Citrix Virtual Apps and Desktops

FIDO2およびWebAuthn認証

FIDO2およびWebAuthnを使用したローカル認証と仮想認証

ユーザーは、TPM 2.0およびWindows Helloを搭載したデバイスでFIDO2セキュリティキーまたは統合された生体認証を使用することで、仮想セッションでFIDO2またはWebAuthnを活用するアプリケーションに認証できます。

FIDO2について詳しくは、「FIDO2: WebAuthn & CTAP」を参照してください。

この機能の使用について詳しくは、「FIDO2リダイレクト」を参照してください。

この機能は、WebAuthnまたはFIDO2を使用した仮想セッションへのログインをサポートしていないことに注意してください。仮想セッション内のアプリケーションでのみこれらの認証方法を使用できます。

この機能は、ダブルホップのシナリオではサポートされません。

サポートに関するマトリックス

セッションホストのオペレーティングシステム Webアプリケーション認証 UWPアプリケーションの認証
Windows Server 2016 USBリダイレクト経由でサポート 未サポート
Windows Server 2019 サポート対象 未サポート
Windows Server 2022 サポート対象 サポート対象
Windows 10 サポート対象 サポート対象
Windows 11 サポート対象 サポート対象

追加情報については、以下の要件をご確認ください。

Webアプリケーション認証

要件

WebアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです:

Citrixコントロールプレーン

  • Citrix Virtual Apps and Desktops 2009以降

セッションホスト

  • オペレーティングシステム
    • Windows 10 1809以降
    • Windows Server 2019以降
  • VDA
    • Windows:バージョン2009以降

クライアントデバイス

  • オペレーティングシステム
    • Windows 10 1809以降
    • Linux:Linuxのシステム要件については、Workspaceアプリを参照してください。
  • Workspaceアプリ
    • Windows:バージョン2009.1以降
    • Linux:2303以降

Webブラウザーの要件

  • 64ビットブラウザーのみ

サポートされている認証方法

  • FIDO2セキュリティキー
  • Windows Hello
    • TPM 2.0
    • 統合された生体認証
      • 顔認識
      • 指紋スキャナー
    • WebAuthn

UWPアプリケーションの認証

Citrix Virtual Apps and Desktops 2112のリリースから、UWPアプリケーションで、WebAuthnおよびFIDO2がサポートされます。

Microsoft Teams、Microsoft Outlook for Office 365、OneDriveなどのアプリケーションは、Azure Active Directoryへのリンクとして認証にUWPアプリケーションを使用します。Citrixは、FIDO2を使用したこれらのアプリケーションの認証をサポートします。

要件

UWPアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです:

Citrixコントロールプレーン

  • Citrix Virtual Apps and Desktops 2112以降

セッションホスト

  • オペレーティングシステム
    • Windows 10 1809以降
    • Windows Server 2022以降
  • VDA
    • Windows:バージョン2112以降

クライアントデバイス

  • オペレーティングシステム
    • Windows 10 1809以降
    • Linux:Linuxのシステム要件については、Workspaceアプリを参照してください。
  • Workspaceアプリ
    • Windows:バージョン2009.1以降
    • Linux:2303以降

サポートされている認証方法

  • FIDO2セキュリティキー
  • Windows Hello
    • TPM 2.0
    • 統合された生体認証
      • 顔認識
      • 指紋スキャナー
    • WebAuthn

注:

FIDO2リダイレクトがクライアント、VDA、またはオペレーティングシステムでサポートされていないために利用できない場合は、USBリダイレクトを使用することで、USBベースのFIDO2キーをリダイレクトすることができます。 また、FIDO2リダイレクトが利用可能な場合でも、USBリダイレクトの使用によるUSBベースのFIDO2キーのリダイレクトは、行うことができます。ただし、その場合、FIDO2リダイレクトを無効にし、必要なUSBリダイレクト規則を構成しておく必要があります。 USBリダイレクト規則を使用したFIDO2キーの構成方法について詳しくは、USB redirection device rulesに関するドキュメントを参照してください。

msedgewebview2.exeベースのアプリケーションの詳細な構成

注:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。 レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

msedgewebview2.exeベースのWebアプリケーションを持つ企業の場合、HDXセッション内でFIDO2リダイレクトが機能するには、VDAにさらにレジストリ値を追加する必要があります -

AllowedProcessesレジストリ値にmsedgewebview2.exeのフルパスを追加します:

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\WebAuthnAllowedProcesses
  • 値の名前:AllowedProcesses
  • 値の種類:REG_MULTISZ
  • 値のデータ:<add full path of the msedgewebview2.exe here >

64ビットアプリケーションの場合、次の値を設定する必要があります:

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 値の名前:FilePathName
  • 値の種類:REG_SZ
  • 値のデータ:C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 値の名前:Flag
  • 値の種類:DWORD
  • 値データ:00000002

32ビットアプリケーションの場合、次の値を設定する必要があります:

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 値の名前:FilePathName
  • 値の種類:REG_SZ
  • 値のデータ:C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • キー:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 値の名前:Flag
  • 値の種類:DWORD
  • 値データ:00000002

msedgewebview2.exeベースのアプリケーションでFIDO2リダイレクトを有効にするためにレジストリ値を設定した後、VDAを再起動します。

FIDO2およびWebAuthn認証