カスタムの条件付きアクセス認証の強度を作成および管理する

認証強度は、リソースにアクセスするための認証方法の組み合わせを指定する Microsoft Entra 条件付きアクセス制御です。 管理者は、要件に正確に合わせて最大 15 個のカスタム認証強度を作成できます。

[前提条件]

• 条件付きアクセスを使用するには、テナントに Microsoft Entra ID P1 ライセンスが必要です。 このライセンスをお持ちでない場合は、 無料試用版を開始できます。

カスタム認証強度を作成する

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>認証メソッド>認証の強度を表示します。

3. [ 新しい認証強度] を選択します。

4. [名前] に、新しい認証強度のわかりやすい名前を指定します。

5. [説明] には、省略可能な説明を指定できます。

6. フィッシングに強い MFA、パスワードレス MFA、一時アクセス パスなど、許可する使用可能な方法を選択します。

7. [ 次へ ] を選択し、ポリシーの構成を確認します。

カスタム認証の強度を更新および削除する

カスタム認証強度を編集できます。 条件付きアクセス ポリシーがその認証強度を参照している場合は、削除できないため、編集を確認する必要があります。

条件付きアクセス ポリシーが認証強度を参照しているかどうかを確認するには、[ 条件付きアクセス ポリシー ] 列に移動します。

パスキーの詳細オプションの構成 (FIDO2)

パスキー (FIDO2) の使用は、Authenticator 構成証明 GUID (AAGUID) に基づいて制限できます。 この機能を使用して、リソースへのアクセスに特定の製造元の FIDO2 セキュリティ キーを要求できます。

1. カスタム認証強度を作成したら、 Passkeys (FIDO2)>Advanced オプションを選択します。

   

2. [ AAGUID の追加] の横にあるプラス記号 (+) を選択し、AAGUID 値をコピーして、[ 保存] を選択します。

   

証明書ベースの認証の詳細オプションを構成する

認証バインド ポリシーでは、証明書の発行者またはポリシー オブジェクト識別子 (OID) に基づいて、証明書を単一要素認証保護レベルまたは多要素認証保護レベルにバインドするかどうかを構成できます。 条件付きアクセス認証強度ポリシーに基づいて、特定のリソースに対して単一要素認証証明書または多要素認証証明書を要求することもできます。

認証強度の詳細オプションを使用すると、アプリケーションへのサインインをさらに制限するために、特定の証明書発行者またはポリシー OID を要求できます。

たとえば、Contoso という名前の組織が、3 種類の多要素証明書を持つ従業員にスマート カードを発行するとします。 1 つの証明書は機密のクリアランス用で、もう 1 つは秘密のクリアランス用で、3 つ目は極秘のクリアランス用です。 各プロパティは、発行者やポリシー OID などの証明書のプロパティによって区別されます。 Contoso は、適切な多要素証明書を持つユーザーのみが分類ごとにデータにアクセスできるようにしたいと考えています。

次のセクションでは、Microsoft Entra 管理センターと Microsoft Graph を使用して、証明書ベースの認証 (CBA) の詳細オプションを構成する方法について説明します。

Microsoft Entra 管理センター

1. Microsoft Entra 管理センターに管理者としてサインインします。

2. Entra ID>認証メソッド>認証の強度を表示します。

3. [ 新しい認証強度] を選択します。

4. [名前] に、新しい認証強度のわかりやすい名前を指定します。

5. [説明] には、省略可能な説明を指定できます。

6. 証明書ベースの認証 (単一要素または多要素) のオプションの下にある [ 詳細オプション] を選択します。

   

7. 証明書の発行者を選択または入力し、許可されているポリシー OID を入力します。

   証明書発行者を構成するには、テナントの証明機関から証明書発行者を選択するドロップダウン リストを使用します。 ドロップダウン リストには、テナントのすべての証明機関 (単一要素か多要素か) が表示されます。

   使用する証明書がテナントの証明機関にアップロードされないシナリオでは、[ SubjectkeyIdentifier によるその他の証明書発行者 ] ボックスに証明書発行者を入力できます。 このような例の 1 つは、ユーザーがホーム テナントで認証され、認証強度がリソース テナントに適用されている外部ユーザー シナリオです。

   

   次の条件が適用されます。

   • 両方の属性 (証明書発行者とポリシー OID) を構成する場合、ユーザーは、認証強度を満たすために、少なくとも 1 つの発行者 と 一覧のポリシー OID を持つ証明書を使用する必要があります。
   • 証明書発行者属性のみを構成する場合、ユーザーは認証強度を満たすために、少なくとも 1 つの発行者を持つ証明書を使用する必要があります。
   • ポリシー OID 属性のみを構成する場合、ユーザーは認証強度を満たすために、ポリシー OID の少なくとも 1 つを持つ証明書を使用する必要があります。

