Citrix Cloud

Citrix Cloud用のAzure Active Directoryの権限

この記事では、Azure Active Directory(AD)を接続して使用するときにCitrix Cloudが要求する権限について説明します。Citrix CloudアカウントでAzure ADがどのように使用されるかによって、ターゲットのAzure ADテナントに1つまたは複数のエンタープライズアプリケーションが作成されることがあります。アカウントごとにアプリケーションのセットを作成しなくても、複数のCitrix Cloudアカウントを1つのAzure ADテナントに接続し、同じエンタープライズアプリケーションを使用できます。

エンタープライズアプリケーション

名前 アプリケーションID 用途
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e ワークスペース利用者のログイン
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Azure ADとCitrix Cloud間のデフォルトの接続
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 管理者の招待、管理者のログイン
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続

ワークスペース利用者のログイン

Citrix Cloudアプリケーション(ID:e95c4605-aeab-48d9-9c36-1a262ef8048e)は、Microsoft GraphとWindows Azure Active Directoryリソースアプリケーションの両方で、同じ権限を使用します。

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り Delegated

Azure ADとCitrix Cloud間のデフォルトの接続

Citrix Cloudアプリケーション(ID:f9c0e999-22e7-409f-bb5e-956986abdf02)は、次の権限を使用します:

API名 要求値 権限 種類
Microsoft Graph Group.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph Group.Read.All すべてのグループの読み取り アプリケーション
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り アプリケーション
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り アプリケーション
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り アプリケーション
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り Delegated
Windows Azure Active Directory User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Windows Azure Active Directory Group.Read.All すべてのグループの読み取り Delegated
Windows Azure Active Directory Directory.Read.All ディレクトリデータの読み取り アプリケーション

管理者の招待とログイン

Citrix Cloudアプリケーション(ID:1b32f261-b20c-4399-8368-c8f0092b4470)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り Delegated
Windows Azure Active Directory User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated

Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続

Citrix Cloudアプリケーション(ID:5c913119-2257-4316-9994-5e8f3832265b)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph Group.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り アプリケーション
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り Delegated
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intuneアプリの読み取りと書き込み Delegated
Microsoft Graph Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス Delegated

Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続

Citrix Cloudアプリケーション(ID:e067934c-b52d-4e92-b1ca-70700bd1124e)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph Group.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intuneアプリの読み取りと書き込み Delegated
Microsoft Graph Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス Delegated

権限

API名

Citrix Cloudが権限を要求する2つのリソースアプリケーションがあります:[API名]の下に表示されるMicrosoft GraphとWindows Azure Active Directoryです。Citrix Cloudは、両方のリソースアプリケーションに同じ権限を要求します。

種類

Citrix Cloudが権限を要求できるアクセスには2つのレベルがあります:[種類]の下に表示される[委任]と[アプリケーション]です。

  • 委任権限は、ユーザーのプロファイルを照会する場合など、サインインユーザーの代理として操作するために使用されます。
  • アプリケーション権限 は、特定のグループ内のユーザーを照会する場合など、ユーザー不在でアプリケーションが操作を実行するときに使用されます。この種類の権限を付与するには、Azure ADのグローバル管理者の同意が必要です。

要求値

Azure ADは、[要求値]の下に表示される権限の文字列値を割り当てます。次の表に、特定の要求値の説明を示します:

名前 説明
User.Read Citrix Cloud管理者が、接続されたAzure ADのユーザーをCitrix Cloudアカウントの管理者として追加できるようにします。
User.ReadBasic.All ユーザーのプロファイルから基本情報を収集します。これはUser.Read.Allのサブセットですが、下位互換性のために権限自体は残ります。
User.Read.All Citrix Cloudが、https://docs.microsoft.com/ja-jp/graph/api/user-list?view=graph-rest-1.0&tabs=httpに示すAPI呼び出しにより、顧客の接続Azure ADからユーザーを閲覧および選択できるようにします。たとえば、Azure ADのユーザーに対し、ワークスペースを使用したVirtual Apps and Desktopsリソースへのアクセス権限を付与できます。Citrix Cloudは、onPremisesSecurityIdentifierなどの基本プロファイル以外のプロパティにアクセスする必要があるため、User.ReadBasic.Allを使用できません。
Group.Read.All Citrix Cloudが、https://docs.microsoft.com/ja-jp/graph/api/group-list?view=graph-rest-1.0&tabs=httpに示すAPI呼び出しにより、顧客の接続Azure ADからグループを閲覧および選択できるようにします。たとえば、Azure ADのグループに対しては、Virtual Apps and Desktopsアプリケーションへのアクセス権限を付与することもできます。
Directory.Read.All Citrix Cloudは、https://docs.microsoft.com/ja-jp/graph/api/user-list-memberof?view=graph-rest-1.0&tabs=httpに示すAPI呼び出しにより、ユーザーのグループメンバーシップを取得します(Groups.Read.Allでは不十分な場合)。
DeviceManagementApps.ReadWrite.All Microsoft Intuneによって管理されるプロパティ、グループ割り当て、アプリの状態、アプリの設定、およびアプリ保護ポリシーの読み取りと書き込みを、Citrix Cloudが行えるようにします。
Directory.AccessAsUser.All サインインユーザーと同じように、Citrix Cloudがディレクトリ内の情報にアクセスできるようにします。
Citrix Cloud用のAzure Active Directoryの権限