Microsoft Entra ID(旧Azure Active Directory)の証明書ベース認証(CBA)は、パスワードレスで安全な認証方式ですが、構成のわずかな誤りや証明書の状態変化によって認証が失敗することがあります。特に「発行者ヒント(Issuer Hint)」の不一致や証明書の失効確認は、原因特定が難しいトラブルの代表です。本記事では、証明書ベース認証が失敗した際に、発行者ヒントと失効確認の観点から原因を切り分け、具体的な解決策を提示します。
【要点】この記事で確認すること
- 最初に見る場所: Entra IDの管理センターの「証明書ベース認証」設定画面、およびクライアントが送信する証明書の発行者値
- 切り分けの軸: 端末側(証明書のインストール状態や失効確認のネットワーク到達性)とEntra ID側(発行者ヒントの設定内容や証明書信頼チェーン)のどちらに問題があるか
- 注意点: 会社PCの証明書ストアやローカルグループポリシーを安易に変更しないこと。また、証明書失効確認(CRL/OCSP)のURLがファイアウォールでブロックされていないか、管理者に確認を依頼してください
ADVERTISEMENT
目次
証明書ベース認証が失敗する主な原因
証明書ベース認証の失敗原因は、大きく分けて「発行者ヒントの不一致」「証明書失効状態」「証明書の信頼チェーン」「証明書の有効期限」「その他の設定ミス」の5つに分類できます。以下、それぞれを詳しく解説します。
発行者ヒントの不一致
発行者ヒント(Issuer Hint)は、Entra IDがクライアント証明書を検証する際に、証明書の発行者(Issuer)の値を照合するための設定です。Entra ID側で登録した発行者ヒントと、クライアントが提示する証明書のIssuerフィールドが完全一致しない場合、認証は失敗します。例えば、発行者名に末尾のスペースが含まれていたり、大文字小文字が異なる(証明書のIssuerは大文字小文字を区別しない場合もあるが、Entra IDの設定はテキストとして比較される)ことが原因で不一致が生じます。
証明書の失効状態
Entra IDは証明書が失効していないかどうかを、CRL(証明書失効リスト)またはOCSP(Online Certificate Status Protocol)を使って確認します。この失効確認が失敗すると、証明書が有効であっても認証が拒否されます。典型的な失敗パターンとしては、CRL配布ポイント(CDP)やOCSPレスポンダーのURLにネットワークから到達できない、証明書に失効情報が含まれていない、あるいはCRLの署名検証に失敗するなどがあります。
証明書の信頼チェーン
クライアント証明書が信頼されたルート証明機関(CA)によって発行されている必要があります。Entra ID側で信頼するCAを設定している場合、そのCAチェーンが正しく構成されていないと認証が通りません。中間CAが不足している、ルート証明書がEntra IDの信頼ストアに登録されていないなどのケースが該当します。
証明書の有効期限切れ
最もシンプルな原因ですが、証明書の有効期限が切れていると認証は失敗します。クライアントのシステム時刻がずれている場合も、有効期限内であってもエラーになることがあります。
その他の設定ミス
ユーザーと証明書のマッピング(ユーザープリンシパル名の一致など)や、条件付きアクセスポリシーによる制限、認証方法の優先順位設定など、Entra IDの認証ポリシー全体の構成が原因となる場合もあります。
発行者ヒントの確認と設定方法
発行者ヒントは、Entra IDの管理センターで「保護」→「認証方法」→「証明書ベース認証」から設定できます。ここで登録した発行者文字列が、クライアント証明書のIssuerの値(CNやOなどを含む全体)と完全一致する必要があります。
クライアント証明書のIssuerを確認する手順
- Windowsの場合、コマンドプロンプトを管理者として開き、
certlm.mscを実行してローカルコンピューターの証明書ストアを開きます。 - 「個人」ストアから該当のクライアント証明書をダブルクリックし、「詳細」タブを選択します。
- 「発行者」フィールドの値をメモします。複数行になる場合は、改行も含めて正確にコピーしてください。
- Entra ID管理センターにログインし、「保護」→「認証方法」→「証明書ベース認証」を開きます。
- 「発行者ヒント」の欄に、先ほど確認した発行者値を貼り付けます。大文字小文字やスペース、カンマの有無を正確に合わせてください。
- 設定を保存し、再度認証を試行します。どうしても一致しない場合は、発行者値を複数パターン(例:CNの前後にスペースを入れたものなど)試してみると原因が特定できます。
証明書失効確認(CRL/OCSP)の仕組みとトラブル
Entra IDの証明書ベース認証では、証明書の失効確認が必須です。クライアント証明書のCRL配布ポイント(CDP)またはOCSPレスポンダーのURLにアクセスし、失効状態をチェックします。この確認に失敗すると認証エラーになります。
代表的な失効確認の失敗パターン
- ネットワーク到達不能: 社内ネットワークからCDP/OCSPのURLにアクセスできない。プロキシ設定やファイアウォールでブロックされている可能性があります。管理者に問い合わせて、必要なURL(例:http://crl.contoso.com)へのアクセス許可を依頼してください。
