製品ドキュメント
Self Service Password Reset
1.1.x 1.1
PDFを表示

インストールと構成

June 28, 2022
寄稿者: 
C

インストールチェックリスト

インストールを始める前に、以下のリストに記載されている作業を行います:

手順
  セルフサービスパスワードリセットをインストールするコンピューターを決定し、インストールの用意をします。「システム要件」を参照してください。
  セルフサービスパスワードリセットサービスに必要なTLS証明書とアカウントをインストールします。「システム要件」の「セキュリティおよびアカウントの要件」を参照してください。
  ライセンスサーバーのバージョン11.13.1.2以上をインストールするか、このバージョン以上にアップグレードします。ライセンスサーバーは、https://www.citrix.com/downloads/licensing.htmlからダウンロードできます。詳しくは、ライセンスサーバーのドキュメントを参照してください。

インストールと構成の順序

セルフサービスパスワードリセットは、Citrixでは次の順序でインストールすることをお勧めします:

  1. 中央ストアを作成します。「中央ストアの作成」を参照してください。
  2. セルフサービスパスワードリセットをインストールします。セルフサービスパスワードリセットサービスをインストールするには、ログオンアカウントがドメインユーザーであり、サーバーのローカル管理者グループに属している必要があります。詳しくは、「セルフサービスパスワードリセットのインストールと構成」を参照してください。
  3. コンソールを使用してセルフサービスパスワードリセットを構成します。「セルフサービスパスワードリセットのインストールと構成」を参照してください。
  4. StoreFrontでセルフサービスパスワードリセットを構成します。「StoreFrontの構成」を参照してください。
  5. セルフサービスパスワードリセット構成が安全に、確実に構成されるようにします。「安全な構成」を参照してください。

中央ストアの作成

セキュリティ上の理由から、セルフサービスパスワードリセットサービスを実行しているマシンで直接中央ストアを作成することをお勧めします。複数のセルフサービスパスワードリセットサーバーを展開する必要がある場合、セルフサービスパスワードリセットサーバーおよびリモートネットワーク共有をホストするサーバーの両方がSMB暗号化をサポートしているのであれば、リモートネットワーク共有で中央ストアをホストすることができます。

この機能は、Windows Server 2012 R2またはWindows Server 2016でのみ使用できます。

データプロキシ用アカウントの作成

データプロキシ用のアカウントとして通常使用する、ドメインユーザーを作成します。ドメイン管理者グループまたはローカル管理者グループのユーザーを、データプロキシ用のアカウントとして設定しないようにします。

Windows Server 2012 R2またはWindows Server 2016用の中央ストアの作成

セルフサービスパスワードリセットサーバーおよび中央ストアの両方にWindows Server 2012 R2またはWindows Server 2016を使用する場合、ここで説明するように構成すると、リモートネットワーク共有を使用できます。[データアクセスの暗号化] が選択され、「安全な構成」で説明された手順が確実に適用されるようにします。

  1. [新しい共有] ウィザードを開始するには、サーバーマネージャーを開きます。[ファイルサービスおよびストレージサービス] の詳細ページから、左ペインで [共有] を選択して、[タスク]>[新しい共有] をクリックします。

    新しい共有の画像

  2. 左ペインで[プロファイルの選択] をクリックして [SMB共有 – 簡易] を選択し、[次へ] をクリックします。

    プロファイルの選択の画像

  3. 左ペインで [共有の場所] をクリックします。一覧から、新しい共有を作成するサーバーと新しい共有フォルダーを作成するボリュームを選択し、[次へ]をクリックします。

    共有の場所の画像

  4. 左ペインで [共有名] をクリックし、新しい共有の名前(例:CITRIXSYNC$)を入力して [次へ] をクリックします。

    共有名の画像

  5. 左ペインで [他の設定] をクリックし、[データの暗号化] をオンにして [共有のキャッシュ化を許可する] をオフにし、[次へ] をクリックします。

    他の設定の画像

  6. 共有 アクセス許可をカスタマイズするには、左ペインで [アクセス許可] を選択して、[アクセス許可のカスタマイズ]>[共有] をクリックします。

    アクセス許可のカスタマイズの画像

  7. NTFSアクセス許可をカスタマイズするには、[継承の無効化] をクリックし、[継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します] を選択します。

    継承の無効化の画像

  8. [アクセス許可] タブをクリックしてCREATOR OWNERLocal AdministratorsSYSTEM以外のすべてのユーザーを削除し、フルコントロールのアクセス許可を指定して作成されたデータプロキシアカウントを追加します。

    ユーザーの削除の画像

  9. CREATOR OWNERを選択して、[編集] をクリックして以下のアクセス許可のチェックをオフにします:

    • フルコントロール

    • サブフォルダーとファイルの削除

    • アクセス許可の変更

    • 所有権の取得

    権限の設定(詳細)の画像

  10. [共有] タブを選択してEveryoneを削除し、フルコントロールのアクセス許可でデータプロキシアカウント、ローカル管理者、ドメイン管理者を追加します。

    権限の共有の画像

  11. [新しい共有]ウィザードの左ペインで [確認] をクリックし、現在選択している共有設定を確認します。[作成] をクリックして、新しいフォルダーの作成プロセスを開始してから、[閉じる] をクリックします。

  12. CITRIXSYNC$ 共有フォルダーの下に、CentralStoreRoot および Peopleという2つのサブフォルダーを作成します。

重要: データプロキシ用のアカウントにこれらのサブフォルダーのフルコントロールがあることを確認してください。

セルフサービスパスワードリセットの中央ストアの EncryptData、RejectUnencryptedAccess、RequireSecuritySignatureを構成する必要があります。構成情報の詳細については、次のMicrosoftの技術文書を参照してください: https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

セルフサービスパスワードリセットのインストールと構成

  1. Citrix Virtual Apps and Desktopsインストーラーを使用してセルフサービスパスワードリセットをインストールします。

    CVAD上のSSPRの画像

  2. セルフサービスパスワードリセットのインストール後、[スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックして、Citrixセルフサービスパスワードリセットサービスを構成します。

  3. コンソールが表示されたら、以下の3つの基本手順に従ってサービスを構成します。

    SSPRコンソールの画像

サービス設定

サービスを構成する前に、中央ストア、データプロキシ用のアカウント、セルフサービス用アカウントが作成されていることを確認します。

  1. 中央ペインで [サービス設定] を選択し、右ペインで [新しいサービス設定] をクリックします。

  2. [中央ストアの場所] 画面で中央ストアの場所を指定して、[次へ] をクリックします。

    中央ストアの場所を指定する画像

  3. [ドメインの設定] 画面でセルフサービスパスワードリセットサービスを有効にするドメインを選択し、[プロパティ] をクリックします。

    ドメイン指定の画像

  4. データプロキシアカウント および セルフサービスアカウント のユーザー名とパスワードをそれぞれ指定して、[OK] をクリックします。

    ユーザー名とパスワードの指定の画像

  5. [次へ] をクリックして、すべての設定内容を適用します。

    すべての設定を適用する画像

  6. [終了] をクリックして、構成を完了します。

    [終了]をクリックする画像

ユーザー設定

  1. 左ペインで[ユーザー設定] を選択し、右ペインで [新しいユーザー設定] をクリックします。

  2. [ユーザー設定の名前] 画面で、セルフサービスパスワードサービスの対象ユーザーグループを定義し、Active Directoryからユーザー/グループ/組織単位を追加してから、[次へ] をクリックします。

    ユーザー設定の画像

  3. [ライセンスの設定] 画面で、ライセンスサーバーを指定して [次へ] をクリックします。

    ライセンス設定の画像

  4. [セルフサービスパスワードリセットの有効化] 画面で、Windowsパスワードのリセットおよびドメインアカウントのロック解除を管理者の介入なしで実行可能なユーザーを、チェックボックスを使用して指定します。次に、サービスのポートおよびアドレスを指定して [作成] をクリックします。

    パスワードリセットの有効化の画像

ユーザー設定の管理について詳しくは、「ユーザー設定の管理」を参照してください。

ユーザー識別処理

  1. 左ペインで [ユーザー識別処理] ノードを選択し、右ペインで [質問の管理] をクリックします。
  2. [質問ベースの認証] 画面で、デフォルトの言語を選択し、チェックボックスを使用してセキュリティの質問に対するユーザー回答の保護をオンまたはオフにして、[次へ] をクリックします。
  3. [セキュリティの質問] 画面で、[質問の追加] をクリックして、テキストボックスに質問を入力して [OK] をクリックし、[次へ] をクリックします。
  4. [質問リスト] 画面で [追加] をクリックし、質問を選択します。[上に移動] および [下に移動] を使用して、質問とグループの順番を変更できます。このページの設定が終わったら、[作成][次へ] の順にクリックします。

ユーザー識別用の質問の管理について詳しくは、「ユーザー識別用の質問の管理」を参照してください。

ユーザー構成の管理

ユーザー設定の内容により、ユーザーがStoreFrontにログインしたときのセルフサービスパスワードリセットの動作やユーザーインターフェイスが制御されます。ユーザー設定の作成は、環境内のユーザーにセルフサービスパスワードリセットを配布する直前に行います。ただし、既存のユーザー設定の編集は、いつでも行うことができます。

ユーザー設定はユーザー固有の設定を定義したもので、Active Directory階層に関連付けられたユーザー(組織単位[OU]または個々のユーザー)またはActive Directoryグループに適用されます。

ユーザー構成は、以下の要素で構成されています。

  • Active Directoryドメイン階層に関連付けられたユーザー(組織単位または個々のユーザー)またはActive Directoryグループ。

重要:Active Directory混在モードの配布グループとドメインローカルグループはサポートされていません。

  • ライセンスサーバー
  • セルフサービス機能(アカウントのロック解除とパスワードのリセット)

ユーザー構成を作成する前に、以下を作成または定義しておく必要があります。

  • 中央ストア
  • サービス設定

ユーザー設定を作成するには:

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックします。
  2. 左ペインで [ユーザー設定] ノードを選択します。
  3. [操作] メニューから、[ユーザー設定の追加] を選択します。

ユーザー、組織単位(OU)、グループを追加するには:

ユーザー設定ウィザードの [ユーザー設定の名前] ページで、ユーザー設定を割り当てるユーザーを指定できます。

ユーザー設定の割り当て:

ユーザー構成は、Active Directory階層に関連付けられたユーザー(組織単位または個々のユーザー)またはActive Directoryグループに割り当てることができます。必要に応じて、[操作] メニューから [ユーザー設定の編集] を選択して、ユーザー構成を別の階層やグループに割り当てることができます。

ユーザー構成のグループへの割り当ては、Active Directory認証を使用するActive Directoryドメインでのみサポートされています。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[ユーザー設定の名前] ページで、組織単位、ユーザー、グループを選択します。

注: セルフサービスパスワードリセットアカウントがパスワードをリセットできるユーザーグループには、特権が付与されているアカウント(ローカル管理者やドメイン管理者など)を含めないことをお勧めします。新しい専用グループを使用します。

ライセンスを設定するには:

ユーザー設定ウィザードの [ライセンスの設定] ページで、セルフサービスパスワードリセットサービスで使用するライセンスサーバーの設定を行うことができます。

注: ロック解除機能およびリセット機能を使用できるのは、Citrix Virtual AppsまたはCitrix Virtual Desktops Platinum Editionがある場合のみです。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[ライセンスの設定] ページで、ライセンスサーバーの名前とポート番号を入力します。

ロック解除機能およびリセット機能を有効化するには:

セルフサービスパスワードリセットにより、ユーザーは、自分のWindowsパスワードのリセットおよびドメインアカウントのロック解除を管理者の介入なしで実行できるようになります。[セルフサービスパスワードリセットの有効化] ページで、有効化する機能を選択できます。

(ユーザー設定の追加ウィザードまたはユーザー設定の編集ウィザードの)[セルフサービスパスワードリセットの有効化] ページで、ロック解除 機能と リセット 機能から、ユーザーが使用可能な機能を選択します。

ブラックリストを構成するには:

IT管理者は、ユーザーとグループをブラックリストに追加できます。ブラックリストのユーザーおよびグループは、登録、アカウントのロック解除、パスワードリセットなどを含むセルフサービスパスワードリセットの機能を使用することはできません。また、ブラックリストのユーザーは、ログオン後、Citrix Workspaceアプリの [タスク] ボタンを表示できません。

