製品ドキュメント
Citrix Virtual Apps and Desktops 7 2311
PDFを表示

マイクロソフト アジュール への接続

May 31, 2026
寄稿者: 
C C

接続とリソースの作成および管理では、接続を作成するウィザードについて説明します。以下の情報は、Azure Resource Managerクラウド環境に固有の詳細を扱っています。

注:

Microsoft Azureへの接続を作成する前に、Azureアカウントをリソースの場所として設定を完了する必要があります。Microsoft Azure Resource Managerクラウド環境を参照してください。

サービスプリンシパルと接続を作成する

接続を作成する前に、接続がAzureリソースにアクセスするために使用するサービスプリンシパルを設定する必要があります。接続は次の2つの方法で作成できます。

  • Web Studioを使用してサービスプリンシパルと接続を同時に作成する
  • 以前に作成したサービスプリンシパルを使用して接続を作成する

このセクションでは、以下のタスクを完了する方法について説明します。

考慮事項

  • Citrix®は、共同作成者ロールを持つサービスプリンシパルの使用を推奨しています。ただし、最小限の権限のリストについては、最小限の権限セクションを参照してください。
  • 最初の接続を作成する際、Azureは必要な権限を付与するよう求めます。将来の接続では、引き続き認証が必要ですが、Azureは以前の同意を記憶しており、プロンプトを再度表示することはありません。
  • 認証に使用されるアカウントは、サブスクリプションの共同管理者である必要があります。
  • 認証に使用されるアカウントは、サブスクリプションのディレクトリのメンバーである必要があります。「職場または学校」アカウントと「個人用Microsoftアカウント」の2種類のアカウントに注意してください。詳細については、CTX219211を参照してください。

  • 既存のMicrosoftアカウントをサブスクリプションのディレクトリのメンバーとして追加して使用することはできますが、ユーザーが以前にディレクトリのリソースのいずれかへのゲストアクセスを許可されていた場合、問題が発生する可能性があります。この場合、ディレクトリ内に必要な権限を付与しないプレースホルダーエントリが存在し、エラーが返されることがあります。

    これを修正するには、ディレクトリからリソースを削除し、明示的に再度追加します。ただし、このオプションは、アカウントがアクセスできる他のリソースに意図しない影響を与える可能性があるため、慎重に実行してください。

  • 特定のアカウントが実際にはメンバーであるにもかかわらず、ディレクトリゲストとして検出される既知の問題があります。このような構成は、通常、古くから確立されたディレクトリアカウントで発生します。回避策:ディレクトリにアカウントを追加し、適切なメンバーシップ値を取得させます。
  • リソースグループは単にリソースのコンテナであり、自身のリージョン以外のリージョンからのリソースを含むことができます。リソースグループのリージョンに表示されるリソースが利用可能であると期待している場合、これは混乱を招く可能性があります。
  • 必要な数のマシンをホストするのに十分な大きさのネットワークとサブネットがあることを確認してください。これにはある程度の先見性が必要ですが、Microsoftはアドレス空間の容量に関するガイダンスを提供し、適切な値を指定するのに役立ちます。

Web Studio を使用してサービスプリンシパルと接続を作成する

重要:

この機能は、Azure China サブスクリプションではまだ利用できません。

Web Studio を使用すると、単一のワークフローでサービスプリンシパルと接続の両方を作成できます。サービスプリンシパルは、接続に Azure リソースへのアクセスを許可します。サービスプリンシパルを作成するために Azure に認証すると、Azure にアプリケーションが登録されます。登録されたアプリケーションには、秘密鍵(クライアントシークレットまたはアプリケーションシークレットと呼ばれます)が作成されます。登録されたアプリケーション(この場合は接続)は、クライアントシークレットを使用して Azure AD に認証します。

