Citrix Endpoint Management

Citrix Cloudを介したAzure Active Directoryでの認証

Endpoint Managementでは、Citrix Cloudを介したAzure Active Directory(Azure AD)の資格情報による認証をサポートしています。この認証方法は、Citrix WorkspaceアプリまたはCitrix Secure Hubを介してMDMに登録するユーザーのみが利用できます。Endpoint ManagementでWorkspaceが有効になっている場合、ユーザーはCitrix Workspaceアプリからリソースにアクセスします。Citrix WorkspaceとCitrix Endpoint Managementの統合を有効にしない場合、ユーザーはSecure Hubからリソースにアクセスします。

MAMに登録しているデバイスは、Azure AD資格情報を使用してCitrix Cloud経由で認証できません。Secure HubをMDM+MAMで使用するには、Endpoint ManagementでMAM登録にCitrix Gatewayを使用するよう構成します。詳しくは、「Citrix GatewayとEndpoint Management」を参照してください。

Endpoint Managementは、Citrix CloudサービスであるCitrix IDを使用して、Azure Active Directoryへのフェデレーションを行います。Azure Active Directoryに直接接続するのではなく、Citrix IDプロバイダーを使用することをお勧めします。

Endpoint Managementは、次のプラットフォームでAzure ADによる認証をサポートしています:

  • iOSデバイス
  • Android Enterpriseデバイス(プレビュー)、BYOD(Bring Your Own Device)および完全管理モード用
  • 従来のデバイス管理モードで実行されているAndroidデバイス

Citrix Cloudを介したAzure ADによる認証には、次の制限があります:

  • Endpoint Managementローカルアカウントでは使用できません。
  • 登録招待状のAzure ADによる認証をサポートしていません。登録URLを含む登録招待状をユーザーに送信する場合は、ユーザーはAzure ADの代わりにLDAPを使用して認証します。

前提条件

  • Azure Active Directoryユーザーの資格情報
  • Active Directoryのユーザーグループは、Azure Active Directoryのユーザーグループと一致する必要があります。
  • Active Directoryのユーザー名とメールアドレスは、Azure Active Directoryのものと一致する必要があります。
  • ディレクトリサービスの同期のためにCitrix Cloud ConnectorがインストールされたCitrix Cloudアカウント
  • Citrix Gateway 完全なシングルサインオンエクスペリエンスを実現するには、証明書ベースの認証を有効にすることをお勧めします。モバイルアプリケーション管理(MAM:Mobile Application Management)登録のために、Citrix GatewayでLDAP認証を使用する場合、登録中にエンドユーザーには二重認証プロンプトが表示されます。詳しくは、「クライアント証明書、または証明書とドメイン認証の組み合わせ」を参照してください。
  • Endpoint ManagementでWorkspaceが有効になっていない場合はSecure Hub。
  • Endpoint ManagementでWorkspaceが有効になっている場合はCitrix Workspaceアプリ。Citrix Workspace統合の有効化について詳しくは、「Workspaceの構成」を参照してください。
  • Android Enterpriseの登録プロファイルで、[ユーザーにデバイス管理の許否を許可][オフ] にする必要があります。ユーザーがデバイス管理を拒否した場合、登録の際にIDプロバイダーを使用して認証することができなくなります。詳しくは、「登録セキュリティ」を参照してください。

この機能は、Workspaceを有効にしているかどうかに関係なく構成できます。

Endpoint ManagementでWorkspaceが有効になっている場合の構成

Endpoint ManagementをCitrix Workspaceと統合する場合、Citrix Cloudを介してAzure ADで認証を構成する一般的な手順は次のとおりです:

  1. Azure ADをIDプロバイダーとして使用するようにCitrix Cloudを構成する。
  2. Citrix Workspaceの認証方法としてAzure ADを構成する。

Endpoint ManagementでWorkspaceが有効になっていない場合の構成

Citrix WorkspaceがEndpoint Managementで有効になっていない場合、Citrix Cloudを介してAzure ADで認証を構成する一般的な手順は次のとおりです:

  1. Azure ADをIDプロバイダーとして使用するようにCitrix Cloudを構成する。
  2. Citrix IDをEndpoint ManagementのIDPタイプとして構成する

この構成後、ドメインに参加しているSecure Hubユーザーは、Secure Hubを使用してAzure AD資格情報でサインオンできます。Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。

Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成する

Citrix WorkspaceアプリとSecure Hubで使用するためにこのサービスをセットアップするには、Citrix CloudでAzure Active Directoryを構成します。

  1. https://citrix.cloud.comでCitrix Cloudアカウントにサインインします。

  2. Citrix Cloudメニューから [IDおよびアクセス管理] ページに移動し、Azure Active Directoryに接続します。

  3. 管理者のサインインURLを入力し、[接続] をクリックします。

    Citrix Cloud画面

  4. サインインすると、Azure Active DirectoryアカウントがCitrix Cloudに接続されます。[IDおよびアクセス管理]>[認証] ページに、Citrix CloudアカウントとAzure ADアカウントへのサインインに使用するアカウントが表示されます。

  5. Citrix Workspaceアプリを介して登録するユーザーのAzure ADによる認証を有効にするには、[ワークスペース構成]>[認証]で、[Azure Active Directory]を選択します。構成が完了したら、Citrix Workspaceアプリからユーザーデバイスを登録できます。

Citrix IDをEndpoint ManagementのIDPタイプとして構成する

この構成は、Secure Hubを介して登録するユーザーにのみ適用されます。Citrix CloudでAzure Active Directoryを構成したら、次のようにEndpoint Managementを構成します。

  1. Endpoint Managementコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加] をクリックします。

  2. [IDプロバイダー(IDP)] ページで、次の項目を構成します:

    • IDP名: 作成するIDP接続を識別できる一意の名前を入力します。
    • IDPの種類: [Citrix IDプラットフォーム] を選択します。
    • 認証ドメイン: [Azure Active Directory] を選択します。このドメインは、Citrix Cloudの [ワークスペース構成]>[認証] ページのIDプロバイダードメインに対応しています。
  3. [次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します:

    • ユーザー識別子の種類: このフィールドは、デフォルトでは [userPrincipalName] に設定されています。オンプレミスのActive DirectoryとAzure Active Directoryの両方で、すべてのユーザーが同じ識別子で構成されていることを確認してください。Endpoint Managementは、この識別子を使用して、IDプロバイダーのユーザーをオンプレミスのActive Directoryユーザーにマップします。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  4. [次へ] を選択して [概要] ページを確認し、[保存] をクリックします。

    これで、Secure Hubユーザー、Endpoint Managementコンソール、Self Help PortalユーザーがAzure Active Directoryの資格情報を使用してサインインできるようになります。

Secure Hubの認証フロー

Endpoint Managementは次のフローにより、Secure Hubを介して登録されたデバイス上のIDプロバイダーとしてAzure ADを使用してユーザーを認証します:

  1. Secure Hubを起動します。
  2. Secure Hubが認証要求をCitrix IDに渡し、Citrix IDがこの要求をAzure Active Directoryに渡します。
  3. ユーザーは、Azure Active Directoryのユーザー名とパスワードを入力します。
  4. Azure Active Directoryがユーザーを検証し、Citrix IDにコードを送信します。
  5. Citrix IDがコードをSecure Hubに送信し、Secure HubがコードをEndpoint Managementサーバーに送信します。
  6. Endpoint Managementがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。Endpoint ManagementはセッションIDを返送します。