Microsoft365に証明書を使用してサインインする方法 2 | yjk365

Microsoft365に証明書を使用してサインインする方法 2

2025.11.07

弊社ブログ「Microsoft365に証明書を使用してサインインする方法1」では、Microsoft365にサインインする際のID確認を証明書にする方法で、OpenSSLを使用して証明書を作成する方法をご紹介しました。ここでは、IntuneのクラウドPKIを使用して証明書を発行する方法をご紹介します。

目次

手順1　ルートCAと発行元CAの作成
手順2　証明書のダウンロード
手順3　ルート証明書をIntuneで配布
手順4　認証サーバ設定
手順5　サインイン実証

手順1　ルートCAと発行元CAの作成

1．Intune管理センターを開きます。
「テナント管理」を開いて、「クラウド PKI」をクリックします。

2．「作成」をクリックして、ルートCAを作成していきます。

3．任意の「名前」と「説明」を入力して、「次へ」をクリックします。
ここでは名前を「検証_Cloud PKI」とし、説明に「must Cloud PKI license」と入力しています。

4．以下の項目を設定します。
―――――――――――――――――――――――――――――

・CAの種類：ルートCA
・有効期間：５年
・拡張キー使用法：Client auth
―――――――――――――――――――――――――――――

5．以下の項目を設定します。
―――――――――――――――――――――――――――――

・共通名：任意の名前（ここでは「yjk_kenshou」）
・国：日本
・キーのサイズとアルゴリズム：RSA-2048およびSHA-256
―――――――――――――――――――――――――――――

「次へ」をクリックします。

6．「次へ」をクリックします。

7．「作成」をクリックします。

8．証明機関（ルートCA）が作成されました。

9．「作成」をクリックして、発行元CAを作成していきます。

10．任意の「名前」と「説明」を入力して、「次へ」をクリックします。ここでは名前を「検証_Cloud PKI中間」とし、説明に「中間CA」と入力しています。

11．以下の項目を設定します。
―――――――――――――――――――――――――――――
・CAの種類：発行元CA
・ルートCAソース：Intune
・ルートCA：検証_Cloud PKI（先程作成したルートCA）
・有効期限：２年
・拡張キー使用法：Client auth
―――――――――――――――――――――――――――――
※発行元CAの選択可能な有効期限は、先程作成したルートCAの有効期限よりも短い期間の証明書のみを発行できます。

12．以下の項目を設定します。
―――――――――――――――――――――――――――――
・共通名：任意の名前（ここでは「yjk_Pki_kenshou_issuing」）
・国：日本
・キーのサイズとアルゴリズム：RSA-2048およびSHA-256
―――――――――――――――――――――――――――――
「次へ」をクリックします。

13．「次へ」をクリックします。

14．「作成」をクリックします。

15．証明機関（発行元CA）が作成されました。

手順2　証明書のダウンロード

1．今作成した発行元CAをクリックします。

2．「プロパティ」から証明書をダウンロードします。

3．先程作成したルートCAも同様に開きます。

4．証明書のダウンロードをします。

手順3　ルート証明書をIntuneで配布

1．「デバイス」を開いて、「構成」をクリックします。

2．「作成」を展開して、「新しいポリシー」をクリックします。

3．「プラットフォーム」に「Windows10以降」を選択します。

4．「プロファイルの種類」に「信頼された証明書」を選択して、「作成」をクリックします。

5．任意の「名前」と「説明」を入力して、「次へ」をクリックします。ここでは名前を「検証_Cloud PKI root」とし、説明に「root CA」と入力しています。

6．証明書ファイルに、先程ダウンロードしたルートCA証明書を選択します。（yjk_pki_kenshou）「次へ」をクリックします。

7．「次へ」をクリックします。

8．「グループを追加」をクリックします。
含めるグループを選択して、「選択」をクリックします。

9．「次へ」をクリックします。

10．「次へ」をクリックします。

11．「作成」をクリックします。

12．プロファイルが作成されました。

13．「作成」を展開して、「新しいポリシー」をクリックします。

14．「プラットフォーム」に「Windows10以降」を選択します。

15．「プロファイルの種類」に「SCEP証明書」を選択して、「作成」をクリックします。

16．任意の名前を入力して、「次へ」をクリックします。

17．以下の項目を設定します。
―――――――――――――――――――――――――――――

・キー記憶域プロバイダー（KSP）：トラステッドプラットフォームモジュール（TPM）KSPが存在する場合はTPM KSPに登録する（それ以外はソフトウェアKSPに登録する）

・キー使用法：デジタル署名
・キーサイズ（ビット）：2048

・ハッシュアルゴリズム：SHA-2
―――――――――――――――――――――――――――――

18．「＋ルート証明書」をクリックします。先程作成したルート証明書を選択して、「OK」をクリックします。

19．「定義済みの値」に「クライアント認証（1.3.6.1.5.5.7.3.2）」を選択します。

20．「SCEPサーバのURL」を入力します。
※テナント管理内のクラウドPKIより、発行元CAを開きます。プロパティ内の「SCEPサーバーのURL」からコピーできます。

21．「次へ」をクリックします。

22．「グループを追加」をクリックします。含めるグループを選択して、「選択」をクリックします。

23．「次へ」をクリックします。

24．「次へ」をクリックします。

25．「作成」をクリックします。

26．プロファイルが作成されました。

手順4　認証サーバ設定

1．「IDセキュリティスコア」を開いて、「公開キー基盤」をクリックします。

2．「PKIの作成」をクリックします。

3．「表示名」を入力して、「作成」をクリックします。

4．PKIが作成されました。作成したPKIをクリックします。

5．証明書の「参照」をクリックして、ルートCA証明書を選択します。

6．「この証明書はルートですか？」に「はい」を選択して、「保存」をクリックします。

7．証明機関の追加が完了しました。

手順5　サインイン実証

1．証明書ベース認証ができるか実際に試してみます。
Microsoft365に先程登録したユーザーでサインインします。

2．IDの確認に、「証明書またはスマートカードを使用する」を選択します。

3．証明書を選択します。

4．サインインが成功しました。

その他お困りごとも動画で解説！