クライアント証明書を利用している環境についての話です。
KB5014754 により、Windows ドメイン環境における「証明書ベースの認証」のセキュリティが強化されました。特に Kerberos 認証において、証明書のマッピング方法と検証プロセスが大きく変更されています。
2025年9月10日以降の Windows Update により、証明書マッピングの方式が「強制モード(完全適用)」へ移行し、従来の柔軟なマッピング方式は使用できなくなります。
■詳細情報
変更の背景や技術的な詳細については、以下の Microsoft サポート記事をご参照ください
2022 年 5 月 10 日の更新プログラムに含まれるドメイン コントローラーでの証明書ベースの認証の変更と対応の流れについて [KB5014754]
■2025年9月10日以降に必要な対応
Microsoft の公式ブログにも記載されているとおり、強制モードへの移行に備えて、以下いずれかのマッピング方式を事前に構成する必要があります
1.アカウント → 証明書のマッピング
Active Directory ユーザーオブジェクトの altSecurityIdentities 属性を使用して、証明書をマッピングする方法。
2.証明書 → アカウントのマッピング
証明書に UPN や SID 拡張などの識別情報を埋め込む方法。
どちらか一方の方法を正しく構成していれば、認証は問題なく通ります。
■スタンドアロン CA を使用している場合の注意点
ここでようやくFAQタイトルに関連する話題となりますが、
スタンドアロン CA では、証明書に SID 拡張などの高度な属性を埋め込む機能が制限されているため、「2」の方法(証明書側へのマッピング)は使用できません。
スタンドアロンCAで証明書を発行している場合は、「1」の方法(AD 側でのマッピング)を選択する必要があります。SID 拡張付き証明書の発行には、エンタープライズ CA のテンプレート機能が必要です。