Workspaceセッション
Workspace セッション設定を使用して、ユーザーが資格情報を入力する必要があるタイミングと、ユーザーがログインしたままにする時間を選択します。 これらの設定を構成するには:
- Citrix Cloud メニューから、 ワークスペース構成を選択します。
- カスタマイズ メニューから、 環境設定を選択します。
- ワークスペースセッション セクションに移動します。
- 設定を更新します。
- 適用するには 保存 を押し、キャンセルするには 元に戻す を押します。
一部の設定は、ネットワークの場所の接続タイプに応じて異なる方法で構成できます。 これには PowerShell モジュールを使用する必要があります。 詳細については、「 ネットワーク接続の種類ごとに設定を構成する」を参照してください。
エンドユーザーには常に資格情報の入力を求める
有効にすると(デフォルト)、Workspaceは、新しいWorkspaceセッションが必要になったときに、IDプロバイダーでのサインインプロンプトを強制します。 OIDC 認証の場合、Workspace は認証リクエストに prompt=login を含めます。 SAML 認証の場合、Workspace は認証リクエストで ForceAuthn=true を送信します。
無効にすると、アイデンティティ プロバイダーにすでに有効なセッションがある場合、ユーザーはアイデンティティ プロバイダーによる認証を求められないことがあります。
ウェブブラウザの非アクティブタイムアウト
Web ブラウザーの非アクティブ タイムアウト 設定を使用して、ユーザーが Citrix Workspace から自動的にサインアウトするまでのアイドル時間 (最大 8 時間) を指定します。 ページの更新やアプリの起動など、Workspace との操作のみがアクティビティとしてカウントされます。
DaaS セッションを切断する手動サインアウトとは異なり、ユーザーは、非アクティブによるタイムアウト後も DaaS セッションに接続されたままになります。 ユーザーはアイデンティティプロバイダーからサインアウトされていません。 したがって、 エンド ユーザーに常に資格情報の入力を求める がオフになっている場合、ユーザーは資格情報を入力せずに再度ログインできる可能性があります。
ネットワーク接続タイプごとの設定の構成も参照してください。
Workspace アプリの非アクティブ タイムアウト
デスクトップ
Workspace アプリの非アクティブ タイムアウト 設定の デスクトップ オプションを使用して、ユーザーが Windows、Mac、Linux 向け Citrix Workspace アプリから自動的にサインアウトされるまでのアイドル時間(最大 24 時間)を指定します。 マウスやキーボードとのすべての操作はアクティビティとしてカウントされ、タイムアウトが延長されます。
DaaS セッションを切断する手動サインアウトとは異なり、サブスクライバーは非アクティブによるタイムアウト後も DaaS セッションに接続されたままになります。
PowerShell モジュールを使用して設定を変更できます。 パラメーター InactivityTimeoutInMinutesを指定した Set-WorkspaceCustomConfiguration コマンドレットを使用します。
ネットワーク接続タイプごとに設定を構成するも参照してください。
モバイル
Workspace アプリの非アクティブ タイムアウト 設定の モバイル オプションを使用して、Citrix Workspace アプリがロックされるまでのアイドル時間(最大 24 時間)を指定します。 これは、iOS および Android 向けの Citrix Workspace アプリに適用されます。 ロックされると、ユーザーは生体認証またはデバイスの PIN を使用して Citrix Workspace アプリのロックを解除する必要があります。 デバイス上で生体認証が有効になっていない場合、ユーザーはログアウトされます。
PowerShell モジュールを使用して設定を変更できます。 パラメーター InactivityTimeoutInMinutesMobileを指定した Set-WorkspaceCustomConfiguration コマンドレットを使用します。
ネットワーク接続タイプごとに設定を構成するも参照してください。
Workspaceアプリにログインしたままにする
Workspace アプリへのログイン状態を維持する 設定を使用して、ユーザーが再度サインインが必要になるまで Citrix Workspace アプリにサインインしたままでいられる時間の長さを指定します。 これらの設定は Web ブラウザには適用されません。
認証期間 は、ユーザーが再認証するまでの最大時間を定義します。 デフォルトでは 30 日に設定されていますが、1 日から 365 日の間の値を設定できます。
期間が 1 日を超える場合、デフォルトでは、ユーザーが認証するときにサインインの同意を求めるプロンプトが表示されます。 詳細については、 ユーザー エクスペリエンスを参照してください。 このプロンプトを回避するには、管理者が ユーザーに代わって同意することができます。
非アクティブ期間 は、ユーザーが再認証が必要になるまでに非アクティブでいられる時間を定義します。 デフォルトでは 4 日ですが、1 日から再認証期間までの値に設定できます。 ユーザーがこの値を超えて非アクティブな場合、次回ワークスペースにアクセスしようとしたときに再認証を求めるメッセージが表示されます。 デスクトップでの非アクティブ期間を 24 時間未満に設定するには、 Workspace アプリの非アクティブ タイムアウト 設定の デスクトップ オプションを使用します。
この PowerShell スクリプト をダウンロードし、ダウンロードに含まれる手順に従うことで、エンド ユーザーのセッションを無効にすることができます。 セッションを無効にすると、利用者は24時間以内にワークスペースに再認証する必要があります。
サポートされているWorkspaceアプリクライアント
次のバージョンのCitrix Workspaceアプリは、この機能をサポートしています:
- Windows向けWorkspaceアプリ2106以降
- Mac向けWorkspaceアプリ2106以降
- iOS向けWorkspaceアプリ21.6.5以降
- Android向けWorkspaceアプリ21.6.0以降
