iOS と macOS 上の Microsoft Entra 証明書ベースの認証
このトピックでは、macOS および iOS デバイスに対する Microsoft Entra 証明書ベースの認証 (CBA) のサポートについてカバーします。
macOS デバイス上の Microsoft Entra 証明書ベースの認証
macOS を実行するデバイスでは、デバイスの X.509 クライアント証明書を使用することで、CBA を使用して Microsoft Entra ID に対する認証を行うことができます。 Microsoft Entra CBA は、デバイス上の証明書と外部ハードウェアで保護されたセキュリティ キーでサポートされています。 macOS では、Microsoft Entra CBA はすべてのブラウザーと Microsoft のファーストパーティ アプリケーションでサポートされています。
macOS でサポートされているブラウザー
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA を使用した macOS デバイスのサインイン
現在の Microsoft Entra CBA は、macOS マシンへのデバイスベース サインインではサポートされていません。 デバイスへのサインインに使用される証明書は、ブラウザーまたはデスクトップ アプリケーションから Microsoft Entra ID への認証に使用される証明書と同じにすることができますが、デバイス サインイン自体はまだ Microsoft Entra ID に対してサポートされていません。
iOS デバイス上の Microsoft Entra 証明書ベースの認証
iOS を実行するデバイスは、次に示すものに接続する際に、証明書ベースの認証 (CBA) を使用して、そのデバイス上のクライアント証明書で Microsoft Entra ID に対して認証を行うことができます。
- Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
- Exchange ActiveSync (EAS) クライアント
Microsoft Entra CBA は、デバイス上の証明書に関して、iOS デバイス上のネイティブ ブラウザーと Microsoft のファーストパーティ アプリケーションでサポートされています。
前提条件
- iOS バージョンは iOS 9 以降である必要があります。
- Microsoft Authenticator は、iOS の Office アプリケーションと Outlook に必要です。
デバイス上の証明書と外部ストレージのサポート
デバイス上の証明書はデバイスにプロビジョニングされます。 お客様はモバイル デバイス管理 (MDM) を使用して、デバイスに証明書をプロビジョニングできます。 iOS では既定でハードウェア保護キーがサポートされていないため、お客様は証明書に外部ストレージ デバイスを使用できます。
サポートされているプラットフォーム
- ネイティブ ブラウザーのみがサポートされている
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用するアプリケーションで、CBA を実行できる
- ユーザーがアカウントを追加し、プロファイルにログインしたときに、プロファイルを使用する Edge で CBA がサポートされる
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用する Microsoft ファースト パーティ アプリで、CBA を実行できる
ブラウザー
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft モバイル アプリケーションのサポート
| アプリケーション | サポート |
|---|---|
| Azure Information Protection アプリ | ✅ |
| [ポータル サイト] | ✅ |
| Microsoft Teams | ✅ |
| Office (モバイル) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync クライアントのサポート
iOS 9 以降では、ネイティブの iOS メール クライアントがサポートされます。
お使いのメール アプリケーションが Microsoft Entra CBA をサポートしているかを確認するには、アプリケーション開発者に問い合わせてください。
ハードウェア セキュリティ キーでの証明書のサポート
証明書をハードウェア セキュリティ キーなどの外部デバイスに PIN と共にプロビジョニングすると、秘密キーのアクセスを保護できます。 ハードウェア セキュリティ キーと連携した Microsoft のモバイル証明書ベースのソリューションは、シンプルで便利な FIPS (Federal Information Processing Standards) 認定のフィッシングに強い MFA メソッドです。
iOS 16/iPadOS 16.1 に関しては、Apple デバイスでは、USB-C または Lightning に接続された CCID 準拠のスマート カードに対してネイティブ ドライバーのサポートが提供されています。 つまり、iOS 16/iPadOS 16.1 の Apple デバイスでは、追加のドライバーやサード パーティのアプリを使用せずに、USB-C または Lightning に接続された CCID 準拠のデバイスがスマート カードとして見なされます。 Microsoft Entra CBA は、これらの USB-A、USB-C、Lightning 接続 CCID 準拠スマート カードで動作します。
ハードウェア セキュリティ キーでの証明書の利点
証明書を使用するセキュリティ キーの場合、次のようになります。
- 任意のデバイスで使用でき、ユーザーが所有するすべてのデバイスで証明書のプロビジョニングを必要としない
- PIN でハードウェア保護され、フィッシングに対する耐性が高くなる
- 証明書の秘密キーにアクセスするための、PIN を第 2 要素とする多要素認証が提供される
- 別のデバイスで MFA を使用する業界の要件を満たす
- 将来、Fast Identity Online 2 (FIDO2) キーを含む複数の資格情報を格納する場所の確保に役立つ
