありました。 これには、Active Directory フェデレーション サービス (AD FS) の展開が含まれていました。 Microsoft Entra CBA を使用すると、Microsoft Entra ID に対して直接認証を行い、簡素化された環境とコスト削減のためにフェデレーション AD FS の必要性を排除できます。

次の図は、Microsoft Entra CBA がフェデレーション AD FS を排除することによって環境を簡素化する方法を示しています。

フェデレーション対応 AD FS を使用した CBA

フェデレーションを使用した CBA を示す図。

Microsoft Entra CBA

Microsoft Entra CBA を示す図。

Microsoft Entra CBA を使用する主な利点

メリット 説明
ユーザー エクスペリエンスの向上 - CBA を必要とするユーザーは、Microsoft Entra ID に対して直接認証できるようになり、フェデレーション AD FS に投資する必要はありません。
- 管理センターを使用すると、証明書フィールドをユーザー オブジェクト属性に簡単にマップして、テナント内のユーザーを検索できます (証明書のユーザー名バインド)
- 管理センターを使用して 認証ポリシーを構成し、 どの証明書が単一要素と多要素かを判断するのに役立ちます。
デプロイと管理が容易 - Microsoft Entra CBA は無料の機能です。 使用するために Microsoft Entra ID の有料エディションは必要ありません。
- 簡単にオンプレミスにデプロイしてネットワーク構成できます。
- Microsoft Entra ID に対して直接認証します。
セキュリティで保護 - オンプレミス パスワードは、いかなる形でもクラウドに保存する必要はありません。
- フィッシングに強い 多要素認証 (MFA) を含む Microsoft Entra 条件付きアクセス ポリシーをシームレスに使用して、ユーザー アカウントを保護します。 MFA には、 ライセンスされたエディション とレガシ認証のブロックが必要です。
- 強力な認証のサポート。 管理者は、証明書フィールド (発行者、ポリシー オブジェクト識別子 (ポリシー OID) など) を使用して認証ポリシーを定義して、単一要素と多要素のどちらとして修飾されるかを判断できます。
- この機能は、条件付きアクセス機能と認証強度機能とシームレスに連携して、ユーザーのセキュリティ保護に役立つ MFA を適用します。

サポートされるシナリオ

次のシナリオがサポートされます。

  • すべてのプラットフォーム上の Web ブラウザー ベースのアプリケーションへのユーザー サインイン

  • iOS および Android プラットフォーム上の Office モバイル アプリへのユーザー サインインと、Windows の Office ネイティブ アプリ (Outlook や OneDrive を含む)

  • モバイル ネイティブ ブラウザーでのユーザー サインイン

  • 証明書発行者のサブジェクトとポリシー OID を使用した MFA の詳細な認証規則

  • 任意の証明書フィールドを使用して、証明書とユーザー アカウントのバインドを行います。

    • SubjectAlternativeName (SAN)、 PrincipalName、および RFC822Name
    • SubjectKeyIdentifier (SKI) と SHA1PublicKey
    • IssuerAndSubject および IssuerAndSerialNumber

  • 任意のユーザー オブジェクト属性を使用した証明書とユーザー アカウントのバインド:

    • userPrincipalName
    • onPremisesUserPrincipalName
    • certificateUserIds

サポートされていないシナリオ

以下のシナリオはサポートされていません。

  • 証明機関 (CA) ヒントはサポートされていません。 証明書ピッカー UI のユーザーに対して表示される証明書の一覧のスコープは指定されていません。
  • 信頼された CA に対してサポートされている CRL 配布ポイント (CDP) は 1 つだけです。
  • CDP には HTTP URL のみを指定できます。 オンライン証明書ステータス プロトコル (OCSP) またはライトウェイト ディレクトリ アクセス プロトコル (LDAP) URL はサポートされていません。
  • 認証方法としてのパスワードをオフにすることはできません。 ユーザーが Microsoft Entra CBA メソッドを使用できる場合でも、パスワードを使用してサインインするオプションが表示されます。

Windows Hello for Business 証明書に関する既知の制限事項

Windows Hello for Business は Microsoft Entra ID の MFA に使用できますが、Windows Hello for Business は新しい MFA ではサポートされていません。 Windows Hello for Business キー/ペアを使用して、ユーザーの証明書を登録することを選択できます。 適切に構成すると、Microsoft Entra ID の MFA に Windows Hello for Business 証明書を使用できます。

Windows Hello for Business 証明書は、Microsoft Edge および Chrome ブラウザーの Microsoft Entra CBA と互換性があります。 現在、Windows Hello for Business 証明書は、Office 365 アプリケーションなどの非ブラウザー シナリオでは Microsoft Entra CBA と互換性がありません。 解決策は、 サインイン Windows Hello またはセキュリティ キー オプションを使用してサインインすることです (使用可能な場合)。 このオプションは認証に証明書を使用せず、Microsoft Entra CBA の問題を回避します。 このオプションは、以前の一部のアプリケーションでは使用できない場合があります。

スコープ外

次のシナリオは、Azure AD CBA の範囲外です:

  • クライアント証明書を作成するための公開キー 基盤 (PKI) の作成または提供。 独自の PKI を構成し、ユーザーとデバイスに証明書をプロビジョニングする必要があります。

関連コンテンツ