サポートされている認証方法
Citrix Workspaceアプリへのサインインの維持については、次の認証方法がサポートされています:
- Active Directory
- Active Directory+トークン
- エントラID
- Citrix ゲートウェイ
- Okta
注:
OktaまたはAzure Active Directoryを使用しているCitrix DaaSの顧客と同じエクスペリエンスにするには、Citrixフェデレーション認証サービス(FAS)を構成します。 FASについて詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
サインイン状態を維持する許可(管理者の同意)
通常、再認証期間が 1 日以上に設定されている場合、ユーザーが Citrix Workspace アプリからログインするときに、「サインイン状態を維持する」許可を求められます。 これにより、Citrix Workspace アプリは、既存のアクセス トークンの有効期限が切れたときに、更新トークンを使用して新しいアクセス トークンを取得できるようになります。 続行するには、ユーザーは許可を承認する必要があります。 ユーザーが許可を拒否した場合、ログイン画面に戻ります。 ユーザーに代わって同意することでプロンプトを削除することができます。 このオプションを有効にするには、 ワークスペース構成 > カスタマイズ > 環境設定に移動します。 ワークスペースセッションセクションで、 エンドユーザーに代わってサインインしたままにすることに同意します…を選択します。
サインイン状態を維持するためのユーザーエクスペリエンス
ネットワーク接続タイプごとに設定を構成する
ウェブ、デスクトップ、モバイルのタイムアウト、および エンド ユーザーに常に資格情報の入力を求めるを、ユーザーが内部ネットワーク、既知の外部ネットワーク、またはその他の場所のいずれにいるかに応じて別々に構成できます。 たとえば、内部ネットワークに接続されたデバイスのタイムアウトを短く設定できます。
既存の構成を表示
Citrix Workspace PowerShell モジュールを使用して既存の構成を表示するには、 Get-StoreClientLocationConfiguration コマンドレットを呼び出します。 次に例を示します:
$ConnectivityTimeouts = Get-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret'
$ConnectivityTimeouts.external
$ConnectivityTimeouts.internal
$ConnectivityTimeouts.undefined
<!--NeedCopy-->
構成を更新する
ネットワーク接続タイプの設定を構成するには:
- Adaptive Access が有効になっていることを確認します。
- ユーザーのパブリック IP アドレスに基づいて、内部の場所と外部の既知の場所を表す ネットワークの場所 を定義します。 ユーザーの IP アドレスがネットワークの場所と一致しない場合、そのネットワーク接続タイプは未定義であると見なされます。
-
Citrix Workspace PowerShell モジュールから、
Set-StoreClientLocationConfigurationコマンドレットを、内部、外部、または未定義パラメーターを指定して呼び出します。 パラメータ値は、キーinactivityTimeoutInMinutesWeb、inactivityTimeoutInMinutesDesktop、inactivityTimeoutInMinutesMobileおよびpromptLoginEnabledを持つハッシュテーブルである必要があります。
たとえば、各場所のオーバーライドを設定するには、次のコマンドを実行します。
$InternalHashTable = @{promptLoginEnabled=$false;
inactivityTimeoutInMinutesWeb='60';
inactivityTimeoutInMinutesDesktop='60';
inactivityTimeoutInMinutesMobile='120'}
$ExternalHashTable = @{promptLoginEnabled=$true;
inactivityTimeoutInMinutesWeb='60';
inactivityTimeoutInMinutesDesktop='60';
inactivityTimeoutInMinutesMobile='120'}
$UndefinedHashTable = @{promptLoginEnabled=$true;
inactivityTimeoutInMinutesWeb='20';
inactivityTimeoutInMinutesDesktop='20';
inactivityTimeoutInMinutesMobile='20'}
Set-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret' `
-Internal $InternalHashTable `
-External $ExternalHashTable `
-Undefined $UndefinedHashTable
<!--NeedCopy-->
ネットワーク接続タイプに特定のタイムアウトを構成しない場合は、代わりに場所固有ではないタイムアウトが使用されます。
オーバーライドを削除するには、Internal、External、または Undefined パラメータを null に設定します。 次に例を示します:
Set-StoreClientLocationConfiguration -StoreUrl "https://customer.cloud.com" `
-ClientId 'myclientid' `
-ClientSecret 'mysecret' `
-Internal $NULL `
-External $NULL `
-Undefined $NULL
<!--NeedCopy-->
重要:
ユーザー デバイスが異なる接続タイプのネットワークに移動した場合、新しい値はすぐには適用されません。 Citrix Workspace アプリは 90 分ごとに値を更新します。 Web ブラウザを使用している場合は、ユーザーが次に Web ページを更新したときに値が更新されます。