Citrix Cloud™ の Azure Active Directory 権限
この記事では、Citrix Cloud が Azure Active Directory (AD) に接続して使用する際に要求する権限について説明します。Citrix Cloud アカウントで Azure AD をどのように使用するかによって、ターゲットの Azure AD テナントに 1 つ以上のエンタープライズアプリケーションが作成される場合があります。複数の Citrix Cloud アカウントを 1 つの Azure AD テナントに接続し、アカウントごとにアプリケーションのセットを作成することなく、同じエンタープライズアプリケーションを使用できます。
注:
2022 年 4 月現在、Citrix Cloud が Azure AD への接続に使用する Azure AD アプリは、Group.Read.All 権限ではなく GroupMember.Read.All 権限を使用するように更新されました。既存の Azure AD 接続 (2022 年 4 月以前) があり、アプリに新しい権限を使用させたい場合は、Azure AD を Citrix Cloud から切断し、再接続する必要があります。この操作により、アカウントが Citrix Cloud で最新の Azure AD アプリを使用していることが保証されます。詳しくは、「アップグレードされたアプリのために Azure AD に再接続する」を参照してください。
アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。
エンタープライズアプリケーション
次の表に、Citrix Cloud が Azure AD に接続して使用する際に利用する Azure AD エンタープライズアプリケーションと、各アプリケーションの使用目的を示します。
| 名前 | アプリケーション ID | 用途 |
|---|---|---|
| Citrix Cloud | e95c4605-aeab-48d9-9c36-1a262ef8048e | Workspace サブスクライバーのログイン |
| Citrix Cloud | f9c0e999-22e7-409f-bb5e-956986abdf02 | Azure AD と Citrix Cloud 間のデフォルト接続 |
| Citrix Cloud | 1b32f261-b20c-4399-8368-c8f0092b4470 | 管理者への招待とログイン |
-
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Citrix Endpoint Management™ を使用した Azure AD と Citrix Cloud 間のデフォルト接続 -
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Citrix Endpoint Management を使用した Azure AD と Citrix Cloud 間のレガシー接続
権限
Citrix Cloud のエンタープライズアプリケーションの権限により、Citrix Cloud は Azure AD テナント内の特定のデータにアクセスできます。Citrix Cloud はこれらのデータを使用して、Azure AD テナントへの接続、専用のサインイン URL を使用した管理者による Citrix Cloud へのサインインの有効化、Azure AD テナントと Endpoint Management の接続などの特定の機能を実行します。Citrix Cloud は、お客様の同意がある場合にのみこれらのデータにアクセスできます。これらの権限は、Citrix Cloud が Azure AD で機能するために必要な最小限の特権を表します。Azure AD の権限と同意について詳しくは、Microsoft Azure ドキュメントの Web サイトにある「Microsoft ID プラットフォームのアクセス許可と同意」を参照してください。
- この記事では、Azure AD アプリケーション権限の各セットに次の情報が含まれています。
- **API 名:** Citrix Cloud が権限を要求するリソースアプリケーション。これらのアプリケーションは Microsoft Graph と Windows Azure Active Directory です。Citrix Cloud は、これら両方のリソースアプリケーションから同じ権限を要求します。
- **種類:** Citrix Cloud が特定の権限に対して要求するアクセスレベル。特定のエンタープライズアプリケーションの権限には、次のいずれかのアクセスレベルがあります。
- **委任された権限**は、サインインしているユーザーのプロファイルを照会する場合など、サインインしているユーザーに代わって動作するために使用されます。
- **アプリケーション権限**は、特定のグループ内のユーザーを照会する場合など、ユーザーの存在なしにアプリケーションがアクションを実行するときに使用されます。この権限の種類には、Azure AD のグローバル管理者による同意が必要です。
- **要求値:** Azure AD が特定の権限に割り当てる情報文字列。特定のエンタープライズアプリケーションの権限には、次のいずれかの要求値があります。
- **User.Read:** Citrix Cloud 管理者が、接続されている Azure AD のユーザーを Citrix Cloud アカウントの管理者として追加できるようにします。
- **User.ReadBasic.All:** ユーザーのプロファイルから基本情報を収集します。これは User.Read.All のサブセットですが、権限自体は下位互換性のために残されています。
- **User.Read.All:** Citrix Cloud は Microsoft Graph の [ユーザーのリスト](https://docs.microsoft.com/ja-jp/graph/api/user-list?view=graph-rest-1.0&tabs=http) を呼び出して、顧客の接続済み Azure AD からユーザーの参照と選択を可能にします。たとえば、Azure AD のユーザーには、ワークスペースを持つ Citrix DaaS リソースへのアクセス権を付与できます。Citrix Cloud は、`onPremisesSecurityIdentifier` などの基本プロファイル外のプロパティにアクセスする必要があるため、`User.ReadBasic.All` を使用できません。
