次の方法で共有

ユーザーが Android デバイスでViva Engageにサインインできない

ユーザーがViva Engage アカウントを持っていて、デバイスでサインインできない場合は、Android WebView を更新する必要がある場合があります。

Android デバイスで、最新バージョンの Android WebView がダウンロードされていることを確認します。 この Chrome コンポーネントは、セキュリティ更新プログラムを提供し、Android アプリがコンテンツを表示できるようにします。

問題が解決しない場合は、organizationのセキュリティ証明書が古くなっている可能性があります。 この記事を IT 管理者に転送して、問題を解決できるようにします。

Viva Engageおよび Microsoft 365 管理者のトラブルシューティング

欠落している、または古い証明書がサインインの認証を妨げている可能性があります。

ユーザーがViva Engageにサインインする前に、organizationの SSL 証明書が特定のチェックに合格する必要があります。一部は Android で必要であり、他の証明書は Active Directory フェデレーション サービス (AD FS) (AD FS) に固有です。 組織のネットワーク、ユーザー情報、および内部リソースを保護する最も安全な方法です。

実際、サーバーは、セキュリティで保護されたアプリ (Viva Engage など) にサインインしようとするたびに、クライアント オペレーティング システムまたはアプリケーションに対する信頼性を証明する必要があります。

信用の構造は複雑です。

認定階層全体もあります。 ルート証明機関証明書と呼ばれるものは、(その名前が意味する可能性があるにもかかわらず) その先頭に置きます。 中間証明書と呼ばれる他の下位証明書を "承認" するために証明書を発行します。 これらの証明書は、一緒に認定チェーンを形成します。

チェーン内の中間証明書は重要ですが、Android では特定の順序で送信する必要があります。

  1. 最初に、ルート証明機関の証明書が信頼されたルート証明機関ストア (AD FS サーバー上にあります) に配置されていることを確認してください。
  2. 次に、中間証明機関証明書をローカル コンピューターの中間認定ストアに配置します。この証明書は、AD FS と Web アプリケーション プロキシ (WAP) サーバーにあります。 (Windows コンピューターでコンソールを開くには、 を実行 certlm.msc します)。

ローカル コンピューターの証明書階層を示すスクリーンショット。

手順 2 を理解しやすくするために、サーバーを大陸と考える場合があります。

  • ローカル コンピューターは、これらの大陸の国/地域になります
  • 認定ストアは状態 (または都道府県) になります
  • 中間証明書は、状態の母集団になります

Mac コンピューターでは、これらのカテゴリまたはフォルダーは若干異なります。 スポットライトを使用して、"キーチェーン アクセス" コンソールを検索します。 キーチェーンアクセスの詳細については、Apple サポート サイトの「キーチェーン アクセスの概要」を参照してください。

組織で証明書階層がすでに正しく管理されている場合は、下で説明する、セキュリティ トークン サービス (STS) サーバーで小さな問題が発生している可能性があります。

追加の証明書のダウンロードは、よくある間違いです。

SSL 証明書に問題が発生した可能性がいくつかありますが、最も一般的な原因は、中間証明機関が存在しないサーバー構成です。これは、サーバーの証明書に秘密キーで署名する部分です。 これにより、Viva Engageまたは Microsoft 365 がサインイン ページを表示しようとすると、AuthenticationException エラーがトリガーされます。

SSL 証明書の authorityInformationAccess フィールドから他の証明書をダウンロードした可能性があります。これにより、サーバーが AD FS から証明書チェーン全体を渡すことができなくなります。 Android では、このフィールドからの追加の証明書のダウンロードはサポートされていません。

トラブルシューティングを行う前に、実際にこれが原因になっているかどうかを以下の方法で確認します。

必要な中間証明書がない SSL 証明書があるかどうかを確認するには、次の手順に従います。

  1. Android 以外のデバイスを使用している場合は、 https://login.microsoftonline.com に移動します。

  2. 通常どおり職場または学校の住所でサインインします。

  3. リダイレクトされたら、ブラウザーのアドレス バーにある URL をコピーします。 これは、セキュリティ トークン サービス サーバーの完全修飾ドメイン名 (FQDN) です。この部分は省略します https://

  4. 次の URL に FQDN を挿入します。 文字を追加せずに FQDN という文字のみを置き換えてください。

    https://www.ssllabs.com/ssltest/analyze.html?d=FQDN&hideResults=on&latest

  5. 手順 4 で完了した URL をコピー、貼り付け、移動します。

SSL 証明書の一覧が表示されます。 "追加ダウンロード" というラベルの付いた証明書を探します。このエラーは認証に失敗したことを示し、AD FS が証明書チェーン全体に沿って渡すことができなかったことを示します。

追加のダウンロード エラーがある SSL 証明書の一覧を示すスクリーンショット。

認証が成功すると、 サーバーによって送信済みとしてマークされます。

追加のダウンロードの問題の解決方法を説明します。

次の手順に従って、セキュリティ トークン サービス (STS) サーバーと Web アプリケーション プロキシ (WAP) サーバーを構成し、不足している中間証明書を SSL 証明書と共に送信します。 まず、SSL 証明書をエクスポートする必要があります。

  1. を実行 certlm.msc して、証明書コンソールを開きます。 証明書を管理できるのは、適切なアクセス許可が付与されている管理者またはユーザーのみです。
  2. エクスポートする証明書を含むストアのコンソール ツリーで、[証明書] を選択 します
  3. 詳細ウィンドウで、エクスポートする必要がある証明書を選択します。
  4. [ アクション ] メニューで、 すべてのタスクを選択し、[ エクスポート] を選択します。 [次へ] を選択します。
  5. [はい] を選択し、秘密キーをエクスポートし、[次へ] を選択します。
  6. [ Personal Information Exchange - PKCS] #12 () を選択します。PFX) を 選択し、可能であれば、すべての証明書を認定パスに含めるために既定値を受け入れます。 また、すべての拡張プロパティをエクスポートチェックボックスが選択されていることを確認します。
  7. 必要に応じて、ユーザー/グループを割り当て、エクスポートする秘密キーを暗号化するパスワードを入力します。 同じパスワードをもう一度入力して確認し、[ 次へ] を選択します。
  8. [エクスポートするファイル] ページで、エクスポートするファイルを配置する場所を参照し、名前を付けます。
  9. 同じ証明書コンソール (certlm.msc) を使用して、 *をインポートします。PFX ファイルをコンピューターの個人用証明書ストアに格納します。
  10. 最後に、組織がアクティブ ロード バランサーを使用してトラフィックをサーバー間分配している場合は、これらのサーバーでもローカル証明書ストアを更新 (または、少なくとも確認) する必要があります。

上記の手順で問題が解決しない場合は、これらの同様の問題を調べます。または、Viva Engage サポートにお問い合わせください。

これら 3 つの問題は、Web アプリケーション プロキシ (WAP) に関連しています。 WAP の詳細については、「Web アプリケーション プロキシの操作」を参照してください。