次の方法で共有

iOS でのフェデレーションを使用した Microsoft Entra 証明書ベースの認証

セキュリティを向上させるために、iOS デバイスでは、証明書ベースの認証 (CBA) を使用して、次のアプリケーションまたはサービスに接続するときに、デバイス上のクライアント証明書を使用して Microsoft Entra ID に対する認証を行うことができます。

  • Microsoft Outlook や Microsoft Word などの Office モバイル アプリケーション
  • Exchange ActiveSync (EAS) クライアント

証明書を使用すると、モバイル デバイス上の特定のメールおよび Microsoft Office アプリケーションにユーザー名とパスワードの組み合わせを入力する必要がなくなります。

Microsoft モバイル アプリケーションのサポート

アプリ 支援
Azure Information Protection アプリ このアプリケーションのサポートを示すチェック マーク
ポータル サイト このアプリケーションのサポートを示すチェック マーク
Microsoft Teams このアプリケーションのサポートを示すチェック マーク
Office (モバイル) このアプリケーションのサポートを示すチェック マーク
OneNote このアプリケーションのサポートを示すチェック マーク
OneDrive このアプリケーションのサポートを示すチェック マーク
前途 このアプリケーションのサポートを示すチェック マーク
Power BI このアプリケーションのサポートを示すチェック マーク
Skype for Business このアプリケーションのサポートを示すチェック マーク
Word/Excel/PowerPoint このアプリケーションのサポートを示すチェック マーク
Yammer このアプリケーションのサポートを示すチェック マーク

要求事項

iOS で CBA を使用するには、次の要件と考慮事項が適用されます。

  • デバイスの OS バージョンは iOS 9 以降である必要があります。
  • iOS 上の Office アプリケーションには、Microsoft Authenticator が必要です。
  • ID 設定は、AD FS サーバーの認証 URL を含む macOS キーチェーンに作成する必要があります。 詳細については、「 Mac のキーチェーン アクセスで ID 設定を作成する」を参照してください。

次の Active Directory フェデレーション サービス (AD FS) の要件と考慮事項が適用されます。

  • AD FS サーバーで証明書認証を有効にし、フェデレーション認証を使用する必要があります。
  • 証明書では、拡張キー使用法 (EKU) を使用し、 サブジェクトの別名 (NT プリンシパル名) にユーザーの UPN を含める必要があります。

AD FS の構成

Microsoft Entra ID でクライアント証明書を取り消すには、AD FS トークンに次の要求が必要です。 Microsoft Entra ID は、AD FS トークン (またはその他の SAML トークン) で使用できる場合、これらの要求を更新トークンに追加します。 更新トークンを検証する必要がある場合は、この情報を使用して失効を確認します。

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - クライアント証明書のシリアル番号を追加する
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - クライアント証明書の発行者の文字列を追加します

ベスト プラクティスとして、組織の AD FS エラー ページも次の情報で更新する必要があります。

  • iOS に Microsoft Authenticator をインストールするための要件。
  • ユーザー証明書を取得する方法について説明します。

詳細については、 AD FS サインイン ページのカスタマイズを参照してください。

Office アプリで先進認証を使用する

先進認証が有効になっている一部の Office アプリは、要求で microsoft Entra ID に prompt=login を送信します。 既定では、Microsoft Entra ID は要求の prompt=loginwauth=usernamepassworduri として AD FS に変換し (AD FS に U/P 認証を実行するように要求します)、 wfresh=0 (SSO 状態を無視して新しい認証を行うように AD FS に要求します)。 これらのアプリに対して証明書ベースの認証を有効にする場合は、既定の Microsoft Entra 動作を変更します。

既定の動作を更新するには、フェデレーション ドメイン設定の "PromptLoginBehavior" を [無効] に設定します。 次の例に示すように、 New-MgDomainFederationConfiguration コマンドレットを使用してこのタスクを実行できます。

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync クライアントのサポート

iOS 9 以降では、ネイティブの iOS メール クライアントがサポートされています。 この機能が他のすべての Exchange ActiveSync アプリケーションでサポートされているかどうかを確認するには、アプリケーション開発者に問い合わせてください。

次のステップ

環境内で証明書ベースの認証を構成する手順については、「 証明書ベースの認証の概要 」を参照してください。