Citrix CloudへのAzure AD管理者グループの追加
Azure Active Directory(AD)グループを使用して、Citrix Cloudアカウントに管理者を追加できます。その後、グループ内のすべての管理者のサービスアクセス許可を管理できます。
この機能は、Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)での使用のみがサポートされています。グループ内の管理者は、Citrix Cloudアカウントのその他のサービスを管理するためのアクセス権を持っていません。
前提条件
Azure ADグループを使用するには、Azure ADをCitrix Cloudに接続するのに最新バージョンのAzure ADアプリケーションが必要です。このアプリケーションは、Azure ADに初めて接続したときにCitrix Cloudが取得しています。2019年5月以前にAzure ADをCitrix Cloudに接続していた場合は、Citrix CloudがAzure ADへの接続で最新のアプリケーションを使用していない可能性があります。アカウントで使用しているアプリケーションが最新のものでない場合、Citrix CloudでAzure ADグループを表示できません。
Citrix CloudでAzure ADグループを使用する前に、次のタスクを実行します:
- Azure AD接続に最新のアプリケーションを使用していることを確認します。最新のアプリケーションを使用していない場合、Citrix Cloudで通知が表示されます。
-
アプリケーションを更新する必要がある場合は、Azure ADをCitrix Cloudに再接続します。Azure ADに再接続することにより、アプリケーションレベルの読み取り専用権限がCitrix Cloudに付与され、Citrix CloudがAzure ADに再接続できるようになります。再接続中に、これらの権限のリストが表示されるので確認してください。Citrix Cloudが要求する権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
重要:
このタスクを完了するには、Azure ADのグローバル管理者である必要があります。また、Citrix IDプロバイダーのフルアクセス管理者アカウントを使用して、Citrix Cloudにサインインしている必要があります。Azure ADの資格情報を使用してサインインすると、再接続に失敗します。Citrix IDプロバイダーを使用している管理者がいない場合は、管理者を一時的に追加してこのタスクを実行し、後で削除することができます。
Azure ADへの接続の確認
- Citrix IDプロバイダーのフルアクセス管理者アカウントを使用して、Citrix Cloudにサインインします。
- Citrix Cloudメニューから、[IDおよびアクセス管理] を選択し、次に [認証] を選択します。
-
Azure Active Directoryを見つけます。Azure ADに接続するためにCitrix Cloudでアプリケーションをアップデートする必要がある場合、通知が表示されます。
Citrix Cloudが既に最新のアプリケーションを使用している場合、通知は表示されません。
Azure ADへの再接続
- Citrix CloudコンソールのAzure ADの通知から、[再接続] のリンクをクリックします。要求されたAzure権限のリストが表示されます。
- 権限を確認してから [許可] を選択します。
サポートされているCitrix Cloudの権限
Azure ADグループでは、カスタムアクセス権限のみがサポートされています。フルアクセス権限はサポートされていません。
既にサインインしている管理者の権限の変更は、管理者がサインアウトして再度認証しないと適用されません。
CitrixとAzure ADのIDを持つ管理者の最終的な権限
管理者がCitrix Cloudにサインインするとき、管理者がCitrix ID(Citrix CloudのデフォルトのIDプロバイダー)とシングルユーザーまたはグループベースのAzure AD IDの両方を持っている場合、特定の権限のみが使用可能になる場合があります。このセクションの表では、これらのIDの各組み合わせで使用できる権限について説明します。
_シングルユーザーのAzure AD ID_とは、個々のアカウントを通じて管理者に付与されるAzure ADの権限を指します。_グループベースのAzure AD ID_とは、Azure ADグループのメンバーとして付与されるAzure AD権限を指します。
| Citrix ID | シングルユーザーのAzure AD ID | グループベースのAzure AD ID | 認証後に利用可能な権限 |
|---|---|---|---|
| X | X | 管理者は、Citrix IDまたはAzure AD IDのいずれかで認証に成功した後、両方のIDの累積的な権限を有します。 | |
| X | X | 各IDは独立したエンティティとして扱われます。使用可能な権限は、管理者が認証にCitrix IDとAzure AD IDのどちらを使用しているかによって異なります。 | |
| X | X | 管理者は、Azure ADを使用してCitrix Cloudに認証するときに、両方のIDの累積的な権限を有します。 | |
| X | X | X | 管理者は、Citrix IDを使用して認証する場合、Citrix IDとシングルユーザーのAzure AD IDの両方の累積的な権限を有します。Azure ADで認証する場合、管理者は3つのIDすべての累積的な権限を有します。 |
