Citrix Cloudへの管理者のアクセスを管理する
Citrix Cloudコンソールで管理者を管理します。管理者の認証に使用するIDプロバイダーに応じて、管理者を個別に追加することも、グループを使用して追加することもできます。
すべての管理者が、Citrix Cloudにサインインするときに認証の第2要素としてトークンを使用する必要があります。管理者として追加されると、デバイスを多要素認証に登録し、Citrix SSOなどの時間ベースのワンタイムパスワード標準に準拠したアプリを使用してトークンを生成できます。
ヒント:
「Citrix Cloudの基礎」コースの「Citrix Cloudプラットフォーム」モジュールには、Citrix Cloudと各種サービスの管理方法を説明した短い動画があります。また、このコースをすべて履修すると、Citrix Cloud、組織にとってのメリット、およびCitrix Cloudサービスで対処できる重要なユースケースの理解のために必要なしっかりとした基礎を身につけることができます。
新しい管理者を追加する
Citrix Cloudは、管理者の認証で次のIDプロバイダーをサポートしています:
- Citrix IDプロバイダー:Citrix CloudのデフォルトのIDプロバイダー。個別の管理者の追加のみをサポートします。
- Azure AD:個別の、またはAADグループを使用しての管理者の追加をサポートします。AADグループの管理者のアクセスは、Citrix DaaSのみに限定されています。詳しくは、「管理者グループを管理する」を参照してください。
- SAML 2.0:ADグループによる管理者の追加のみをサポートします。詳しくは、「SAMLをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
新しい管理者を追加するには、次のワークフローを使用します:
- 管理者の認証に使用するIDプロバイダーを選択します。
- IDプロバイダーに応じて、個別の管理者を招待するか、管理者が属するグループを選択します。
- 組織内の管理者の役割に応じたアクセス権限を指定します。詳しくは、この記事の「管理者権限を変更する」を参照してください。
個別の管理者を招待する
個別の管理者を追加するには、Citrix Cloudアカウントに参加するよう招待します。管理者を追加すると、Citrixから相手に招待メールが送信されます。管理者は、サインインする前に招待を承諾する必要があります。グループを通じて追加した管理者には招待は送信されず、追加後すぐにサインインできます。
cloud@citrix.comから送信された招待メールには、アカウントへのアクセス方法が記載されています。招待メールは送信日から5日間有効です。5日が経過すると、招待リンクの有効期限が切れます。招待された管理者が期限切れのリンクを使用した場合、リンクが無効であることを知らせるメッセージがCitrix Cloudで表示されます。
Citrix Cloudには招待メールのステータスも表示されるため、管理者が招待メールを受け入れてCitrix Cloudにサインインしたかどうかを確認できます。
注
管理者アカウントは最大100の顧客アカウントに関連付けることができます。その管理者が100を超える顧客アカウントを管理する必要がある場合、追加の顧客を管理するには、別のメールアドレスで別の管理者アカウントを作成する必要があります。また、管理する必要がなくなった顧客アカウントから管理者を削除することもできます。
管理者を招待するには
-
Citrix Cloudにサインインしてから、メニューで [IDおよびアクセス管理] を選択します。
![[IDおよびアクセス管理]メニューオプションが選択されたCitrix Cloudコンソール](/en-us/citrix-cloud/media//id-access-mgmt-menu-2.png)
-
[IDおよびアクセス管理] ページで [管理者] を選択します。コンソールに、アカウント内の現在の管理者全員が表示されます。
![[管理者]タブが選択された[IDおよびアクセス管理]](/en-us/citrix-cloud/media//id-access-mgmt-admins-page.png)
- [管理者/グループを追加する] を選択します。
- [管理者の詳細] で、使用するIDプロバイダーを選択します。Azure ADを使用している場合、最初にサインインするように求めるメッセージがCitrix Cloudに表示されることがあります。
- Citrix IDを選択した場合は、ユーザーのメールアドレスを入力して [次へ] をクリックします。
- Azure Active Directoryを選択した場合は、追加するユーザーの名前を入力して [次へ] をクリックします。AADゲストユーザーの招待はサポートされていません。
- [アクセスの設定] で、管理者に適切な権限を設定します。フルアクセス(デフォルトで選択)では、すべてのCitrix Cloud機能とサブスクライブ済みサービスを制御できます。カスタムアクセスでは、選択した機能とサービスを制御できます。
