Microsoft Entra 証明書ベースの認証は、デバイスにプロビジョニングされた証明書と、YubiKeys などの外部セキュリティ キーを使用してサポートされます。
[前提条件]
- Android バージョンは Android 5.0 (Lollipop) 以降である必要があります。
- 最新の MSAL ライブラリまたは Microsoft Authenticator を使用する Microsoft ファースト パーティ アプリは、CBA を実行できます。
- 最新の MSAL ライブラリを使用するか、Microsoft Authenticator と統合されたサード パーティ製アプリケーションで CBA を実行できます。
デバイス上の証明書を使用したCBA
お客様は、選択したモバイル デバイス管理 (MDM) を使用して、デバイスに証明書をプロビジョニングできます。 エンド ユーザーは、まずデバイスを MDM に登録し、デバイスにプロビジョニングされた証明書を取得する必要があります。 デバイスで証明書がプロビジョニングされると、ユーザーは CBA を使用して認証できます。
Android 上の Microsoft アプリで YubiKey をテストする手順:
- Outlook を開きます。
- [ アカウントの追加] を選択し、ユーザー プリンシパル名 (UPN) を入力します。
- [Continue] をクリックします。
- [ 証明書またはスマート カードの使用] を選択します。
- ダイアログボックス でデバイスの証明書 を選択します****
- 証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている証明書を選択します。 [Continue] をクリックします。
- 認証が成功した場合、ユーザーは Outlook リソースにアクセスできます。
ハードウェア セキュリティ キー上の証明書によるCBA(証明書ベースの認証)
証明書は、秘密キー アクセスを保護するための PIN と共に、ハードウェア セキュリティ キーなどの外部デバイスにプロビジョニングできます。 Microsoft Entra ID では、YubiKey で CBA がサポートされます。
ハードウェア セキュリティ キーでの証明書の利点
証明書を含むセキュリティ キー:
- ユーザーが異なるデバイスで同じ証明書を使用できるようにする、セキュリティ キーのローミングの性質があります。
- PIN でハードウェアで保護され、フィッシングに強くなります。
- 証明書の秘密キーにアクセスするための第 2 要素として PIN を使用して多要素認証を提供します。
- 別のデバイスで MFA を使用する業界の要件を満たす。
- Fast Identity Online 2 (FIDO2) キーなど、複数の資格情報を格納できる将来の証明に役立ちます。
YubiKey を使用した Android モバイルでの Microsoft Entra CBA
Android では、証明書を使用してスマートカードまたはセキュリティ キーをサポートできるミドルウェア アプリケーションが必要です。 Microsoft Entra CBA で YubiKeys をサポートするために、YubiKey Android SDK は、最新の Microsoft 認証ライブラリ (MSAL) を通じて利用できる Microsoft ブローカー コードに統合されています。
Microsoft Entra CBA with YubiKey on Android mobile は最新の MSAL を使用して有効になっているため、Android サポートには YubiKey Authenticator アプリは必要ありません。
Android 上の Microsoft アプリで YubiKey をテストする手順:
- Microsoft Authenticator をインストールします。
- YubiKey に USB-C がある場合は、Outlook を開き、YubiKey をプラグインします。
- [ アカウントの追加] を選択し、ユーザー プリンシパル名 (UPN) を入力します。
- [ 続行] をクリックし、YubiKey にアクセスするためのアクセス許可を求められたら、[ OK] をクリックします。
- [ 証明書またはスマート カードの使用] を選択します。
- NFC 対応の Yubikey を使用している場合は、Yubikey をデバイスの背面に保持します。
- カスタム証明書ピッカーが表示されます。
- ユーザーのアカウントに関連付けられている証明書を選択し、[ 続行] をクリックします。
- YubiKey にアクセスするための PIN を入力し、[ ロック解除] を選択します。
- NFC で Yubikey を使用している場合は、Yubikey をもう一度電話の背面に保持して PIN を検証します。
- 認証が成功したら、Outlook にアクセスできます。
注
スムーズな CBA フローを実現するために、アプリケーションが開いたらすぐに YubiKey をプラグインし、YubiKey からの同意ダイアログを受け入れてから、[ 証明書またはスマート カードを使用する] リンクを選択します。 1 つの接続のみを使用する場合は、ユーザーに NFC ではなく USB を使用して YubiKey を接続することを検討してください。これは、ログインの開始時に 1 回だけ実行する必要があります。
Exchange ActiveSync クライアントのサポート
