Azure Active DirectoryをCitrix Cloudに接続する
デフォルトでは、Citrix IDプロバイダーを使用して、Citrix CloudアカウントのすべてのユーザーのID情報を管理します。これをAzure Active Directory(AD)の使用に変更できます。
Citrix CloudでAzure ADを使用すると、次のことができるようになります:
- 独自のActive Directoryを活用して、監査、パスワードポリシーを制御し、必要に応じて簡単にアカウントを無効にできます。
- 多要素認証を構成して高いレベルのセキュリティを実現し、盗まれたサインイン資格情報が使用される可能性を回避します。
- ブランドのログインページを使用するため、ユーザーは正しい場所にログインしていることを確認できます。
- ADFS、Okta、Pingなどの任意のIDプロバイダーにフェデレーションを使用できます。
Citrix CloudにはAzure ADが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。2018年8月現在、このアプリはアップグレードによってパフォーマンスが向上しており、今後のリリースにも対応できます。2018年8月以前にAzure ADをCitrix Cloudに接続していた場合は、Citrix CloudでAzure AD接続を更新してください。詳しくは、この記事の「アプリのアップグレードに対応するためAzure ADに再接続する」を参照してください。
Active DirectoryとAzure ADを準備する
Azure ADを使用する前に、次の要件を満たしていることを確認してください:
- Microsoft Azureアカウントを持っている。すべてのAzureアカウントに無料のAzure ADが付属しています。Azureアカウントをお持ちでない場合は、https://azure.microsoft.com/en-us/free/?v=17.36で登録してください。
- Azure ADにはグローバル管理者の役割があります。この役割は、Citrix CloudがAzure ADと接続できるようにするために必要です。
- 管理者アカウントに、Azure ADで構成された「メール」プロパティがある。MicrosoftのAzure AD Connectツールを使用することで、オンプレミスのActive DirectoryアカウントをAzure ADと同期させることができます。または、Office 365のメールで同期されていないAzure ADアカウントを構成することもできます。
Azure AD Connectでアカウントを同期する
- Active Directoryアカウントにメールのユーザープロパティが構成されていることを確認します:
- [Active Directoryユーザーとコンピューター]を開きます。
- Usersフォルダーで、確認するアカウントを見つけて右クリックし、[プロパティ] を選択します。[全般] タブで、[メール] フィールドに有効なエントリがあることを確認します。Azure ADから追加された管理者には、シトリックスがホストするIDを使用してサインインする管理者とは異なるメールアドレスが必要です。
- Azure AD Connectをインストールおよび構成します。手順について詳しくは、Microsoft Azure Webサイトで「Getting started with Azure AD Connect using express settings」を参照してください。
Citrix CloudをAzure ADに接続する
Citrix CloudアカウントをAzure ADに接続する場合、Azure ADのユーザーの基本プロファイルだけでなく、ユーザープロファイル(またはサインインしたユーザーのプロファイル)へのアクセス権限が必要です。シトリックスはこの権限を要求し、(管理者の)名前とメールアドレスを取得して、管理者が後で他のユーザーを管理者として追加することができるようにします。
重要:
この作業を完了するには、Azure ADのグローバル管理者である必要があります。
- https://citrix.cloud.comでCitrix Cloudにサインインします。
- ページの左上隅にあるメニューボタンをクリックし、[IDおよびアクセス管理] を選択します。
- Azure Active Directoryを見つけ、省略記号メニューから [接続] を選択します。
- 入力画面が表示されたら、URLに適した短い会社の識別子を入力し、[接続] をクリックします。この識別子は、Citrix Cloud内でグローバルに一意である必要があります。
- 入力画面が表示されたら、接続するAzureアカウントにサインインします。Azureは、Citrix Cloudがアカウントにアクセスして接続に必要な情報を取得するためのアクセス権限を表示します。これらの読み取り専用権限により、Citrix CloudはMicrosoft Graphからグループやユーザープロファイルなどの基本情報を収集できます。XMEを使用している場合、Microsoft Intune関連の読み取り/書き込み権限を付与する必要があります。
