この記事では、Microsoft Entra 証明書ベースの認証でサポートされているシナリオとサポートされていないシナリオについて説明します。
サポートされているシナリオ
次のシナリオがサポートされています。
- すべてのプラットフォーム上の Web ブラウザー ベースのアプリケーションへのユーザー サインイン。
- Outlook、OneDrive などの Office モバイル アプリへのユーザー サインイン。
- モバイル ネイティブ ブラウザーでのユーザー サインイン。
- 証明書発行者 サブジェクト と ポリシー OIDを使用した、多要素認証の詳細な認証規則のサポート。
- 次の任意の証明書フィールドを使用して、証明書とユーザー アカウントのバインドを構成します。
- サブジェクト代替名 (SAN) PrincipalName と SAN RFC822Name
- サブジェクト キー識別子 (SKI) と SHA1PublicKey
- 次の任意のユーザー オブジェクト属性を使用して、証明書とユーザー アカウントのバインドを構成します。
- ユーザー プリンシパル名
- オンプレミスユーザープリンシパル名 (onPremisesUserPrincipalName)
- 証明書ユーザーID
サポートされていないシナリオ
以下のシナリオはサポートされていません。
- クライアント証明書を作成するための公開キー基盤。 お客様は、独自の公開キー基盤 (PKI) を構成し、ユーザーとデバイスに証明書をプロビジョニングする必要があります。
- 証明機関のヒントはサポートされていないため、UI 内のユーザーに表示される証明書の一覧のスコープは設定されていません。
- 信頼された CA に対してサポートされている CRL 配布ポイント (CDP) は 1 つのみです。
- CDP には HTTP URL のみを指定できます。 オンライン証明書状態プロトコル (OSCP) およびライトウェイト ディレクトリ アクセス プロトコル (LDAP) の URL はサポートされていません。
- サブジェクト + 発行者または発行者 + シリアル番号の使用など、他の証明書からユーザーへのアカウント バインドの構成は、このリリースでは使用できません。
- 現時点では、CBA が有効で、パスワードを使用してサインインするオプションが表示されている場合、パスワードを無効にすることはできません。
サポートされているオペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード |
|---|---|---|
| ウィンドウズ | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | サポートされているベンダーのみ |
| Android | ✅ | サポートされているベンダーのみ |
サポートされているブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード | デバイス上の Safari 証明書 | Safari スマート カード | デバイス上の Microsoft Edge 証明書 | Microsoft Edge スマート カード |
|---|---|---|---|---|---|---|
| ウィンドウズ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | サポートされているベンダーのみ | ❌ | ❌ |
| Android | ✅ | ❌ | なし | なし | ❌ | ❌ |
注
iOS および Android モバイルでは、Microsoft Edge ブラウザー ユーザーは Microsoft Edge にサインインし、アカウントの追加フローなどの Microsoft 認証ライブラリ (MSAL) を使用してプロファイルを設定できます。 プロファイルを使用して Microsoft Edge にログインすると、CBA はデバイス上の証明書とスマート カードでサポートされます。
スマート カード プロバイダー
| プロバイダー | ウィンドウズ | macOS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |