次の方法で共有


Android でのフェデレーションを使った Microsoft Entra の証明書ベースの認証

Android デバイスは、次に接続する場合、証明書ベースの認証 (CBA) を使用して、そのデバイス上のクライアント証明書で Microsoft Entra ID に対して認証できます。

  • Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
  • Exchange ActiveSync (EAS) クライアント

この機能を構成すると、モバイル デバイスで特定のメールおよび Microsoft Office アプリケーションにユーザー名とパスワードの組み合わせを入力する必要がなくなります。

Microsoft モバイル アプリケーションのサポート

アプリケーション サポート
Azure Information Protection アプリ Check mark signifying support for this application
Intune [ポータル サイト] Check mark signifying support for this application
Microsoft Teams Check mark signifying support for this application
OneNote Check mark signifying support for this application
OneDrive Check mark signifying support for this application
Outlook Check mark signifying support for this application
Power BI Check mark signifying support for this application
Skype for Business Check mark signifying support for this application
Word/Excel/PowerPoint Check mark signifying support for this application
Yammer Check mark signifying support for this application

実装の要件

デバイスの OS バージョンは、Android 5.0 (Lollipop) 以降である必要があります。

フェデレーション サーバーを構成する必要があります。

Microsoft Entra ID でクライアント証明書を失効させるには、AD FS トークンに次の要求が必要です。

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> (クライアント証明書のシリアル番号)
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> (クライアント証明書の発行者の文字列)

Microsoft Entra ID を使用すると、これらの要求が AD FS トークン (またはその他の SAML トークン) で使用できる場合に、このような要求を更新トークンに追加することができます。 更新トークンを検証する必要がある場合、この情報を使用して失効を確認します。

ベスト プラクティスとして、組織の AD FS エラー ページを次の情報で更新するようにしてください。

  • Android に Microsoft Authenticator をインストールするための要件。
  • ユーザー証明書を取得する手順

詳細については、「AD FS サインイン ページのカスタマイズ」を参照してください。

先進認証を有効にした Office アプリでは、要求で "prompt=login" が Microsoft Entra ID に送信されます。 既定では、Microsoft Entra ID によって、AD FS への要求内の "prompt=login" が、"wauth=usernamepassworduri" (AD FS に U/P 認証を実行するよう依頼する) および "wfresh=0" (AD FS に SSO 状態を無視し、新しい認証を実行するよう依頼する) として変換されます。 これらのアプリに対して証明書ベースの認証を有効にするには、既定の Microsoft Entra の動作を変更する必要があります。 フェデレーション ドメインの設定で "PromptLoginBehavior" を "Disabled" に設定します。 New-MgDomainFederationConfiguration を使って、このタスクを実行できます。

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync クライアントのサポート

Android 5.0 (Lollipop) 以降の特定の Exchange ActiveSync アプリケーションがサポートされています。 電子メール アプリケーションがこの機能をサポートしているかどうかを確認するには、アプリケーション開発者に問い合わせてください。

次のステップ

ご自分の環境で証明書ベースの認証を構成しようとする場合は、Android での証明書ベースの認証の概要に関するページで手順を参照してください。