概要と背景
証明書ベースの認証(CBA)は、Microsoft 365、Azure portal、およびその他のEntraで保護されたアプリケーションへのアクセスを保護するための、最も強力な方法の1つです。多くの組織は、フィッシング耐性のある認証、パスワードの排除、強力なデバイスID などのCBAのメリットを求めていますが、証明機関を運用したり、Microsoft Cloud PKI に追加料金を支払ったりすることは望んでいません。
Foxpass Cloud PKI は、すべてのデバイスプラットフォームで動作し、Entra ID とスムーズに統合して最小限のオーバーヘッドで CBA を実現する、フルマネージドのプライベートPKIを提供します。このガイドでは、次の内容を順を追って説明します:
Foxpass Cloud PKIを使用したEntra CBAのアーキテクチャ
Foxpass Cloud PKIがClientAuth証明書を発行する方法
MDMを使用して証明書を設定する方法
Entra CBA の設定方法
Foxpass Cloud RADIUSでWi-Fi/VPNに同じ証明書を使用する方法
このガイドに従えば、Foxpass をプライベートPKIとして使用する動作するCBA設定をすぐに構築できます。
Entra CBA と Foxpass Cloud PKI のリファレンスアーキテクチャ
Foxpass Cloud PKI、MDM、Microsoft Entra ID が証明書ベースの認証のためにどのように連携するかを示す図。Foxpass Cloud PKIは、組織のMDM(Intune、Jamf、Iru/Kandji、Addigyなど)を介して、デバイスにクライアント認証証明書を発行します。デバイスは、CBA を使用して Microsoft Entra ID にサインインする際に、これらの証明書を提示します。Entra は、クラウドアプリへのアクセスを付与する前に、証明書チェーン、ユーザーマッピング、EKU を検証します。
前提条件と要件
Foxpass 要件チェックリスト
Foxpass Cloud PKIが有効
クライアントCAが作成およびエクスポートされました
SCEPエンドポイントを作成しました
MDM統合および/またはBYODインストーラー
Microsoft Entra 要件チェックリスト
Entra ID テナント
証明書ベースの認証が有効
FoxpassのクライアントCAがアップロードされました
SAN(UPN/メール)マッピングが定義されています
MDM要件チェックリスト
SCEPプロファイル機能
ステップバイステップ設定ガイド
1. FoxpassでクライアントCAを確認または作成する
Foxpass Cloud PKI では、Microsoft Entra CBA および EAP-TLS Wi-Fi/VPN で使用するデバイス証明書に署名するために、Client CA(発行証明機関)が必要です。
Foxpass Consoleにログインし、RADIUS → EAP-TLSに移動します
クライアントCAがまだ存在しない場合は、今すぐ作成してください:
"Client Certificate Authorities"で、"Create new Client CA"をクリックします
必要に応じてCA名、CAの有効期間、および証明書の有効期間を編集し、"Create CA"をクリックします
3. "クライアント証明書認証局"で、"CAをダウンロード"をクリックして後で使えるように保存します
クライアントCAが作成されると、Foxpass はクライアント認証(ClientAuth)EKU証明書、適切なキー使用法拡張を備えた証明書、およびMDM登録から取得したSAN/Subject値を持つ証明書を自動的に発行します。
2. Foxpass SCEPエンドポイントが存在することを確認します
サポート対象のすべてのMDMは、SCEPを使用してFoxpassから証明書を要求し、更新します。
Foxpass Console → RADIUS → SCEP に移動します
SCEP Server URL(Unique Endpoint)がすでに表示されている場合は、ステップ4に進んでください
"Create SCEP Endpoint"をクリックし、名前、確認タイプ、認証タイプを指定して、前のステップ1で設定したクライアントCAを選択します
後で使うために、"Unique Endpoint" と "Challenge Password" をメモしておいてください
3. MDMまたはFoxpass BYOD証明書インストーラーを通じて証明書を設定
Client CA と SCEP エンドポイントの準備が整うと、MDM は Entra CBA 用のデバイス証明書を発行できます。
Foxpass は、SCEP 対応の MDM(Microsoft Intune、Jamf、Iru (Kandji)、Addigy など)に加え、Foxpass BYOD Certificate Installer(OAuth ベースの登録)にも対応しています。
使用しているMDMによって、Subject/SAN(UPNまたはメールアドレス)、更新時の動作、鍵生成が決まります。Foxpassが証明書に署名し、失効処理を行います。
オプションA: Microsoft Intune
ステップA1:SCEP証明書プロファイルを作成
Intune Admin Centerに移動
デバイス → 構成プロファイル → プロファイルを作成 に移動します
プラットフォームを選択(Windows、iOS/iPadOS、macOS、Android)
プロファイルの種類:SCEP証明書
次の主要な設定を行います:
設定 | 値 |
SCEPサーバーURL | Foxpass SCEP の「Unique Endpoint」 |
件名の形式 | {{UserPrincipalName}} または {{EmailAddress}} |
キーのサイズ | 2048または4096 |
主な用途 | デジタル署名、キー暗号化 |
