Citrix Cloud

Azure Active DirectoryをCitrix Cloudに接続する

Citrix Cloudは、Azure Active Directory(AD)を使用したCitrix Cloud管理者およびワークスペース利用者の認証をサポートしています。

Citrix CloudでAzure ADを使用すると、次のことができるようになります:

  • 独自のActive Directoryを活用して、監査、パスワードポリシーを制御し、必要に応じて簡単にアカウントを無効にできます。
  • 多要素認証を構成して高レベルのセキュリティを実現し、盗まれたサインイン資格情報が使用される可能性を回避します。
  • ブランド設定済みのログインページを使用するため、ユーザーは正しい場所にログインしていることを確認できます。
  • ADFS、Okta、Pingなどの任意のIDプロバイダーにフェデレーションを使用できます。

Azure ADアプリと権限

Citrix CloudにはAzure ADが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。このアプリの導入以降、Citrixはパフォーマンスを向上させ、新しい機能と権限をサポートする更新プログラムをリリースしました。

Citrix Cloudへの既存のAzure AD接続により、最新の更新済みアプリを使用する場合は、Citrix CloudでAzure AD接続を更新する必要があります。詳しくは、この記事の「アプリのアップデートに対応するためAzure ADに再接続する」を参照してください。アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。

Citrix CloudがAzure ADとの接続に使用するAzure ADアプリケーションと権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。

ヒント:

Citrix IDと認証の概要」教育コースで、サポートされているIDプロバイダーの詳細をご覧ください。「Planning Citrix Identity and Access Management」モジュールには、このIDプロバイダーをCitrix Cloudに接続してCitrix Workspaceの認証を有効にする方法を説明した短い動画があります。

Active DirectoryとAzure ADを準備する

Azure ADを使用する前に、次の要件を満たしていることを確認してください:

  • Microsoft Azureアカウントを持っている。すべてのAzureアカウントに無料のAzure ADが付属しています。Azureアカウントをお持ちでない場合は、https://azure.microsoft.com/en-us/free/?v=17.36に登録してください。
  • Azure ADにはグローバル管理者の役割があります。この役割は、Citrix CloudがAzure ADと接続できるようにするために必要です。
  • 管理者アカウントには、Azure ADで構成された「mail」プロパティがあります。MicrosoftのAzure AD Connectツールを使用することで、オンプレミスのActive DirectoryアカウントをAzure ADと同期させることができます。または、Office 365のメールで同期されていないAzure ADアカウントを構成することもできます。

Azure AD Connectでアカウントを同期する

  1. Active Directoryアカウントにメールのユーザープロパティが構成されていることを確認します:
    1. [Active Directoryユーザーとコンピューター]を開きます。
    2. Usersフォルダーで、確認するアカウントを見つけて右クリックし、[プロパティ] を選択します。[全般] タブで、[メール] フィールドに有効なエントリがあることを確認します。Citrix Cloudでは、Azure ADから追加された管理者には、CitrixがホストするIDを使用してサインインする管理者とは異なるメールアドレスが必要です。
  2. Azure AD Connectをインストールおよび構成します。詳しい手順については、Microsoft Azure Webサイトの「簡単設定を使用したAzure AD Connectの開始」を参照してください。

Citrix CloudをAzure ADに接続する

Citrix CloudアカウントをAzure ADに接続する場合、Azure ADのユーザーの基本プロファイルのほか、ユーザープロファイル(またはサインインユーザーのプロファイル)へのアクセス権限が必要です。Citrixはこの権限を要求し、(管理者の)名前とメールアドレスを取得して、管理者が後で他のユーザーを管理者として追加することができるようにします。Citrix Cloudが要求するアプリケーション権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。

重要:

この作業を完了するには、Azure ADのグローバル管理者である必要があります。

  1. https://citrix.cloud.comでCitrix Cloudにサインインします。
  2. ページの左上隅にあるメニューボタンをクリックし、[IDおよびアクセス管理] を選択します。
  3. Azure Active Directoryを見つけ、省略記号メニューから [接続] を選択します。
  4. 入力画面が表示されたら、URLに適した短い会社の識別子を入力し、[接続] をクリックします。この識別子は、Citrix Cloud内でグローバルに一意である必要があります。
  5. 入力画面が表示されたら、接続するAzureアカウントにサインインします。Azureは、Citrix Cloudがアカウントにアクセスして接続に必要な情報を取得するためのアクセス権限を表示します。これらの権限のほとんどは読み取り専用であり、この権限によりCitrix Cloudでグループやユーザープロファイルなどの基本情報をMicrosoft Graphから収集できます。Citrix Endpoint ManagementまたはXenMobile ServerをMicrosoft Intuneと統合した場合、Microsoft Intune関連の読み取り/書き込み権限を付与する必要があります。詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
  6. [承諾] をクリックして権限の要求を承諾します。

Azure ADからCitrix Cloudに管理者を追加する

  1. Citrix Croudの [IDおよびアクセス管理] ページで [管理者] をクリックします。
  2. [追加する管理者の場所] メニューから、[Azure AD]オプションを選択します。
  3. 検索ボックスで、追加するユーザーの名前を入力して、「Citrix Cloud管理者を管理する」の説明どおりにアカウントに招待します。Citrix Cloudは招待を承諾するためのリンクが記載されたメールをユーザーに送信します。