管理者のサインインエクスペリエンス
Azure ADグループをCitrix Cloudに追加し、サービスの権限を定義した後、グループ内の管理者は、Citrix Cloudサインインページで [会社の資格情報でサインイン] を選択し、アカウントのAzure ADサインインURLを入力してサインインするだけです(例:https://citrix.cloud.com/go/mycompany)。個々のAzure AD管理者を追加するのとは異なり、Azure ADグループの管理者は明示的に招待されないため、Citrix Cloud管理者としての招待を受諾するためのメールを受信しません。
サインイン後、管理者はCitrix DaaSタイルから [管理] を選択して、サービスの管理コンソールにアクセスします。
Azure ADグループのメンバーとしての権限しか付与されていない管理者は、アカウントのAzure ADサインインURLを使用してCitrix Cloudアカウントにアクセスできます。
個々のAzure ADアカウントを介して、およびAzure ADグループのメンバーとして権限が付与されている管理者は、アクセスするCitrix Cloudアカウントを選択できます。管理者が複数のCitrix Cloudアカウントのメンバーである場合、認証に成功した後、カスタマーピッカーからCitrix Cloudアカウントを選択できます。
制限事項
プラットフォームとサービス機能へのアクセス
Citrix Cloudプラットフォームの機能は、Azure ADグループの管理者は利用できません。以下のタッチ操作が含まれます:
- リソースの場所
- 通知
- ライブラリ
- ワークスペース構成
また、クイック展開ユーザー割り当てなどのCitrix Cloudプラットフォーム機能に依存するCitrix DaaSの機能は使用できません。
アプリケーションのパフォーマンスに対する複数のグループの影響
1人の管理者が属するCitrix Cloudに追加済みのAzure ADグループの数は、20個以下を推奨します。これより多くのグループに所属すると、アプリケーションのパフォーマンスが低下する可能性があります。
認証に対する複数のグループの影響
Azure ADのグループベースの管理者がAzure ADの複数のグループに割り当てられている場合、グループの数が多すぎるために認証に失敗する可能性があります。この問題は、Citrix CloudとAzure ADの統合に制限があるために発生します。管理者がサインインしようとすると、Citrix Cloudは取得されるグループの数を圧縮しようとします。Citrix Cloudが圧縮を正常に適用できない場合、いずれのグループも取得できず、認証に失敗します。
この問題は、Azure ADを介してCitrix Workspaceに認証するユーザーにも影響を与える可能性があります。ユーザーが複数のAzure ADグループに属している場合、グループの数が多すぎるために認証に失敗する可能性があります。
この問題を解決するには、管理者またはユーザーアカウントを確認し、組織での役割に必要なグループにのみ属していることを確認します。
役割/スコープのペアの割り当てが多すぎることによるグループの追加エラー
複数の役割/スコープのペアを持つグループを追加するときに、グループを作成できないことを示すエラーが発生する可能性があります。このエラーは、グループに割り当てられている役割/スコープのペアの数が大きすぎるために発生します。このエラーを解決するには、役割/スコープのペアを2つ以上のグループに分割して、管理者をそれらのグループに割り当てます。
Citrix Cloud管理者へのAzure ADグループの追加
- Citrix Cloudメニューから、[IDおよびアクセス管理]を選択し、[管理者]を選択します。
-
[IDプロバイダーを選択する] で、Azure ADを選択し、必要に応じてAzureにサインインします。
![Azure ADと[サインイン]ボタンが選択された状態のIDおよびアクセス管理コンソール](/en-us/citrix-cloud/media/aad-groups-iam-idp-select-sign-in.png)
- 追加するグループを検索し、グループを選択します。
- グループに割り当てる役割を選択します。少なくとも1つの役割を選択する必要があります。
- 完了したら、[保存] を選択します。
Azure ADグループのサービス権限の変更
- Citrix Cloudメニューから、[IDおよびアクセス管理]を選択し、[管理者]を選択します。
- [IDプロバイダーを選択する] で、Azure ADを選択し、必要に応じてサインインします。
- 管理するAzure ADグループを見つけ、省略記号メニューから [アクセスの編集] を選択します。
![[アクセスの編集]が選択された状態のグループ](/en-us/citrix-cloud/media/aad-groups-edit-menu.png)
- 必要に応じて、1つ以上の役割とスコープのペアの横にあるチェックマークを選択またはクリアします。
- 完了したら、[保存]を選択します。
Azure ADグループ削除
- Citrix Cloudメニューから、[IDおよびアクセス管理]を選択し、[管理者]を選択します。
-
管理するAzure ADグループを見つけ、省略記号メニューから [グループの削除] を選択します。
