次の方法で共有

Android デバイスに必要な証明書がありません

ユーザーが Microsoft Intune で管理されている Android デバイスでポータル サイト アプリにサインインしようとすると、"デバイスに必要な証明書がないためにサインインできません" というエラー メッセージが表示されます。

原因

ユーザーのデバイスに、登録に必要な証明書または中間証明書がないか、証明書が正しくインストールされていません。 次のセクションに進み、問題を診断して解決します。

解決策 1

ユーザーは、不足している証明書を取得できる可能性があります。 「 組織で必要な不足している証明書をインストールするの手順を完了するようにユーザーに依頼します。 エラーが解決しない場合は、ソリューション 2 に進みます。

解決策 2

会社の資格情報を入力し、フェデレーション ログイン用にリダイレクトされた後も、ユーザーに証明書の不足エラーが表示される可能性があります。 この場合、エラーは、中間証明書が Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーに存在しない可能性があります。

証明書エラーは、Android デバイスが中間証明書を SSL Server hello に含める必要があるために発生します。 現在、既定の AD FS サーバーまたは WAP - AD FS プロキシ サーバーのインストールでは、SSL サーバー hello 応答の AD FS サービス SSL 証明書のみが SSL クライアント hello に送信されます。

この問題を解決するには、次のように AD FS サーバーまたはプロキシのコンピューターの個人用証明書に証明書をインポートします。

  1. AD FS とプロキシ サーバーで、 Start>Run>certlm.msc を右クリックして、ローカル コンピューター証明書管理コンソールを起動します。
  2. [Personal 展開し Certificates 選択
  3. AD FS サービス通信用の証明書 (パブリックに署名された証明書) を探し、ダブルクリックしてそのプロパティを表示します。
  4. [証明書のパス] タブを選択して、証明書の親証明書を表示します。
  5. 各親証明書で、 [証明書の表示] を選択します。
  6. Details>Copy to file... を選択します。
  7. ウィザードの指示に従って、親証明書の公開キーを任意のファイルの場所にエクスポートまたは保存します。
  8. Certificates>All Tasks>Import を右クリックします。
  9. ウィザードの指示に従って、親証明書を Local Computer\Personal\Certificates にインポートします。
  10. AD FS サーバーを再起動します。
  11. すべての AD FS サーバーとプロキシ サーバーで上記の手順を繰り返します。

証明書が正しくインストールされていることを検証する

次の手順では、証明書が正しくインストールされていることを検証するために使用できる多くの方法とツールの 1 つだけについて説明します。

  1. free Digicert ツールに移動します
  2. [ Server Address ボックスに、AD FS サーバーの完全修飾ドメイン名 ( sts.contoso.com など) を入力し、 CHECK SERVER を選択します。

サーバー証明書が正しくインストールされている場合は、結果にすべてのチェック マークが表示されます。 上記の問題が存在する場合は、 Certificate 名の一致に赤い X が表示され レポートの SSL 証明書が正しくインストール セクションに表示されます。

解決策 3

ユーザーはポータル サイトで認証できませんが、Microsoft Authenticator および Web ブラウザーで認証できます。 この問題は、AD FS サーバーがパブリック証明機関 (CA) によって発行された証明書ではなくユーザー証明書を使用している場合に発生します。

Android デバイスには、次の 2 つの証明書ストアがあります。

  • ユーザー証明書ストア
  • システム証明書ストア

Android 7.0 では、アプリが明示的にオプトインしない限り、アプリは既定でユーザー証明書を無視します。 詳細については、「Changes to Trusted Certificate Authorities in Android Nougat」 (Android Nougat における認証局の変更) をご覧ください。

この問題を解決するには、AD FS サーバーのパブリックに信頼されたルート CA にチェーンする証明書を使用します。 Android 上のパブリック CA の一覧は、 https://android.googlesource.com/platform/system/ca-certificates/+/master/files/にあります。