このページでは、Microsoft Entra ID を ID プロバイダー (IdP) として使用するアプリの証明書の管理についてよく寄せられる質問について回答します。
間もなく期限が切れる SAML 署名証明書の一覧を生成する方法はありますか?
PowerShell スクリプトを使用して、ご自分のディレクトリのアプリを指定して、間もなく期限が切れるシークレット、証明書、およびそれらの所有者を含め、すべてのアプリ登録を CSV ファイルにエクスポートします。
間もなく期限切れになる証明書の更新手順に関する情報はどこで確認できますか?
手順については、こちらを参照してください。
Microsoft Entra ID によって発行された証明書の有効期限をカスタマイズするにはどうすればよいですか?
既定では、Microsoft Entra ID は、SAML シングル サインオン構成中に自動的に作成されてから 3 年後に有効期限が切れる証明書を構成します。 証明書の日付は保存した後は変更できないので、新しい証明書を作成する必要があります。 その方法の手順については、「フェデレーション証明書の有効期限のカスタマイズと、新しい証明書へのロールオーバー」を参照してください。
注
SAML アプリケーションを作成するには、Microsoft Entra アプリケーション ギャラリーを使用することをお勧めします。このギャラリーでは、3 年間の有効な X509 証明書が自動的に作成されます。
証明書の有効期限通知を自動化するにはどうすればよいですか?
Microsoft Entra ID では、SAML 証明書の有効期限が切れる 60 日前、30 日前、7 日前に、通知がメールで送信されます。 通知を受信するメール アドレスを複数追加できます。
注
通知一覧に最大 5 つのメールアドレスを追加できます (アプリケーションを追加した管理者のメール アドレスを含む)。 もっと多くのユーザーに通知する必要がある場合は、配布リストのメール アドレスを使用します。
通知送信先のメール アドレスを指定するには、「証明書の有効期限のメール通知アドレスの追加」を参照してください。
aadnotification@microsoft.comから受信したこれらの電子メール通知を編集またはカスタマイズするオプションは存在しません。 ただし、PowerShell スクリプトを使用して、間もなく期限が切れるシークレットと証明書を含め、アプリ登録をエクスポートできます。
誰が証明書を更新できますか?
アプリケーションの所有者またはアプリケーション管理者は、Microsoft Entra 管理センター UI、PowerShell、または Microsoft Graph を使用して証明書を更新できます。
証明書署名オプションの詳細について教えてください
Microsoft Entra ID では、証明書署名オプションと証明書署名アルゴリズムを設定できます。 詳細については、Microsoft Entra アプリ用の詳細な SAML トークンの証明書署名オプションに関するページを参照してください。
シングル サインオン用の SAML 証明書の構成に使用できる証明書の種類は何ですか?
SAML シングル サインオン証明書で推奨されることは、組織のセキュリティ要件とポリシーによって異なります。 組織に内部証明機関 (PKI) がある場合、内部 PKI の証明書を使用すると、より高いレベルのセキュリティと信頼を提供できます。 内部 PKI がある場合は、その証明書を制御して監視するため、セキュリティと信頼が向上します。
組織が独自の証明機関を実行していない場合は、DigiCert などのパブリック証明機関から証明書を取得します。 組織はこれらの証明機関を信頼し、厳格なセキュリティと検証規則に従ってアプリをセキュリティで保護します。
Microsoft Entra アプリケーション プロキシ アプリケーションの証明書を置き換える必要があるので、手順について教えてください
Microsoft Entra アプリケーション プロキシ アプリケーションの証明書を置き換えるには、PowerShell のサンプル - アプリケーション プロキシ アプリケーションでの証明書の置換に関するページを参照してください。
Microsoft Entra アプリケーション プロキシでカスタム ドメインの証明書を管理するにはどうすればよいですか?
カスタム ドメインを使うようにオンプレミス アプリを構成するには、検証済みの Microsoft Entra カスタム ドメイン、カスタム ドメインの PFX 証明書、および構成するオンプレミス アプリが必要です。 詳細については、Microsoft Entra アプリケーション プロキシでのカスタム ドメインに関する記事を参照してください。
アプリケーション側でトークン署名証明書を更新する必要があります。 Microsoft Entra ID 側ではどこで入手できますか?
SAML x.509 証明書を更新できます。「SAML 署名証明書」を参照してください。
Microsoft Entra ID 署名キーのロールオーバーとは何ですか?
詳細については、 こちらを参照してください。
アプリケーション トークン暗号化証明書を更新するにはどうすればよいですか?
アプリケーション トークン暗号化証明書を更新するには、エンタープライズ アプリケーションのトークン暗号化証明書を更新する方法に関するページを参照してください。
アプリケーション トークン署名証明書を更新するにはどうすればよいですか?
アプリケーション トークン署名証明書を更新するには、エンタープライズ アプリケーションのトークン署名証明書を更新する方法に関するページを参照してください。
フェデレーション証明書を変更した後に Microsoft Entra ID を更新するにはどうすればよいですか?
フェデレーション証明書を変更した後に Microsoft Entra ID を更新するには、「Microsoft 365 および Microsoft Entra ID 用のフェデレーション証明書の更新」を参照してください。
同じ SAML 証明書を異なるアプリで使用できますか?
エンタープライズ アプリ用に SSO を初めて構成するときは、Microsoft Entra ID 全体で使用される既定の SAML 証明書が提供されます。 ただし、既定の Microsoft Entra ID ではない複数のアプリで同じ証明書を使用する必要がある場合は、外部証明機関を使用して PFX ファイルをアップロードしてください。 その理由は、Microsoft Entra ID が内部で発行された証明書から秘密キーへのアクセスを提供しないためです。