製品ドキュメント
Citrix DaaS™
PDFを表示

Microsoft Entra サービスアカウント

April 6, 2026
寄稿者: 
C C

Microsoft Entra サービスアカウントは、Microsoft Entra参加済みデバイスまたはMicrosoft Intune登録済みデバイスを管理するのに十分な権限を持つMicrosoft Entra サービスプリンシパルのアプリケーションIDとシークレットを保存するためのコンテナです。MCSはこのサービスアカウントを使用して、プロビジョニングされたマシンのライフサイクル中に生成された、古くなったMicrosoft EntraまたはMicrosoft Intuneデバイスを自動的にクリーンアップできます。

Microsoft Entra サービスプリンシパルに必要な権限

  • サービスアカウントで使用されるMicrosoft Entra サービスプリンシパルに必要な権限は、サービスアカウントで有効になっている機能によって異なります。

  • Microsoft Entra参加済みデバイス管理機能を持つサービスアカウントの場合、Microsoft Entra サービスプリンシパルには、Microsoft Entra テナントでDevice.ReadWrite.All権限が必要です。
  • Microsoft Intune登録済みデバイス管理機能を持つサービスアカウントの場合、Microsoft Entra サービスプリンシパルには、Microsoft Entra テナントでDeviceManagementManagedDevices.ReadWrite.All権限が必要です。
  • Microsoft Entra セキュリティグループ管理機能を持つサービスアカウントの場合、Microsoft Entra サービスプリンシパルには、Microsoft Entra テナントでGroup.ReadWrite.AllおよびGroupMember.ReadWrite.All権限が必要です。

制限事項

Microsoft Entra ロールベースのアクセス制御は現在サポートされていません。そのため、Microsoft Entra の権限をサービスプリンシパルに直接割り当ててください。

Microsoft Entra サービスアカウントの作成

StudioまたはPowerShellを使用して、Microsoft Entra サービスアカウントを作成します。

前提条件

Microsoft Entra サービスアカウントを作成するには、次のタスクを完了していることを確認してください。

  • サービスアカウントで有効にする機能に基づいて、十分な権限を持つMicrosoft Entra プリンシパルをMicrosoft Entra テナントで作成します。

Studioの使用

  1. DaaSタイルで、管理をクリックします。
  2. 左ペインで、管理者を選択します。
  3. サービスアカウントタブで、サービスアカウントの作成をクリックします。
  4. IDタイプページで、Microsoft Entra IDを選択します。トラフィックをルーティングするための新しいオプションが有効になります。
    1. Citrix Cloud Connector経由でトラフィックをルーティングチェックボックスをオンにします。
    2. トラフィックをルーティングするために利用可能なゾーンを選択し、次へをクリックします。
  5. 資格情報ページで、Microsoft Entra テナントID、アプリケーションID、およびクライアントシークレットを入力し、資格情報の有効期限を設定します。
  6. サービスアカウントの機能を選択します。
  7. サービスアカウントの1つ以上のスコープを選択します。
  8. サービスアカウントのわかりやすい名前と説明(オプション)を入力します。
  9. 完了をクリックして作成を完了します。

注:

  • Microsoft Entra参加済みデバイス管理機能はデフォルトで選択されており、選択を解除することはできません。
  • テナントに招待されているマルチテナントのMicrosoft Entraアプリケーションを使用するには、入力したMicrosoft Entra テナントIDは、アプリケーションのホームテナントIDではなく、自身のテナントIDである必要があります。

PowerShellの使用

または、PowerShellコマンドを使用してMicrosoft Entra サービスアカウントを作成できます。例:

$tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$applicationSecret = xxxxxxxxxxxxxxx
$credential = ConvertTo-SecureString -String $applicationSecret -AsPlainText -Force

New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier $tenantId -AccountId $applicationId -AccountSecret $credential -SecretExpiryTime 2030/08/15 -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName 'MyApplication' -Description 'Service account for Microsoft Entra tenant'
<!--NeedCopy-->

Microsoft Entra参加済みデバイス管理のサービスアカウントへの移行

以前は、Citrix®は、Microsoft Azure Resource Managerへのホスティング接続を作成または編集する際に、Microsoft Entra参加済みデバイス管理を有効にするオプションを提供していました。MCSは、ホスティング接続とともに保存されたMicrosoft Entra サービスプリンシパル(プロビジョニングSPN)の権限を使用して、古くなったMicrosoft Entra参加済みデバイスを管理していました。サービスアカウントを使用すると、サービスアカウントとともに保存された専用のMicrosoft Entra サービスプリンシパル(ID管理SPN)を使用して、Microsoft Entra参加済みデバイスまたはMicrosoft Intune登録済みデバイスを管理できます。

Citrixは、プロビジョニングSPNとID管理SPNの責任を分離するために、ホスティング接続によるデバイス管理からサービスアカウントによるデバイス管理への移行を推奨しています。

すでにMicrosoft Entra参加済みデバイス管理が有効になっている既存のホスティング接続では、次のように無効にできます。

    1. Studioから、左ペインでホスティングを選択します。
  1. 接続を選択し、アクションバーで接続の編集を選択します。
  2. 接続プロパティページで、Microsoft Entra参加済みデバイス管理を有効にするチェックボックスをオフにします。
  3. 保存をクリックして変更を適用します。

  • 注:

  • 現在、新しいホスティング接続を作成する際に、Microsoft Entra参加済みデバイス管理を有効にすることはできません。

Microsoft Entra デバイス管理およびセキュリティグループ管理トラフィックのルーティング

Microsoft Entra サービスアカウントを作成および変更して、Delivery ControllerからMicrosoft Entra IDへのMicrosoft Entra デバイス管理およびセキュリティグループ管理トラフィックをCitrix Cloud Connector経由でルーティングします。

Microsoft Entra サービスアカウントを作成または変更する際に、次のカスタムプロパティを含めます。

CustomProperties: {"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<zone uid>"]}

注:

$ZoneUidは、ネットワークトラフィックをルーティングしたいゾーン(リソースの場所)のUidです。UidはGet-ConfigZoneコマンドから取得します。

例:

  • 新しいMicrosoft Entra サービスアカウントを作成する場合:

     $tenantId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationId = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
 $applicationSecret = xxxxxxxxxxxxxxx
 $SecureString = ConvertTo-SecureString -String "Secretstring" -AsPlainText -Force
 New-AcctServiceAccount -IdentityProviderType AzureAD -IdentityProviderIdentifier "<Identity provider ID>" -AccountId "<Account ID>" -AccountSecret $SecureString -SecretExpiryTime <yyyy-mm-dd>  -Capabilities @("AzureADDeviceManagement","IntuneDeviceManagement") -DisplayName "<Display name>" -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":["<Zone UID>"]}'
 <!--NeedCopy-->

  • 既存のMicrosoft Entra サービスアカウントを変更する場合:

     Set-AcctServiceAccount -ServiceAccountUid $serviceAccountUid -CustomProperties '{"ProxyHypervisorTrafficThroughConnector":true,"ZoneUid":[$ZoneUid]}'
 <!--NeedCopy-->

次のステップ

Microsoft Entra サービスアカウント
April 6, 2026
寄稿者: 
C C
April 6, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.