Citrix Cloud

Citrix Cloud用のAzure Active Directoryの権限

この記事では、Azure Active Directory(AD)を接続して使用するときにCitrix Cloudが要求する権限について説明します。Citrix CloudアカウントでAzure ADがどのように使用されるかによって、ターゲットのAzure ADテナントに1つまたは複数のエンタープライズアプリケーションが作成されることがあります。アカウントごとにアプリケーションのセットを作成しなくても、複数のCitrix Cloudアカウントを1つのAzure ADテナントに接続し、同じエンタープライズアプリケーションを使用できます。

注:

2022年4月、Citrix CloudがAzure ADの接続のために使用するAzure ADアプリは、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するように更新されました。既存の(2022年4月より前の)Azure AD接続により、アプリで新しい権限を使用する場合は、Azure ADを切断してからCitrix Cloudに再接続する必要があります。この操作により、Citrix Cloudで最新のAzure ADアプリが使用されるようになります。詳しくは、「アプリのアップグレードに対応するためAzure ADに再接続する」を参照してください。

アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。

エンタープライズアプリケーション

次の表では、Citrix CloudでAzure ADの接続時および使用時に使用されるAzure ADエンタープライズアプリケーションと、各アプリケーションの使用目的を示します。

名前 アプリケーションID 使用状況
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e ワークスペース利用者のログイン
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Azure ADとCitrix Cloud間のデフォルトの接続
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 管理者の招待とログイン
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続

権限

Citrix Cloudのエンタープライズアプリケーションの権限があれば、Citrix CloudはAzure ADテナント内の特定のデータにアクセスできます。Citrix Cloudはこれらのデータを使用して、Azure ADテナントに接続する、管理者が専用のサインインURLを使用してCitrix Cloudにサインインする、Azure ADテナントとEndpoint Managementを接続するなど、特定の機能を実行します。Citrix Cloudは、ユーザーが同意している場合、これらのデータにアクセスできます。これらのアクセス権限は、Citrix CloudがAzure ADと連携するための必要最低限の特権です。Azure ADの権限と同意について詳しくは、Microsoft AzureドキュメントWebサイトの「Microsoft IDプラットフォームでのアクセス許可と同意」を参照してください。

本記事では、Azure ADアプリケーション権限の各セットについて次の情報を記載しています:

  • API名: Citrix Cloudが権限を要求するリソースアプリケーション。Microsoft GraphとWindows Azure Active Directoryのことです。Citrix Cloudは、この2つのリソースアプリケーションに同じ権限を要求します。
  • タイプ: Citrix Cloudが特定の権限に対して要求するアクセスレベル。特定のエンタープライズアプリケーションの権限には、次のいずれかのアクセスレベルを設定できます:
    • 委任権限は、ユーザーのプロファイルを照会する場合など、サインインユーザーの代理として操作するために使用されます。
    • アプリケーション権限 は、特定のグループ内のユーザーを照会する場合など、ユーザー不在でアプリケーションが操作を実行するときに使用されます。この種類の権限を付与するには、Azure ADのグローバル管理者の同意が必要です。
  • 要求値: Azure ADが特定の権限に割り当てる情報の文字列。特定のエンタープライズアプリケーションの権限には、次のいずれかの要求値を設定できます:
    • User.Read: Citrix Cloud管理者が、接続されたAzure ADのユーザーをCitrix Cloudアカウントの管理者として追加できるようにします。
    • User.ReadBasic.All: ユーザーのプロファイルから基本情報を収集します。これはUser.Read.Allのサブセットですが、下位互換性のために権限自体は残ります。
    • User.Read.All: Citrix Cloudは、Microsoft GraphのList usersを呼び出して、顧客が接続したAzure ADからユーザーを参照および選択できるようにします。たとえば、Azure ADのユーザーに対し、ワークスペースを使用したCitrix DaaSリソースへのアクセス権限を付与できます。Citrix Cloudは、onPremisesSecurityIdentifierなどの基本プロファイル以外のプロパティにアクセスする必要があるため、User.ReadBasic.Allを使用できません。
    • GroupMember.Read.All: Citrix Cloudは、Microsoft GraphのList groupsを呼び出して、顧客が接続したAzure ADからグループを参照および選択できるようにします。たとえば、Azure ADのグループに対しては、Citrix DaaSアプリケーションへのアクセス権限を付与することもできます。
    • Directory.Read.All: Citrix Cloudは、Microsoft GraphのList memberOfを呼び出して、ユーザーのグループメンバーシップを取得します(Groups.Read.Allでは不十分な場合)。
    • DeviceManagementApps.ReadWrite.All: Microsoft Intuneによって管理されるプロパティ、グループ割り当て、アプリの状態、アプリの設定、およびアプリ保護ポリシーの読み取りと書き込みを、Citrix Cloudが行えるようにします。
    • Directory.AccessAsUser.All: サインインユーザーと同じように、Citrix Cloudがディレクトリ内の情報にアクセスできるようにします。

ワークスペース利用者のログイン

このCitrix Cloudアプリケーション(ID:e95c4605-aeab-48d9-9c36-1a262ef8048e)は、Microsoft GraphとWindows Azure Active Directoryリソースアプリケーションの両方で、同じ権限を使用します。

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り Delegated

Azure ADとCitrix Cloud間のデフォルトの接続

このCitrix Cloudアプリケーション(ID:f9c0e999-22e7-409f-bb5e-956986abdf02)は、次の権限を使用します:

API名 要求値 権限 種類
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り Application
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り Application
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り Application
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Application

管理者の招待とログイン

このCitrix Cloudアプリケーション(ID:1b32f261-b20c-4399-8368-c8f0092b4470)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り Delegated
Windows Azure Active Directory User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated

Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続

このCitrix Cloudアプリケーション(ID:5c913119-2257-4316-9994-5e8f3832265b)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り Application
Microsoft Graph Directory.Read.All ディレクトリデータの読み取り Delegated
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intuneアプリの読み取りと書き込み Delegated
Microsoft Graph Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス Delegated

Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続

このCitrix Cloudアプリケーション(ID:e067934c-b52d-4e92-b1ca-70700bd1124e)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り Delegated
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り Delegated
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り Delegated
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intuneアプリの読み取りと書き込み Delegated
Microsoft Graph Directory.AccessAsUser.All ディレクトリに対するサインインしたユーザーと同じアクセス Delegated