Microsoft Entra 証明書ベースの認証(CBA)でプライベート認証局が発行したプライベート証明書を利用可能か

ユーザの認証方法として、証明書ベースの認証がEntraでは利用可能です。

事前に、デバイス側に証明書をインポートして、Entraでの認証時に、Entra側でその証明書を検証するような仕組みですが、証明書として、「プライベート認証局が発行したプライベート証明書」は利用可能なのでしょうか

結論:可能

ME-ID (Microsoft Entra ID)の CBA ではルート証明書をアップロードし認証局 (CA) の情報を ME-ID に登録することで、ME-ID はその情報をもとにユーザー証明書の検証を行う仕組みとなります。

この ME-ID に登録する認証局 (CA) はプライベート認証局を登録することが可能であり、そのプライベート認証局から発行されたプライベート証明書を用いて認証が行える動作となります。

以下の弊社公開情報に認証局 (CA) の情報を登録する方法について記載あるので、必要に応じて参照ください。

*********** 公開情報 ***********

Title: Microsoft Entra 証明書ベースの認証を構成する方法 – Microsoft Entra ID | Microsoft Learn

<https://learn.microsoft.com/ja-jp/entra/identity/authentication/how-to-certificate-based-authentication>

******************************

補足

本番環境での利用においてはセキュリティの観点から ME-ID が証明書の失効チェックができるように構成することをMSは推奨しています。

証明書の失効チェックを実施するためには ME-ID がインターネット経由でアクセス可能な CRL の公開 URL が必要となります。

もし ME-ID が CRL の公開 URL にアクセスできない場合は、証明書失効チェックが行えないため、失効した証明書でもブロックされない動作となります。※ つまり ME-ID としては CRL の URL を指定しない構成を行うこと自体は可能となります。通信は継続できる(ブロックされない)が、セキュリティ的はよろしくない、という話です。

そのため、プラライベート認証局で CRL を構成されていない、あるいはインターネットに CRL の URL を公開していない場合は証明書失効チェックが行えない点は認識しておきましょう。

証明書の失効プロセスについては、以下のMS公開情報に記述があります。

*********** 公開情報 ***********

Title: Microsoft Entra の証明書ベースの認証に関する技術的な詳細情報 – Microsoft Entra ID | Microsoft Learn

<https://learn.microsoft.com/ja-jp/entra/identity/authentication/concept-certificate-based-authentication-technical-deep-dive#understanding-the-certificate-revocation-process>

/// 一部抜粋 ///

認証ポリシー管理者は、Microsoft Entra テナントの信頼された発行者のセットアップ プロセス中に CRL の配布ポイントを構成することができます。

信頼できる各発行者には、インターネット上の URL を使って参照できる CRL が必要です。

~ 中略 ~

重要

認証ポリシー管理者が CRL の構成をスキップした場合、Microsoft Entra ID はユーザーの証明書ベースの認証時に CRL チェックを実行しません。

これは初期のトラブルシューティングに役立ちますが、運用環境での使用は考えない方が良いでしょう。

******************************

Entra

Posted by MITSUAKI TSURUTA