こんにちは、Azure Identity サポート チームの 五十嵐 です。
2025 年 12 月 9 日 に Microsoft 365 管理センターのメッセージ センターで MC1193408 の通知が行われ、2026 年 1 月 7 日より、Microsoft Entra が DigiCert のルート証明書を G1 から G2 に移行する旨が発表されました。
この通知に関する内容について既に多くのお問い合わせをいただいており、今回のブログではその概要と必要な対応、よくあるご質問について Q&A 形式でおまとめして紹介します。
まずは、メッセージ センターで通知した MC1193408 の内容について抄訳したものを以下に記載いたします。
MC1193408 の抄訳
アクションが必要です: Microsoft Entra の新しい DigiCert 証明機関 (CA) を信頼してください
2026 年 1 月 7 日より、Microsoft Entra は DigiCert 証明書を G1 ルート CA から G2 ルート CA に移行します。
DigiCert G1 ルートをピン留めしている、または DigiCert G2 ルートを信頼していないクライアントでは、認証エラーが発生する可能性があります。G1 / G2 のルート CA とは?
証明機関 (CA) は、安全な通信のための信頼を確立するデジタル証明書を発行する機関です。ルート CA は信頼チェーンの最上位にある証明書です。
現在、Microsoft Entra サービスでは DigiCert Global Root G1 が使用されていますが、Microsoft はセキュリティとコンプライアンス向上のため、DigiCert Global Root G2 へ移行します。
システムが G2 ルートを信頼していない場合、Microsoft Entra への認証や安全な接続が失敗します。実施時期: 2026 年 1 月 7 日
本通知の変更が組織に与える影響: Microsoft Entra ID サービスを利用している組織は、DigiCert G2 の証明書が信頼されていない場合、Microsoft Entra へのアクセス時に認証エラーが発生するようになります。
影響を受けるドメインの例:
- login.microsoftonline.com
- login.live.com
- login.windows.net
- autologon.microsoftazuread-sso.com
- graph.windows.net
準備のためにできること:
- Azure 証明機関の詳細 ドキュメントに記載されている すべてのルートおよび下位 CA を信頼してください。
- 「DigiCert Global Root G2」ルートおよびその下位証明機関 (2025 年 9 月以降ドキュメント化) を信頼する設定になっていることを確認してください。
- クライアント側の DigiCert Global Root CA へのピン留め設定がある場合はすべて削除してください。
- サービス中断を回避するため、今すぐ設定を更新してください。
ヘルプとサポート:
- DigiCert 証明書に関する詳細は DigiCert のドキュメント をご参照ください。
- 証明書のピン留めに関するガイダンスは Azure ドキュメント をご確認ください。
- Microsoft Q&A のコミュニティで専門家に質問できます。
- サポート契約をお持ちで技術支援が必要な場合は、サポート リクエスト を作成してください。
続いて、本通知に関する補足情報を Q&A 形式で記載いたします。
よくあるご質問
Q. 通知が行われた環境ではすべて対応が必要になりますか?
A. お客様の環境で特殊な制御を実施していない場合は、今回の対応は不要です。
今回の通知は、現在利用されている証明書のみを明示的に信頼するように構成している (ピン留めを設定している) 環境やアプリケーションにのみ影響がございます。
これは環境側の構成であるため、弊社側ではお客様の環境でピン留めを設定しているか否かの判別ができないことから、すべてのお客様に通知を実施しております。
なお、Windows OS では既定で「ルート証明書更新プログラム」という機能が有効になっており、これにより既に必要なルート証明書がインストール済みであることが想定されます。
この仕組みについては、以下の Windows サポートによる技術ブログに詳細がございます。
たとえば、この動作を無効にするポリシーやレジストリを設定していないかどうかの確認手順についても記載がございますため、ご参考となりましたら幸いです。
ルート証明書更新プログラムの仕組みについて | Microsoft Japan Windows Technology Support Blog
Windows OS では、端末にルート証明書を自動できる仕組みとして「ルート証明書更新プログラム」という機能があります。
この機能は既定で有効になっており、必要に応じてルート証明書をダウンロードして [信頼されたルート証明機関] のストアに自動でインストールしております。
Q. どのように対応すればよいですか?
A. 以下の公開情報に記載のルート証明機関、およびその下位証明機関をすべて信頼するように設定ください。
Azure 証明機関の詳細
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list
Q. 対応しなかった場合どうなりますか?
A. 2026 年 1 月 7 日以降、DigiCert Global Root G2 を信頼していない環境や G1 をピン留めしている環境では、Microsoft Entra ID へのサインインや関連サービスで認証が失敗するようになります。
Q. クライアントが証明書のピン留めを使用しているかどうか確認する方法はありますか?
A. Microsoft Entra ID 側では証明書のピン留めを使用しているクライアントの情報を取得することはできません。
また、証明書のピン留めの実施方法には統一された Web 標準がないため、その使用を検出するための直接的な方法は提供できません。
Q. 影響がないかどうか事前にテストする方法はありますか?
A. DigiCert 社が公開している以下のデモサイトは、次に Entra ID が利用するサーバー証明書と同じルート証明書が利用されています。
DigiCert Global Root G2
https://global-root-g2.chain-demos.digicert.com/
そのため、現時点で上記の Web サイトを証明書のエラーが発生することなく閲覧できる環境であれば、影響を受ける可能性は極めて低いとご判断いただけます。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。