   注

   認証強度には、最大 5 つの発行者と 5 つの OID を構成できます。

8. [ 次へ ] を選択して構成を確認し、[ 作成] を選択します。

Microsoft Graph

証明書の combinationConfigurations を使用して新しい条件付きアクセス認証強度ポリシーを作成するには、次のコードを使用します。

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

既存のポリシーに新しい combinationConfiguration 情報を追加するには、次のコードを使用します。

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

制限事項を理解する

パスキーの詳細オプション (FIDO2)

ホーム テナントとリソース テナントが異なる Microsoft クラウドに配置されている外部ユーザーでは、パスキー (FIDO2) の詳細オプションはサポートされていません。

証明書ベースの認証の詳細オプション

• ユーザーは、各ブラウザー セッションで 1 つの証明書のみを使用できます。 ユーザーが証明書を使用してサインインすると、セッション中はブラウザーにキャッシュされます。 認証強度の要件を満たしていない場合、ユーザーは別の証明書を選択するように求められません。 ユーザーはサインアウトしてサインインし直してセッションを再開し、関連する証明書を選択する必要があります。

• 証明機関とユーザー証明書は、X.509 v3 標準に準拠している必要があります。 具体的には、発行者のサブジェクト キー識別子 (SKU) に CBA 制限を適用するには、証明書に有効な機関キー識別子 (AKIs) が必要です。

  

  注

  証明書が準拠していない場合、ユーザー認証は成功する可能性がありますが、認証強度ポリシーの発行者 SKI 制限を満たしていない可能性があります。

• サインイン時に、Microsoft Entra ID はユーザー証明書からの最初の 5 つのポリシー OID を考慮し、認証強度ポリシーで構成されたポリシー OID と比較します。 ユーザー証明書に 5 つ以上のポリシー OID がある場合、Microsoft Entra ID では、認証強度要件に一致する最初の 5 つのポリシー OID (字句順) が考慮されます。

• 企業間ユーザーの場合、Contoso が別の組織 (Fabrikam) のユーザーをテナントに招待する例を見てみましょう。 この場合、Contoso はリソース テナントであり、Fabrikam はホーム テナントです。 アクセスは、テナント間のアクセス設定によって異なります。

  • クロステナント アクセス設定が [オフ] の場合、Contoso はホーム テナントが実行した MFA を受け入れないことを意味します。 リソース テナントに対する証明書ベースの認証はサポートされていません。
  • テナント間アクセス設定が [オン] の場合、Fabrikam テナントと Contoso テナントは同じ Microsoft クラウド (Azure 商用クラウド プラットフォームまたは米国政府機関向け Azure クラウド プラットフォーム) 上にあります。 さらに、Contoso はホーム テナントで実行された MFA を信頼します。 この場合、次のようになります。
    • 管理者は、カスタム認証強度ポリシーのポリシー OID または SubjectkeyIdentifier によるその他の証明書発行者 設定を使用して、特定のリソースへのアクセスを制限できます。
    • 管理者は、カスタム認証強度ポリシーの [SubjectkeyIdentifier によるその他の証明書発行者 ] 設定を使用して、特定のリソースへのアクセスを制限できます。
  • テナント間アクセス設定が [オン] の場合、Fabrikam と Contoso は同じ Microsoft クラウド上にありません。 たとえば、Fabrikam のテナントは Azure 商用クラウド プラットフォーム上にあり、Contoso のテナントは米国政府向け Azure クラウド プラットフォーム上にあります。 管理者は、カスタム認証強度ポリシーの発行者 ID またはポリシー OID を使用して、特定のリソースへのアクセスを制限することはできません。

認証の強度に関する高度なオプションのトラブルシューティング

ユーザーがパスキー (FIDO2) を使用してサインインできない

条件付きアクセス管理者は、特定のセキュリティ キーへのアクセスを制限できます。 ユーザーが使用できないキーでサインインしようとすると、"ここからアクセスできません" というメッセージが表示されます。 ユーザーはセッションを再起動し、別のパスキー (FIDO2) でサインインする必要があります。

証明書の発行者またはポリシー OID を確認する必要がある

個人証明書のプロパティが、認証強度の詳細オプションの構成と一致することを確認できます。

1. ユーザーのデバイスで、管理者としてサインインします。

2. [ 実行] を選択し、「 certmgr.msc」と入力し、Enter キーを 押 します。

3. [個人用>Certificates] を選択し、証明書を右クリックし、[詳細] タブに移動します。

関連コンテンツ

• 組み込みの条件付きアクセス認証の強度
• 外部ユーザーの認証強度のしくみ
• 認証の強度のトラブルシューティング