開始する前に、以下の前提条件を満たしていることを確認してください。

  • サブスクリプションの Azure Active Directory テナントにユーザーアカウントがあること。
  • Azure AD ユーザーアカウントが、リソースのプロビジョニングに使用する Azure サブスクリプションの共同管理者でもあること。
  • 認証のためのグローバル管理者、アプリケーション管理者、またはアプリケーション開発者のアクセス許可が必要です。これらのアクセス許可は、ホスト接続を作成した後に取り消すことができます。ロールについて詳しくは、Azure AD の組み込みロールを参照してください。

接続とリソースの追加ウィザードを使用して、サービスプリンシパルと接続を同時に作成します。

  1. 接続ページで、新しい接続を作成Microsoft Azure接続タイプ、およびAzure環境を選択します。

  2. 仮想マシンを作成するために使用するツールを選択し、次へを選択します。

  3. 接続の詳細ページで、AzureサブスクリプションIDと接続の名前を入力します。サブスクリプションIDを入力すると、新規作成ボタンが有効になります。

    注:

    接続名には1~64文字を含めることができ、空白のみを含めることや、\/;:#.*?=<>|[]{}"'()'の文字を含めることはできません。

  4. 新規作成を選択し、Azure Active Directoryアカウントのユーザー名とパスワードを入力します。

  5. サインインを選択します。

  6. 同意を選択して、Citrix Virtual Apps and Desktops™にリストされているアクセス許可を付与します。Citrix Virtual Apps and Desktopsは、指定されたユーザーに代わってAzureリソースを管理できるようにするサービスプリンシパルを作成します。

  7. 同意を選択すると、ウィザードの接続ページに戻ります。

    注:

    Azureへの認証が成功すると、新規作成ボタンと既存を使用ボタンが消えます。緑色のチェックマークとともに接続に成功しましたというテキストが表示され、Azureサブスクリプションへの接続が成功したことを示します。

  8. 接続の詳細ページで、次へを選択します。

    注:

    Azure で正常に認証され、必要なアクセス許可の付与に同意するまで、次のページに進むことはできません。

  9. 接続のリソースを構成します。リソースは、リージョンとネットワークで構成されます。

    • Region ページで、リージョンを選択します。
    • Network ページで、以下を実行します。
      • リージョンとネットワークの組み合わせを識別しやすくするために、1~64文字のリソース名を入力します。リソース名には、空白のみ、または文字 \/;:#.*?=<>|[]{}"'()' を含めることはできません。
      • 仮想ネットワーク/リソースグループのペアを選択します。(同じ名前の仮想ネットワークが複数ある場合、ネットワーク名とリソースグループをペアにすることで一意の組み合わせが提供されます。) 前のページで選択したリージョンに仮想ネットワークがない場合は、そのページに戻り、仮想ネットワークがあるリージョンを選択してください。

  10. Summary ページで、設定の概要を確認し、Finish を選択してセットアップを完了します。

アプリケーションIDの表示

接続を作成した後、その接続がAzureリソースへのアクセスに使用するアプリケーションIDを表示できます。

Add Connection and Resources リストで、接続を選択して詳細を表示します。Details タブにアプリケーションIDが表示されます。

PowerShell を使用してサービスプリンシパルを作成する

PowerShell を使用してサービスプリンシパルを作成するには、Azure Resource Manager サブスクリプションに接続し、以下のセクションで提供されている PowerShell コマンドレットを使用します。

以下の項目を準備してください。

  • SubscriptionId: VDA をプロビジョニングするサブスクリプションの アジュール リソース マネージャー SubscriptionID
  • ActiveDirectoryID: アジュール AD に登録したアプリケーションのテナント ID。
  • ApplicationName: Azure ADで作成するアプリケーションの名前。

詳細な手順は次のとおりです。

Azure Resource Managerサブスクリプションに接続します。

`Connect-AzAccount`

  1. サービスプリンシパルを作成するAzure Resource Managerサブスクリプションを選択します。

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  2. ADテナントにアプリケーションを作成します。

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  3. サービスプリンシパルを作成します。

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  4. サービスプリンシパルにロールを割り当てます。

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  5. PowerShellコンソールの出力ウィンドウからApplicationIdをメモします。ホスト接続を作成する際に、そのIDを提供します。

