ワークスペースセッション
ワークスペースセッション設定を使用して、ユーザーが資格情報を入力する必要があるタイミングと、ユーザーがログイン状態を維持する期間を選択します。これらの設定を構成するには、次の手順を実行します。
- Citrix Cloudメニューから、Workspace Configurationを選択します。
- カスタマイズメニューから、Preferencesを選択します。
- Workspace Sessionsセクションに移動します。
- 設定を更新します。
- 適用するには保存を押し、キャンセルするには元に戻すを押します。
一部の設定は、ネットワークロケーションの接続タイプに応じて異なる方法で構成できます。これにはPowerShellモジュールの使用が必要です。詳細については、「ネットワーク接続タイプごとの設定構成」を参照してください。
エンドユーザーへの資格情報の常時要求
有効にすると(デフォルト)、新しいワークスペースセッションが必要な場合に、ワークスペースはIDプロバイダーによるサインインプロンプトを強制します。OIDC認証の場合、ワークスペースは認証要求にprompt=loginを含めます。SAML認証の場合、ワークスペースは認証要求でForceAuthn=trueを送信します。
無効にすると、IDプロバイダーがすでに有効なセッションを持っている場合、ユーザーはIDプロバイダーによる認証を求められないことがあります。
Webブラウザーの非アクティブタイムアウト
Webブラウザーの非アクティブタイムアウト設定を使用して、Citrix Workspaceからユーザーが自動的にサインアウトされるまでのアイドル時間(最大8時間)を指定します。ページの更新やアプリの起動など、ワークスペースとのやり取りのみがアクティビティとしてカウントされます。
DaaSセッションを切断する手動サインアウトとは異なり、ユーザーは非アクティブによるタイムアウト後もDaaSセッションに接続されたままになります。ユーザーはIDプロバイダーからサインアウトされません。したがって、エンドユーザーへの資格情報の常時要求が無効になっている場合、ユーザーは資格情報を入力せずに再度ログインできる可能性があります。
「ネットワーク接続タイプごとの設定構成」も参照してください。
Citrix Workspaceアプリの非アクティブタイムアウト
デスクトップ
Workspaceアプリの非アクティブタイムアウト設定のデスクトップオプションを使用して、Windows、Mac、Linux版Citrix Workspaceアプリからユーザーが自動的にサインアウトされるまでのアイドル時間(最大24時間)を指定します。マウスまたはキーボードとのやり取りはすべてアクティビティとしてカウントされ、タイムアウトを延長します。
DaaSセッションを切断する手動サインアウトとは異なり、サブスクライバーは非アクティブによるタイムアウト後もDaaSセッションに接続されたままになります。
PowerShellモジュールを使用して設定を変更できます。Set-WorkspaceCustomConfigurationコマンドレットをパラメーターInactivityTimeoutInMinutesとともに使用します。
「ネットワーク接続タイプごとの設定構成」も参照してください。
モバイル
Workspaceアプリの非アクティブタイムアウト設定のモバイルオプションを使用して、Citrix Workspaceアプリがロックされるまでのアイドル時間(最大24時間)を指定します。これはiOSおよびAndroid版Citrix Workspaceアプリに適用されます。ロックされると、ユーザーは生体認証またはデバイスのPINを使用してCitrix Workspaceアプリのロックを解除する必要があります。デバイスで生体認証が有効になっていない場合、ユーザーは代わりにログアウトされます。
PowerShellモジュールを使用して設定を変更できます。Set-WorkspaceCustomConfigurationコマンドレットをパラメーターInactivityTimeoutInMinutesMobileとともに使用します。
「ネットワーク接続タイプごとの設定構成」も参照してください。
Citrix Workspaceアプリへのログイン状態維持
Workspaceアプリへのログイン状態維持設定を使用して、ユーザーがCitrix Workspaceアプリに再度サインインする必要があるまでのサインイン状態を維持できる期間を指定します。これらの設定はWebブラウザーには適用されません。
認証期間は、ユーザーが再認証する必要があるまでの最大時間を定義します。デフォルトでは30日に設定されていますが、1日から365日の間で値を構成できます。
期間が1日を超える場合、デフォルトでは、ユーザーが認証する際に「サインイン状態を維持する」ことへの同意を求められます。「ユーザーエクスペリエンス」を参照してください。これにより、Citrix Workspaceアプリはリフレッシュトークンを使用して、既存のアクセストークンの有効期限が切れたときに新しいアクセストークンを取得できます。ユーザーは続行するために許可を受け入れる必要があります。ユーザーが許可を拒否した場合、ログイン画面に戻されます。ユーザーが2回目に資格情報を入力した場合、プロンプトは表示されず、セッションは24時間に制限されます。
エンドユーザーに代わって、認証期間で指定された期間サインイン状態を維持することに同意するを選択すると、ユーザーが個別にサインイン状態を維持することに同意する必要がなくなります。
非アクティブ期間は、ユーザーが再認証する必要があるまでの非アクティブ状態の期間を定義します。デフォルトでは4日ですが、1日から再認証期間までの間で値を構成できます。この値を超えてユーザーが非アクティブ状態の場合、次回ワークスペースにアクセスしようとしたときに再認証を求められます。デスクトップで24時間未満の非アクティブ期間を設定するには、Citrix Workspaceアプリの非アクティブタイムアウト設定のデスクトップオプションを使用します。
ログイン状態維持の許可の取り消し