![[グループの削除]が選択された状態の省略記号メニュー](/en-us/citrix-cloud/media/aad-groups-delete-menu.png)
確認のメッセージが表示されます。
- このグループを削除すると、グループの管理者がCitrix Cloudにアクセスできなくなることを了承し、 グループを削除した場合の影響を認識していることを確認します。
- [削除] を選択します。
Azure ADグループへの変更
Azure ADでグループに何らかの変更を加えても、それらの変更がCitrix Cloudに自動的に反映されない場合があります。Citrix Cloudでこれらの変更を確実に反映するには、[IDおよびアクセス管理]> [管理者] ページで [更新] を選択します。
![Azure ADが選択され、[更新]ボタンが強調表示された管理者ページ](/en-us/citrix-cloud/media/azure-ad-idp-refresh.png)
複数のCitrix Cloudアカウントの切り替え
デフォルトでは、Citrix Cloudの管理者は、[顧客の変更] メニューオプションを使用して、管理できるほかのCitrix Cloudアカウントと切り替えることができます。
![[顧客の変更]ボタンが強調表示されたユーザーメニュー](/en-us/citrix-cloud/media/user-menu-change-customer-button.png)
このメニューオプションは、Azure ADグループのメンバーは使用できません。このメニューオプションを有効にするには、変更するCitrix Cloudアカウントをリンクする必要があります。
Citrix Cloudアカウントのリンクには、ハブ&スポークアプローチが用いられます。アカウントをリンクする前に、ほかのアカウントにアクセスするアカウント(「ハブ」)として機能するCitrix Cloudアカウントと、カスタマーピッカーに表示するアカウント(「スポーク」)を決定します。
アカウントをリンクする前に、次の要件を満たしていることを確認してください:
- Citrix Cloudの完全な管理者権限を有している。
- Windows PowerShell Integrated Scripting Environment(ISE)にアクセスできる。
- リンクするCitrix Cloudアカウントの顧客IDがある。顧客IDは、各アカウントの管理コンソールの右上隅に表示されます。
- ハブアカウントとしてリンクするCitrix CloudアカウントのCitrix CWSAuthベアラートークンを有している。このベアラートークンを取得するには、CTX330675の指示に従います。Citrix Cloudアカウントをリンクするときに、この情報を入力する必要があります。
Citrix Cloudアカウントをリンクするには
-
PowerShell ISEを開き、次のスクリプトを作業ペインに貼り付けます:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links" $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers $allLinks = $resp.linkedCustomers + @("SpokeCustomerID") $body = @{"customers"=$allLinks} $bodyjson = $body | ConvertTo-Json $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json' Write-Host "Citrix Cloud Status Code: $($resp.RawContent)" <!--NeedCopy--> - 4行目で、
CWSAuth bearer=XXXXXXXをCWSAuth値(例:CWSAuth bearer=AbCdef123Ghik…)に置き換えます。この値は、証明書キーに似た長いハッシュです。 - 6行目で、
HubCustomerIDをハブアカウントの顧客IDに置き換えます。 - 9行目で、
SpokeCustomerIDをスポークアカウントの顧客IDに置き換えます。 - スクリプトを実行します。
- 手順3〜5を繰り返して、追加のアカウントをスポークとしてリンクします。
Citrix Cloudアカウントのリンクを解除するには
- PowerShell ISEを開きます。PowerShell ISEが既に開いている場合は、作業ペインをクリアします。
-
次のスクリプトを作業ペインに貼り付けます:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID" $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers Write-Host "Response: $($resp.RawContent)" <!--NeedCopy--> - 4行目で、
CWSAuth bearer=xxxxxxx1をCWSAuth値(例:CWSAuth bearer=AbCdef123Ghik…)に置き換えます。この値は、証明書キーに似た長いハッシュです。 - 6行目で、
HubCustomerIDをハブアカウントの顧客IDに置き換えます。 - 6行目で、
SpokeCustomerIDをスポークアカウントの顧客IDに置き換えます。 - スクリプトを実行します。
- 手順4〜6を繰り返して、追加のアカウントのリンクを解除します。