Android でのフェデレーションを使った Microsoft Entra の証明書ベースの認証
Android デバイスは、次に接続する場合、証明書ベースの認証 (CBA) を使用して、そのデバイス上のクライアント証明書で Microsoft Entra ID に対して認証できます。
- Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
- Exchange ActiveSync (EAS) クライアント
この機能を構成すると、モバイル デバイスで特定のメールおよび Microsoft Office アプリケーションにユーザー名とパスワードの組み合わせを入力する必要がなくなります。
Microsoft モバイル アプリケーションのサポート
| アプリケーション | サポート |
|---|---|
| Azure Information Protection アプリ |  |
| Intune [ポータル サイト] | |
| Microsoft Teams | |
| OneNote | |
| OneDrive | |
| Outlook | |
| Power BI | |
| Skype for Business | |
| Word/Excel/PowerPoint | |
| Yammer | |
実装の要件
デバイスの OS バージョンは、Android 5.0 (Lollipop) 以降である必要があります。
フェデレーション サーバーを構成する必要があります。
Microsoft Entra ID でクライアント証明書を失効させるには、AD FS トークンに次の要求が必要です。
http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>(クライアント証明書のシリアル番号)http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>(クライアント証明書の発行者の文字列)
Microsoft Entra ID を使用すると、これらの要求が AD FS トークン (またはその他の SAML トークン) で使用できる場合に、このような要求を更新トークンに追加することができます。 更新トークンを検証する必要がある場合、この情報を使用して失効を確認します。
ベスト プラクティスとして、組織の AD FS エラー ページを次の情報で更新するようにしてください。
- Android に Microsoft Authenticator をインストールするための要件。
- ユーザー証明書を取得する手順
詳細については、「AD FS サインイン ページのカスタマイズ」を参照してください。
先進認証を有効にした Office アプリでは、要求で "prompt=login" が Microsoft Entra ID に送信されます。 既定では、Microsoft Entra ID によって、AD FS への要求内の "prompt=login" が、"wauth=usernamepassworduri" (AD FS に U/P 認証を実行するよう依頼する) および "wfresh=0" (AD FS に SSO 状態を無視し、新しい認証を実行するよう依頼する) として変換されます。 これらのアプリに対して証明書ベースの認証を有効にするには、既定の Microsoft Entra の動作を変更する必要があります。 フェデレーション ドメインの設定で "PromptLoginBehavior" を "Disabled" に設定します。 New-MgDomainFederationConfiguration を使って、このタスクを実行できます。
New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"
Exchange ActiveSync クライアントのサポート
Android 5.0 (Lollipop) 以降の特定の Exchange ActiveSync アプリケーションがサポートされています。 電子メール アプリケーションがこの機能をサポートしているかどうかを確認するには、アプリケーション開発者に問い合わせてください。
次のステップ
ご自分の環境で証明書ベースの認証を構成しようとする場合は、Android での証明書ベースの認証の概要に関するページで手順を参照してください。