- 管理者の詳細を確認します。変更するには、[戻る] を選択します。
- [招待を送信] を選択します。Citrix Cloudは、指定されたメールアドレスに招待メールを送信し、管理者を一覧に追加します。
招待メールを再送信する
招待メールを再送信するには、コンソールの右端にある省略記号(…)メニューから [招待メールの再送信] を選択します。招待メールを再送信しても、招待メールの有効期限が切れるまでの5日間の制限に変更はありません。
![[招待メールの再送信]が強調表示されたCitrix Cloudコンソール](/en-us/citrix-cloud/media/resend-invite-email.png)
新しいサインインリンクを含む招待メールを再送信する
元の招待メールの有効期限が切れており、新しいメールを管理者に送信する場合は、Citrix Cloudから管理者を削除してから、再度招待してください。
管理者の招待を受け入れる
Citrix Cloudアカウントに招待された場合、アカウントの組織IDと顧客名が記載されたメールがCitrixから送信されます。
招待を受け入れるには、[サインイン] をクリックします。その後、ブラウザーウィンドウが開きます。Citrix Cloudアカウントをまだお持ちでない場合は、ブラウザーにパスワード作成ページが表示されます。既にアカウントをお持ちの場合は、Citrix Cloudは既存のパスワードを使用してサインインするように要求します。
管理者グループを追加する
ADグループ(SAML認証用)またはAzure ADグループ(Azure AD認証用)を使用して管理者を追加できます。詳しくは、「管理者グループを管理する」を参照してください。
管理者のメールアドレスを変更する
Citrix Cloudの管理者のメールアドレスを変更するには、次の手順に従うことをお勧めします:
- ADで新しいメールアドレスを使用して新しい管理者アカウントを作成します。
- この記事の「管理者を招待するには」の説明に従って、新しいアカウントをCitrix Cloudに追加します。
Citrix Cloudから管理者を削除してADのメールアドレスを変更する場合は、次の手順も実行する必要があります:
- Citrixテクニカルサポートでサポートチケットを開き、既存のプリンシパルを手動で削除するように依頼します。
- チケットの詳細に、古いメールアドレスまたは管理者アカウントのOIDを含めます。
- 既存のプリンシパルが削除されたら、この記事の「管理者を招待するには」の説明に従って、管理者アカウントをCitrix Cloudに追加します。
管理者アカウントの既存のプリンシパルが削除されていない場合、管理者が新しいメールアドレスでCitrix Cloudにサインインするとエラーが発生します。
詳しくは、Citrix Support Knowledge CenterのCTX463477を参照してください。
管理者権限を変更する
Citrix Cloudアカウントに管理者を追加するときは、組織内での役割に適した管理者権限を定義します。デフォルトでは、新しい管理者にはCitrix Cloudアカウントのすべての機能と使用可能なサービスへの_フルアクセス権限_が割り当てられています。管理コンソールの特定の領域または特定のサービスへのアクセスを制限する場合は、_カスタムアクセス権限_を定義できます。
他の管理者の権限を定義できるのは、フルアクセス権限を持つCitrix Cloud管理者だけです。
既存の管理者権限を変更するには:
- https://citrix.cloud.comでCitrix Cloudにサインインします。
- Citrix Cloudメニューから、[IDおよびアクセス管理]を選択し、[管理者]を選択します。
- 管理対象のIDプロバイダーを選択します:Citrix Identity(デフォルト)、Active Directory(IDプロバイダーとしてSAMLを使用している場合)、またはAzure AD(接続されている場合)。
- 管理対象の管理者またはグループを見つけ、省略記号ボタンをクリックし、[アクセスの編集] を選択します。
![[アクセスの編集]メニューオプションが強調表示されたCitrix Cloud管理者リスト](/en-us/citrix-cloud/media/console-admin-edit-access.png)
- 特定の権限を許可または禁止するには、[カスタムアクセス] を選択します。Citrix Cloudの全機能へのアクセスを許可するには、[フルアクセス] を選択します。
- サービス権限をすばやく見つけるには、検索ボックスを使用します。入力したテキストに一致する権限がCitrix Cloudに表示されます。たとえば、「read only」(読み取り専用)と入力し始めると、タイトルに「read only」が含まれる権限が表示されます。アクセス権限の検索では、大文字と小文字が区別されません。
- Citrix Cloud管理コンソールのカスタムアクセス権限を定義するには、[全般]を開きます。
