このトピックでは、macOS および iOS デバイスMicrosoft Entra証明書ベースの認証 (CBA) のサポートについて説明します。
macOS デバイスでのMicrosoft Entraによる証明書ベースの認証
macOS を実行するデバイスでは、CBA を使用して、X.509 クライアント証明書を使用してMicrosoft Entra IDに対する認証を行うことができます。 Microsoft Entra CBA は、デバイス上の証明書と外部ハードウェアで保護されたセキュリティ キーでサポートされています。 macOS では、Microsoft Entra CBA はすべてのブラウザーとMicrosoftファースト パーティ アプリケーションでサポートされます。
macOS でサポートされているブラウザー
| Edge | クロム | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA を使用した macOS デバイスのサインイン
現在、Microsoft Entra CBA は、macOS マシンへのデバイス ベースのサインインではサポートされていません。 デバイスへのサインインに使用する証明書は、ブラウザーまたはデスクトップ アプリケーションからのMicrosoft Entra IDに対する認証に使用される証明書と同じにすることができますが、デバイスのサインイン自体は、Microsoft Entra IDに対してまだサポートされていません。
iOS デバイスにおけるMicrosoft Entraの証明書ベースの認証
iOS を実行するデバイスは、証明書ベースの認証 (CBA) を使用して、接続時にデバイス上のクライアント証明書を使用してMicrosoft Entra IDに対する認証を行うことができます。
- Microsoft OutlookやMicrosoft Wordなどの Office モバイル アプリケーション
- Exchange ActiveSync (EAS) クライアント
Microsoft Entra CBA は、ネイティブ ブラウザー上のデバイス上の証明書と、iOS デバイス上Microsoftファースト パーティ アプリケーションでサポートされています。
前提条件
- iOS バージョンは iOS 9 以降である必要があります。
- ファースト パーティ アプリケーションには、Microsoft Authenticatorまたはポータル サイトが必要です。
デバイス上の証明書と外部ストレージのサポート
デバイス上の証明書はデバイスにプロビジョニングされます。 モバイルデバイス管理 (MDM) を使用して、デバイスに証明書をプロビジョニングできます。 iOS では既定でハードウェア保護キーがサポートされていないため、お客様は証明書に外部ストレージ デバイスを使用できます。
サポートされているプラットフォーム
- ネイティブ ブラウザーのみがサポートされている
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用するアプリケーションは CBA を実行できます
- ユーザーがアカウントを追加し、プロファイルにログインしたときに、プロファイルを使用する Edge で CBA がサポートされる
- Microsoft のファースト パーティ アプリで最新の MSAL ライブラリを使用するか、Microsoft Authenticator を使用して CBA を実行できます。
ブラウザー
| Edge | クロム | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft モバイル アプリケーションのサポート
| アプリケーション | サポート |
|---|---|
| Azure Information Protection アプリ | ✅ |
| 会社ポータル | ✅ |
| Microsoft Teams | ✅ |
| Office (モバイル) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync クライアントのサポート
iOS 9 以降では、ネイティブの iOS メール クライアントがサポートされます。
電子メール アプリケーションが CBA Microsoft Entraサポートしているかどうかを確認するには、アプリケーション開発者に問い合わせてください。
ハードウェア セキュリティ キーでの証明書のサポート
証明書をハードウェア セキュリティ キーなどの外部デバイスに PIN と共にプロビジョニングすると、秘密キーのアクセスを保護できます。 Microsoftのモバイル証明書ベースのソリューションとハードウェア セキュリティ キーは、シンプルで便利な FIPS (Federal Information Processing Standards) 認定フィッシング耐性 MFA メソッドです。
iOS 16/iPadOS 16.1 に関しては、Apple デバイスでは、USB-C または Lightning に接続された CCID 準拠のスマート カードに対してネイティブ ドライバーのサポートが提供されています。 つまり、iOS 16/iPadOS 16.1 の Apple デバイスでは、追加のドライバーやサード パーティのアプリを使用せずに、USB-C または Lightning に接続された CCID 準拠のデバイスがスマート カードとして見なされます。 Microsoft Entra CBA は、これらの USB-A、USB-C、または Lightning に接続された CCID 準拠のスマート カードで動作します。
ハードウェア セキュリティ キーでの証明書の利点
証明書を使用するセキュリティ キーの場合、次のようになります。
- 任意のデバイスで使用でき、ユーザーが所有するすべてのデバイスで証明書のプロビジョニングを必要としない
- PIN でハードウェア保護され、フィッシングに対する耐性が高くなる
- 証明書の秘密キーにアクセスするための、PIN を第 2 要素とする多要素認証が提供される
- 別のデバイスで MFA を使用する業界の要件を満たす
- 将来、Fast Identity Online 2 (FIDO2) キーを含む複数の資格情報を格納する場所の確保に役立つ
iOS モバイルで YubiKey を使用して、Microsoft Entra の CBA を利用する
