問題

Box for EMMでMicrosoft Entra IDを使用したSSOログイン時、「アプリケーションエラー。エラー: invalid_client」というエラーメッセージが表示され、ログインできない。

[管理コンソール] > [Enterprise設定] > [モバイル] タブで、[Intuneモバイルアプリケーション管理 (Intune MAM) を有効化する] を有効にしている
Microsoft Entra IDでSSOを構成している
Box for EMMのバージョン5.34以降を使用している
Boxアカウントのプライマリメールアドレスもしくは予備メールアドレスに、Microsoft Entra IDのユーザープリンシパル名 (UPN) が含まれていない

根本原因

Microsoft Entra IDの条件付きアクセスへのサポート拡充 (リリースの詳細についてはこちら) に伴い、MAM環境におけるモバイルアプリのログインフローが強化されています。

このため、上記の条件に当てはまる場合、Microsoft Entra IDのUPNがBoxアカウントのプライマリメールアドレスまたは予備メールアドレスのいずれかに登録されている必要があります。

BoxアカウントにMicrosoft Entra IDのUPNを予備メールアドレスとして追加してください。

ユーザーのアカウント設定から予備メールアドレスを追加できます。詳細については、https://support.box.com/hc/ja/articles/360044196513-アカウント設定の管理#h_01GKJF7FP5E54W06XSHYK5MG28を参照してください。

Box APIを利用して予備メールアドレスを追加できます。

以下は、Box CLIを使用したコマンド例です。

準備

管理対象ドメインの確認

[管理コンソール] > [Enterprise設定] > [カスタム設定] タブ > [ドメイン管理] から、Microsoft Entra IDのUPNのドメインが、管理対象として登録されているかを確認します。

手順

Box管理コンソールで [Enterprise設定] > [モバイル] > [Intuneモバイルアプリケーション管理 (Intune MAM) を有効化する] オプションを無効にすることで、従来のログインフローを使用できます。

ただし、アプリベースの条件付きアクセスのセキュリティ機能が利用できなくなる可能性があります。

以下の情報を添えて、Box Supportまでお問い合わせください。

事象再現時の動画またはスクリーンショット
事象再現日時
影響を受けているユーザーのメールアドレス
Box for EMMのバージョン
Microsoft Intuneのアプリ構成、保護ポリシー情報が確認できるスクリーンショット
条件付きアクセスの有無
Box Mobileアプリのログ (ログの取得方法については、https://support.box.com/hc/ja/articles/35789233920147-Box-Mobileアプリのログの送信を参照してください。)