- [承諾] をクリックして権限の要求を承諾します。
Azure ADからCitrix Cloudに管理者を追加する
- Citrix Croudの [IDおよびアクセス管理] ページで [管理者] をクリックします。
- [追加する管理者の場所] メニューから、[Azure AD]オプションを選択します。
- 検索ボックスで、追加するユーザーの名前を入力して、「Citrix Cloud管理者を管理する」の説明どおりにアカウントに招待します。Citrix Cloudは招待を承諾するためのリンクが記載されたメールをユーザーに送信します。
メールのリンクをクリックして、会社のAzure Active Directoryにサインインします。これにより、ユーザーのメールアドレスが確認され、Azure ADユーザーアカウントとCitrix Cloud間の接続が完了します。
Azure ADを使用してCitrix Cloudにサインインする
Azure ADユーザーアカウントの接続後、ユーザーは次のいずれかの方法でCitrix Cloudにサインインできます:
- 会社のAzure AD IDプロバイダーを最初に接続した時に構成した管理者のサインインURLに移動します。例:
https://citrix.cloud.com/go/mycompany - Citrix Cloudのサインインページで、[会社の資格情報でサインイン] をクリックし、最初にAzure ADを接続した時に作成した識別子(「mycompany」など)を入力し、[続行] をクリックします。
ワークスペースのAzure AD認証を有効にする
Azure ADをCitrix Cloudに接続すると、Azure AD経由で自分のワークスペースに認証する許可を利用者に付与できます。
重要:
Azure ADワークスペース認証を有効にする前に、ワークスペースでAzure ADを使用するための考慮事項について「Azure Active Directory」セクションで確認してください。
- Citrix Cloudコンソールで左上隅のメニューボタンをクリックし、[ワークスペース構成] を選択します。
- [認証] タブで、[Azure Active Directory] を選択します。
- [確認] をクリックしてAzure AD認証を有効にした場合のワークスペース環境の変更を承諾します。
高度なAzure AD機能を有効にする
Azure ADは、高度な多要素認証、国際的レベルのセキュリティ機能、20種類のIDプロバイダーとのフェデレーション、セルフサービスパスワードの変更とリセットなどの機能を提供します。Azure ADユーザーでこれらの機能を有効にすると、Citrix Cloudが自動的に活用できるようになります。
Azure ADサービスレベルの機能と価格を比較するには、「https://azure.microsoft.com/en-us/pricing/details/active-directory/」を参照してください。
アプリのアップグレードに対応するためAzure ADに再接続する
2019年5月以前にAzure ADをCitrix Cloudに接続していた場合は、Citrix CloudがAzure ADへの接続で最新のアプリケーションを使用していない可能性があります。その結果、Citrix CloudがAzure ADに再接続し、追加の読み取り専用権限を付与するよう求める場合があります。Azure ADグループをライブラリオファリングに追加し、ログオンパフォーマンスを向上させ、その他の利点を実現するには、Azure ADのグローバル管理者ロールを通じてCitrix Cloudに追加のアクセス権限を付与する必要があります。これを行うには、Azure ADのグローバル管理者である必要があります。Azure ADに再接続することにより、アプリケーションレベルの読み取り専用権限がCitrix Cloudに付与され、Citrix CloudがAzure ADに再接続できるようになります。
重要:
Azure ADをCitrix Cloudに再接続するには、Citrix IDプロバイダーのCitrix Cloud管理者アカウントを使用して、Citrix Cloudにサインインする必要があります。Azure ADの資格情報を使用してCitrix Cloudにサインインしている場合、再接続は失敗します。Citrix CloudでAzure AD管理者アカウントを使用していて、アカウントにCitrix IDプロバイダーを使用する管理者がいない場合は、一時的にアカウントを追加してこの再接続を実行し、後で削除することができます。
再接続を実行するには、Citrix Cloud管理者資格情報を使用してCitrix Cloudにサインインします。再接続を求められたときは、グローバル管理者の資格情報を使用してAzureにサインインできます。