Warehouse Management モバイル アプリは、ブローカー認証をサポートしています。これは、Microsoft Authenticatorや Intune ポータル サイトなどの OS レベルの ID ブローカーがアプリの代わりに認証とトークン管理を処理するサインイン方法です。 ブローカー認証を使用すると、認証要求のたびにブローカーはデバイス ID、コンプライアンス状態、およびセキュリティシグナルを Microsoft Entra ID に提供します。
ブローカー認証により、アプリは Microsoft Entra 条件付きアクセス ポリシーと互換性があります。 条件付きアクセスは、ユーザー ID、デバイス コンプライアンス、場所、リスク レベルなどの条件に基づいてアクセスを制御するように組織の IT 管理者が構成できる、オプションのオプトイン ポリシー Microsoft Entra ID エンジンです。 たとえば、条件付きアクセスを使用して多要素認証 (MFA) を要求したり、アンマネージド デバイスからのアクセスをブロックしたりできます。 条件付きアクセスは、Warehouse Management モバイル アプリを実行するために必要ありません。組織がこれらのポリシーを適用することを選択した場合にのみ有効にします。
Important
Warehouse Management モバイル アプリは、条件付きアクセス ポリシーを構成または適用しません。 必要な信号をMicrosoft Entra IDに渡す通信層としてブローカー認証を使用します。 組織の IT 管理者は、Microsoft Entra ID での条件付きアクセス ポリシーとその規則の構成を担当します。
この記事では、組織が条件付きアクセス ポリシーを適用できるように、Warehouse Management モバイル アプリでブローカー認証を有効にする方法について説明します。
ブローカー認証のしくみ
ブローカー認証を使用すると、サインイン中に次のフローが発生します。
- Warehouse Management モバイル アプリは、デバイスにインストールされているブローカー アプリ (Microsoft Authenticatorまたは Intune ポータル サイト) に認証を委任します。
- ブローカーはアプリの ID を検証し、デバイスの プライマリ更新トークン (PRT) を取得します。これは、デバイス ID とコンプライアンス要求を保持するデバイス バインド トークンです。
- ブローカーは、デバイス信号を含め、Microsoft Entra IDに認証要求を送信します。
- Microsoft Entra IDは、ユーザー、デバイス、またはアプリに適用され、アクセスを許可または拒否する条件付きアクセス ポリシーを評価します。
- アクセスが許可されている場合、ブローカーは Warehouse Management モバイル アプリに認証トークンを返します。
このプロセスにより、アプリ間でのシングル サインオン (SSO)、MFA の適用、デバイスバインド トークン保護などの機能が可能になります。これらのセキュリティ上の問題を直接管理するために Warehouse Management モバイル アプリを必要としません。
デバイスの要件
ブローカー認証を使用するには、デバイスが次の要件を満たしている必要があります。
- Warehouse Management モバイル アプリ バージョン 4.0.28 以降を実行している必要があります。
- デバイスは、Windows、Android、または iOS のサポートされているバージョンを実行している必要があります。
- デバイスは、(Workplace Join または Entra ID 登録を使用して) Microsoft Entra IDに登録する必要があります。
- ブローカー アプリをデバイスにインストールする必要があります (次の表を参照)。
| プラットフォーム | Broker アプリが必要 |
|---|---|
| Windows | ユーザーは、デバイスで構成された職場アカウントを持っている必要があります。 |
| Android | Microsoft Authenticatorまたは Intune ポータル サイトをインストールする必要があります。 |
| iOS | Microsoft Authenticator をインストールする必要があります。 |
Microsoft Authenticatorの設定 (Android および iOS)
Microsoft Authenticatorを設定するには、次の手順に従います。 手順は、Android と iOS の両方で同じです。
- デバイスのアプリ ストア (Google Play for Android、iOS 用 App Store) から Microsoft Authenticator をインストールします。
- アプリを開き、[ メニュー ] ボタンを選択します。
- 設定を選択します。
- [ デバイスの登録] を選択します。
- メールまたは組織のアカウントを入力します。
- [ デバイスの登録] を選択します。
アプリの登録
ブローカー認証はグローバル Microsoft Entra ID アプリケーションで動作します。手動でアプリを登録する必要はありません。 グローバル アプリケーションはセットアップと保守が簡単であるため、お勧めします。
グローバル アプリケーションは、Microsoftファースト パーティ アプリケーション (FPA) として提供され、Azure商用クラウドで利用できます。 環境が米国政府機関向けクラウド (US Government Community Cloud (GCC) や GCC High など) にデプロイされている場合、グローバル アプリケーションは利用できないため、代わりに手動でアプリ登録を使用する必要があります。
