Web API を呼び出すデスクトップ アプリ: 統合 Windows 認証でトークンを取得する
ドメインまたは Microsoft Entra 参加済みのマシンでドメイン ユーザーをサインインさせるには、統合 Windows 認証 (IWA) を使用します。
制約
統合 Windows 認証は、"フェデレーション+" ユーザー (Active Directory で作成され、Microsoft Entra ID によってサポートされているユーザー) に対してのみ使用できます。 Microsoft Entra ID で直接作成され、Active Directory のサポートのないユーザー ("マネージド" ユーザーと呼ばれます) はこの認証フローを使用できません。 この制限は、ユーザー名とパスワードのフローには影響しません。
IWA では多要素認証 (MFA) はバイパスされません。 MFA が構成されている状況では、MFA チャレンジが必要な場合に IWA が失敗する可能性があります。これは、MFA でユーザーの操作が必要になるためです。
IWA は非対話型ですが、MFA にはユーザーの操作が必要です。 ID プロバイダーが MFA の実行を要求するタイミングの制御は、ユーザーではなくテナント管理者が行います。 弊社の観測によると、MFA が必要なのは、他の国/地域からサインインする場合と VPN 経由で企業ネットワークに接続されていない場合です。ただし、VPN 経由で接続されている場合であっても MFA が必要になる可能性があります。 確定的なルール セットを想定しないでください。 Microsoft Entra ID では、AI を使用して、MFA が必要かどうかを継続的に学習します。 IWA が失敗した場合は、対話型認証やデバイス コード フローなどのユーザー プロンプトにフォールバックしてください。
PublicClientApplicationBuilderで渡される機関の要件は次のとおりです。https://login.microsoftonline.com/{tenant}/の形式でテナント化されている。ここで、tenantは、テナント ID を表す GUID またはテナントに関連付けられているドメインです。- 任意の職場および学校アカウント用である:
https://login.microsoftonline.com/organizations/。 - Microsoft 個人アカウントはサポートされていません。 /common および /consumers テナントを使用することはできません。
統合 Windows 認証はサイレント フローであるため、次の要件が適用されます。
- アプリケーションのユーザーが、アプリケーションの使用に事前に同意しておく必要があります。
- または、テナント管理者が、テナント内のすべてのユーザーによるアプリケーションの使用に事前に同意しておく必要があります。
- つまり、以下の要件が適用されます。
- 開発者が自分で Azure portal 上の [許可] ボタンを選択しておきます。
- または、テナント管理者がアプリケーションの登録の [API のアクセス許可] タブにある [{テナント ドメイン} の管理者の同意を付与/取り消す] ボタンを選択しておきます。 詳細については、「Web API にアクセスするためのアクセス許可を追加する」を参照してください。
- または、ユーザーがアプリケーションに同意する方法を指定しておきます。 詳細については、「個々のユーザーの同意を要求する」を参照してください。
- または、テナント管理者がアプリケーションに同意する方法を指定しておきます。 詳細については、管理者の同意に関する記事を参照してください。
このフローは、.NET デスクトップ、.NET、UWP の各アプリに対して有効です。
同意の詳細については、Microsoft ID プラットフォームでのアクセス許可と同意に関する記事を参照してください。
使用方法の確認
MSAL.NET では、次のように使用します。
AcquireTokenByIntegratedWindowsAuth(IEnumerable<string> scopes)
通常、必要なパラメーターは 1 つだけです (scopes)。 Windows 管理者によるポリシーの設定方法に応じて、Windows マシン上のアプリケーションではサインインしているユーザーの検索が許可されない場合があります。 その場合は、2 番目のメソッドである .WithUsername() を使用して、サインインしているユーザーのユーザー名を UPN 形式で渡します (例: joe@contoso.com)。
次のサンプルは、最新のケース (および取得可能な例外の種類の説明とその軽減策) を示しています。
static async Task GetATokenForGraph()
{
string authority = "https://login.microsoftonline.com/contoso.com";
string[] scopes = new string[] { "user.read" };
IPublicClientApplication app = PublicClientApplicationBuilder
.Create(clientId)
.WithAuthority(authority)
.Build();
var accounts = await app.GetAccountsAsync();
AuthenticationResult result = null;
if (accounts.Any())
{
result = await app.AcquireTokenSilent(scopes, accounts.FirstOrDefault())
.ExecuteAsync();
}
else
{
try
{
result = await app.AcquireTokenByIntegratedWindowsAuth(scopes)
.ExecuteAsync(CancellationToken.None);
}
catch (MsalUiRequiredException ex)
{
// MsalUiRequiredException: AADSTS65001: The user or administrator has not consented to use the application
// with ID '{appId}' named '{appName}'.Send an interactive authorization request for this user and resource.
// you need to get user consent first. This can be done, if you are not using .NET (which does not have any Web UI)
// by doing (once only) an AcquireToken interactive.
// If you are using .NET or don't want to do an AcquireTokenInteractive, you might want to suggest the user to navigate
// to a URL to consent: https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id={clientId}&response_type=code&scope=user.read
// AADSTS50079: The user is required to use multi-factor authentication.
// There is no mitigation - if MFA is configured for your tenant and AAD decides to enforce it,
// you need to fallback to an interactive flows such as AcquireTokenInteractive or AcquireTokenByDeviceCode
}
catch (MsalServiceException ex)
{
// Kind of errors you could have (in ex.Message)
// MsalServiceException: AADSTS90010: The grant type is not supported over the /common or /consumers endpoints. Please use the /organizations or tenant-specific endpoint.
// you used common.
// Mitigation: as explained in the message from Azure AD, the authority needs to be tenanted or otherwise organizations
// MsalServiceException: AADSTS70002: The request body must contain the following parameter: 'client_secret or client_assertion'.
// Explanation: this can happen if your application was not registered as a public client application in Azure AD
// Mitigation: in the Azure portal, edit the manifest for your application and set the `allowPublicClient` to `true`
}
catch (MsalClientException ex)
{
// Error Code: unknown_user Message: Could not identify logged in user
// Explanation: the library was unable to query the current Windows logged-in user or this user is not AD or AAD
// joined (work-place joined users are not supported).
// Mitigation 1: on UWP, check that the application has the following capabilities: Enterprise Authentication,
// Private Networks (Client and Server), User Account Information
// Mitigation 2: Implement your own logic to fetch the username (e.g. john@contoso.com) and use the
// AcquireTokenByIntegratedWindowsAuth form that takes in the username
// Error Code: integrated_windows_auth_not_supported_managed_user
// Explanation: This method relies on a protocol exposed by Active Directory (AD). If a user was created in Azure
// Active Directory without AD backing ("managed" user), this method will fail. Users created in AD and backed by
// AAD ("federated" users) can benefit from this non-interactive method of authentication.
// Mitigation: Use interactive authentication
}
}
Console.WriteLine(result.Account.Username);
}
AcquireTokenByIntegratedWindowsAuthentication で使用可能な修飾子の一覧については、AcquireTokenByIntegratedWindowsAuthParameterBuilder に関する記事を参照してください。
次のステップ
このシナリオの次の記事である「デスクトップ アプリから Web API を呼び出す」に進みます。