![[カスタムアクセス]が強調表示されたCitrix Cloudのアクセス権限](/en-us/citrix-cloud/media/console-admin-general-custom-access.png)
- 特定のサービスのカスタムアクセス権限を定義するには、サービスを展開します。
- 権限ごとに、必要に応じてチェックマークを選択またはクリアします。
- [保存] を選択します。
コンソールの権限
Citrix Cloud管理コンソールへのカスタムアクセスを定義するには、次の権限を使用します:
- 顧客ダッシュボード(表示のみ): Citrix Service Provider(CSP)のみ。顧客ダッシュボードへの表示アクセスを許可します。
- ドメイン: [IDおよびアクセス管理] > [ドメイン] タブへのアクセスが許可されます。管理者は、このタブからCitrix Cloud Connectorソフトウェアをダウンロードし、ドメイン内のサーバーにインストールすることで、Active Directoryドメインを追加できます。
- ライブラリ: [ライブラリ] コンソールページへのアクセスが許可されます。管理者にアクセス権限があるサービスでは、管理者は、Citrix DaaSのデリバリーグループにユーザーを割り当てたり、Endpoint ManagementからIntune管理対象アプリを追加したり、Secure Private Accessのアプリの詳細を表示する権限を読み取り専用管理者に付与したりすることができます。
- ライセンス: [ライセンス] コンソールページの [クラウドサービス] タブおよび [ライセンス割り当て済みの展開] タブへのアクセスが許可されます。
- 通知: [通知] コンソールページへのアクセスが許可されます。管理者はCitrix Cloudの通知を表示したり閉じたりできます。
- リソースの場所: [リソースの場所] コンソールページへのアクセスが許可されます。管理者は、新しいリソースの場所を追加したり、Citrix Workspaceのシングルサインオン用のFASサーバーを追加したりできます。また、コネクタを追加したり、コネクタの更新を管理したりすることもできます。
- セキュアクライアント: [IDおよびアクセス管理] > [APIアクセス] > [セキュアクライアント] タブへのアクセスが許可されます。管理者は、Citrix Cloud APIで使用する独自のセキュアクライアントを作成および管理できます。この権限には、[IDおよびアクセス管理] > [APIアクセス] > [製品の登録] タブへのアクセスは含まれません。[製品の登録] タブにアクセスできるのはフルアクセス管理者のみです。
- システムログ: [システムログ] コンソールページへのアクセスが許可されます。管理者は、システムログイベントを表示したり、イベントをCSVファイルにエクスポートしたりできます。
- ワークスペース構成: [ワークスペース構成] コンソールページへのアクセスが許可されます。管理者は、認証方法の変更、ワークスペースの外観と動作のカスタマイズ、サービスの有効化と無効化、サイトアグリゲーションの構成を行うことができます。詳しくは、Citrix Workspaceの製品ドキュメントを参照してください。
注:
Citrix Cloud管理コンソールの任意のページにアクセスできないようにするには、そのページへのすべてのカスタムアクセス権限をオフにする必要があります。たとえば、[IDおよびアクセス管理] ページを非表示にするには、[ドメイン] と [セキュアクライアント] 権限をオフにします。
多要素認証用のデバイスを変更する
登録済みのデバイスを紛失し、Citrix Cloudで別のデバイスを使用する場合、または認証アプリをリセットする場合は、Citrix Cloudの多要素認証(MFA)に再登録できます。
注
- デバイスを変更すると、現在のデバイス登録が削除され、新しい認証アプリキーが生成されます。
- 元の登録から同じ認証アプリで再登録する場合は、再登録する前に、認証アプリからCitrix Cloudエントリを削除します。このエントリに表示されるコードは、再登録が完了すると機能しなくなるためです。再登録の前または後にこのエントリを削除しない場合、認証アプリには、異なるコードの2つのCitrix Cloudエントリが表示され、Citrix Cloudへのサインイン時に混乱を引き起こす可能性があります。
- 新しいデバイスを再登録中で、認証アプリがない場合は、デバイスのアプリストアから認証アプリをダウンロードしてインストールします。操作をスムーズにするためには、デバイスを再登録する前に認証アプリをインストールすることをCitrixではお勧めします。
-
Citrix Cloudにサインインして認証アプリからのコードを入力します。
![[認証アプリがありませんか?]が強調表示された確認フォーム](/en-us/citrix-cloud/media/admin-mfa-no-auth-app.png)
認証アプリがない場合は、[認証アプリがありませんか?] をクリックしてサインインに役立つ復旧方法を選択します。選択した復旧方法に応じて、受信した復旧コード、または未使用のバックアップコードを入力して [確認] を選択します。