他の理由 (オンプレミスの環境要件や政府機関向けクラウドのデプロイなど) で手動のアプリ登録を既に使用している場合は、ブローカー認証でも機能します。 詳細については、Microsoft Entra ID でアプリケーション登録を手動で作成する方法に関するページを参照してください。
ブローカー認証を使用するようにデバイスを構成する
グローバル アプリケーションを使用すると、すべてのプラットフォームでブローカー認証が既定で有効になります。 アプリ UI を使用してデバイスを手動で構成することも、QR コードまたは MDM を介して JSON ファイルを配布して自動的にデバイスを構成することもできます。
ブローカー認証を使用しない場合は、[接続の編集] ページで [ブローカー認証] オプションを [いいえ] に設定します (または、JSON 構成で"UseBroker": falseを設定します)。 デバイスにMicrosoft Authenticatorがインストールされていない場合、アプリは標準のユーザー名とパスワードの接続にフォールバックします。
接続を手動で構成する
接続を手動で設定するには、各デバイスで次の手順に従います。
Warehouse Management モバイル アプリを開き、次のいずれかの手順を実行して [接続の編集] ページを開きます。
- デバイスにまだ接続が定義されていない場合は、[接続] を選択して新しい 接続 を作成します。
- 既存の接続を編集するには、[ タップして変更] を選択し、ターゲット接続を選択して、[ 接続設定の編集] を選択します。
- 新しい接続を追加するには、[ 接続のセットアップ ] を選択し、[ 手動で入力] を選択します。
[ 接続の編集] ページで次の設定を行います。
- 認証方法 – ユーザー名とパスワードに設定します。
- Cloud – Azure Global に設定します (推奨)。 手動アプリ登録を使用する場合は、Manual に設定し、Microsoft Entra ID client と Microsoft Entra ID tenant 値も指定します。
「アプリケーションを手動で構成する」の説明に従って、他のすべての 設定を構成します。
保存を選びます。
ワーカーの Microsoft Entra 資格情報を使用してサインインします。
QR コードまたは MDM システムを使用して接続を構成する
QR コードまたは MDM システムを使用して配布される自動接続構成を準備するには、接続の詳細を含む JSON ファイルを作成します。 詳細については、「 接続設定をインポートしてアプリケーションを構成する」を参照してください。
すべてのプラットフォームで、接続でユーザー名/パスワード認証を使用する必要があります。この認証は、JSON ファイルで次のように指定します。
"ConnectionType": "UsernamePassword"
グローバル アプリケーション ("AuthCloud": "AzureGlobal") を使用する場合、ブローカー認証は既定で有効になるため、 "UseBroker" または "AuthCloud" を明示的に設定する必要はありません。
次の例は、ブローカー認証が有効になっているグローバル アプリケーションを使用する JSON 構成を示しています。
{
"ConnectionName": "Connection1",
"ActiveDirectoryResource": "https://yourenvironment.cloudax.dynamics.com",
"Company": "USMF",
"IsEditable": true,
"IsDefaultConnection": true,
"ConnectionType": "UsernamePassword",
"AuthCloud": "AzureGlobal"
}
Note
グローバル アプリケーションではなく手動のアプリ登録を使用する場合は、 "AuthCloud": "Manual" を設定し、 "ActiveDirectoryClientAppId" 値と "ActiveDirectoryTenant" 値も含めます。
JSON ファイルをデバイスに配布する方法の詳細については、「 QR コードを使用してモバイル アプリをサプライ チェーン管理に接続 し、 ユーザーベースの認証を使用してモバイル アプリを一括デプロイする」を参照してください。
条件付きアクセス ポリシーの構成
デバイスでブローカー認証を有効にすると、組織の IT 管理者は、Microsoft Entra 管理センター で条件付きアクセス ポリシーを構成して、Warehouse Management モバイル アプリへのアクセスを制御できます。 一般的なポリシーは次のとおりです。
- MFA が必要 – すべてのユーザーまたは特定のグループに多要素認証が必要です。
- 準拠デバイスが必要 – 組織のコンプライアンス要件を満たしていないデバイスからのアクセスをブロックします。
- 場所ベースのアクセス – 特定のネットワークの場所または IP 範囲へのアクセスを制限します。
- リスクベースのアクセス – Microsoft Entra IDが危険と検出したサインインをブロックまたは確認します。
Warehouse Management モバイル アプリでは、これらのポリシーを操作するための追加の構成は必要ありません。 ブローカー認証を使用すると、ブローカーは必要なデバイスとユーザーのシグナルをMicrosoft Entra IDに渡します。これにより、ポリシーが評価され、それに応じてアクセスが許可または拒否されます。
詳細については、Microsoft Entra 条件付きアクセス ドキュメントを参照してください。