Azureでアプリケーションシークレットを取得する

既存のサービスプリンシパルを使用して接続を作成するには、まずAzureポータルでサービスプリンシパルのアプリケーションIDとシークレットを取得する必要があります。

詳細な手順は次のとおりです。

  1. Web StudioまたはPowerShellを使用して、アプリケーションIDを取得します。
  2. Azureポータルにサインインします。
  3. アジュール で、アジュール アクティブ ディレクトリ を選択します。
  4. Azure ADのアプリの登録から、アプリケーションを選択します。
  5. 証明書とシークレットに移動します。
  6. クライアントシークレットをクリックします。

既存のサービスプリンシパルを使用して接続を作成する

既存のサービスプリンシパルがある場合は、それを使用してWeb Studioで接続を作成できます。

次の項目を準備してください。

  • サブスクリプションID
  • アクティブディレクトリID (テナント ID)
  • アプリケーションID

  • アプリケーションシークレット

    詳細については、「アプリケーションシークレットの取得」(#get-the-application-secret-in-azure)を参照してください。

  • シークレットの有効期限

詳細な手順は次のとおりです。

接続とリソースの追加ウィザードで、

  1. 接続ページで、新しい接続を作成Microsoft Azure接続タイプ、およびAzure環境を選択します。

  2. 仮想マシンを作成するために使用するツールを選択し、次へを選択します。

  3. 接続の詳細ページで、AzureサブスクリプションIDと接続名を入力します。

    注:

    接続名には1~64文字を含めることができ、空白のみ、または文字\/;:#.*?=<>|[]{}"'()'を含めることはできません。

  4. 既存を使用を選択します。既存のサービスプリンシパルの詳細ウィンドウで、既存のサービスプリンシパルに対して次の設定を入力します。詳細を入力すると、保存ボタンが有効になります。保存を選択します。有効な詳細情報を提供するまで、このページから先に進むことはできません。

    • サブスクリプションID。AzureサブスクリプションIDを入力します。サブスクリプションIDを取得するには、Azureポータルにサインインし、サブスクリプション > 概要に移動します。
    • Active Directory ID (テナントID)。Azure ADに登録したアプリケーションのディレクトリ(テナント)IDを入力します。
    • アプリケーションID。Azure ADに登録したアプリケーションのアプリケーション(クライアント)IDを入力します。
    • アプリケーションシークレット。シークレットキー(クライアントシークレット)を作成します。登録されたアプリケーションは、このキーを使用してAzure ADに認証します。セキュリティ上の理由から、キーを定期的に変更することをお勧めします。キーは後で取得できないため、必ず保存してください。

    • シークレットの有効期限。アプリケーションシークレットの有効期限が切れる日付を入力します。シークレットキーの有効期限が切れる14日前から、ホスティングノードの特定のホスト接続に警告アイコンが表示されます。ただし、シークレットキーの有効期限が切れると、エラーが発生します。

      注:

      セキュリティ上の理由から、有効期限は現在から2年を超えることはできません。

    • 認証URL。このフィールドは自動的に入力され、編集できません。
    • 管理URL。このフィールドは自動的に入力され、編集できません。

    • ストレージサフィックス。このフィールドは自動的に入力され、編集できません。

      AzureでMCSカタログを作成するには、以下のエンドポイントへのアクセスが必要です。これらのエンドポイントへのアクセスにより、ネットワークとAzureポータルおよびそのサービス間の接続が最適化されます。

  5. 保存を選択すると、接続の詳細ページに戻ります。次へを選択して次のページに進みます。

  6. 接続のリソースを構成します。リソースには、リージョンとネットワークが含まれます。

    • リージョンページで、リージョンを選択します。
    • ネットワークページで、以下を実行します。
      • リージョンとネットワークの組み合わせを識別するために、1~64文字のリソース名を入力します。リソース名には、空白のみを含めることや、\/;:#.*?=<>|[]{}"'()'の文字を含めることはできません。
      • 仮想ネットワーク/リソースグループのペアを選択します。(同じ名前の仮想ネットワークが複数ある場合、ネットワーク名とリソースグループをペアにすることで一意の組み合わせが提供されます。)前のページで選択したリージョンに仮想ネットワークがない場合は、そのページに戻り、仮想ネットワークがあるリージョンを選択してください。

