製品ドキュメント
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDFを表示

シングルサインオンの拡張ドメインパススルー

April 16, 2026
寄稿者: 
C

シングルサインオンの拡張ドメインパススルーは、Active Directory (AD) に参加しているクライアントデバイスと Citrix StoreFront を使用する場合に、Kerberos を使用して Citrix Workspace アプリおよび仮想アプリとデスクトップセッションへのシングルサインオンを有効にします。

注:

  • この機能は 32 ビットオペレーティングシステムではサポートされていません。

  • この機能は、Citrix Single Sign-on Service (ssonsvr.exe) に基づく従来のパススルー認証機能の代替です。

  • 同じセッションホストへの認証に、従来のドメインパススルー (SSON) 認証と拡張ドメインパススルーを同時に使用することはできません。

  • 従来のドメインパススルー (SSON) 認証では、グループポリシーオブジェクトテンプレートで [Enable MPR notifications for the System] ポリシーを有効にする必要があります。ただし、拡張ドメインパススルーでは、このポリシーを有効にすることなくパススルー認証が可能です。

  • クロスドメイン認証の場合、ドメイン境界を越えてサービスチケットを取得するには、双方向の推移的信頼が必要です。そうでない場合、Kerberos 委任は機能しません。

Citrix Workspace™ app for Windows バージョン 2503 以降、システムは SSON をデフォルトで休止モードでインストールします。インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用して SSON を有効にできます。有効にするには、[User Authentication] > [Local user name and password] に移動し、[Enable pass-through authentication] チェックボックスをオンにします。

  • 注:

    • SSON 設定の GPO ポリシーを更新した後、システムを再起動する必要があります。

システム要件

-  コントロールプレーン
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 以降

-  Virtual Delivery Agent
-  Windows: バージョン 2308 以降

-  > **注:**
-  >
-  > セッションホストまたはクライアントデバイスのいずれかが **Windows 11** を実行している場合、VDA バージョン **2407** 以降、または **2402 LTSR CU2** 以降が必要です。VDA バージョンは、Citrix の [ダウンロード](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/) ページからダウンロードできます。

-  Citrix Workspace アプリ: バージョン 2309 以降

-  > **注:**
-  >
> セッションホストまたはクライアントデバイスのいずれかが **Windows 11** を実行している場合、Workspace アプリバージョン **2405.10** 以降、または **2402 LTSR CU2** 以降が必要です。

-  クライアントデバイス
-  Active Directory ドメインに参加済み
-  Windows 10 64 ビット
-  Windows 11 64 ビット

注:

  • クライアントデバイスはドメインコントローラーに直接接続できる必要があります。デバイスがネットワーク外にある場合、シングルサインオンはサポートされません。
  • マルチセッションセッションホスト:

    • Windows Server 2016

      注:

  •  > Windows Server 2016 は VDA バージョン 2407 以降ではサポートされていません。
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise マルチセッション 22H2
    • Windows 11 Enterprise マルチセッション 22H2 以降
  • シングルセッションセッションホスト:
    • Windows 10 バージョン 22H2
    • Windows 11 バージョン 22H2 以降

注:

シングルサインオンの拡張ドメインパススルーは、Remote Credential Guard に依存しています。Microsoft の ドキュメント で Remote Credential Guard の要件とサポートされている認証シナリオを確認してください。

既知の問題

  • [サードパーティ] クライアントデバイスで Windows Defender Credential Guard が有効になっている場合、セッションへのシングルサインオンは失敗し、資格情報が機能しませんでした。Windows Defender Credential Guard は Windows ログオン資格情報の使用を許可していません。資格情報を入力してください。という Windows セキュリティプロンプトが表示されます。回避策として、Windows Defender Credential Guard を無効にできます。この機能を無効にするには、次の 2 つのオプションがあります。

    1. グループポリシーを使用して、[コンピューターの構成] > [管理用テンプレート] > [システム] > [Device Guard] の下にある [仮想化ベースのセキュリティを有効にする] 設定を構成します。
    2. レジストリで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa の下にある LsaCfgFlags の値を 0 に設定します。

注: これは、RDP 経由での Remote Credential Guard の使用にも影響する Windows の制限事項です。Windows Defender Credential Guard とともに SSO の拡張ドメインパススルーを使用する必要がある場合は、このシナリオをサポートするよう Microsoft にリクエストを送信することをお勧めします。

