Microsoft Entra 証明書ベースの認証の制限事項
このトピックでは、Microsoft Entra 証明書ベースの認証でサポートされているシナリオとサポートされていないシナリオについて説明します。
サポートされるシナリオ
次のシナリオがサポートされます。
- すべてのプラットフォームでの Web ブラウザー ベースのアプリケーションへのユーザー サインイン。
- Outlook、OneDrive などの Office モバイル アプリへのユーザー サインイン。
- モバイル ネイティブ ブラウザーでのユーザー サインイン。
- 証明書の発行者のサブジェクトおよびポリシー OID を使用した多要素認証の詳細な認証規則のサポート。
- 任意の証明書フィールドを使用して、証明書とユーザー アカウントのバインドを構成します。
- サブジェクト代替名 (SAN) PrincipalName と SAN RFC822Name
- サブジェクト キー識別子 (SKI) と SHA1PublicKey
- 任意のユーザー オブジェクト属性を使用して、証明書とユーザー アカウントのバインドを構成します。
- ユーザー プリンシパル名
- onPremisesUserPrincipalName
- CertificateUserIds
サポートされていないシナリオ
以下のシナリオはサポートされていません。
- クライアント証明書を作成するための公開キー基盤。 お客様は、独自の公開キー基盤 (PKI) を構成し、ユーザーとデバイスに証明書をプロビジョニングする必要があります。
- 証明機関のヒントはサポートされていないため、UI でユーザーに対して表示される証明書のリストにはスコープが設定されていません。
- 信頼された CA に対してサポートされている CRL 配布ポイント (CDP) は 1 つのみです。
- CDP には HTTP URL のみを指定できます。 オンライン証明書状態プロトコル (OSCP) およびライトウェイト ディレクトリ アクセス プロトコル (LDAP) の URL はサポートされていません。
- このリリースでは、サブジェクト + 発行者または発行者 + シリアル番号を使用するなど、他の証明書とユーザー アカウントのバインドを構成することができません。
- 現在、CBA が有効になっていて、パスワードを使用してサインインするオプションが表示されている場合、パスワードを無効にすることはできません。
サポートされるオペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | サポートされているベンダーのみ |
| Android | ✅ | サポートされているベンダーのみ |
サポートされているブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード | デバイス上の Safari 証明書 | Safari スマート カード | デバイス上の Edge 証明書 | Edge スマート カード |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | サポートされているベンダーのみ | ❌ | ❌ |
| Android | ✅ | ❌ | 該当なし | N/A | ❌ | ❌ |
Note
iOS および Android モバイルでは、Edge ブラウザー ユーザーは、Edge にサインインして、アカウントの追加フローなどの Microsoft 認証ライブラリ (MSAL) を使用してプロファイルを設定できます。 プロファイルを使用して Edge にログインすると、CBA がデバイス上の証明書とスマート カードでサポートされます。
スマート カード プロバイダー
| プロバイダー | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |