インストールと構成

2018年6月4日

この記事には、以下のセクションがあります。

インストールと構成のチェックリスト

インストールと構成の順序

中央ストアの作成

セルフサービスパスワードリセットのインストールと構成

ユーザー構成の管理

ユーザー識別用の質問の管理

ユーザー識別処理の管理

インストールと構成のチェックリスト

インストールを始める前に、以下のリストに記載されている作業を行います。

手順 作業
  セルフサービスパスワードリセットをインストールするコンピュータを決定し、インストールの用意をします。「システム要件」を参照してください。
  セルフサービスパスワードリセットサービスに必要なTLS証明書とアカウントをインストールします。「システム要件」「セキュリティおよびアカウントの要件」を参照してください。
  ライセンスサーバーをインストールします。ライセンスサーバーのドキュメントを参照してください。
  中央ストアを作成します。「中央ストアの作成」を参照してください。
  セルフサービスパスワードリセットをインストールします。「セルフサービスパスワードリセットのインストールと構成」を参照してください。
  コンソールを使用してセルフサービスパスワードリセットを構成します。「セルフサービスパスワードリセットのインストールと構成」を参照してください。
  StoreFrontでセルフサービスパスワードリセットを構成します。「StoreFrontの構成」を参照してください。
  セルフサービスパスワードリセット構成が安全に、確実に構成されるようにします。「安全な構成」を参照してください。
 
セルフサービスパスワードリセットサービスに必要なSSL証明書とアカウントをインストールします。「セキュリティおよびアカウントの要件」を参照してください。
 
セルフサービスパスワードリセットサービスに必要なSSL証明書とアカウントをインストールします。「セキュリティおよびアカウントの要件」を参照してください。
 
StoreFrontでセルフサービスパスワードリセットを構成します。「StoreFrontの構成」を参照してください。

インストールと構成の順序

セルフサービスパスワードリセットサービスをインストールするには、ログオンアカウントがドメインユーザーであり、サーバーのローカル管理者グループに属している必要があります。

セルフサービスパスワードリセットのインストールは、次の順序で行うことをお勧めします。

  1. ライセンスサーバーのバージョン11.13.1.2以上をインストールするか、このバージョン以上にアップグレードします。ライセンスサーバーは、https://www.citrix.com/downloads/licensing.htmlからダウンロードできます。
  2. 中央ストアの作成]をクリックします。
  3. セルフサービスパスワードリセットをインストールします。
  4. コンソールでセルフサービスパスワードリセットを構成します。
  5. セルフサービスパスワードリセットサーバーのアドレスを使用してStoreFrontを構成します。

中央ストアの作成

セキュリティ上の理由から、セルフサービスパスワードリセットサービスを実行しているマシンで直接中央ストアを作成することをお勧めします。複数のセルフサービスパスワードリセットサーバーを展開する必要がある場合、セルフサービスパスワードリセットサーバーおよびリモートネットワーク共有をホストするサーバーの両方がSMB暗号化をサポートしているのであれば、リモートネットワーク共有で中央ストアをホストすることができます。

この機能は、Windows Server 2012 R2またはWindows Server 2016でのみ使用できます。

データプロキシ用アカウントの作成

データプロキシ用のアカウントとして通常使用する、ドメインユーザーを作成します。ドメイン管理者グループまたはローカル管理者グループのユーザーを、データプロキシ用のアカウントとして設定しないようにします。

Windows Server 2012 R2またはWindows Server 2016用の中央ストアの作成

セルフサービスパスワードリセットサーバーおよび中央ストアの両方にWindows Server 2012 R2またはWindows Server 2016を使用する場合、ここで説明するように構成すると、リモートネットワーク共有を使用できます。[データアクセスの暗号化]が選択され、「安全な構成」で説明された手順が確実に適用されるようにします。

  1. [新しい共有]ウィザードを開始するには、サーバーマネージャーを開きます。[ファイルサービスおよびストレージサービス]の詳細ページから、左ペインで[共有]を選択して、[タスク]>[新しい共有]をクリックします。
  2. 左ペインで[プロファイルの選択]をクリックして[SMB共有 – 簡易]を選択し、[次へ]をクリックします。
  3. 左ペインで[共有の場所]をクリックします。一覧から、新しい共有を作成するサーバーと新しい共有フォルダーを作成するボリュームを選択し、[次へ]をクリックします。
  4. 左ペインで[共有名]をクリックし、新しい共有の名前(例:CITRIXSYNC$)を入力して[次へ]をクリックします。
  5. 左ペインで [他の設定]をクリックし、[データの暗号化]をオンにして[共有のキャッシュ化を許可する]をオフにし、[次へ]をクリックします。
  6. 共有権限をカスタマイズするには、左側のペインで[権限]を選択し、[権限のカスタマイズ]>[共有]を選択します。 oすべてのユーザーを削除 oフルコントロールでデータプロキシアカウントを追加 oフルコントロールでローカル管理者を追加 oフルコントロールでドメイン管理者を追加
  7. NTFSアクセス許可をカスタマイズするには、左ペインの[アクセス許可]で、[アクセス許可のカスタマイズ][継承の無効化]をクリックし、[継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します]を選択します。

ローカライズされた画像

  1. Creator owner/Local Administrators/SYSTEM以外のすべてのユーザーを削除するには、[アクセス許可のカスタマイズ]>[アクセス許可][削除]をクリックします。

  2. [Creator owner] > [権限の設定 (詳細)]を変更するには、[編集]をクリックして、以下のチェックボックスをオフにします。

oフルコントロール oサブフォルダーとファイルの削除 o権限の変更 o所有権の取得

ローカライズされた画像

  1. データプロキシ用のアカウントにフルコントロールを追加します。

  2. [新しい共有]ウィザードの左ペインで[確認]をクリックし、現在選択している共有設定を確認します。[作成]をクリックして、新しいフォルダーの作成プロセスを開始してから、[閉じる]をクリックします。

  3. CITRIXSYNC$共有フォルダーの下に、CentralStoreRootおよびPeopleという2つのサブフォルダーを作成します。

重要:データプロキシ用のアカウントにこれらのサブフォルダーのフルコントロールがあることを確認してください。

セルフサービスパスワードリセット中央ストアのEncryptData、RejectUnencryptedAccess、RequireSecuritySignatureを構成する必要があります。構成情報の詳細については、次のMicrosoftの技術文書を参照してください。 https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

セルフサービスパスワードリセットのインストールと構成

インストールパッケージは、XenAppおよびXenDesktopのインストールメディアに含まれています。

  1. セルフサービスパスワードリセットインストールウィザードを開始してウィザードの手順を実行します。
  2. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックして、Citrixセルフサービスパスワードリセットサービスを構成します。
  3. コンソールが表示されたら、以下の3つの基本手順に従ってサービスを構成します。

ローカライズされた画像

サービス設定

サービスを構成する前に、中央ストア、データプロキシ用のアカウント、セルフサービス用アカウントが作成されていることを確認します。

  1. 中央ペインで[サービス設定]を選択し、右ペインで[新しいサービス設定]をクリックします。
  2. [中央ストアの場所]画面で中央ストアの場所を指定して、[次へ]をクリックします。
  3. [ドメインの設定]画面でドメインを選択し、[プロパティ]をクリックします。
  4. データプロキシアカウントおよびセルフサービスアカウントのユーザー名とパスワードをそれぞれ指定して、[OK]をクリックします。
  5. [IPアドレスホワイトリスト]画面で、セルフサービスパスワードリセットサービスへの接続を許可するIPアドレスを入力します。IPアドレスを入力しないと、すべてのIPアドレスがホワイトリストに登録されます。[次へ]をクリックしてから、[完了]をクリックします。

ユーザー設定

  1. 左ペインで[ユーザー設定]を選択し、右ペインで[新しいユーザー設定]をクリックします。
  2. [ユーザー設定の名前]画面で、セルフサービスパスワードサービスの対象ユーザーグループを定義し、Active Directoryからユーザー/グループ/組織単位を追加してから、[次へ]をクリックします。
  3. [ライセンスの設定]画面で、ライセンスサーバーを指定して[次へ]をクリックします。
  4. [パスワードリセットの設定]画面で、Windowsパスワードのリセットおよびドメインアカウントのロック解除を管理者の介入なしで実行可能なユーザーを、チェックボックスを使用して指定します。次に、サービスのポートおよびアドレスを指定して[作成]をクリックします。