Android 5.0 (Lollipop) 以降の特定の Exchange ActiveSync アプリケーションがサポートされています。 メール アプリケーションが Microsoft Entra CBA をサポートしているかどうかを確認するには、アプリケーション開発者に問い合わせてください。
サポートされている Microsoft Entra のユース ケース
Microsoft モバイル アプリケーションのサポート
| アプリケーション | 支援 |
|---|---|
| Azure Information Protection アプリ | ✅ |
| 会社のポータル サイト | ✅ |
| Microsoft Teams | ✅ |
| Office (モバイル) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| 前途 | ✅ |
| Power BI | ✅ |
| Skype for Business | ✅ |
| Word/Excel/PowerPoint | ✅ |
| Yammer | ✅ |
| プロファイル ログインを含む Edge ブラウザー | ✅ |
| マネージド ホーム スクリーン | ✅ |
ブラウザー
| オペレーティング システム | デバイス上の Chrome 証明書 | Chrome スマート カード/セキュリティ キー | デバイス上の Safari 証明書 | Safari スマート カード/セキュリティ キー | デバイス上のエッジ証明書 | Edge スマート カード/セキュリティ キー |
|---|---|---|---|---|---|---|
| アンドロイド | ✅ | ❌ | なし | なし | ✅ | ❌ |
注
ブラウザーとしての Edge はサポートされていませんが、プロファイルとしての Edge (アカウント ログイン用) は、Android で CBA をサポートする MSAL アプリです。
オペレーティング システム
| オペレーティング システム | デバイス上の証明書/派生 PIV | スマート カード/セキュリティ キー |
|---|---|---|
| アンドロイド | ✅ | サポートされているベンダーのみ |
セキュリティ キー プロバイダー
| プロバイダー | アンドロイド |
|---|---|
| YubiKey | ✅ |
ハードウェア セキュリティ キーの証明書のトラブルシューティング
ユーザーが Android デバイスと YubiKey の両方に証明書を持っている場合はどうなりますか?
- ユーザーが Android デバイスと YubiKey の両方に証明書を持っている場合、ユーザーが [ 証明書またはスマート カードの使用] をクリックする前に YubiKey が接続されている場合、ユーザーには YubiKey の証明書が表示されます。
- ユーザーが [ 証明書またはスマート カードの使用] をクリックする前に YubiKey が接続されていない場合は、デバイスまたは物理スマート カードの証明書を選択するように求められます。 ユーザーが [デバイス上の証明書] を選択すると、デバイスに証明書が表示されます。 ユーザーが 物理スマート カードで [証明書] を選択した場合は、YubiKey を背面に接続または保持すると、YubiKey に証明書が表示されます。
誤って PIN を 3 回入力した後、YubiKey がロックされます。 どのように修正すればよいですか
- PIN の試行回数が多すぎることを示すダイアログが表示されます。 このダイアログは、その後、[ 証明書またはスマート カードを使用する] を選択しようとしたときにも表示されます。
- ユーザーは管理者に連絡して YubiKey PIN をリセットする必要があります。
Microsoft 認証システムをインストールしましたが、YubiKey で証明書ベースの認証を行うオプションがまだ表示されません。
Microsoft Authenticator をインストールする前に、ポータル サイトをアンインストールし、Microsoft Authenticator のインストール後にインストールします。
Microsoft Entra CBA は NFC 経由で YubiKey をサポートしていますか?
Microsoft Entra CBA では、USB と NFC での YubiKey の使用がサポートされています。
CBA が失敗すると、エラー ページの [その他のサインイン方法] リンクで CBA オプションをもう一度クリックすると失敗します。
この問題は、証明書のキャッシュが原因で発生します。 回避策として、[キャンセル] をクリックしてログイン フローを再起動すると、ユーザーは新しい証明書を選択し、正常にログインできるようになります。
Microsoft Entra CBA と YubiKey が失敗しています。 問題のデバッグに役立つ情報は何ですか?
- Microsoft Authenticator アプリを開き、右上隅にある 3 つのドット アイコンをクリックし、[ フィードバックの送信] を選択します。
- [ 問題が発生しましたか?] をクリックします。
- [ オプションの選択] で、[ 追加] を選択するか、アカウントにサインインします。
- 追加する詳細について説明します。
- 右上隅にある送信矢印をクリックします。 ダイアログに表示されるコードに注意してください。