Microsoft 365環境では、さまざまなサービスが証明書を使って通信の安全性を保っています。管理者がうっかり証明書の期限切れを見落とすと、ユーザーが一斉にサインインできなくなったり、OutlookやTeamsといった主要サービスが突然使えなくなる事態が発生します。そうしたトラブルを未然に防ぐには、どの証明書がどのサービスやユーザーに影響を及ぼすのか、あらかじめ「配布対象」を把握しておくことが欠かせません。また、期限切れ後に迅速に対応するために、影響範囲をまとめた「失効リスト」を準備しておくことも重要です。この記事では、管理者が証明書期限切れの前に確認すべき配布対象と失効リストの具体的内容と、実務での確認手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365管理センターの「証明書」タブと、Entra ID(旧Azure AD)の「証明書とシークレット」ページ。組織で利用しているすべての証明書の一覧と期限を確認します。
- 切り分けの軸: 証明書の種類(サービス間通信用、アプリ登録用、フェデレーション用など)と、影響を受けるサービス(Exchange Online、SharePoint、Teams、Entra ID連携アプリ等)を明確にします。
- 注意点: 証明書の更新は管理者権限が必要であり、誤って既存の証明書を削除すると即時に障害が発生する可能性があります。事前にバックアップとロールバック手順を確認してください。
ADVERTISEMENT
目次
証明書期限切れが引き起こす問題と管理上のリスク
Microsoft 365では、内部サービス間の認証や、外部IDプロバイダーとの連携に証明書を使用しています。これらの証明書が期限切れになると、サービスが相互に信頼できなくなり、ユーザー認証やデータ同期が停止します。具体的には、次のような問題が発生します。
証明書が期限切れになると何が起きるか
たとえば、Exchange OnlineとSkype for Business Onlineの間で使われる証明書が期限切れになると、会議出席依頼の同期やボイスメールの配信ができなくなります。また、Entra IDに登録されたアプリケーションのシングルサインオン(SSO)証明書が切れた場合、そのアプリにアクセスしようとするとエラーが表示され、ユーザーはログインできなくなります。さらに、フェデレーション(AD FS)の証明書が期限切れになると、すべてのクラウドサービスへの認証が遮断されるため、テナント全体がダウンする可能性もあります。
管理者が知っておくべき失効リストの意味
失効リストとは、証明書が期限切れになった場合に影響を受けるサービスやアプリケーション、ユーザー群を一覧にしたドキュメントです。このリストを事前に作成しておくことで、障害発生時に影響範囲をすぐに把握でき、復旧作業を迅速に進められます。失効リストには、証明書の拇印(サムプリント)、用途、関連サービス、緊急連絡先、代替証明書の有無などを含めることが推奨されます。
証明書の配布対象を特定するための事前確認手順
証明書がどのサービスやユーザーに配布されているかを把握するには、Microsoft 365管理センターとEntra IDポータルを使って体系的に確認します。以下の手順に従って、配布対象を洗い出してください。
- Microsoft 365管理センターにサインイン – グローバル管理者アカウントで、
admin.microsoft.comにアクセスします。 - [設定] > [組織設定] > [証明書] を開く – ここでテナント全体で使用されているサービス証明書の一覧を表示します。
- 各証明書の詳細を確認 – 証明書のサムプリント、発行者、有効期限、ステータス(アクティブ/期限切れ)、用途をメモします。特に「必須サービス」の欄に記載されたサービス名(例:Exchange Online、SharePoint Online)を注目します。
- Entra ID管理センターでアプリケーション証明書を確認 –
entra.microsoft.comに移動し、[アプリケーション] > [エンタープライズアプリケーション] > [すべてのアプリケーション] を選択。各アプリの「証明書とシークレット」タブで、アプリケーションが使用する証明書の一覧と有効期限を確認します。 - フェデレーション証明書を確認 – [Entra ID] > [外部ID] > [すべてのIDプロバイダー] で、カスタムドメインのフェデレーション設定を開き、署名証明書と暗号化証明書の有効期限を確認します。
- PowerShellで一括エクスポート –
Get-MsolServicePrincipalやGet-AzureADApplicationコマンドを使い、全証明書のリストをCSVに出力しておくと一覧管理が容易です。 - 配布対象マップを作成 – 上記の情報をもとに、各証明書が影響するサービス、アプリ、ユーザーグループをまとめたドキュメントを作成します。図表を用いると視覚的に理解しやすくなります。
失効リストの作成と更新方法
失効リストは、証明書が期限切れになった際の影響範囲を素早く把握するための資料です。手動で管理する方法、自動通知を設定する方法、監視ツールを導入する方法があります。以下の比較表を参考に、自組織に合った方法を選んでください。
| 管理方法 | メリット | デメリット | 推奨環境 |
|---|---|---|---|