  7. 概要ページで設定の概要を確認し、完了を選択してセットアップを完了します。

サービスプリンシパルと接続の管理

このセクションでは、サービスプリンシパルと接続を管理する方法について詳しく説明します。

Azureの調整設定を構成する

Azure Resource Managerは、サブスクリプションとテナントに対する要求を調整し、プロバイダーの特定のニーズに合わせて定義された制限に基づいてトラフィックをルーティングします。詳細については、MicrosoftサイトのResource Manager要求の調整を参照してください。サブスクリプションとテナントには制限があり、多くのマシンを管理すると問題が発生する可能性があります。たとえば、多くのマシンを含むサブスクリプションでは、電源操作に関連するパフォーマンスの問題が発生する可能性があります。

ヒント:

詳細については、「Machine Creation ServicesによるAzureパフォーマンスの向上」を参照してください。

これらの問題を軽減するために、MCSの内部調整を削除して、Azureから利用可能な要求クォータをより多く使用できます。

大規模なサブスクリプション(たとえば、1,000台のVMを含むサブスクリプション)でVMの電源をオンまたはオフにする場合は、次の最適な設定をお勧めします。

  • 絶対同時操作数: 500
  • 1分あたりの最大新規操作数: 2000
  • 操作の最大同時実行数: 500

特定のAzure接続に対してAzure操作を構成するには、Web Studioを使用します。

  1. Web Studioで、左ペインの「ホスティング」を選択します。
  2. 接続を選択します。
  3. 「接続の編集」ウィザードで、「詳細」を選択します。
  4. 「詳細」ページで、構成オプションを使用して、同時アクションの数、1分あたりの最大新規アクション数、および追加の接続オプションを指定します。

Azureスロットリング(/ja-jp/citrix-virtual-apps-desktops/2311/media/azure-throttling-host-connection.png)

MCSは、デフォルトで最大500の同時操作をサポートしています。または、Remote PowerShell SDKを使用して、同時操作の最大数を設定することもできます。

PowerShellプロパティMaximumConcurrentProvisioningOperationsを使用して、Azureプロビジョニングの同時操作の最大数を指定します。このプロパティを使用する際は、以下を考慮してください。

  • MaximumConcurrentProvisioningOperationsのデフォルト値は500です。
  • PowerShellコマンドSet-itemを使用して、MaximumConcurrentProvisioningOperationsパラメーターを構成します。

Azureでイメージ共有を有効にする

マシンカタログを作成または更新する際、異なるAzureテナントおよびサブスクリプション(Azure Compute Galleryを介して共有)から共有イメージを選択できます。テナント内またはテナント間でイメージ共有を有効にするには、Azureで必要な設定を行う必要があります。

テナント内(サブスクリプション間)でイメージを共有する

別のサブスクリプションに属するAzure Compute Galleryのイメージを選択するには、そのサブスクリプションのサービスプリンシパル(SPN)とイメージを共有する必要があります。

たとえば、Studioで次のように構成されているサービスプリンシパル(SPN 1)がある場合:

サービスプリンシパル:SPN 1

サブスクリプション:subscription 1

テナント:tenant 1

イメージが別のサブスクリプションにあり、Studioで次のように構成されている場合:

サブスクリプション:subscription 2

テナント:tenant 1

subscription 2のイメージをsubscription 1(SPN 1)と共有したい場合は、subscription 2に移動し、リソースグループをSPN1と共有します。