Lightning に接続された CCID 準拠スマート カードの場合は iOS/iPadOS 上のネイティブのスマートカード/CCID ドライバーが使用できますが、YubiKey 5Ci Lightning コネクタの場合、Yubico Authenticator のような PIV (個人の ID 検証) ミドルウェアを使用しないと、これらのデバイス上では接続されたスマート カードとは見なされません。
ワンタイム登録の前提条件
- スマートカードの証明書がプロビジョニングされた PIV 対応 YubiKey の所有
- v14.2 以降の iPhone に Yubico Authenticator for iOS アプリをダウンロードします
- アプリを開き、YubiKey を挿入するか、近距離無線通信 (NFC) をタップして、手順に従って証明書を iOS キーチェーンにアップロードします
iOS モバイル上のMicrosoft アプリで YubiKey をテストする手順
- 最新のMicrosoft Authenticator アプリをインストールします。
- Outlookを開き、YubiKey をプラグインします。
- [アカウントの追加] を選択し、ユーザー プリンシパル名 (UPN) を入力します。
- 続行 を選択すると、iOS 証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている YubiKey からコピーしたパブリック証明書を選択します。
- [YubiKey が必要です] を選択して、YubiKey 認証アプリを開きます。
- YubiKey にアクセスするための PIN を入力し、左上隅にある [戻る] ボタンを選択します。
ユーザーは正常にログインし、Outlookホームページにリダイレクトされます。
ハードウェア セキュリティ キーでの証明書のトラブルシューティング
ユーザーが iOS デバイスと YubiKey の両方に証明書を持っている場合はどうなりますか?
iOS 証明書ピッカーには、iOS デバイス上の証明書と、YubiKey から iOS デバイスにコピーされた証明書がすべて表示されます。 ユーザーが選択した証明書に応じて、PIN を入力する YubiKey authenticator に移動するか、直接認証されます。
誤った PIN を 3 回入力した後、YubiKey がロックされます。 これを解決するにはどうすればいいですか?
- ユーザーには、PIN の試行回数が多すぎることを示すダイアログが表示されます。 このダイアログは、その後、[証明書またはスマート カードを使用する] を選択しようとしたときにもポップアップ表示されます。
- YubiKey Manager で、YubiKey の PIN をリセットできます。
CBA が失敗した後、[その他のサインイン方法] リンクの CBA オプションも失敗します。 回避策はありますか?
この問題は、証明書のキャッシュが原因で発生します。 キャッシュをクリアするための更新に取り組んでいます。 回避策として、キャンセル
YubiKeyを使用したMicrosoft Entra CBAが失敗しています。 問題のデバッグに役立つ情報はありますか?
- アプリMicrosoft Authenticator開き、右上隅にある 3 つのドット アイコンを選択し、Send Feedback を選択します。
- [問題が発生している を選択しますか?.
- [オプションの選択] で、[アカウントの追加またはサインイン] を選択します。
- 追加する詳細について説明します。
- 右上隅にある送信矢印を選択します。 ダイアログに表示されるコードをメモします。
モバイル上のブラウザー ベースのアプリケーションで、ハードウェア セキュリティ キーを使用したフィッシングに強い MFA を適用するにはどうすればよいですか?
証明書ベースの認証と条件付きアクセス認証の強度機能は、認証を適用したいとお考えのお客様を強力に支援します。 プロファイルとしての Edge (アカウントの追加) は、YubiKey などのハードウェア セキュリティ キーと連携し、認証強度機能を備えた条件付きアクセス ポリシーによって CBA でフィッシングに強い認証を適用できます。
YubiKey の CBA サポートは、最新の Microsoft Authentication Library (MSAL) ライブラリと、最新の MSAL を統合する任意のサードパーティ アプリケーションで利用できます。 すべてのMicrosoftファースト パーティ アプリケーションでは、CBA と条件付きアクセス認証の強度を使用できます。
サポートされるオペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード/セキュリティ キー |
|---|---|---|
| iOS | ✅ | サポートされているベンダーのみ |
サポートされているブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード/セキュリティ キー | デバイス上の Safari 証明書 | Safari スマート カード/セキュリティ キー | デバイス上の Edge 証明書 | Edge スマート カード/セキュリティ キー |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
セキュリティ キーのプロバイダー
| プロバイダー | iOS |
|---|---|
| YubiKey | ✅ |
次のステップ
Microsoft Entra CBA - Microsoft Entra CBAの技術的な深掘り
- Microsoft Entra CBAを構成する方法
- Microsoft Entra CBA 証明書失効リスト
- Android デバイス上の Microsoft Entra CBA
- Microsoft Entra CBA を使用した Windows のスマート カード ログオン
- 証明書ユーザー ID
- フェデレーション ユーザーを移行する方法
- よくある質問
- Microsoft Entra CBA 証明書失効リスト
- Android デバイス上の Microsoft Entra CBA
- Microsoft Entra CBA を使用した Windows のスマート カード ログオン
- 証明書ユーザー ID
- フェデレーション ユーザーを移行する方法
- よくある質問