- CRLが古いまたはサイズ超過: 大規模なPKI環境ではCRLが巨大になり、ダウンロードに時間がかかりタイムアウトすることがあります。OCSPの利用を検討すると改善します。
- OCSPレスポンダーが応答しない: OCSPサーバーの負荷や障害により応答がない場合。Entra ID側でOCSPのタイムアウト設定は変更できませんが、複数のOCSPレスポンダーを用意することで冗長化できます。
- 証明書に失効情報が含まれていない: 証明書テンプレートで「失効情報を含める」が有効になっていない場合、CRLやOCSPのURLが証明書に埋め込まれず、Entra IDが失効確認できずに失敗します。PKI管理者に確認してください。
ADVERTISEMENT
トラブルシューティング手順
問題を体系的に切り分けるための手順を以下に示します。
- 証明書の有効期限を確認します。期限切れの場合は再発行を依頼してください。
- クライアントの時刻が正しいか確認します。時刻が大幅にずれていると証明書の有効期間の判定が誤ります。
- 証明書ストアから証明書を開き、Issuerフィールドの値をEntra IDの発行者ヒント設定と比較します。不一致があれば修正します。
- 証明書のCRL配布ポイントとOCSPレスポンダーのURLに、クライアント端末からアクセスできるか確認します。ブラウザでURLを開いてみてください。エラーが出る場合はネットワークの問題です。
- 証明書の信頼チェーンを確認します。certlm.mscで証明書パスを見て、ルート証明書が「信頼されたルート証明機関」ストアに存在するか確認します。
- Entra IDのサインインログを確認します。Azure Portalの「Entra ID」→「監視」→「サインインログ」から、失敗した認証の詳細を表示し、「証明書ベース認証」のエラーコードを確認します。
- 管理者に依頼して、Entra ID側の証明書ベース認証設定(発行者ヒント、信頼されたCA、失効確認ポリシー)を再確認してもらいます。
状況別の比較表
| 症状 | 主な原因 | 対処方法 |
|---|---|---|
| 認証時に「証明書の発行者が無効です」 | 発行者ヒントの不一致 | 発行者値を正確に一致させる |
| 「証明書が失効しています」 | 証明書が実際に失効、または失効確認に失敗 | CA側で失効状態を確認、ネットワーク障害なら管理者に報告 |
| 「証明書チェーンが正しくありません」 | 信頼チェーン未構成または中間CA不足 | Entra IDにすべての中間CAとルートCAを登録 |
| 認証が非常に遅い、またはタイムアウト | CRLダウンロードの遅延やOCSP応答なし | OCSPの利用を推奨、またはCDP/OCSPサーバーのパフォーマンス改善 |
管理者に確認すべき情報
トラブルシューティングで管理者に伝えるべき情報は以下の通りです。
- 失敗したユーザーのUPNと認証日時
- クライアント証明書のシリアル番号と発行者
- Entra IDのサインインログから取得したエラーコード(例:AADSTS700016)
- クライアント端末からCDP/OCSP URLへのアクセス可否(ブラウザで開いた結果)
- 証明書チェーンのスクリーンショット
よくある質問(FAQ)
Q1. 発行者ヒントはワイルドカードを使用できますか?
いいえ。発行者ヒントは完全一致です。ワイルドカードや部分一致はサポートされていません。複数の発行者を許可したい場合は、それぞれの発行者文字列を登録するか、Entra IDの信頼済み発行者一覧に追加します。
Q2. 証明書ベース認証が失敗したとき、クライアント側にエラーメッセージは表示されますか?
場合によります。Windowsのサインイン画面では「資格情報が機能しませんでした」などの汎用エラーが表示されることが多いです。正確な原因を知るには、管理者がEntra IDのサインインログを確認する必要があります。
Q3. CRLとOCSP、どちらを使うべきですか?
OCSPの方がリアルタイムで失効状態を確認でき、ネットワーク負荷も少ないため推奨されます。ただし、OCSPレスポンダーの可用性を確保する必要があります。証明書にCDPとOCSPの両方が含まれている場合、Entra IDはOCSPを優先します。
Q4. 証明書を再発行したのに認証が通らない場合、何を確認すべきですか?
新しい証明書が正しくクライアントにインストールされているか、また発行者値が変わっていないか確認します。発行者が変わった場合は、Entra IDの発行者ヒント設定も更新する必要があります。また、CAのルート証明書が信頼ストアに更新されているかも確認してください。
まとめ
証明書ベース認証の失敗は、発行者ヒントの不一致か失効確認の問題に集約されるケースが多く見られます。まずはクライアント証明書のIssuer値を正確に把握し、Entra IDの設定と照合することが解決への第一歩です。失効確認が原因の場合は、ネットワーク経路やCRL/OCSPの稼働状態を管理者と共に確認しましょう。本記事の手順を参考に、原因を切り分けて適切な対応を進めてください。適切な設定と運用により、パスワードレスの安全な認証環境を維持できます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築