イメージは、Azureロールベースのアクセス制御(RBAC)を使用して別のSPNと共有する必要があります。Azure RBACは、Azureリソースへのアクセスを管理するために使用される承認システムです。Azure RBACの詳細については、Microsoftドキュメント「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。アクセスを許可するには、リソースグループスコープで共同作成者ロールを持つサービスプリンシパルにロールを割り当てます。Azureロールを割り当てるには、ユーザーアクセス管理者や所有者などのMicrosoft.Authorization/roleAssignments/write権限が必要です。別のSPNとイメージを共有する方法の詳細については、Microsoftドキュメント「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

PowerShellコマンドを使用して別のサブスクリプションからイメージを選択する方法については、「別のサブスクリプションからイメージを選択する」を参照してください。

テナント間でイメージを共有する

Azure Compute Galleryを使用してテナント間でイメージを共有するには、アプリケーション登録を作成します。

たとえば、2つのテナント(テナント1とテナント2)があり、イメージギャラリーをテナント1と共有したい場合は、次の手順を実行します。

  1. テナント1のアプリケーション登録を作成します。詳細については、「アプリ登録を作成する」を参照してください。

  2. ブラウザを使用してサインインを要求することで、テナント2にアプリケーションへのアクセスを許可します。Tenant2 IDをテナント1のテナントIDに置き換えます。Application (client) IDを作成したアプリケーション登録のアプリケーションIDに置き換えます。置き換えが完了したら、URLをブラウザに貼り付け、サインインプロンプトに従ってテナント2にサインインします。例:

    https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
<!--NeedCopy-->

    詳細については、テナント2にアクセスを許可するを参照してください。

  3. アプリケーションにテナント2のリソースグループへのアクセスを許可します。テナント2としてサインインし、ギャラリーイメージを持つリソースグループにアプリケーション登録のアクセスを許可します。詳細については、テナント間の要求を認証するを参照してください。

PowerShellコマンドを使用して、別のテナントのイメージからカタログを作成するには:

  1. 共有テナントIDでホスティング接続のカスタムプロパティを更新する
  2. 別のテナントからイメージを選択する

フル構成を使用して共有テナントを接続に追加する

Web Studioでマシンカタログを作成または更新する際、異なるAzureテナントおよびサブスクリプション(Azure Compute Galleryを通じて共有される)から共有イメージを選択できます。この機能を使用するには、関連するホスト接続の共有テナントおよびサブスクリプション情報を提供する必要があります。

注:

テナント間でイメージ共有を有効にするために、Azureで必要な設定が構成されていることを確認してください。詳細については、「[テナント間でイメージを共有する]」(#share-images-across-tenants)を参照してください。

接続に対して次の手順を実行します。

  1. Web Studioで、左ペインのホスティングを選択します。

  2. 接続を選択し、アクションバーで接続の編集を選択します。

    共有テナント

  3. 共有テナントで、次の操作を行います。

    • 接続のサブスクリプションに関連付けられているアプリケーションIDとアプリケーションシークレットを提供します。Citrix Virtual Apps and Desktops はこの情報を使用して Azure AD に認証します。
    • 接続のサブスクリプションと Azure Compute Gallery を共有するテナントとサブスクリプションを追加します。各テナントにつき、最大8つの共有テナントと8つのサブスクリプションを追加できます。
  4. 完了したら、変更を適用してウィンドウを開いたままにするには、適用を選択します。または、変更を適用してウィンドウを閉じるには、OKを選択します。

PowerShell を使用したイメージ共有の実装

このセクションでは、PowerShell を使用してイメージを共有するプロセスについて説明します。

別のサブスクリプションからイメージを選択する

PowerShell コマンドを使用して MCS カタログを作成および更新するために、同じ Azure テナント内の別の共有サブスクリプションに属する Azure Compute Gallery のイメージを選択できます。

  1. ホスティングユニットのルートフォルダーに、Citrix は sharedsubscription という新しい共有サブスクリプションフォルダーを作成します。