- **GroupMember.Read.All:** Citrix Cloud は Microsoft Graph の [グループのリスト](https://docs.microsoft.com/ja-jp/graph/api/group-list?view=graph-rest-1.0&tabs=http) を呼び出して、顧客の接続済み Azure AD からグループの参照と選択を可能にします。たとえば、Azure AD のグループにも Citrix DaaS アプリケーションへのアクセス権を付与できます。
- **Directory.Read.All:** Citrix Cloud は Microsoft Graph の [memberOf のリスト](https://docs.microsoft.com/ja-jp/graph/api/user-list-memberof?view=graph-rest-1.0&tabs=http) を呼び出して、`Groups.Read.All` では不十分なため、ユーザーのグループメンバーシップを取得します。
- **DeviceManagementApps.ReadWrite.All:** Citrix Cloud が Microsoft Intune によって管理されるプロパティ、グループ割り当て、アプリのステータス、アプリ構成、およびアプリ保護ポリシーを読み書きできるようにします。
- **Directory.AccessAsUser.All:** Citrix Cloud が、サインインしているユーザーと同じディレクトリ内の情報へのアクセス権を持つことを許可します。
注:
Directory.Read.All は、Citrix Endpoint Management を使用した Azure AD と Citrix Cloud 間のデフォルト接続にのみ適用されます。
Workspace サブスクライバーのログイン
この Citrix Cloud アプリケーション (ID: e95c4605-aeab-48d9-9c36-1a262ef8048e) は、次の権限を使用します。
| API 名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | 委任 |
Azure AD と Citrix Cloud 間のデフォルト接続
この Citrix Cloud アプリケーション (ID: f9c0e999-22e7-409f-bb5e-956986abdf02) は、次の権限を使用します。
| API 名 | 要求値 | 権限 | 種類 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループを読み取る | 委任 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルを読み取る | 委任 |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルを読み取る | 委任 |
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | 委任 |
| Microsoft Graph | GroupMember.Read.All | すべてのグループを読み取る | アプリケーション |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルを読み取る | アプリケーション |
管理者への招待とログイン
この Citrix Cloud アプリケーション (ID: 1b32f261-b20c-4399-8368-c8f0092b4470) は、次の権限を使用します。
| API 名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | 委任 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルを読み取る | 委任 |
Endpoint Management を使用した Azure AD と Citrix Cloud 間のデフォルト接続
この Citrix Cloud アプリケーション (ID: 5c913119-2257-4316-9994-5e8f3832265b) は、次の権限を使用します。
| API 名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループを読み取る | 委任 |
| API名 | 要求値 | 権限名 | タイプ |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任 |
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | 委任 |
| Microsoft Graph | Directory.Read.All | ディレクトリデータの読み取り | アプリケーション |
| Microsoft Graph | Directory.Read.All | ディレクトリデータの読み取り | 委任 |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Microsoft Intune アプリの読み取りと書き込み | 委任 |
| Microsoft Graph | Directory.AccessAsUser.All | サインインしているユーザーとしてディレクトリにアクセス | 委任 |
Azure AD と Citrix Cloud 間の Endpoint Management を使用したレガシー接続
この Citrix Cloud アプリケーション (ID: e067934c-b52d-4e92-b1ca-70700bd1124e) は、次の権限を使用します。
| API名 | 要求値 | 権限名 | タイプ |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループの読み取り | 委任 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任 |
| Microsoft Graph | User.Read | サインインしてユーザープロファイルを読み取る | 委任 |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Microsoft Intune アプリの読み取りと書き込み | 委任 |
| Microsoft Graph | Directory.AccessAsUser.All | サインインしているユーザーとしてディレクトリにアクセス | 委任 |