Microsoft社は、米国のサイバーセキュリティに関する大統領令 14028への対応として、Azure ADへの認証方法としてクライアント証明書による認証が正式版（GA）になったことを発表しました。これに伴い、モバイル端末でもクライアント証明書を格納した外部ハードウェアセキュリティキーを用意することで、証明書認証が可能になっています。

前回の記事では、外部ハードウェアセキュリティキーとしてYubiKeyを使用し、iOS端末でのクライアント証明書による認証の設定方法を紹介しました。今回は、Azure AD CBAの設定を完了した後の、実際の認証画面について詳しく紹介いたします。

※Azure ADはMicrosoft Entra IDに名称変更することが2023年7月に発表されました。

Windowsでの認証

① Office365のログイン画面にアクセス後、ユーザー名を入力し「次へ」をクリックします。

② 証明書の選択のポップアップから、YubiKeyに格納されている証明書を選択し「OK」をクリックします。

③ 暗証番号（PIN）の入力を求められます。事前にYubiKeyに設定した暗証番号を入力します。

④ ログインに成功します。

証明書がない場合の画面遷移（Windows）

① パスワードの入力を求められる画面でパスワードログインを試行することは可能です。

② しかし、①の画面で正しいパスワードを入力しても、条件付きアクセスが適用され、証明書認証を要求されます。

③ YubiKeyなしでのログインを実行した場合、「証明書の検証に失敗しました」と表示されます。「詳細」を開くと"Invalid request"と表示されます。

④ YubiKeyに格納された証明書が失効されている場合には「証明書の検証に失敗しました」と表示されます。詳細を開くと"失効"（revoke）状態であることが分かります。

iOSでの認証（Teamsアプリからの認証）

① Teamsアプリを起動し、ユーザーIDを入力し「次へ」をタップします。

② 画面が遷移し、YubiKeyが必要となる旨の通知が表示されるのでタップします。

③ 表示される画面でPINを入力します。

④ YubiKeyのスキャンが要求されるので、YubiKeyをiPhoneへかざします。

⑤ 画面左上をタップしてAuthenticatorアプリに戻るよう促されます。

⑥    Teamsへのログインが完了します。

証明書がない場合の画面遷移（iOS）

① 証明書が登録されていない場合は、パスワードが要求されます。

② 正しいパスワードを入力しても条件付きアクセスが適用され、Office365へのアクセスに失敗します。
※厳密には、Azure ADへのログインには成功しているが、条件付きアクセスで指定したアプリ（今回の場合は「すべてのクラウドアプリ」）へのアクセスは証明書認証が必要となるためOffice365へのアクセスに失敗します。

まとめ

前回ご紹介した設定により、本記事のような認証イメージで、PC端末・モバイル端末のどちらからでもAzure ADへのクライアント証明書による認証が可能となります。

Azure ADは、TeamsやOneDriveなどのOffice365サービスへのアクセスポイントとして普段の業務で使用されています。そのため、セキュリティ対策は極めて重要です。しかし、アクセスするユーザー目線での利便性も犠牲にしてはなりません。今回のクライアント証明書による認証方法は、YubiKeyのPINコードや（iOSの場合は）Authenticatorアプリが必要ですが、ID・パスワード認証と比べて手間は大きく変わらず、Azure ADのセキュリティを大幅に強化することができます。