  2. テナント内のすべての共有サブスクリプションを一覧表示します。

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
<!--NeedCopy-->

  3. 1つの共有サブスクリプションを選択し、その共有サブスクリプションのすべての共有リソースグループを一覧表示します。

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
<!--NeedCopy-->

  4. リソースグループを選択し、そのリソースグループのすべてのギャラリーを一覧表示します。

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
<!--NeedCopy-->

  5. ギャラリーを選択し、そのギャラリーのすべてのイメージ定義を一覧表示します。

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
<!--NeedCopy-->

  6. 1つのイメージ定義を選択し、そのイメージ定義のすべてのイメージバージョンを一覧表示します。

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
<!--NeedCopy-->

  7. 次の要素を使用してMCSカタログを作成および更新します。

    • リソースグループ
    • ギャラリー
    • ギャラリーイメージ定義
    • ギャラリーイメージバージョン

    Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。

共有テナントIDでホスティング接続のカスタムプロパティを更新する

Set-Itemを使用して、共有テナントIDとサブスクリプションIDでホスティング接続のカスタムプロパティを更新します。CustomPropertiesにプロパティSharedTenantsを追加します。Shared Tenantsの形式は次のとおりです。

[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

例えば:

Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->

注:

複数のテナントを追加できます。各テナントは複数のサブスクリプションを持つことができます。

別のテナントからイメージを選択する

PowerShellコマンドを使用してMCSカタログを作成および更新するために、別のAzureテナントに属するAzure Compute Galleryのイメージを選択できます。

  1. ホスティングユニットのルートフォルダーに、Citrixはsharedsubscriptionという新しい共有サブスクリプションフォルダーを作成します。

  2. すべての共有サブスクリプションを一覧表示します。

    Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
<!--NeedCopy-->

  3. 共有サブスクリプションを1つ選択し、その共有サブスクリプションのすべての共有リソースグループを一覧表示します。

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
<!--NeedCopy-->

  4. リソースグループを選択し、そのリソースグループのすべてのギャラリーを一覧表示します。

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
<!--NeedCopy-->

  5. ギャラリーを選択し、そのギャラリーのすべてのイメージ定義を一覧表示します。

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
<!--NeedCopy-->

  6. イメージ定義を1つ選択し、そのイメージ定義のすべてのイメージバージョンを一覧表示します。

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
<!--NeedCopy-->

  7. 次の要素を使用してMCSカタログを作成および更新します。

    • リソースグループ
    • ギャラリー
    • ギャラリーイメージ定義
    • ギャラリーイメージバージョン

    Remote PowerShell SDK を使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/ を参照してください。

アプリケーションシークレットとシークレットの有効期限を管理する

シークレットの有効期限が切れる前に、接続のアプリケーションシークレットを必ず変更してください。シークレットキーの有効期限が切れる14日前から、Hosting ノードの特定のホスト接続に警告アイコンが表示されます。ただし、シークレットキーの有効期限が切れると、エラーが発生します。

Azure でアプリケーションシークレットを作成する

Azure portal を介して、接続のアプリケーションシークレットを作成できます。

  1. Azure Active Directory のオプションを選択してください。」
  2. Azure AD の「アプリの登録」から、お使いのアプリケーションを選択します。
  3. 証明書とシークレット」に移動します。
  4. クライアントシークレット > 新しいクライアントシークレット」をクリックします。

  5. シークレットの説明を入力し、期間を指定します。完了したら、「追加」を選択します。

    注:

    クライアントシークレットは後で取得できないため、必ず保存してください。

  6. クライアントシークレットの値と有効期限をコピーします。
  7. Web Studio で、対応する接続を編集し、「アプリケーションシークレット」および「シークレットの有効期限」フィールドの内容をコピーした値に置き換えます。

シークレットの有効期限を変更する

Web Studio を使用して、使用中のアプリケーションシークレットの有効期限を追加または変更できます。

注:

シークレットキーの有効期限が切れる14日前から、「ホスティング」ノードの特定のホスト接続に警告アイコンが表示されます。

  1. 接続とリソースの追加」ウィザードで、接続を右クリックし、「接続の編集」をクリックします。
  2. 接続のプロパティ」ページで、「シークレットの有効期限」をクリックして、使用中のアプリケーションシークレットの有効期限を追加または変更します。

