フェデレーションから Microsoft Entra 証明書ベースの認証 (CBA) に移行する
この記事では、オンプレミスの Active Directory フェデレーション サービス (AD FS) などのフェデレーション サーバーの実行から、Microsoft Entra 証明書ベースの認証 (CBA) を使用したクラウド認証に移行する方法について説明します。
段階的ロールアウト
テナント管理者は、Microsoft Entra ID で CBA 認証方法を有効にし、ドメイン全体をマネージド認証に変換することで、パイロット テストなしでフェデレーション ドメインを完全に Microsoft Entra CBA に一括移行できます。 ただし、マネージドへの完全なドメイン一括移行の前に、Microsoft Entra CBA に対して少数のユーザーの認証をテストする必要がある場合は、段階的なロールアウト機能を利用できます。
証明書ベース認証 (CBA) の段階的ロールアウトは、Microsoft Entra ID のドメイン構成をフェデレーションからマネージドに変換する前に、選択したユーザー グループで少人数のユーザーを Microsoft Entra ID で CBA を使用するように (フェデレーション IdP にリダイレクトされないように) 選択的に移動することで、お客様がフェデレーション IdP での CBA の実行から Microsoft Entra ID へ切り替えるのを支援します。 段階的ロールアウトは、ドメインが長期間または大量のユーザーに対してフェデレーションを維持するようには設計されていません。
ADFS 認定資格証ベース認証から Microsoft Entra CBA への移行をデモするこの簡単なビデオをご覧ください。
Note
ユーザーに対して段階的ロールアウトが有効になっている場合、ユーザーはマネージド ユーザーと見なされ、すべての認証は Microsoft Entra ID で行われます。 フェデレーション テナントでは、段階的ロールアウトで CBA が有効になっている場合、パスワード認証は PHS も有効である場合にのみ機能し、そうでない場合はパスワード認証が失敗します。
ご利用のテナント上で証明書ベースの認証の段階的ロールアウトを有効にする
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
段階的ロールアウトを構成するには、こちらの手順に従います。
- Microsoft Entra 管理センターに少なくともユーザー管理者としてサインインします。
- Microsoft Entra Connect を検索して選択します。
- [Microsoft Entra Connect] ページの [クラウド認証の段階的ロールアウト] で、[マネージド ユーザー サインインの段階的ロールアウトを有効にする] をクリックします。
- [段階的ロールアウトを有効にする] 機能ページで、[証明書ベースの認証] オプションに対して [オン] をクリックします
- [グループの管理] をクリックし、クラウド認証に参加させたいグループを追加します。 タイムアウトを回避するには、最初に、セキュリティ グループに含まれるメンバーが 200 人以下であることを確認してください。
詳細については、「段階的ロールアウト」を参照してください。
Microsoft Entra Connect を使用して certificateUserIds 属性を更新する
AD FS 管理者は、同期規則エディターを使用して、AD FS から Microsoft Entra ユーザー オブジェクトに属性の値を同期させる規則を作成できます。 詳細については、certificateUserIds の同期規則に関するページを参照してください。
Microsoft Entra Connect には、必要なアクセス許可を付与する [ハイブリッド ID の管理者] という名前の特別なロールが必要です。 新しいクラウド属性に書き込みを行うアクセス許可を得るには、このロールが必要です。
Note
ユーザー名バインド用のユーザー オブジェクト内の onPremisesUserPrincipalName 属性など、同期された属性をユーザーが使用している場合は、Microsoft Entra Connect サーバーへの管理アクセス権を持つすべてのユーザーが、同期された属性マッピングの変更、および同期された属性の値の変更を行うことができることに注意してください。 ユーザーはクラウド管理者である必要はありません。AD FS 管理者は、Microsoft Entra Connect サーバーへの管理アクセスが制限されていること、および特権アカウントがクラウド専用アカウントであることを確認する必要があります。
AD FS から Microsoft Entra ID への移行についてよく寄せられる質問
フェデレーション AD FS サーバーに対して特権アカウントを持つことができますか?
可能ですが、Microsoft では特権アカウントをクラウド専用アカウントとすることをお勧めします。 特権アクセスにクラウド専用アカウントを使用すると、侵害されたオンプレミス環境を原因とする Microsoft Entra ID での漏洩が制限されます。 詳細については、「オンプレミスの攻撃から Microsoft 365 を保護する」を参照してください。
組織が AD FS と Azure CBA の両方をハイブリッド運用している場合、AD FS の侵害に対してまだ脆弱ですか?
Microsoft では、特権アカウントをクラウド専用アカウントにすることをお勧めしています。 この方法を採用することで、侵害されたオンプレミス環境を原因とする Microsoft Entra ID での露出が制限されます。 クラウド専用の特権アカウントを維持することは、この目標の基本です。
同期されたアカウントの場合:
- マネージド ドメイン (フェデレーションではなく) 内に存在する場合、フェデレーション IdP からのリスクはありません。
- フェデレーション ドメイン内に置かれているが、段階的ロールアウトによってアカウントのサブセットが Microsoft Entra CBA に移動中である場合、フェデレーション ドメインがクラウド認証に完全に切り替えられるまでは、フェデレーション Idp に関連するリスクの対象となります。
AD FS から Azure にピボットする機能を防ぐために、組織は AD FS などのフェデレーション サーバーを排除する必要がありますか?
フェデレーションの場合、攻撃者は、グローバル管理者アカウントのようなクラウド専用ロールを取得できないにしても、CIO など、誰かを偽装することが可能です。
ドメインが Microsoft Entra ID でフェデレーションされている場合は、フェデレーション IdP に高いレベルの信頼が置かれます。 AD FS は 1 つの例ですが、この概念は "あらゆる" フェデレーション IdP に当てはまります。 組織の多くは、証明書ベースの認証を実現するために、AD FS などのフェデレーション IdP を排他的にデプロイしています。 この場合、Microsoft Entra CBA によって AD FS の依存関係は完全に削除されます。 Microsoft Entra CBA を使用すれば、お客様はアプリケーション資産を Microsoft Entra ID に移行して、IAM インフラストラクチャを最新化し、強化されたセキュリティによりコストを削減できます。
セキュリティの観点からは、資格情報 (X.509 証明書、CAC、PIV など)、または使用中の PKI に変更はありません。 PKI の所有者は、証明書の発行と、失効のライフサイクルおよびポリシーを引き続き完全に制御できます。 失効チェックと認証は、フェデレーション Idp ではなく Microsoft Entra ID で行われます。 これらのチェックにより、すべてのユーザーを対象にしてフィッシングに強いパスワードレスの認証が Microsoft Entra ID に対して直接有効になります。
Windows でフェデレーション AD FS と Microsoft Entra クラウド認証を使用すると、認証はどのように機能しますか?
Microsoft Entra CBA では、サインインするユーザーの Microsoft Entra UPN を指定することをユーザーまたはアプリケーションに求めています。
ブラウザーの例では、ほとんどの場合、ユーザーは自分の Microsoft Entra UPN を入力します。 Microsoft Entra UPN は、領域とユーザーの検出に使用されます。 使用する証明書は、ポリシーで構成されたユーザー名バインドのいずれかを使用して、このユーザーと照合させる必要があります。
Windows サインインでは、デバイスがハイブリッドであるか Microsoft Entra に参加しているかによって照合が異なります。 ただし、どちらの場合も、ユーザー名ヒントが指定されている場合、Windows からはそのヒントが Microsoft Entra UPN として送信されます。 使用する証明書は、ポリシーで構成されたユーザー名バインドのいずれかを使用して、このユーザーと照合させる必要があります。