このPowerShellスクリプトをダウンロードし、ダウンロードに含まれる指示に従うことで、エンドユーザーのセッションを無効にできます。セッションを無効にした後、ユーザーは次の24時間以内にワークスペースに再認証する必要があります。
サポートされているWorkspaceアプリクライアント
Citrix Workspaceアプリの以下のバージョンがこの機能をサポートしています。
- Windows向けWorkspaceアプリ2106以降
- Mac向けWorkspaceアプリ2106以降
- iOS向けWorkspaceアプリ21.6.5以降
- Android向けWorkspaceアプリ21.6.0以降
サポートされている認証方法
Citrix Workspaceアプリへのログイン状態維持は、以下の認証方法でサポートされています。
- Active Directory
- Active Directoryとトークン
- Entra ID
- Citrix Gateway
- Okta
注:
OktaまたはAzure Active Directoryを使用するCitrix DaaSのお客様と同じエクスペリエンスを得るには、Citrix Federated Authentication Service(FAS)を構成します。FASの詳細については、「Citrix Federated Authentication Serviceを使用したワークスペースのシングルサインオンの有効化」を参照してください。
ネットワーク接続タイプごとの設定構成
Web、デスクトップ、モバイルのタイムアウト、およびエンドユーザーへの資格情報の常時要求は、ユーザーが社内ネットワーク、既知の外部ネットワーク、またはその他の場所にいるかどうかに応じて異なる方法で構成できます。たとえば、社内ネットワークに接続されたデバイスには、より短いタイムアウトを設定できます。
既存の構成の表示
Citrix Workspace PowerShellモジュールを使用して既存の構成を表示するには、Get-StoreClientLocationConfigurationコマンドレットを呼び出します。例:
$ConnectivityTimeouts = Get-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret'
$ConnectivityTimeouts.external
$ConnectivityTimeouts.internal
$ConnectivityTimeouts.undefined
<!--NeedCopy-->
構成の更新
ネットワーク接続タイプの設定を構成するには、次の手順を実行します。
- アダプティブアクセスが有効になっていることを確認します。
- ユーザーのパブリックIPアドレスに基づいて、社内ロケーションと既知の外部ロケーションを表すネットワークロケーションを定義します。ユーザーのIPアドレスがネットワークロケーションと一致しない場合、そのネットワーク接続タイプは未定義と見なされます。
-
Citrix Workspace PowerShellモジュールから、
Set-StoreClientLocationConfigurationコマンドレットをInternal、External、またはUndefinedパラメーターとともに呼び出します。パラメーター値は、キーinactivityTimeoutInMinutesWeb、inactivityTimeoutInMinutesDesktop、inactivityTimeoutInMinutesMobile、およびpromptLoginEnabledを持つハッシュテーブルである必要があります。
たとえば、各ロケーションのオーバーライドを設定するには、次を実行します。
$InternalHashTable = @{promptLoginEnabled=$false;
inactivityTimeoutInMinutesWeb='60';
inactivityTimeoutInMinutesDesktop='60';
inactivityTimeoutInMinutesMobile='120'}
$ExternalHashTable = @{promptLoginEnabled=$true;
inactivityTimeoutInMinutesWeb='60';
inactivityTimeoutInMinutesDesktop='60';
inactivityTimeoutInMinutesMobile='120'}
$UndefinedHashTable = @{promptLoginEnabled=$true;
inactivityTimeoutInMinutesWeb='20';
inactivityTimeoutInMinutesDesktop='20';
inactivityTimeoutInMinutesMobile='20'}
Set-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret' `
-Internal $InternalHashTable `
-External $ExternalHashTable `
-Undefined $UndefinedHashTable
<!--NeedCopy-->
ネットワーク接続タイプに特定のタイムアウトを構成しない場合、ロケーション固有ではないタイムアウトが代わりに使用されます。
オーバーライドを削除するには、Internal、External、またはUndefinedパラメーターをnullに設定します。例:
Set-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret' `
-Internal $NULL `
-External $NULL `
-Undefined $NULL
<!--NeedCopy-->
重要:
ユーザーデバイスが異なる接続タイプのネットワークに移動しても、新しい値はすぐに適用されません。Citrix Workspaceアプリは90分ごとに値を更新します。Webブラウザーを使用している場合、ユーザーがWebページを更新するたびに値が更新されます。