必要なAzure権限

このセクションには、Azureに必要な最小限の一般的な権限が含まれています。

最小限の権限

最小限の権限は、より優れたセキュリティ制御を提供します。ただし、追加の権限を必要とする新機能は、最小限の権限のみを使用しているため失敗します。

ホスト接続の作成

Azureから取得した情報を使用して、新しいホスト接続を追加します。

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

VMの電源管理

マシンインスタンスの電源をオンまたはオフにします。

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

VMの作成、更新、または削除

マシンカタログを作成し、マシンの追加、削除、更新、およびマシンカタログの削除を行います。

以下は、マスターイメージがマネージドディスクであるか、スナップショットがホスティング接続と同じリージョンにある場合に必要となる最小限の権限のリストです。

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

以下の機能には、最小限の権限に加えて、以下の追加権限が必要です。

  • マスターイメージが、ホスティング接続と同じリージョンにあるストレージアカウント内のVHDである場合:

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 <!--NeedCopy-->

  • マスターイメージが共有イメージギャラリーから提供されるイメージバージョンである場合:

     "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 <!--NeedCopy-->

  • マスターイメージがマネージドディスクであり、スナップショットまたはVHDがホスティング接続のリージョンとは異なるリージョンにある場合:

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 "Microsoft.Storage/storageAccounts/write",
 "Microsoft.Storage/storageAccounts/delete",
 <!--NeedCopy-->

  • Citrix管理のリソースグループを使用する場合:

     "Microsoft.Resources/subscriptions/resourceGroups/write",
 "Microsoft.Resources/subscriptions/resourceGroups/delete",
 <!--NeedCopy-->

  • マスターイメージを共有イメージギャラリーに配置する場合:

     "Microsoft.Compute/galleries/write",
 "Microsoft.Compute/galleries/images/write",
 "Microsoft.Compute/galleries/images/versions/write",
 "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 "Microsoft.Compute/galleries/delete",
 "Microsoft.Compute/galleries/images/delete",
 "Microsoft.Compute/galleries/images/versions/delete",
 <!--NeedCopy-->

  • Azure専用ホストサポートを使用する場合:

     "Microsoft.Compute/hostGroups/read",
 "Microsoft.Compute/hostGroups/write",
 "Microsoft.Compute/hostGroups/hosts/read",
 <!--NeedCopy-->

  • 顧客管理キー (CMK) を使用したサーバー側暗号化 (SSE) を使用する場合:

     "Microsoft.Compute/diskEncryptionSets/read",
 <!--NeedCopy-->

  • ARMテンプレート (マシンプロファイル) を使用してVMを展開する場合:

     "Microsoft.Resources/deployments/write",
 "Microsoft.Resources/deployments/operationstatuses/read",
 "Microsoft.Resources/deployments/read",
 "Microsoft.Resources/deployments/delete",
 <!--NeedCopy-->

  • Azureテンプレート仕様をマシンプロファイルとして使用する場合:

     "Microsoft.Resources/templateSpecs/read",
 "Microsoft.Resources/templateSpecs/versions/read",
 <!--NeedCopy-->

アンマネージドディスクを使用したマシンの作成、更新、削除

マスターイメージがVHDであり、管理者が提供するリソースグループを使用する場合に必要となる最小限の権限のリストは次のとおりです:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

一般的な権限

共同作成者ロールは、すべてのリソースを管理するためのフルアクセス権を持っています。この権限セットは、新しい機能の取得を妨げるものではありません。

以下の権限セットは、現在の機能セットで必要とされる以上の権限を含んでいますが、今後最高の互換性を提供します:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

次のステップ

詳細情報

  • 接続とリソース(/ja-jp/citrix-virtual-apps-desktops/2311/manage-deployment/connections.html)
  • マシンカタログの作成(/ja-jp/citrix-virtual-apps-desktops/2311/install-configure/machine-catalogs-create.html)
マイクロソフト アジュール への接続
May 31, 2026
寄稿者: 
C C
May 31, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.