ユーザー設定の管理について詳しくは、「ユーザー設定の管理」を参照してください。

ユーザー識別処理

  1. 左ペインで[ユーザー識別処理]ノードを選択し、右ペインで[質問の管理]をクリックします。
  2. [質問ベースの認証]画面で、デフォルトの言語を選択し、チェックボックスを使用してセキュリティ用の質問に対するユーザー回答の保護をオンまたはオフにして、[次へ]をクリックします。
  3. [セキュリティ用の質問]画面で、[質問の追加]をクリックして、テキストボックスに質問を入力して[OK]をクリックし、[次へ]をクリックします。
  4. [質問リスト]画面で[追加]をクリックし、質問を選択します。[上に移動]および[下に移動]を使用して、質問とグループの順番を変更できます。このページの設定が終わったら、[作成][次へ]の順にクリックします。

ユーザー識別用の質問の管理について詳しくは、「ユーザー識別用の質問の管理」を参照してください。

ユーザー構成の管理

ユーザー設定の内容により、ユーザーがStoreFrontにログインしたときのセルフサービスパスワードリセットの動作やユーザーインターフェイスが制御されます。ユーザー設定の作成は、環境内のユーザーにセルフサービスパスワードリセットを配布する直前に行います。ただし、既存のユーザー設定の編集は、いつでも行うことができます。

ユーザー設定はユーザー固有の設定を定義したもので、Active Directory階層に関連付けられたユーザー(組織単位[OU]または個々のユーザー)またはActive Directoryグループに適用されます。

ユーザー構成は、以下の要素で構成されています。

  • Active Directoryドメイン階層に関連付けられたユーザー(組織単位または個々のユーザー)またはActive Directoryグループ。

重要:Active Directory混在モードの配布グループとドメインローカルグループはサポートされていません。

  • ライセンスサーバー
  • セルフサービス機能(アカウントのロック解除とパスワードのリセット)

ユーザー構成を作成する前に、以下を作成または定義しておく必要があります。

  • 中央ストア
  • サービス設定

ユーザー構成を作成するには

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックします。
  2. 左ペインで[ユーザー設定]ノードを選択します。
  3. [操作]メニューから、[ユーザー設定の追加]を選択します。

ユーザー、組織単位(OU)、グループを追加する

ユーザー設定ウィザードの[ユーザー設定の名前]ページで、ユーザー設定を割り当てるユーザーを指定できます。

ユーザー設定の割り当て:

ユーザー構成は、Active Directory階層に関連付けられたユーザー(組織単位または個々のユーザー)またはActive Directoryグループに割り当てることができます。必要に応じて、[操作]メニューから[ユーザー設定の編集]を選択して、ユーザー構成を別の階層やグループに割り当てることができます。

ユーザー構成のグループへの割り当ては、Active Directory認証を使用するActive Directoryドメインでのみサポートされています。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[ユーザー設定の名前]ページで、組織単位、ユーザー、グループを選択します。

注:セルフサービスパスワードリセットアカウントがパスワードをリセットできるユーザーグループには、特権が付与されているアカウント(ローカル管理者やドメイン管理者など)を含めないことをお勧めします。新しい専用グループを使用します。

ライセンスを設定するには

ユーザー設定ウィザードの[ライセンスの設定]ページで、セルフサービスパスワードリセットサービスで使用するライセンスサーバーの設定を行うことができます。

注:ロック解除機能およびリセット機能を使用できるのは、XenAppまたはXenDesktop Platinum Editionがある場合のみです。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[ライセンスの設定]ページで、ライセンスサーバーの名前とポート番号を入力します。

ロック解除機能およびリセット機能を有効化するには

セルフサービスパスワードリセットにより、ユーザーは、自分のWindowsパスワードのリセットおよびドメインアカウントのロック解除を管理者の介入なしで実行できるようになります。[セルフサービスパスワードリセットの有効化]ページで、有効化する機能を選択できます。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[セルフサービスパスワードリセットの有効化]ページで、ロック解除機能とリセット機能から、ユーザーが使用可能な機能を選択します。

ブラックリストを構成するには

IT管理者は、ユーザーとグループをブラックリストに追加できます。ブラックリストのユーザーおよびグループは、登録、アカウントのロック解除、パスワードリセットなどを含むセルフサービスパスワードリセットの機能を使用することはできません。また、ブラックリストのユーザーは、ログオン後、Citrix Receiverの[タスク]ボタンを表示できません。

ブラックリストを構成するには

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックします。
  2. 左ペインで[ユーザー設定]を選択し、右ペインで[ブラックリスト設定]をクリックします。
  3. [追加]および[削除]ボタンを使用して、ユーザーやグループをブラックリストに追加したり、ブラックリストから削除できます。

ユーザー識別用の質問の管理

セルフサービスパスワードリセット構成コンソールの[ユーザー識別処理]では、ユーザー識別処理、セルフサービスパスワードリセット、およびアカウントのロック解除機能に関連付けるすべてのセキュリティ用の質問を一元的に管理できます。デフォルトの質問リストに独自のセキュリティ用の質問を追加したり、質問グループを作成したりすることができます。

  • ユーザーがデフォルトの質問に対して回答を登録した後で、管理者が質問文を変更する場合は、その内容について考慮してください。質問の内容を変えずに質問文を編集した場合は、回答の再登録をユーザーに要求する必要はありません。ただし、編集後もユーザーが同じ回答を入力できるように配慮する必要があります。
  • ユーザーがセキュリティ用の質問に対する回答を登録した後で、質問リストの質問を追加、削除、または編集すると、ユーザーが登録済みの回答を入力できなくなる場合があります。質問リストの質問が変更された場合、ユーザーはCitrix Receiverでタスクを開くときに新しい質問リストに回答する必要があります。
  • 同じ質問を複数の質問グループに追加することができます。質問グループに追加可能な質問の一覧には、既にほかのグループに追加されている質問も含め、すべての質問が表示されます。

以降で参照されている設定にアクセスするには、次の手順に従います。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックします。
  2. 左ペインで、[ユーザー識別処理]ノードを選択します。
  3. [操作]メニューから、[質問の管理]を選択します。

デフォルトの言語を設定するには

通常、セキュリティ用の質問は、ユーザーが回答を登録したときのユーザープロファイルで設定されている言語で表示されます。プロファイルで言語が設定されていない場合は、管理者が設定したデフォルトの言語で表示されます。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックします。
  2. 左ペインで、[ユーザー識別処理]ノードを選択します。
  3. [操作]メニューから、[質問の管理]を選択します。
  4. [質問ベースの認証]ページの[デフォルトの言語]ボックスの一覧で、デフォルトの言語を選択します。

回答入力時のセキュリティを有効にするには

セキュリティ用の質問を使用したユーザー認証をより安全にするために、ユーザーがテキストボックスに入力する回答の文字列を、アスタリスク(*)で隠すことができます。この機能を有効にすると、ユーザーの入力した回答が表示されなくなります。ユーザーは、セキュリティ用の質問に対する回答を登録するときに、誤入力を避けるために同じ回答を2回入力する必要があります。ユーザーが同一性を証明するために再認証を受けるときは、回答を2回入力する必要はありません。入力した回答に誤りがある場合は、再入力を求めるメッセージが表示されます。

[質問ベースの認証]ページで[ユーザーの回答の文字列を表示しない]チェックボックスをオンにします。

セキュリティ用の質問を作成するには

管理者は、異なる言語を使用して、複数の質問を作成できます。また、同じ質問に対して、各国語の翻訳を追加することもできます。Citrix Receiverへの登録時には、そのユーザーのプロファイルで設定されている言語に応じた質問が表示されます。プロファイルで言語が設定されていない場合は、デフォルトの言語で表示されます。

注:管理者は、異なる言語を使用して、複数の質問を作成できます。また、同じ質問に対して、各国語の翻訳を追加することもできます。セルフサービスパスワードリセットでは、そのユーザーのプロファイルで構成されている言語に応じた質問が表示されます。プロファイルで設定されている言語の質問がない場合は、[質問ベースの認証]ページで設定するデフォルトの言語で表示されます。

  1. [セキュリティ用の質問]ページの[言語]ボックスの一覧から言語を選択して、[質問の追加]をクリックします。[セキュリティ用の質問]ダイアログボックスが開きます。
  2. [セキュリティ用の質問]ダイアログボックスで、質問を作成します。

重要:既存の質問に翻訳を追加する場合は、[編集]ボタンを使用してください。[質問の追加]をクリックすると新しい質問が追加され、既存の質問とは関連付けられません。

既存の質問を編集したり翻訳を追加したりするには

ユーザーがセキュリティ用の質問に対する回答を登録した後で、質問リストの質問を追加、削除、または編集すると、ユーザーが登録済みの回答を入力できなくなる場合があります。質問リストの質問が変更された場合、ユーザーはCitrix Receiverでタスクを開くときに新しい質問リストに回答する必要があります。質問の内容を変えずに質問文を編集した場合は、回答の再登録をユーザーに要求する必要はありません。

重要:既存の質問を編集する場合は、質問の意味を変更しないように注意してください。質問の意味を変更すると、既存のユーザーが再認証を受けるときに正しい回答を入力できなくなる可能性があります。[編集]をクリックすると、これに対する注意を促すメッセージが表示されます。

  1. [セキュリティ用の質問]ページの[言語]ボックスの一覧から言語を選択します。
  2. 編集または翻訳する質問を選択して、[編集]をクリックします。
  3. [セキュリティ用の質問]ダイアログボックスで、質問を編集または翻訳します。

セキュリティ用の質問グループを作成するには

必要に応じて、セキュリティ用の質問を作成して、ユーザーに回答させることができます。管理者が質問リストに追加したすべての質問に対して、ユーザーは回答を入力する必要があります。ただし、複数の質問をグループ化して、セキュリティ用の質問グループを作成すると、ユーザーがグループ内の質問を自由に選択して回答を登録できるようになります。この場合、ユーザーが回答しなければならない質問の数は、管理者が指定します。

たとえば、6つの質問で構成される質問グループを作成し、ユーザーが回答しなければならない質問の数を3に設定して、それを質問リストに追加します。ユーザーは、これら6つの質問から3つを自由に選択して、回答を登録します。以降、ユーザーの同一性の検証が必要な状況になると、ユーザーが選択した3つの質問が再提示されます。

  1. [セキュリティ用の質問]ページで[グループの追加]をクリックします。
  2. [セキュリティ用の質問グループ]ダイアログボックスで、グループ名、使用する質問、およびユーザーが回答しなければならない質問の数を指定します。

セキュリティ用の質問グループを作成するには

一覧から編集する質問グループを選択して、[セキュリティ用の質問]ページで[編集]をクリックします。一覧から編集する質問グループを選択して、[編集]をクリックします。[セキュリティ用の質問グループ]ダイアログボックスが開き、グループに追加済みの質問、および追加可能な質問の一覧が表示されます。グループに追加済みの質問はチェックボックスがオンになっています。ここでは、グループ名を変更したり、グループに含まれる質問を追加または削除したり、ユーザーが回答しなければならない質問の数を変更したりできます。

質問リストを追加または削除するには

質問リストでは、セキュリティ用の質問と質問グループを追加または削除できます。また、ユーザーに表示される質問の順序を入れ替えることもできます。質問リストの変更後、ユーザーに対してStoreFrontへのログイン後に再登録タスクを行うように通知する必要があります。

  1. 質問リストに質問またはグループを追加するには、[質問リスト]ページで[追加]をクリックします。
  2. 質問リストから質問を削除するには[削除]をクリックします。
  3. 質問の表示順序を変更するには、[上に移動]または[下に移動]をクリックします。

ユーザー識別処理の管理

セルフサービスパスワードリセットでは、以下の操作を行うことができます。

  • セキュリティ用の質問をインポートまたはエクスポートする
  • ユーザーの回答を削除する

セキュリティ用の質問をインポートまたはエクスポートするには

セキュリティ用の質問およびグループのデータをインポートまたはエクスポートすることができます。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定]の順にクリックします。
  2. 左ペインで、[ユーザー識別処理]ノードを選択します。
  3. [操作]メニューで、次のいずれかをクリックします。

    セキュリティ用の質問のインポート セキュリティ用の質問とグループのデータをインポートするファイルの場所を指定します。

    セキュリティ用の質問のエクスポート セキュリティ用の質問とグループのデータをエクスポートするファイルの場所を指定します。