Android デバイスでの Microsoft Entra 証明書ベースの認証
Microsoft Entra 証明書ベースの認証は、デバイスにプロビジョニングされた証明書と、YubiKeys などの外部セキュリティ キーでサポートされます。
前提条件
- Android バージョンは Android 5.0 (Lollipop) 以降である必要があります。
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用する Microsoft ファースト パーティ アプリで CBA を実行できます。
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用するサード パーティ アプリケーションで CBA を実行できます。
デバイス上の証明書による CBA
お客様は自分で選んだモバイル デバイス管理 (MDM) を使用し、デバイスに証明書をプロビジョニングできます。 エンド ユーザーはまず、デバイスを MDM に登録し、デバイスにプロビジョニングされた証明書を取得する必要があります。 デバイスで証明書がプロビジョニングされると、ユーザーは CBA を使用して認証できます。
Android モバイルの Microsoft アプリで YubiKey をテストする手順
- Outlook を開きます。
- [アカウントの追加] を選び、ユーザー プリンシパル名 (UPN) を入力します。
- [Continue] をクリックします。
- [証明書またはスマート カードを使用する] を選びます。
- ダイアログで [デバイス上の証明書] を選択します**。**
- 証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている証明書を選びます。 [Continue] をクリックします。
- 認証に成功した場合、ユーザーは Outlook リソースへのアクセスを許可されます。
ハードウェア セキュリティ キー上の CBA
証明書をハードウェア セキュリティ キーなどの外部デバイスに PIN と共にプロビジョニングすると、秘密キーのアクセスを保護できます。 Microsoft Entra ID は、CBA での YubiKey の使用に対応しています。
ハードウェア セキュリティ キーでの証明書の利点
証明書を使用するセキュリティ キーの場合、次のようになります。
- セキュリティ キーのローミングの性質があり、ユーザーは異なるデバイスで同じ証明書を使用できます。
- PIN でハードウェア保護され、フィッシングに対する耐性が高くなります。
- 証明書の秘密キーにアクセスするための、PIN を第 2 要素とする多要素認証が提供されます。
- 別のデバイスで MFA を使用する業界の要件を満たす。
- Fast Identity Online 2 (FIDO2) キーを含む複数の資格情報を格納できる将来性があります。
Android モバイル上の Microsoft Entra CBA での YubiKey
Android では、証明書を使用してスマートカードまたはセキュリティ キーをサポートできるミドルウェア アプリケーションが必要です。 Microsoft Entra CBA で YubiKeys をサポートするために、YubiKey Android SDK が Microsoft ブローカー コードに統合され、最新の Microsoft Authentication Library (MSAL) を介して利用できるようになっています。
Android モバイル上の Microsoft Entra CBA では、最新の MSAL を使用することで YubiKey の使用に対応できるため、Android をサポートするために YubiKey Authenticator アプリを使用する必要はありません。
Android モバイルの Microsoft アプリで YubiKey をテストする手順
- Microsoft Authenticator をインストールします。
- YubiKey に USB-C がある場合は、Outlook を開いて、YubiKey を差し込みます。
- [アカウントの追加] を選び、ユーザー プリンシパル名 (UPN) を入力します。
- [続行] をクリックし、YubiKey へのアクセスの許可を求められたら、[OK] クリックします。
- [証明書またはスマート カードを使用する] を選びます。
- NFC 対応の Yubikey を使っている場合は、Yubikey をデバイスの背面に保持します。
- カスタム証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている証明書を選んで、[続行] をクリックします。
- YubiKey にアクセスするための PIN を入力し、[ロック解除] を選択します。
- NFC を備えた Yubikey を使っている場合は、Yubikey をもう一度電話の背面に保持して PIN を検証します。
- 認証が成功したら、Outlook にアクセスできます。
Note
スムーズな CBA フローを実現するために、アプリケーションが開いたらすぐに YubiKey をプラグインし、YubiKey からの同意ダイアログに同意してから、[証明書またはスマート カードを使用する] リンクを選びます。 接続を 1 つだけにしたい場合は、ユーザーに NFC ではなく USB を使って YubiKey を接続させることを検討します。これは、ログインの開始時に 1 回だけ行う必要があります。