EKU | クライアント認証 |
ハッシュアルゴリズム | SHA-256 |
更新のしきい値 | 推奨:20~30% |
ステップA2:SCEP認証を設定する
認証タイプ → 共有シークレット
Secret → Foxpass SCEP "Challenge Password"(Foxpass Consoleから)
ステップA3:割り当てと検証
プロファイルをユーザー/デバイスグループに割り当てて確認します:
Foxpass Client CAによって発行された証明書
SAN/サブジェクトがUPNまたはメールアドレスと一致します
EKU = クライアント認証
オプションB:Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
Entra CBA では、証明書のプロビジョニングに Intune は必要ありません。つまり、Entra CBA は、Intune で管理されていない環境でも利用できます。たとえば、Apple が混在するデバイス群、クロスプラットフォームの設定、教育機関の環境、契約業者/BYOD デバイス、Microsoft 以外の MDM を利用している組織などです。
これらのMDMは Intune と同じ基本ロジックに従っており、SCEP を使用してデバイス上でキーを生成し、Foxpass に証明書を要求します。各項目の完全な手順はこちらでご確認いただけます:
オプションC:BYODデバイス
Foxpass BYOD Certificate Installerを使用し、次の手順を完了してください。
ユーザーは Microsoft Entra ID で OAuth を使用してサインインします(注: BYOD インストーラーの Google サインインは Microsoft Entra CBA には使用できません。CBA では、Entra の ID にマップされる証明書が必要です。)
Foxpass が ClientAuth 証明書を発行します
証明書をローカルにインストール(MDM不要)
これは、委託業者、学生用デバイス(EDU)、または管理されていないエンドポイントに最適です。
4. Foxpass Client CA を Microsoft Entra にアップロードします
この方法を使用するには、Microsoft Entra が発行元 CA を信頼している必要があります。
ステップ1:クライアントCA証明書をダウンロード
Foxpass Console → RADIUS → EAP-TLS に移動します
クライアントCA証明書をダウンロード
ステップ2:クライアントCAをEntraにアップロードする
Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities に移動します
Foxpass Client CA証明書をアップロード
5. Microsoft Entra の証明書ベース認証を設定する
Entra Admin Center内:
証明書ベースの認証を有効にする
マッピングルールを選択:
SAN → UPN(推奨)
SAN → メール
必須の EKU → クライアント認証
オプション:発行者または証明書ポリシーで制限
高度なマッピングルール、EKU の要件、発行者の制約、および Entra CBA の設定手順の完全な解説については、Microsoft Learn をご参照ください。
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. 条件付きアクセスポリシーを適用
条件付きアクセス ポリシーを作成する:
ユーザー: テストグループから開始
アプリ: Microsoft 365 またはすべてのクラウドアプリ
付与:証明書ベースの認証を必須にする
オプションの機能強化:
パスワードベースのログインをブロックする
準拠済みまたはドメイン参加済みのデバイスを必須にする
MFAのフォールバックを追加
7. 証明書ベースの認証をテストする
Foxpass発行の証明書があるデバイスの場合:
https://portal.office.com にアクセスしてください
ユーザー名を入力してください
ブラウザーが証明書を要求します
Foxpassが発行した証明書を選択する
パスワードなしで認証に成功します
証明書での認証時に問題が発生する場合は、発行者が Foxpass Client CA であり、SAN/Subject が UPN/メールアドレスと一致していることを確認してください。
(任意)Wi-Fi/VPN(EAP-TLS)に同じFoxpass証明書を使用する
Foxpass Cloud PKI を使用する利点の1つは、Microsoft Entra CBA 向けに発行された同じデバイス証明書を、Foxpass Cloud RADIUS を介した EAP-TLS によるセキュアな Wi-Fi または VPN アクセスにも使用できることです。
EAP-TLSを使用すると、組織は次のことができます。
ゼロトラスト・ネットワーク接続を徹底
Wi-FiとVPNのパスワードを不要に
有効なFoxpass発行の証明書を持つデバイスのみが参加できるようにします
VLANの割り当て、デバイス信頼ルール、またはIDベースのポリシーを適用
Entra CBAのクラウド認証とネットワークアクセス全体で、同じ証明書ライフサイクルを共有
結論
Foxpass Cloud PKI、Microsoft Entra CBA、MDM を併用することで、次のことが可能になります。
フルマネージドのプライベートPKI
クロスプラットフォームの証明書発行
証明書ライフサイクルの自動管理
SaaSアクセスとWi-Fi/VPN向けの統合証明書ID(オプション)
Intune、Jamf、Iru (Kandji)、Addigy、BYODとのシームレスな統合
この構成により、自社でCAを運用することなく、IDとネットワークアクセスの両方を保護する、最新のパスワードレスかつ証明書ベースのアプローチを実現できます。