ブラックリストを構成するには:

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックします。
  2. 左ペインで [ユーザー設定] を選択し、右ペインで [ブラックリスト設定] をクリックします。
  3. [追加] および [削除] ボタンを使用して、ユーザーやグループをブラックリストに追加したり、ブラックリストから削除できます。

ユーザー識別用の質問の管理

Citrixセルフサービスパスワードリセット構成コンソールの[ユーザー識別処理]では、ユーザー識別処理、セルフサービスパスワードリセット、およびアカウントのロック解除機能に関連付けるすべてのセキュリティの質問を一元的に管理できます。デフォルトの質問リストに独自のセキュリティの質問を追加したり、質問グループを作成したりすることができます。

  • ユーザーがデフォルトの質問に対して回答を登録した後で、管理者が質問文を変更する場合は、その内容について考慮してください。質問の内容を変えずに質問文を編集した場合は、回答の再登録をユーザーに要求する必要はありません。ただし、編集後もユーザーが同じ回答を入力できるように配慮する必要があります。
  • ユーザーがセキュリティの質問に対する回答を登録した後で、質問リストの質問を追加、削除、または編集すると、ユーザーが登録済みの回答を入力できなくなる場合があります。質問リストの質問が変更された場合、ユーザーはCitrix Workspaceアプリでタスクを開くときに新しい質問リストに回答する必要があります。
  • 同じ質問を複数の質問グループに追加することができます。質問グループに追加可能な質問の一覧には、既にほかのグループに追加されている質問も含め、すべての質問が表示されます。

以降で参照されている設定にアクセスするには、次の手順に従います。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックします。
  2. 左ペインで、[ユーザー識別処理] ノードを選択します。
  3. [操作] メニューから、[質問の管理] を選択します。

デフォルトの言語を設定するには:

通常、セキュリティの質問は、ユーザーが回答を登録したときのユーザープロファイルで設定されている言語で表示されます。プロファイルで言語が設定されていない場合は、管理者が設定したデフォルトの言語で表示されます。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックします。
  2. 左ペインで、[ユーザー識別処理] ノードを選択します。
  3. [操作] メニューから、[質問の管理] を選択します。
  4. [質問ベースの認証] ページの [デフォルトの言語] ボックスの一覧で、デフォルトの言語を選択します。

回答入力時のセキュリティを有効にするには:

セキュリティの質問を使用したユーザー認証をより安全にするために、ユーザーがテキストボックスに入力する回答の文字列を、アスタリスク(*)で隠すことができます。この機能を有効にすると、ユーザーの入力した回答が表示されなくなります。ユーザーは、セキュリティの質問に対する回答を登録するときに、誤入力を避けるために同じ回答を2回入力する必要があります。ユーザーが同一性を証明するために再認証を受けるときは、回答を2回入力する必要はありません。入力した回答に誤りがある場合は、再入力を求めるメッセージが表示されます。

[質問ベースの認証] ページで [ユーザーの回答の文字列を表示しない] チェックボックスをオンにします。

セキュリティの質問を作成するには:

管理者は、異なる言語を使用して、複数の質問を作成できます。また、同じ質問に対して、各国語の翻訳を追加することもできます。Citrix Workspaceアプリへの登録時には、そのユーザーのプロファイルで設定されている言語に応じた質問が表示されます。プロファイルで言語が設定されていない場合は、デフォルトの言語で表示されます。

:管理者は、異なる言語を使用して、複数の質問を作成できます。また、同じ質問に対して、各国語の翻訳を追加することもできます。セルフサービスパスワードリセットでは、そのユーザーのプロファイルで構成されている言語に応じた質問が表示されます。プロファイルで設定されている言語の質問がない場合は、[質問ベースの認証]ページで設定するデフォルトの言語で表示されます。

  1. [セキュリティの質問] ページの [言語] ボックスの一覧から言語を選択して、[質問の追加] をクリックします。[セキュリティの質問]ダイアログボックスが開きます。
  2. [セキュリティの質問] ダイアログボックスで、質問を作成します。