Exchange ActiveSync クライアントのサポート
Android 5.0 (Lollipop) 以降の特定の Exchange ActiveSync アプリケーションがサポートされています。 お使いのメール アプリケーションが Microsoft Entra CBA をサポートしているかを確認するには、アプリケーション開発者に問い合わせてください。
サポートされている Entra ユース ケース
Microsoft モバイル アプリケーションのサポート
| アプリケーション | サポート |
|---|---|
| Azure Information Protection アプリ | ✅ |
| [ポータル サイト] | ✅ |
| Microsoft Teams | ✅ |
| Office (モバイル) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| Edge ブラウザーとプロファイル ログイン | ✅ |
| マネージド ホーム スクリーン | ✅ |
ブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード/セキュリティ キー | デバイス上の Safari 証明書 | Safari スマート カード/セキュリティ キー | デバイス上の Edge 証明書 | Edge スマート カード/セキュリティ キー |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | 該当なし | N/A | ✅ | ❌ |
Note
ブラウザーとしての Edge はサポートされていませんが、(アカウント ログインのための) プロファイルとしての Edge は、Android で CBA をサポートする MSAL アプリです。
オペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード/セキュリティ キー |
|---|---|---|
| Android | ✅ | サポートされているベンダーのみ |
セキュリティ キーのプロバイダー
| プロバイダー | Android |
|---|---|
| YubiKey | ✅ |
ハードウェア セキュリティ キーでの証明書のトラブルシューティング
ユーザーが Android デバイスと YubiKey の両方に証明書を持っている場合はどうなりますか?
- ユーザーが Android デバイスと YubiKey の両方に証明書を持っている場合、ユーザーが [証明書またはスマート カードを使用する] をクリックする前に YubiKey がプラグインされている場合は、YubiKey に証明書が表示されます。
- ユーザーが [証明書またはスマート カードの使用] をクリックする前に YubiKey がプラグインされていない場合、デバイス上の証明書かスマート カード (実際のカード) を選択するよう、ユーザーは求められます。 ユーザーが [デバイス上の証明書] を選択した場合、デバイス上の証明書がユーザーに表示されます。 ユーザーが [物理スマート カード上の証明書] を選択した場合、YubiKey をプラグインするか、(デバイスの) 背面に触れさせます。YubiKey 内の証明書がユーザーに表示されます。
誤った PIN を 3 回入力した後、YubiKey がロックされます。 どのように修正すればよいですか
- ユーザーには、PIN の試行回数が多すぎることを示すダイアログが表示されます。 このダイアログは、その後、[証明書またはスマート カードを使用する] を選択しようとしたときにもポップアップ表示されます。
- YubiKey PIN をリセットする場合、ユーザーは管理者に問い合わせる必要があります。
Microsoft 認証システムをインストールしましたが、YubiKey で証明書ベースの認証を行うオプションがまだ表示されません。
Microsoft Authenticator をインストールする前に、会社のポータルをアンインストールし、Microsoft Authenticator のインストール後にインストールします。
Microsoft Entra CBA では、YubiKey を NFC 経由で使用できますか?
Entra CBA は、USB と NFC での YubiKey の使用をサポートしています。
一度 CBA が失敗すると、エラー ページの [その他のサインイン方法] リンクで CBA オプションを再度クリックしても失敗します。
この問題は、証明書のキャッシュが原因で発生します。 回避策として、[キャンセル] をクリックしてログイン フローを再開すると、ユーザーは新しい証明書を選択して正常にログインできるようになります。
Microsoft Entra CBA と YubiKey を使用するとエラーになります。 問題のデバッグに役立つ情報はありますか?
- Microsoft Authenticator アプリを開き、右上隅にある 3 つのドット アイコンをクリックし、[フィードバックの送信] を選択します。
- [何かお困りですか?] をクリックします。
- [オプションの選択] で、[アカウントの追加またはサインイン] を選択します。
- 追加する詳細について説明します。
- 右上隅にある送信矢印をクリックします。 ダイアログに表示されるコードをメモします。