iOS でのフェデレーションを使った Microsoft Entra の証明書ベースの認証

  • [アーティクル]

セキュリティを強化するために、iOS デバイスは、次のアプリケーションやサービスに接続するとき、証明書ベースの認証 (CBA) を使用して、そのデバイス上のクライアント証明書で Microsoft Entra ID に対して認証できます。

  • Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
  • Exchange ActiveSync (EAS) クライアント

証明書を使用すると、モバイル デバイスで特定のメールおよび Microsoft Office アプリケーションにユーザー名とパスワードの組み合わせを入力する必要がなくなります。

Microsoft モバイル アプリケーションのサポート

アプリケーション サポート
Azure Information Protection アプリ Check mark signifying support for this application
[ポータル サイト] Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
Office (モバイル) Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

必要条件

iOS で CBA を使用するうえでの要件と考慮事項は次のとおりです。

  • デバイスの OS バージョンは、iOS 9 以上である必要があります。
  • Microsoft Authenticator は、iOS の Office アプリケーションに必要です。
  • AD FS サーバーの認証 URL を含む識別プリファレンスを macOS キーチェーンに作成する必要があります。 詳細については、「Mac のキーチェーン アクセスで識別プリファレンスを作成する」を参照してください。

Active Directory フェデレーション サービス (AD FS) の要件と考慮事項は次のとおりです。

  • AD FS サーバーで証明書認証を有効にし、フェデレーション認証を使用する必要があります。
  • 証明書には拡張キー使用法 (EKU) を使用する必要があります。また、証明書の "サブジェクトの別名 (NT プリンシパル名) " にユーザーの UPN が含まれている必要があります。

AD FS の構成

Microsoft Entra ID でクライアント証明書を失効させるには、AD FS トークンに次の要求が必要です。 Microsoft Entra ID を使用すると、これらの要求が AD FS トークン (またはその他の SAML トークン) で使用できる場合に、このような要求を更新トークンに追加することができます。 更新トークンを検証する必要がある場合、この情報を使用して失効を確認します。

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - クライアント証明書のシリアル番号を追加します。
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - クライアント証明書の発行者の文字列を追加します。

また、ベスト プラクティスとして、組織の AD FS エラー ページを次の情報で更新するようにしてください。

  • iOS に Microsoft Authenticator をインストールするための要件
  • ユーザー証明書を取得する手順

詳細については、AD FS サインイン ページのカスタマイズに関するページを参照してください。

Office アプリで先進認証を使用する

先進認証を有効にした一部の Office アプリでは、要求で prompt=login が Microsoft Entra ID に送信されます。 既定では、Microsoft Entra ID によって、AD FS への要求で prompt=loginwauth=usernamepassworduri (U/P 認証を実行するように AD FS に要求) と wfresh=0 (SSO 状態を無視して、新しい認証を実行するように AD FS に要求) に変換されます。 これらのアプリに対して証明書ベースの認証を有効にするには、既定の Microsoft Entra の動作を変更します。

既定の動作は、フェデレーション ドメインの設定で "PromptLoginBehavior" を "無効" に設定することによって更新します。 次の例に示すように、New-MgDomainFederationConfiguration コマンドレットを使用してこのタスクを実行できます。

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync クライアントのサポート

iOS 9 以降では、ネイティブの iOS メール クライアントがサポートされます。 その他の Exchange ActiveSync アプリケーションについては、この機能のサポート状況をアプリケーションの開発者にお問い合わせください。

次のステップ

ご自分の環境で証明書ベースの認証を構成しようとする場合は、証明書ベースの認証の概要に関するページで手順を参照してください。