| 手動でExcel管理 | 導入コストがかからず、カスタマイズ自由 | 更新漏れが発生しやすく、リアルタイム性に欠ける | 小規模テナント(ユーザー100人以下) |
| 自動通知(管理センターアラート) | 期限切れ前にメールで通知を受け取れる | 配布対象の詳細までは通知されない場合がある | 中規模テナント(ユーザー100~1000人) |
| 監視ツール(例:Microsoft 365 Defender) | 証明書の健全性を常時監視し、ダッシュボードで可視化 | 追加ライセンスや製品購入が必要 | 大規模テナント・高セキュリティ要件の組織 |
失効リストを作成する具体的な手順としては、まず各証明書の影響サービスを調査し、CSVや共有リストに記入します。その後、失効時の対応フロー(手順書)とともにフォルダに保存し、定期的な更新をスケジュール化します。更新頻度は少なくとも月に1回が望ましいです。
ADVERTISEMENT
よくある失敗パターンとその回避策
実際の現場では、証明書管理において以下のような失敗がよく報告されています。それぞれの回避策も併せて確認してください。
失敗パターン1:複数証明書の期限が同じ時期に集中する
複数の証明書が同じ日に期限切れになると、復旧作業が一度に大量に発生し、対応が追いつかなくなることがあります。回避策として、証明書の有効期限をシフトさせる(例:1か月ずらして更新する)か、期限の3か月前から段階的にリマインダーを設定する方法があります。
失敗パターン2:テスト環境と本番環境の証明書を混同する
テスト環境で期限切れの証明書をそのまま本番に適用してしまい、障害を引き起こすケースがあります。回避策として、証明書の管理リストに環境ラベル(Test/Prod)を明記し、更新作業は必ず本番環境用の専用証明書のみに行う運用ルールを徹底します。
失敗パターン3:証明書更新後に一部サービスでエラーが発生する
新しい証明書への置き換え後、特定のアプリケーションで古い証明書を参照したままになり、認証エラーが出ることがあります。回避策として、更新後は必ず少なくとも1週間は併用期間(新旧両方の証明書を有効にする)を設け、全サービスの動作確認を実施します。
管理者が確認すべき設定と担当者への連絡ポイント
証明書を管理する際に、管理者として事前に確認しておくべき設定項目と、関係者への連絡ポイントをまとめます。
確認すべき設定
- Entra IDの「証明書とシークレット」の有効期限 – アプリケーション登録ごとに証明書の期限を確認し、切れる前に更新します。
- フェデレーション証明書のロールオーバー設定 – AD FSやサードパーティIDPと連携している場合、自動ロールオーバーが有効かどうかを確認します。
- Microsoft 365管理センターの「証明書」アラート設定 – 期限切れの30日前、14日前、7日前などに通知が届くように設定します。
- バックアップ証明書の準備 – 現行証明書の更新が間に合わない場合に備え、常に有効な予備証明書を用意しておきます。
担当者への連絡ポイント
証明書の更新作業には、複数のチームが関係することが多いため、以下の連絡ポイントを押さえておきましょう。
- 証明書発行担当(PKI管理者) – 新しい証明書を発行してもらう窓口。
- アプリケーション管理者 – アプリケーション側で証明書を設定し直す担当者。
- ネットワーク/セキュリティチーム – 証明書の配布にファイアウォールやプロキシの設定変更が必要な場合に協力を仰ぐ。
- ヘルプデスク – 障害発生時のユーザー問い合わせに備え、事前に影響範囲と対応手順を共有しておく。
よくある質問(FAQ)
Q. 証明書の期限切れを事前に検出するにはどうすればよいですか?
A. Microsoft 365管理センターの「証明書」ページで有効期限を一覧表示できます。また、Entra IDの「アプリの登録」ごとに証明書の有効期限を確認可能です。さらに、PowerShellスクリプトを使って定期的にチェックし、期限が近づいたらメール通知する仕組みも構築できます。
Q. 失効リストにはどのような情報を記載すべきですか?
A. 最低限、証明書の名称、サムプリント、有効期限、用途、影響を受けるサービス一覧、緊急連絡先、代替証明書の有無を含めます。加えて、失効時の対応手順(ロールバック手順など)も併記すると実用的です。
Q. 証明書を更新するとき、サービスのダウンタイムは必要ですか?
A. 多くの証明書はダウンタイムなしで更新できます。ただし、フェデレーション証明書や一部のアプリケーション証明書では、新旧証明書を同時に有効にするオーバーラップ期間を設けることが推奨されます。MSのベストプラクティスに従えば、ユーザー影響を最小限に抑えられます。
Q. 無効な証明書が社内に残っているとセキュリティリスクになりますか?
A. はい、期限切れの証明書は攻撃者に悪用される可能性があります。失効リストに基づいて定期的に不要な証明書を削除するクリーンアップ作業を実施すべきです。
まとめ
Microsoft 365の証明書管理は、事前の配布対象把握と失効リストの準備が障害を防ぐ鍵となります。この記事で紹介した確認手順に沿って、すべての証明書の有効期限と影響範囲を可視化し、定期的な更新スケジュールを運用してください。また、失効リストを作成することで、万が一の障害時にも迅速な復旧が可能になります。管理者として、証明書のライフサイクル管理を組織の標準プロセスに組み込むことを強くお勧めします。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順