YubiKey を備えた iOS モバイル上の Microsoft Entra CBA
Lightning に接続された CCID 準拠スマート カードの場合は iOS/iPadOS 上のネイティブのスマートカード/CCID ドライバーが使用できますが、YubiKey 5Ci Lightning コネクタの場合、Yubico Authenticator のような PIV (個人の ID 検証) ミドルウェアを使用しないと、これらのデバイス上では接続されたスマート カードとは見なされません。
ワンタイム登録の前提条件
- スマートカードの証明書がプロビジョニングされた PIV 対応 YubiKey の所有
- v14.2 以降の iPhone に Yubico Authenticator for iOS アプリをダウンロードします
- アプリを開き、YubiKey を挿入するか、近距離無線通信 (NFC) をタップして、手順に従って証明書を iOS キーチェーンにアップロードします
iOS モバイルの Microsoft アプリで YubiKey をテストする手順
- 最新の Microsoft Authenticator アプリをインストールします。
- Outlook を開き、YubiKey をプラグインします。
- [アカウントの追加] を選択し、ユーザー プリンシパル名 (UPN) を入力します。
- [続ける] をクリックすると、iOS 証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている YubiKey からコピーしたパブリック証明書を選択します。
- [YubiKey が必要です] をクリックして、YubiKey 認証アプリを開きます。
- YubiKey にアクセスするための PIN を入力し、左上隅にある [戻る] ボタンを選択します。
ユーザーは正常にログインし、Outlook ホームページにリダイレクトされます。
ハードウェア セキュリティ キーでの証明書のトラブルシューティング
ユーザーが iOS デバイスと YubiKey の両方に証明書を持っている場合はどうなりますか?
iOS 証明書ピッカーには、iOS デバイス上の証明書と、YubiKey から iOS デバイスにコピーされた証明書がすべて表示されます。 ユーザーが選択した証明書に応じて、PIN を入力する YubiKey authenticator に移動するか、直接認証されます。
誤った PIN を 3 回入力した後、YubiKey がロックされます。 どのように修正すればよいですか
- ユーザーには、PIN の試行回数が多すぎることを示すダイアログが表示されます。 このダイアログは、その後、[証明書またはスマート カードを使用する] を選択しようとしたときにもポップアップ表示されます。
- YubiKey Manager で、YubiKey の PIN をリセットできます。
CBA が失敗した後、[その他のサインイン方法] リンクの CBA オプションも失敗します。 回避策はありますか?
この問題は、証明書のキャッシュが原因で発生します。 キャッシュをクリアするための更新に取り組んでいます。 回避策として、[キャンセル] をクリックし、サインインを再試行して、新しい証明書を選択します。
Microsoft Entra CBA と YubiKey を使用するとエラーになります。 問題のデバッグに役立つ情報はありますか?
- Microsoft Authenticator アプリを開き、右上隅にある 3 つのドット アイコンをクリックし、[フィードバックの送信] を選択します。
- [何かお困りですか?] をクリックします。
- [オプションの選択] で、[アカウントの追加またはサインイン] を選択します。
- 追加する詳細について説明します。
- 右上隅にある送信矢印をクリックします。 ダイアログに表示されるコードをメモします。
モバイル上のブラウザー ベースのアプリケーションで、ハードウェア セキュリティ キーを使用したフィッシングに強い MFA を適用するにはどうすればよいですか?
証明書ベースの認証と条件付きアクセス認証の強度機能は、認証を適用したいとお考えのお客様を強力に支援します。 プロファイルとしての Edge (アカウントの追加) は、YubiKey などのハードウェア セキュリティ キーと連携し、認証強度機能を備えた条件付きアクセス ポリシーによって CBA でフィッシングに強い認証を適用できます。
YubiKey の CBA サポートは、最新の Microsoft Authentication Library (MSAL) ライブラリと、最新の MSAL を統合するサードパーティ アプリケーションで利用できます。 すべての Microsoft ファーストパーティ アプリケーションでは、CBA と条件付きアクセスの認証強度を使用できます。
サポートされるオペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード/セキュリティ キー |
|---|---|---|
| iOS | ✅ | サポートされているベンダーのみ |
サポートされているブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード/セキュリティ キー | デバイス上の Safari 証明書 | Safari スマート カード/セキュリティ キー | デバイス上の Edge 証明書 | Edge スマート カード/セキュリティ キー |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
セキュリティ キーのプロバイダー
| プロバイダー | iOS |
|---|---|
| YubiKey | ✅ |
既知の問題
- iOS では、証明書ベースの認証を利用しているユーザーに "プロンプトが 2 回重複" して表示され、証明書ベースの認証を使用するオプションを 2 回クリックする必要があります。
- iOS では、CBA を強制する認証強度ポリシーがある場合、または 2 番目の要素として CBA を使用する場合、Microsoft Authenticator アプリを使用するユーザーには、CBA による認証を求めるログイン プロンプトも 1 時間ごとに表示されます。