メールのリンクをクリックして、会社のAzure Active Directoryにサインインします。これにより、ユーザーのメールアドレスが確認され、Azure ADユーザーアカウントとCitrix Cloud間の接続が完了します。

Azure AD管理者グループを追加する

Citrix Cloudは、Azure ADグループを使用した管理者の追加をサポートしています。グループを使用して追加する管理者は、明示的に招待する必要はありません。ただし、これらの管理者が管理できるのはCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)のみです。詳しくは、「Citrix CloudにAzure AD管理者グループを追加する」を参照してください。

Azure ADを使用してCitrix Cloudにサインインする

Azure ADユーザーアカウントの接続後、ユーザーは次のいずれかの方法でCitrix Cloudにサインインできます:

  • 会社のAzure AD IDプロバイダーを最初に接続した時に構成した管理者のサインインURLに移動します。例:https://citrix.cloud.com/go/mycompany
  • Citrix Cloudのサインインページで、[会社の資格情報でサインイン] をクリックし、最初にAzure ADを接続した時に作成した識別子(「mycompany」など)を入力し、[続行] をクリックします。

ワークスペースのAzure AD認証を有効にする

Azure ADをCitrix Cloudに接続すると、Azure AD経由で自分のワークスペースに認証する許可を利用者に付与できます。

重要:

Azure ADワークスペース認証を有効にする前に、ワークスペースでAzure ADを使用するための考慮事項について「Azure Active Directory」セクションで確認してください。

  1. Citrix Cloudコンソールで左上隅のメニューボタンをクリックし、[ワークスペース構成] を選択します。
  2. [認証] タブで、[Azure Active Directory] を選択します。
  3. [確認] をクリックしてAzure AD認証を有効にした場合のワークスペース環境の変更を承諾します。

高度なAzure AD機能を有効にする

Azure ADは、高度な多要素認証、国際的レベルのセキュリティ機能、20種類のIDプロバイダーとのフェデレーション、セルフサービスパスワードの変更とリセットなどの機能を提供します。Azure ADユーザーでこれらの機能を有効にすると、Citrix Cloudが自動的に活用できるようになります。

Azure ADサービスレベルの機能と価格を比較するには、https://azure.microsoft.com/ja-jp/pricing/details/active-directory/を参照してください。

アプリのアップデートに対応するためAzure ADに再接続する

Citrix CloudにはAzure ADが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。このアプリの導入以来、Citrixはアプリを次のように更新しました:

  • 2018年8月に、アプリが更新されてパフォーマンスが向上し、今後のリリースにも対応できるようになりました。
  • 2019年5月に、アプリが更新され、Citrix CloudへのAzure AD管理者グループの追加がサポートされるようになりました。
  • 2022年4月に、アプリが更新され、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するようになりました。

これらの更新プログラムがリリースされる前にAzure ADをCitrix Cloudに接続しており、最新の更新済みアプリを使用する場合は、Azure ADをCitrix Cloudから切断してから、再接続する必要があります。最新のアプリの使用は任意です。アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。

要件

Azure ADを再接続する前に、次の要件を満たしていることを確認してください:

  • Azure ADのグローバル管理者である必要があります。Azure ADを再接続するときは、Azure ADのグローバル管理者の役割を使用して、Citrix Cloudにアプリケーションレベルの権限を付与します。これにより、Citrix Cloudがユーザーに代わってAzure ADに再接続できるようになります。詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
  • デフォルトのCitrix IDプロバイダーのフルアクセス権限を持つ管理者である必要があります。Azure ADの資格情報を使用してCitrix Cloudにサインインしている場合、再接続は失敗します。アカウントにCitrix IDプロバイダーを使用する管理者がいない場合は、一時的にアカウントを追加して、Azure ADに再接続したあとにそのアカウントを削除できます。手順については、「新しい管理者を招待する」を参照してください。
  • Azure ADを使用してワークスペース利用者を認証している場合は、一時的に別のIDプロバイダーを選択します。Azure ADがCitrix Workspaceの認証方法としても使用されている場合、Citrix CloudではAzure ADを切断できません。詳しくは、Citrix Workspaceドキュメントの「認証方法の選択または変更」を参照してください。

Azure ADを再接続するには

  1. Citrix IDプロバイダーのフルアクセス権を持つ管理者として、Citrix Cloudにサインインします。
  2. Citrix Cloudメニューから、[IDおよびアクセス管理] を選択し、次に [認証] を選択します。
  3. Azure Active Directoryを見つけ、ページの右端にある省略記号(…)メニューから [切断] を選択します。
  4. 省略記号メニューの [接続] を選択します。
  5. プロンプトが表示されたら、グローバル管理者の資格情報を使用してAzureアカウントにサインインします。Azureは、Citrix Cloudがアカウントにアクセスして接続に必要な情報を取得するための権限を表示します。
  6. [承諾] を選択して権限の要求を承諾します。