お問い合わせ
何をお探しですか?

Microsoft Entra Verified IDを動かしてみる 第2回

~検証作業(雇用証明)~

Microsoft
お問い合わせ
SHARE

2025.09.26

     

前回は、VC発行と検証の流れや、アーキテクチャを解説しましたが、今回から具体的な検証作業に入っていきます。
雇用証明のユースケースは、モデルとしてわかりやすいうえ、Microsoft Entra IDから簡単にセットアップすることができます。まずはこちらの検証プログラムを実施してみて、VC利用の実際を「管理者目線」「ユーザー目線」の両方から、確認していこうと思います。

雇用証明

Microsoft Entra IDに登録されたユーザーが従業員である、を保証するVCを発行します。そのVCをサンプルECサイトに提示すると、商品のディスカウントが受けられる、というシナリオです。基本的にチュートリアル - Microsoft Entra Verified ID 用のテナントの簡易設定 - Microsoft Entra Verified ID | Microsoft Learnに沿った方法で、展開を行っていきます。

Entra Verified IDのクイックセットアップ

[Entra ID管理センター]の、[検証済みID]-[概要]-クイックセットアップからセットアップを行います。

[使用するドメインを選択してください]画面でMicrosoft Entra IDに登録済みの「カスタムドメイン」を選択するだけです。
そのため、事前に、Entra IDにカスタムドメインを追加しておく必要があります。カスタム ドメインを追加する - Microsoft Entra | Microsoft Learnを参考にしてください。

この状態で「DIDの登録」「資格情報の登録」等、Entra Verified IDに必要な情報はすべてセットアップ済みとなります。

VC資格情報の発行

上記概要の[新しい資格情報を取得します]-[今すぐ試す]から、ユーザーがEntra Verified ID(VC)を取得することができます。今回は(異なるオペレーションですが)新規にユーザーを作成して、そのユーザーでサインインしたうえ、[My Account]にアクセスすることで、VCを取得します。

[自分の検証済みIDの取得]をクリックすると、以下の二次元コードが出ますので、Microsoft Authenticatorから[検証済みID]-[右上の二次元コードアイコン]をタッチして、VCを取得します。この際Web画面に表示される「確認コード」が必要になります。

VC資格情報の検証

次にVerifierとなる[proseware.azurewebsites.net]ECサイトにアクセスします。上記画面の[新しい資格情報を使用します]-[今すぐ試す] でジャンプします。

ECサイトで[Access Discount]をクリックして「従業員割引」を請求します。サインインの画面で[Verify my Employee Credential]を選択すると二次元コードが出ますので、AuthenticatorでVCを読み込ませます(手順は取得と同一です)。

読み込ませたVCを「prosewareと共有する」ことを承諾すれば、問題ありません。

すべてが成功すると、ECサイトの価格表がディスカウント表示に変更されます。

Authenticator側の[アクティビティ]を確認すると、共有された記録を表示できます。

VC資格情報発行のアクセス許可

次に、特定のセキュリティグループのメンバーにだけVC発行できるように、Entra Verified IDの設定を変更します。あらかじめ(Entra IDの)セキュリティグループを作成したうえ、上記画面の[資格情報を取得できるユーザーを制御します]-[今すぐ試す] でジャンプします。

上記は(設定済みの)[検証済み従業員(Verified Employee)]-[資格要求を発行する]画面に相当します。その画面上の[資格情報を取得できるユーザーを制御します]の[テナント内のすべてのMicrosoft Entra IDユーザーを許可する]から[選択したグループのユーザーのみを許可する]に変更するだけです。その際グループを指定する必要があります。

この後、VC未取得のEntra IDアカウントの「My Account」からVC取得を試みると、以下のエラーが出て取得はできません。

また、このユーザーを対象のセキュリティグループのメンバーに加えると、VC取得やVC検証がきちんと成功しました。ちなみに「既存でVC発行を受けているメンバー」については、上記の設定で無効化することはできません。VCの無効化を行う必要があります。

VCの取り消し(無効化)

VCの無効化はEntra Verified ID側で実施します。[検証済み従業員(Verified Employee)]-[資格要求の取り消し]画面から[取り消す資格情報の検索]で指定します。一度取り消したVCを再有効化することは、できません。

VCが無効化された場合、VerifierのWebサイトにも、Authenticator側にも「VCが無効になった」等の表示は行われません。Verifier側では「資格の確認中」を示す表示以降に進まず、Authenticator側では「検証に失敗した」旨の表示が行われ、エラーの状況が表示されます。

この挙動からEntra Verified IDへの検証段階で確認されていることがわかります。

いかがだったでしょうか?Entra Verified IDのセットアップが非常に簡単にできること、VC発行や検証がユーザー目線で非常に簡単にできること、管理もかなり簡単であること、など「利用のしやすさ」について、かなりユーザーフレンドリーであることがお分かりいただけたかと思います。次回以降は複数回に分け、より複雑な利用シナリオについて、検証を行っていきます。Visual Studio Codeの利用もありますが、インフラ管理者でも対応可能な方法で、ご紹介していきたいと思います。ご期待ください。

  • 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。

Microsoft Entra Verified IDを動かしてみる 第2回