次の方法で共有

iOS でのフェデレーションを使用した Microsoft Entra 証明書ベースの認証

セキュリティを向上させるために、iOS デバイスでは、証明書ベースの認証 (CBA) を使用して、次のアプリケーションまたはサービスに接続するときに、デバイス上のクライアント証明書を使用して Microsoft Entra ID に対する認証を行うことができます。

  • Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
  • Exchange ActiveSync (EAS) クライアント

証明書を使用すると、モバイル デバイス上の特定のメールおよび Microsoft Office アプリケーションにユーザー名とパスワードの組み合わせを入力する必要がなくなります。

Microsoft モバイル アプリケーションのサポート

アプリ 支援
Azure Information Protection アプリ このアプリケーションのサポートを示すチェック マーク
[ポータル サイト] このアプリケーションのサポートを示すチェック マーク
Microsoft Teams このアプリケーションのサポートを示すチェック マーク
Office (モバイル) このアプリケーションのサポートを示すチェック マーク
OneNote このアプリケーションのサポートを示すチェック マーク
OneDrive このアプリケーションのサポートを示すチェック マーク
前途 このアプリケーションのサポートを示すチェック マーク
Power BI このアプリケーションのサポートを示すチェック マーク
Skype for Business このアプリケーションのサポートを示すチェック マーク
Word/Excel/PowerPoint このアプリケーションのサポートを示すチェック マーク
Yammer このアプリケーションのサポートを示すチェック マーク

要求事項

iOS で CBA を使用するには、次の要件と考慮事項が適用されます。

  • デバイスの OS バージョンは iOS 9 以降である必要があります。
  • iOS 上の Office アプリケーションには、Microsoft Authenticator が必要です。
  • ID 設定は、AD FS サーバーの認証 URL を含む macOS キーチェーンに作成する必要があります。 詳細については、「 Mac のキーチェーン アクセスで ID 設定を作成する」を参照してください。

次の Active Directory フェデレーション サービス (AD FS) の要件と考慮事項が適用されます。

  • AD FS サーバーで証明書認証を有効にし、フェデレーション認証を使用する必要があります。
  • 証明書では、拡張キー使用法 (EKU) を使用し、 サブジェクトの別名 (NT プリンシパル名) にユーザーの UPN を含める必要があります。

AD FS の構成

Microsoft Entra ID でクライアント証明書を取り消すには、AD FS トークンに次の要求が必要です。 Microsoft Entra ID は、AD FS トークン (またはその他の SAML トークン) で使用できる場合、これらの要求を更新トークンに追加します。 更新トークンを検証する必要がある場合は、この情報を使用して失効を確認します。

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - クライアント証明書のシリアル番号を追加する
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - クライアント証明書の発行者の文字列を追加します

ベスト プラクティスとして、組織の AD FS エラー ページも次の情報で更新する必要があります。

  • iOS に Microsoft Authenticator をインストールするための要件。
  • ユーザー証明書を取得する方法について説明します。

詳細については、 AD FS サインイン ページのカスタマイズを参照してください。

Office アプリで先進認証を使用する

先進認証が有効になっている一部の Office アプリは、要求で microsoft Entra ID に prompt=login を送信します。 既定では、Microsoft Entra ID は要求の prompt=loginwauth=usernamepassworduri として AD FS に変換し (AD FS に U/P 認証を実行するように要求します)、 wfresh=0 (SSO 状態を無視して新しい認証を行うように AD FS に要求します)。 これらのアプリに対して証明書ベースの認証を有効にする場合は、既定の Microsoft Entra 動作を変更します。

既定の動作を更新するには、フェデレーション ドメイン設定の "PromptLoginBehavior" を [無効] に設定します。 次の例に示すように、 New-MgDomainFederationConfiguration コマンドレットを使用してこのタスクを実行できます。

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync クライアントのサポート

iOS 9 以降では、ネイティブの iOS メール クライアントがサポートされています。 この機能が他のすべての Exchange ActiveSync アプリケーションでサポートされているかどうかを確認するには、アプリケーション開発者に問い合わせてください。

次のステップ

環境内で証明書ベースの認証を構成する手順については、「 証明書ベースの認証の概要 」を参照してください。