Microsoft Entra 証明書ベースの認証を使った Windows スマート カード サインイン
Microsoft Entra ユーザーは、Windows のサインイン時に Microsoft Entra ID に対してスマート カードで X.509 証明書を使って直接認証できます。 スマート カード認証を受け入れるために Windows クライアントで行う必要がある特別な構成はありません。
ユーザー エクスペリエンス
Windows スマート カード サインインを設定するには、こちらの手順に従います。
マシンを Microsoft Entra ID またはハイブリッド環境 (ハイブリッド参加) のいずれかに参加させます。
Microsoft Entra CBA の構成に関するページを参照して、テナントで Microsoft Entra CBA を構成します。
ユーザーがマネージド認証を使用しているか、段階的ロールアウトを使用していることを確認します。
物理または仮想のスマート カードをテスト マシンに提示します。
スマート カードのアイコンを選択し、PIN を入力してユーザーを認証します。
サインインが成功した後、ユーザーは Microsoft Entra ID からプライマリ更新トークン (PRT) を取得します。 CBA の構成によっては、PRT に多要素要求が含まれます。
Microsoft Entra CBA にユーザー UPN を送信する Windows の予期される動作
| サインイン | Microsoft Entra Join | ハイブリッド参加 |
|---|---|---|
| 初回サインイン | 証明書からのプル | AD UPN または x509Hint |
| 以降のサインイン | 証明書からのプル | キャッシュされた Microsoft Entra UPN |
Microsoft Entra 参加済みデバイスの UPN を送信するための Windows ルール
Windows では最初にプリンシパル名を使用し、存在しない場合は、Windows へのサインインに使用される証明書の SubjectAlternativeName (SAN) から RFC822Name を使用します。 どちらも存在しない場合、ユーザーは追加でユーザー名のヒントを指定する必要があります。 詳細については、ユーザー名のヒントに関するセクションを参照してください。
Microsoft Entra ハイブリッド参加済みデバイスの UPN を送信するための Windows ルール
ハイブリッド参加サインインでは、最初に Active Directory (AD) ドメインに対して正常にサインインする必要があります。 ユーザー AD UPN は Microsoft Entra ID に送信されます。 ほとんどの場合、Active Directory UPN 値は Microsoft Entra UPN 値と同じであり、Microsoft Entra Connect と同期されます。
一部のお客様は、異なる UPN 値を維持し、場合によっては、Active Directory にルーティング不可能な UPN 値 (user@woodgrove.local など) を持つ可能性があります。このような場合、Windows によって送信される値がユーザーの Microsoft Entra UPN と一致しない可能性があります。 Microsoft Entra ID が Windows によって送信された値と一致しないこれらのシナリオをサポートするために、onPremisesUserPrincipalName 属性で一致する値を使用してユーザーに対してそれ以降の検索が実行されます。 サインインが成功した場合、Windows はユーザーの Microsoft Entra UPN をキャッシュし、後続のサインインで送信されます。
Note
いずれの場合も、ユーザー指定のユーザー名のログイン ヒント (X509UserNameHint) が提供された場合に送信されます。 詳細については、ユーザー名のヒントに関するセクションを参照してください。
重要
ユーザーがユーザー名のログイン ヒント (X509UserNameHint) を指定する場合、指定される値は UPN 形式でなければなりません。
Windows フローの詳細については、「証明書の要件と列挙 (Windows)」を参照してください。
サポートされる Windows プラットフォーム
Windows スマート カード サインインは、Windows 11 の最新のプレビュー ビルドで機能します。 この機能は、次のいずれかの更新プログラム KB5017383 を適用した後、これらの以前の Windows バージョンにも使用できます。
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
サポートされているブラウザー
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Note
Microsoft Entra CBA では、デバイス上の証明書と、Windows 上のセキュリティ キーなどの外部ストレージの両方がサポートされます。
Windows Out-of-box experience (OOBE)
Windows OOBE では、ユーザーが外部スマート カード リーダーを使用してログインし、Microsoft Entra CBA に対して認証できるようにする必要があります。 既定では、Windows OOBE には、OOBE のセットアップ前に必要なスマート カード ドライバーまたはスマート カード ドライバーが Windows イメージに追加されている必要があります。
制限事項と注意事項
- Microsoft Entra CBA は、ハイブリッドまたは Microsoft Entra 参加済みの Windows デバイスでサポートされています。
- ユーザーはマネージド ドメインに存在するか、段階的ロールアウトを使用している必要があり、フェデレーション認証モデルを使用することはできません。