重要: 既存の質問に翻訳を追加する場合は、[編集] ボタンを使用してください。[質問の追加] をクリックすると新しい質問が追加され、既存の質問とは関連付けられません。

既存の質問を編集したり翻訳を追加したりするには

ユーザーがセキュリティの質問に対する回答を登録した後で、質問リストの質問を追加、削除、または編集すると、ユーザーが登録済みの回答を入力できなくなる場合があります。質問リストの質問が変更された場合、ユーザーはCitrix Workspaceアプリでタスクを開くときに新しい質問リストに回答する必要があります。質問の内容を変えずに質問文を編集した場合は、回答の再登録をユーザーに要求する必要はありません。

重要: 既存の質問を編集する場合は、質問の意味を変更しないように注意してください。質問の意味を変更すると、既存のユーザーが再認証を受けるときに正しい回答を入力できなくなる可能性があります。[編集]をクリックすると、これに対する注意を促すメッセージが表示されます。

  1. [セキュリティの質問] ページの [言語] ボックスの一覧から言語を選択します。
  2. 編集または翻訳する質問を選択して、[編集] をクリックします。
  3. [セキュリティの質問] ダイアログボックスで、質問を編集または翻訳します。

セキュリティの質問グループを作成するには:

必要に応じて、セキュリティの質問を作成して、ユーザーに回答させることができます。管理者が質問リストに追加したすべての質問に対して、ユーザーは回答を入力する必要があります。ただし、複数の質問をグループ化して、セキュリティの質問グループを作成すると、ユーザーがグループ内の質問を自由に選択して回答を登録できるようになります。この場合、ユーザーが回答しなければならない質問の数は、管理者が指定します。

たとえば、6つの質問で構成される質問グループを作成し、ユーザーが回答しなければならない質問の数を3に設定して、それを質問リストに追加します。ユーザーは、これら6つの質問から3つを自由に選択して、回答を登録します。以降、ユーザーの同一性の検証が必要な状況になると、ユーザーが選択した3つの質問が再提示されます。

  1. [セキュリティの質問] ページで [グループの追加] をクリックします。
  2. [セキュリティの質問グループ] ダイアログボックスで、グループ名、使用する質問、およびユーザーが回答しなければならない質問の数を指定します。

セキュリティの質問グループを作成するには:

一覧から編集する質問グループを選択して、[セキュリティの質問] ページで [編集] をクリックします。一覧から編集する質問グループを選択して、[編集]をクリックします。[セキュリティの質問グループ]ダイアログボックスが開き、グループに追加済みの質問、および追加可能な質問の一覧が表示されます。グループに追加済みの質問はチェックボックスがオンになっています。ここでは、グループ名を変更したり、グループに含まれる質問を追加または削除したり、ユーザーが回答しなければならない質問の数を変更したりできます。

質問リストを追加または削除するには:

質問リストでは、セキュリティの質問と質問グループを追加または削除できます。また、ユーザーに表示される質問の順序を入れ替えることもできます。質問リストの変更後、ユーザーに対してStoreFrontへのログイン後に再登録タスクを行うように通知する必要があります。

  1. 質問リストに質問またはグループを追加するには、[質問リスト] ページで [追加] をクリックします。
  2. 質問リストから質問を削除するには [削除] をクリックします。
  3. 質問の表示順序を変更するには、[上に移動] または [下に移動] をクリックします。

セキュリティの質問をインポートまたはエクスポートするには:

セキュリティの質問およびグループのデータをインポートまたはエクスポートすることができます。

  1. [スタート]>[すべてのプログラム]>[Citrix]>[Citrixセルフサービスパスワードリセットの設定] の順にクリックします。
  2. 左ペインで、[ユーザー識別処理] ノードを選択します。

  3. [操作] メニューで、次のいずれかをクリックします:

    [セキュリティの質問のインポート] - セキュリティの質問とグループのデータをインポートするファイルの場所を指定します。

    [セキュリティの質問のエクスポート] - セキュリティの質問とグループのデータをエクスポートするファイルの場所を指定します。

インストールと構成
June 28, 2022
寄稿者: 
C
June 28, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.