こんにちは、Azure Identity サポート チームの 五十嵐 です。
2025 年 12 月 9 日 に Microsoft 365 管理センターのメッセージ センターで MC1193408 の通知が行われ、2026 年 1 月 7 日より、Microsoft Entra が DigiCert のルート証明書を G1 から G2 に移行する旨が発表されました。この通知に関する内容について既に多くのお問い合わせをいただいており、今回のブログではその概要と必要な対応、よくあるご質問について Q&A 形式でおまとめして紹介します。
まずは、メッセージ センターで通知した MC1193408 の内容について抄訳したものを以下に記載いたします。
MC1193408 の抄訳
アクションが必要です: Microsoft Entra の新しい DigiCert 証明機関 (CA) を信頼してください
2026 年 1 月 7 日より、Microsoft Entra は DigiCert 証明書を G1 ルート CA から G2 ルート CA に移行します。
DigiCert G1 ルートをピン留めしている、または DigiCert G2 ルートを信頼していないクライアントでは、認証エラーが発生する可能性があります。G1 / G2 のルート CA とは?
証明機関 (CA) は、安全な通信のための信頼を確立するデジタル証明書を発行する機関です。ルート CA は信頼チェーンの最上位にある証明書です。
現在、Microsoft Entra サービスでは DigiCert Global Root G1 が使用されていますが、Microsoft はセキュリティとコンプライアンス向上のため、DigiCert Global Root G2 へ移行します。
システムが G2 ルートを信頼していない場合、Microsoft Entra への認証や安全な接続が失敗します。実施時期: 2026 年 1 月 7 日
本通知の変更が組織に与える影響: Microsoft Entra ID サービスを利用している組織は、DigiCert G2 の証明書が信頼されていない場合、Microsoft Entra へのアクセス時に認証エラーが発生するようになります。
影響を受けるドメインの例:
- login.live.com
- login.windows.net
- autologon.microsoftazuread-sso.com
- graph.windows.net
Note
2025/12/17 更新: login.microsoftonline.com ドメインは 2025 年 2 月に DigiCert G2 ルートに既に移行されているため、今回影響を受けるドメインの例には含まれません。
準備のためにできること:
- Azure 証明機関の詳細 ドキュメントに記載されている すべてのルートおよび下位 CA を信頼してください。
- 「DigiCert Global Root G2」ルートおよびその下位証明機関 (2025 年 9 月以降ドキュメント化) を信頼する設定になっていることを確認してください。
- クライアント側の DigiCert Global Root CA へのピン留め設定がある場合はすべて削除してください。
- サービス中断を回避するため、今すぐ設定を更新してください。
ヘルプとサポート:
- DigiCert 証明書に関する詳細は DigiCert のドキュメント をご参照ください。
- 証明書のピン留めに関するガイダンスは Azure ドキュメント をご確認ください。
- Microsoft Q&A のコミュニティで専門家に質問できます。
- サポート契約をお持ちで技術支援が必要な場合は、サポート リクエスト を作成してください。
続いて、本通知に関する補足情報を Q&A 形式で記載いたします。
よくあるご質問
Q. 通知が行われた環境ではすべて対応が必要になりますか?
A. お客様の環境で特殊な制御を実施していない場合は、今回の対応は不要です。今回の通知は、現在利用されている証明書のみを明示的に信頼するように構成している (ピン留めを設定している) 環境やアプリケーションにのみ影響があります。これは環境側の構成であるため、弊社側ではお客様の環境でピン留めを設定しているか否かの判別ができないことから、すべてのお客様に通知を実施しております。
なお、Windows OS では既定で「ルート証明書更新プログラム」という機能が有効になっており、これにより既に必要なルート証明書がインストール済みであることが想定されます。この仕組みについては、以下の Windows サポートによる技術ブログに詳細があります。たとえば、この動作を無効にするポリシーやレジストリを設定していないかどうかの確認手順についても記載がありますため、参考となりましたら幸いです。
ルート証明書更新プログラムの仕組みについて | Microsoft Japan Windows Technology Support Blog
Windows OS では、端末にルート証明書を自動できる仕組みとして「ルート証明書更新プログラム」という機能があります。この機能は既定で有効になっており、必要に応じてルート証明書をダウンロードして [信頼されたルート証明機関] のストアに自動でインストールしております。
Note
2021 年 8 月以降のルート証明書更新プログラムには DigiCert Global Root G2 ルート証明書が含まれております。そのため、2021 年 8 月以降に一度でもルート証明書更新プログラムが動作していましたら、既に信頼する証明機関として DigiCert Global Root G2 が含まれていることが想定されます。
Q. どのように対応すればよいですか?
A. 以下の公開情報に記載のルート証明機関、およびその下位証明機関をすべて信頼するように設定ください。
Q. 対応しなかった場合どうなりますか?
A. 2026 年 1 月 7 日以降、DigiCert Global Root G2 を信頼していない環境や G1 をピン留めしている環境では、Microsoft Entra ID へのサインインや関連サービスで認証が失敗するようになります。
Q. クライアントが証明書のピン留めを使用しているかどうか確認する方法はありますか?
A. Microsoft Entra ID 側では証明書のピン留めを使用しているクライアントの情報を取得することはできません。また、証明書のピン留めの実施方法には統一された Web 標準がないため、その使用を検出するための直接的な方法は提供できません。
Q. 影響がないかどうか事前にテストする方法はありますか?
A. DigiCert 社が公開している以下のデモサイトは、次に Entra ID が利用するサーバー証明書と同じルート証明書が利用されています。
DigiCert Global Root G2
https://global-root-g2.chain-demos.digicert.com/
そのため、現時点で上記の Web サイトを証明書のエラーが発生することなく閲覧できる環境であれば、影響を受ける可能性は極めて低いと判断いただけます。
Q. login.microsoftonline.com にアクセスすると DigiCert Global Root G1 にチェーンする証明書が返されることもありますがどういうことですか?
A. login.microsoftonline.com では、DigiCert のルート証明書の G1 と G2 が両方使用されており、実際のアクセスを受け取るインスタンスに応じて、G1 と G2 のどちらかが応答される状況となっています。このため、タイミングによって G1 が返される場合や、G2 が返される場合があります。 MC が更新され、login.microsoftonline.com ドメインは DigiCert G2 ルートに既に移行されていると追記されたのは、この動作を反映したものです。現在 login.microsoftonline.com ドメインに正常にアクセスできているクライアントはすでに DigiCert G2 ルートを利用できていると想定されるため、今回影響を受けることはないと判断いただけます。
Q. 2026 年 1 月 7 日以降になると即座に移行されるのでしょうか?
A. いいえ、2026 年 1 月 7 日以降に徐々に移行を実施する予定です。影響を受けるドメインはグローバルなエンドポイントであるため、特定のお客様やテナントに対して具体的にいつ移行が行われるかを予測したり弊社から案内したりすることはできません。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。