- 複数の顧客組織の管理者である場合は、任意の組織を選択します。
-
右上のメニューから [マイプロファイル] を選択します。
![[マイプロファイル]が強調表示されたアカウントメニュー](/en-us/citrix-cloud/media/acct-menu-my-profile-link.png)
-
[認証アプリ] で [デバイスの変更] を選択します。
![[デバイスの変更] が強調表示されたログインセキュリティセクション](/en-us/citrix-cloud/media/admin-mfa-change-device-link.png)
- デバイスの変更を確認するメッセージが表示されたら、[はい、デバイスを変更します] を選択します。
- 認証アプリから確認コードを入力して、本人確認を行います。認証アプリがない場合は、[認証アプリがありませんか?]、復旧方法の順に選択します。選択した復旧方法に応じて、受信した確認コードか復旧コード、または未使用のバックアップコードを入力します。[確認] を選択します。
- 最初に登録したデバイスと元の認証アプリを使用している場合は、認証アプリから既存のCitrix Cloudエントリを削除します。
- 新しいデバイスを登録中で、認証アプリがない場合は、デバイスのアプリストアからダウンロードします。
- 認証アプリから、デバイスでQRコードをスキャンするか、キーを手動で入力します。
- 認証アプリで6桁の確認コードを入力して、[コードを確認する] を選択します。
デバイスを変更したら、[マイプロファイル]ページの確認方法が最新であることを確認することをCitrixでは強くお勧めします。
確認方法を管理する
重要:
Citrix Cloudアカウントの安全を確保するには、確認方法を最新の状態に保ち、正確な情報を使用します。認証アプリにアクセスできなくなった場合、これらの確認方法がアカウントへのアクセスを復旧する唯一の方法です。
![[マイプロファイル]コンソールの[確認方法]セクション](/en-us/citrix-cloud/media/console-admin-mfa-verification-methods-section.png)
復旧用のメールアドレスを追加または変更する
- Citrix Cloudにサインインして認証アプリからのコードを入力します。
- 複数の顧客組織の管理者である場合は、多要素認証(MFA)で最初に登録した組織を選択します。
- 右上のメニューから [マイプロファイル] を選択します。
- 復旧用のメールアドレスをまだ追加していない場合は、[確認方法] の [復旧用のメール アドレス] で [復旧用のメールアドレスを追加する] を選択します。復旧用のメールアドレスを既に追加している場合は、[復旧用のメール アドレスを変更する] を選択します。
- 使用する新しいメールアドレスを入力し、[保存] を選択します。
新しいバックアップコードを生成する
いつでも新しいバックアップコードのセットを生成できます。バックアップコードを使用するとき、Citrix Cloudは、[マイプロファイル]ページで使用された番号を記録します。
新しいバックアップコードを生成したら、必ず安全な場所に保管してください。
- Citrix Cloudにサインインして認証アプリからのコードを入力します。
- 複数の顧客組織の管理者である場合は、任意の組織を選択します。
- 右上のメニューから [マイプロファイル] を選択します。
- 以前にバックアップコードを生成したことがない場合は、[確認方法] 下にある [バックアップコード] で、[新しいバックアップコードを生成する] を選択します。以前にバックアップコードを生成したことがある場合は、[バックアップコードを置き換える] を選択します。
- バックアップコードを置き換えるように求められたら、[はい、置き換えます] を選択します。
- 認証アプリからの確認コードを入力して、本人確認を行います。新しいバックアップコードのセットが生成されてCitrix Cloudに表示されます。
- [コードをダウンロードする] を選択して、新しいコードをテキストファイルとしてダウンロードします。次に、[バックアップコードを保存しました] を選択します。
- [Close] を選択します。
復旧用の電話番号を変更する
- Citrix Cloudにサインインして認証アプリからのコードを入力します。
- 複数の顧客組織の管理者である場合は、多要素認証(MFA)で最初に登録した組織を選択します。
- 右上のメニューから [マイプロファイル] を選択します。
- [確認方法] の [復旧用の電話番号] で [復旧用の電話番号を変更する] を選択します。
- 使用する新しい電話番号を入力し、[保存] を選択します。
注:
Citrix Endpoint Management(CEM)の管理者権限を変更できるのは、管理者が管理者への招待を受け入れ、CEMタイルで [管理] をクリックした後のみです。すべてのCitrix Cloud管理者と同様に、CEM管理者はデフォルトでフルアクセス権限を持っています。