次の方法で共有


Microsoft Entra 証明書ベースの認証の制限事項

このトピックでは、Microsoft Entra 証明書ベースの認証でサポートされているシナリオとサポートされていないシナリオについて説明します。

サポートされるシナリオ

次のシナリオがサポートされます。

  • すべてのプラットフォームでの Web ブラウザー ベースのアプリケーションへのユーザー サインイン。
  • Outlook、OneDrive などの Office モバイル アプリへのユーザー サインイン。
  • モバイル ネイティブ ブラウザーでのユーザー サインイン。
  • 証明書の発行者のサブジェクトおよびポリシー OID を使用した多要素認証の詳細な認証規則のサポート。
  • 任意の証明書フィールドを使用して、証明書とユーザー アカウントのバインドを構成します。
    • サブジェクト代替名 (SAN) PrincipalName と SAN RFC822Name
    • サブジェクト キー識別子 (SKI) と SHA1PublicKey
  • 任意のユーザー オブジェクト属性を使用して、証明書とユーザー アカウントのバインドを構成します。
    • ユーザー プリンシパル名
    • onPremisesUserPrincipalName
    • CertificateUserIds

サポートされていないシナリオ

以下のシナリオはサポートされていません。

  • クライアント証明書を作成するための公開キー基盤。 お客様は、独自の公開キー基盤 (PKI) を構成し、ユーザーとデバイスに証明書をプロビジョニングする必要があります。
  • 証明機関のヒントはサポートされていないため、UI でユーザーに対して表示される証明書のリストにはスコープが設定されていません。
  • 信頼された CA に対してサポートされている CRL 配布ポイント (CDP) は 1 つのみです。
  • CDP には HTTP URL のみを指定できます。 オンライン証明書状態プロトコル (OSCP) およびライトウェイト ディレクトリ アクセス プロトコル (LDAP) の URL はサポートされていません。
  • このリリースでは、サブジェクト + 発行者または発行者 + シリアル番号を使用するなど、他の証明書とユーザー アカウントのバインドを構成することができません。
  • 現在、CBA が有効になっていて、パスワードを使用してサインインするオプションが表示されている場合、パスワードを無効にすることはできません。

サポートされるオペレーティング システム

オペレーティング システム デバイス上の証明書/派生 PIV スマート カード
Windows
macOS
iOS サポートされているベンダーのみ
Android サポートされているベンダーのみ

サポートされているブラウザー

オペレーティング システム デバイス上の Chrome 証明書 Chrome スマート カード デバイス上の Safari 証明書 Safari スマート カード デバイス上の Edge 証明書 Edge スマート カード
Windows
macOS
iOS サポートされているベンダーのみ
Android 該当なし N/A

Note

iOS および Android モバイルでは、Edge ブラウザー ユーザーは、Edge にサインインして、アカウントの追加フローなどの Microsoft 認証ライブラリ (MSAL) を使用してプロファイルを設定できます。 プロファイルを使用して Edge にログインすると、CBA がデバイス上の証明書とスマート カードでサポートされます。

スマート カード プロバイダー

プロバイダー Windows Mac OS iOS Android
YubiKey

次のステップ