Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

iOS の Salesforce モバイルアプリケーションと Microsoft Intune の非互換性について

公開日: Apr 9, 2026
説明

この問題は、Salesforce モバイルアプリケーションの不具合ではなく、Microsoft の Intune ポリシー適用と Apple の iOS セキュリティアーキテクチャの基本的な互換性がないために発生します。Salesforce は、この 2 つの異なるベンダー理念の間に位置しています。

 

A. Apple の iOS セキュリティモデル:

  • 安全なアプリケーション内ブラウザーベースの認証のために、Apple ではすべてのアプリケーションでネイティブ ASWebAuthenticationSession API を使用する必要があります。
  • この API は iOS オペレーティングシステムのコア部分であり、Safari とその基盤となる WebKit エンジンに基本的に関連付けられています。
  • 重要な点として、Apple では、アプリケーション開発者 (Salesforce など) がこのセキュアな認証セッションを処理するために任意のサードパーティブラウザー (Microsoft Edge や Firefox など) を選択するためのメカニズムを提供していません
  • これは、オペレーティングシステム自体で管理される一貫性、信頼性、安全性の高い認証環境を確保するために Apple が慎重に決定したものです。

B. Microsoft の Intune MDM ポリシー:

  • Microsoft Intune では、管理者はすべての管理アプリケーションに Microsoft Edge を使用した認証を強制するセキュリティポリシーを作成できます。
  • このポリシーは、企業データに関連するすべての Web トラフィックが Microsoft の管理ブラウザー環境を介して集約されることを目的としています。
  • この「Edge 必須」ポリシーは、Microsoft 固有の選択肢です。他の MDM プロバイダーはこのようなシングルブラウザー要件を適用せず、その代わりに Apple のネイティブ ASWebAuthenticationSession と互換性があります。

C. Salesforce の位置付け: Trust is Our #1 Value

  • Salesforce にとって信頼は最重要事項です。Salesforce モバイルアプリケーションを含む当社の製品は、Apple などのプラットフォームプロバイダーと密接に連携して構築され、プロバイダーのセキュリティのベストプラクティスと公式 API に厳密に準拠しています。
  • Apple が推奨する ASWebAuthenticationSession をスキップして、Edge での認証を強制する非標準回避策をカスタムで構築すると、重大で不必要なセキュリティリスクが生じます。このような回避策は脆弱で、メンテナンスが難しく、Apple によるサポートや審査も行われません。
  • 他のアプリケーションプロバイダーによってはこのような回避策を実装している場合もありますが、Salesforce ではセキュリティ体制を危険にさらしたり、プラットフォームガイドラインに違反したりすることはありません。セキュリティの脆弱性が生じる可能性が高すぎるため、この Microsoft 固有の MDM 設定をサポートするためのカスタム回避策の構築は行いません。
解決策

この問題を解決する方法は主として 3 つあります。最初の 2 つは長期的な業界変更要求、3 つ目はすぐに対応可能な解決策です。

方法 1: Microsoft に要請する

  • Apple のネイティブ ASWebAuthenticationSession と互換性を持たせるように Microsoft に Intune MDM for iOS の拡張を要請します。これにより、Intune が他の MDM プロバイダーと同調し、Salesforce だけでなくすべてのアプリケーションの競合が解決されます。

方法 2: アップルに要請する

  • Android オペレーティングシステムの機能と同様に、ASWebAuthenticationSession が他の信頼できるユーザー指定ブラウザーと連携できるように iOS を拡張することを Apple に要請します。

方法 3: Intune ポリシーの例外の作成と補償的統制措置の適用 (推奨)

  • 最も即効性のある現実的な解決策はこちらです。Intune システム管理者は、セキュリティポリシーに例外を作成し、Salesforce モバイルアプリケーションがブロックされることなくネイティブ iOS フローを使用して認証することを明示的に許可できます。
  • この例外によるセキュリティ上のギャップを解消するため、以下の補償的統制措置を 1 つ以上実装します。

証明書ベースの認証 (最もセキュア): MDM は一意の信頼済みデバイス証明書をすべての管理対象 iOS デバイスにプロビジョニングできます。

  • その上で、顧客の SSO プロバイダー (Okta、Azure AD など) は、ログイン時にこの証明書を要求するように設定できます。これにより、Edge を介してログインするように強制しなくても、デバイス自体が暗号化によって検証され、会社が管理し、信頼することができます。これは業界標準のベストプラクティスであり、Salesforce でも従業員デバイスを保護するための方法として採用しています。
  • Salesforce Mobile App Plus: 完全な MDM ソリューションを使用せずに高度なモバイルアプリケーション管理 (MAM) を必要とするお客様には、この SKU で追加のセキュリティ機能を提供し、Salesforce アプリケーション内で直接ポリシーを適用できます。
  • 標準 Salesforce モバイルセキュリティ: Salesforce 基本アプリケーションには、顧客データの保護に役立つ多数のセキュリティ機能が含まれています。
その他のリソース

Q: デバイスの他のアプリケーションは Intune の Edge 要件で動作します。Salesforce ではなぜできないのですか?

A: iOS でこの Intune ポリシーに対応しているアプリケーションは、Apple の推奨セキュリティフレームワークをバイパスするカスタムの非標準認証回避策を構築しています。Salesforce はセキュリティとプラットフォーム標準への準拠を優先しており、固有のリスクがあるためこれらの方法を採用しません。

 

Q: Salesforce は、今後のリリースで iOS の Edge のサポートを追加する予定ですか?

A: いいえ。セキュリティリスクと Apple のプラットフォーム制限のため、カスタム回避策の構築は製品開発計画に含まれていません。Salesforce は、すべてのお客様に利益をもたらし、業界のセキュリティベストプラクティスに沿ったソリューションの開発に注力しています。近日提供予定のアプリ認証機能などがその一例として挙げられます。App Attestation は、Salesforce モバイルアプリケーションで 2027 会計年度中に採用される予定です。これによりモバイルアプリケーションが改ざんされていないことが保証され、さらに補償的セキュリティ統制措置が提供されます。

 

Q:アプリケーション内では認証に失敗するのに、スタンドアロンの Safari ブラウザーでは成功するのはなぜですか?

A: 残念ながら、Salesforce が管理しているのは Salesforce モバイルアプリケーションのみです。認証は、モバイルアプリケーション、その ID プロバイダー (SSO)、MDM ソリューション、モバイルオペレーティングシステムなどの間で複雑な設定ややりとりが行われます。
Salesforce で管理しているモバイルアプリケーション以外の問題については、指針を提供することができません。

ナレッジ記事番号

005225693

 
読み込み中
Salesforce Help | Article