Microsoft Entra 証明書ベースの認証 (CBA) についてよく寄せられる質問

管理者は、テナントに対して CBA を有効にして、証明書オプションを使用してサインインをユーザーが使用できるようにする必要があります。 詳細については、「 手順 3: 認証バインド ポリシーを構成する」を参照してください。

エラー ページで、[ 詳細 ] を選択して、テナント管理者に役立つ詳細情報を確認します。テナント管理者は、 サインイン ログ を確認してさらに調査できます。 たとえば、ユーザー証明書が失効し、証明書失効リストの一部である場合、認証は正しく失敗します。 詳細な診断情報を取得するには、 サインイン ログを確認します。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Authentication メソッド>Policies に移動します。
3. 証明書ベースの認証ポリシーを選択します。
4. [ 有効]タブと[ターゲット ]タブで、[ 有効にする]を選択します。

証明書ベースの認証は無料の機能です。 Microsoft Entra ID のすべてのエディションには、Microsoft Entra CBA が含まれています。 各 Microsoft Entra エディションの機能の詳細については、Microsoft Entra の価格 を参照してください。

いいえ。代替メールなどの UPN 以外の値を使用したサインインは現在サポートされていません。

いいえ。CA ごとにサポートされている CDP は 1 つだけです。

いいえ。CDP では HTTP URL のみがサポートされます。

CRL をダウンロードし、CA 証明書と CRL 情報を比較して crlDistributionPoint 値が追加する CA に対して有効であることを検証します。 CA の発行者 SKI と CRL の AKI を照合することで、対応する CA への CRL を構成できます (CA 発行者 SKI == CRL AKI)。 次の表と図は、CA 証明書からダウンロードした CRL の属性に情報をマップする方法を示しています。

信頼ストアの証明機関の構成によって、証明機関の信頼チェーンを両方とも検証する Microsoft Entra の機能が得られるようにすることが重要です。 さらに、構成された証明機関 CRL 配布ポイント (CDP) から証明書失効リスト (CRL) を正常に取得する必要があります。 このタスクを支援するには、 MSIdentity Tools PowerShell モジュールをインストールし、 Test-MsIdCBATrustStoreConfiguration を実行することをお勧めします。 この PowerShell コマンドレットは、Microsoft Entra テナント証明機関の構成を確認し、構成ミスの一般的な問題に関するエラー/警告を表示します。

証明書を取り消すことができないため、証明書失効リスト (CRL) チェックを無効にしないことを強くお勧めします。 ただし、CRL チェックに関する問題を調査する必要がある場合は、Microsoft Entra 管理センターで CA の CRL チェックを除外できます。 CBA 認証方法ポリシーで、[ 構成 ] をクリックし、[ 除外の追加] をクリックします。 除外する CA を選択し、[追加] をクリックします。

次の CRL サイズ制限が適用されます。

• 対話型サインインのダウンロード制限: 20 MB (Azure Global includes GCC)、45 MB for (Azure US Government、GCC High、Dept. of Defense を含む)
• サービスのダウンロード制限: 65 MB (Azure グローバルに GCC が含まれます)、150 MB (Azure 米国政府、GCC High、国防省を含む)

CRL のダウンロードが失敗すると、次のメッセージが表示されます。

"{uri} からダウンロードされた証明書失効リスト (CRL) が、Microsoft Entra ID の CRL の最大許容サイズ ({size} バイト) を超えました。 数分後にもう一度やり直してください。 問題が解決しない場合は、テナント管理者に問い合わせてください。

ダウンロードはバックグラウンドに残り、上限が高くなります。

これらの制限の影響を確認しており、それらを削除する計画があります。

• CRL 配布ポイントが有効な HTTP URL に設定されていることを確認します。
• CRL 配布ポイントにインターネットに接続する URL 経由でアクセスできることを確認します。
• CRL サイズが制限内にあることを確認します。

手順に従って 、証明書を手動で取り消します。

ポリシーがキャッシュされます。 ポリシーの更新後、変更が有効になるまでに最大 1 時間かかる場合があります。

認証方法ポリシーでは、ユーザーが任意の方法でサインインを再試行できるように、使用可能なすべての認証方法が常にユーザーに表示されます。 Microsoft Entra ID は、サインインの成功または失敗に基づいて使用可能なメソッドを非表示にしません。

証明書ピッカーが表示された後、ブラウザーによって証明書がキャッシュされます。 ユーザーが再試行すると、キャッシュされた証明書が自動的に使用されます。 ユーザーはブラウザーを閉じ、新しいセッションをもう一度開いて CBA をもう一度試す必要があります。

ユーザーが認証方法ポリシーで証明書ベースの認証 スコープ内にある場合、ユーザーは MFA に対応できると見なされます。 このポリシー要件は、ユーザーが認証の一部として証明を使用して他の使用可能な方法を登録できないことを意味します。

MFA を取得するための単一要素 CBA のサポートがあります。 CBA SF + パスワードレス電話サインイン (PSI) と CBA SF + FIDO2 は、単一要素証明書を使用して MFA を取得するためにサポートされる 2 つの組み合わせです。 単一要素証明書を使用して MFA を

テナント管理者は、Microsoft Graph クエリを実行して、指定された certificateUserId 値を持つすべてのユーザーを検索できます。 詳細については、「CertificateUserIds グラフ クエリ する」を参照してください。

このコマンドは、certificateUserIds の値 'bob@contoso.com' 値を持つすべてのユーザー オブジェクトを返します。

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')

これは、ファイアウォール規則の設定が CRL エンドポイントへのアクセスをブロックする場合に一般的に見られます。

はい。 CBA は、ほとんどのスマート カードとスマート カード リーダーの組み合わせにすぐに使用できます。 スマート カードとスマート カード リーダーの組み合わせに他のドライバーが必要な場合は、Surface Hub でスマート カードとスマート カード リーダーの組み合わせを使用する前に、それらのドライバーをインストールする必要があります。

次の手順

ここで質問に答えない場合は、次の関連トピックを参照してください。

• Microsoft Entra CBA の概要
• Microsoft Entra CBA の技術的な詳細
• iOS デバイスで Microsoft Entra CBA を
• Android デバイスで Microsoft Entra CBA を
• Microsoft Entra CBA を構成する方法
• Microsoft Entra CBA を使用した Windows スマート カード ログオン
• 証明書ユーザー ID
• フェデレーション ユーザーを移行する方法