StoreFront™ の構成

ストアとその対応する Web サイトでドメインパススルー認証を有効にする必要があります。

ストアのドメインパススルーを有効にするには、次の手順を実行します。

  1. StoreFront 管理コンソールを開きます。

  2. [ストア] > [認証方法の管理] に移動します。[認証方法の管理 - Web] ウィンドウが表示されます。

  3. [ドメインパススルー] チェックボックスをオンにします。

    認証方法の管理

  4. [OK] をクリックします。

Web サイトのドメインパススルーを有効にするには、次の手順を実行します。

    1. StoreFront 管理コンソールを開きます。
    1. [ストア] > [Receiver for Websites] タブ > [Receiver for Webサイトの管理] > [構成] > [認証方法] を開きます。[Receiver for Webサイトの編集 - /Citrix/Web] ウィンドウが表示されます。

  1. [ドメインパススルー] チェックボックスをオンにします。

    Receiver for Webサイトの編集

  2. [OK] をクリックします。

Citrix ポリシーの構成

Citrix ポリシーを使用して設定を有効にする必要があります。

  1. Citrix Studio または Web コンソールに移動します。
  2. [ポリシー] > [ポリシーの作成] をクリックします。[ポリシーの作成] ダイアログボックスが表示されます。
  3. [シングルサインオンの拡張ドメインパススルー] ポリシーを検索します。[設定の編集] ダイアログボックスが表示されます。

  4. [許可] オプションを選択して、[シングルサインオンの拡張ドメインパススルー] ポリシーを有効にします。 Receiver for Webサイトの編集

  5. [OK] をクリックします。

セッションホストの構成

Citrix ポリシーを使用して [シングルサインオンの拡張ドメインパススルー] 機能を有効にした後、セッションホストで Windows 設定も有効にする必要があります。Windows 設定は、ローカルポリシーまたは GPO を介して有効にできます。

  1. コンピューターの構成\ポリシー\管理用テンプレート\システム\資格情報の委任 に移動します。

  2. [リモートホストがエクスポートできない資格情報の委任を許可する] 設定を有効にします。

    リモートホストがエクスポートできない資格情報の委任を許可する

  3. 設定を有効にするには、セッションホストを再起動します。

注:

[リモートホストがエクスポートできない資格情報の委任を許可する] 設定は、Windows Server 2016 のローカルポリシーでは利用できません。GPO を使用する代わりにセッションホストでこの設定をローカルに構成する必要がある場合は、次のレジストリ値を追加する必要があります。

キー: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • 値の型: DWORD
  • 値の名前: DisableRestrictedAdmin
  • 値のデータ: 0

クライアントデバイスの構成

クライアントデバイスで次の操作を行う必要があります。

  • シングルサインオンの拡張ドメインパススルーを有効にする
  • StoreFront サイトを信頼する

シングルサインオンの拡張ドメインパススルーを有効にする

クライアントデバイスで [シングルサインオンの拡張ドメインパススルー] 機能を有効にする必要があります。これは、ローカルポリシーまたは GPO を介して行うことができます。

  1. コンピューターの構成\ポリシー\管理用テンプレート\Citrix Components\Citrix Workspace\ユーザー認証 に移動します。

  2. [シングルサインオンの拡張ドメインパススルー] 設定を有効にします。

    選択された拡張ドメイン

  3. 設定を有効にするには、Citrix Workspace アプリを再起動します。

StoreFront サイトを信頼する

StoreFront URL がクライアントデバイスによって信頼されていることを確認する必要があります。URL がすでに信頼されているドメインの一部でない場合は、ローカルイントラネットサイトまたは信頼済みサイトとして追加する必要があります。これは、ローカルポリシーまたはGPOを介して実行できます。

  1. コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページに移動します。

  2. サイトをゾーンの割り当てリスト設定を有効にし、適切なURLと対応するゾーンの割り当てを追加します。

    Site to zone

  3. ログオンオプション設定を有効にし、現在のユーザー名とパスワードで自動ログオンに設定します。

    Logon options

    Logon options enabled

シングルサインオンの拡張ドメインパススルー
April 16, 2026
寄稿者: 
C
April 16, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.