投稿を書いている時点ではプレビュー機能となりますが、Azure AD では証明書ベースの認証 (CBA) を使用するkとができるようになりました。
CBA を使用したログインの基本的な流れについては Azure AD 証明書ベース認証を試してみた がとても参考になり、基本的な作業の流れはこの記事を確認しておけば問題ないのですが、物理デバイスと組み合わせた場合にはどのようになるのかを検証する必要があり、検証環境を作ってみました。
今回使用しているベースの環境は次のようになります。
- 使用している Azure Active Directory
- Microsoft 365 開発者プログラム で作成した Azure AD テナント
- AAD Premium P2 が使用でき、普段使用している AAD を操作しなくて済むので検証に便利
- Azure AD Connect をインストールし、AD と AAD を同期
- AD CS の役割も合わせて導入
- 証明機関の証明書を AAD の CBA の証明書として設定
- T440s が手元にあったので Windows 10 Pro をクリーンインストールして使用
- CPU / TPM が古くて、残念ながら Windows 11 がインストールできない…
Azure AD 証明書ベース認証を試してみた で解説されている証明書を使用した認証については、AD CS を展開して「ユーザー」の証明書テンプレートを使用してドメインユーザーで証明書を作成することで、CBA の認証をすることができますので、その環境を構築してから検証を実施しています。
今回は証明書の失効については検証していないので、証明書失効リスト (CRL) の配布ポイント (CDP) については構築せずに検証しています。(CDP については、Azure BLOB ストレージを匿名アクセス許可でファイルを公開することでもできるのかなと思いつつ検証していません)