製品ドキュメント
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDFを表示

Active Directoryユーザー名とパスワード認証

April 1, 2026
寄稿者: 
C C

ユーザーはActive Directoryのユーザー名とパスワードの入力を求められます。

ユーザー名とパスワード認証画面のスクリーンショット

ユーザーのパスワードの有効期限が切れているか、まもなく切れる場合、構成によっては、パスワードを変更するオプションがユーザーに提供されることがあります。

Citrix Workspaceアプリを使用しているときにストアのユーザー名とパスワード認証を有効または無効にするには、認証方法ウィンドウでActive Directoryユーザー名とパスワードをオンまたはオフにします。

ストアのユーザー名とパスワード認証を有効にすると、デフォルトで、Webブラウザーを使用するユーザー向けのそのストアのすべてのWebサイトでも有効になります。特定のWebサイトのユーザー名とパスワード認証は、Webサイトの認証方法の管理タブで無効にできます。

信頼済みユーザー ドメインの構成

明示的なドメイン資格情報を使用してログオンするユーザー、またはCitrix Gatewayからのパススルー認証を使用するユーザーに対して、ストアへのアクセスを制限できます。

  1. Citrix StoreFront管理コンソールの左ペインで [ストア] ノードを選択し、結果ペインで適切な認証方法を選択します。[操作] ペインで、[認証方法の管理] をクリックします。

  2. [ユーザー名とパスワード] > [設定] リストから、[信頼済みドメインの構成] を選択します。

  3. [信頼済みドメインのみ] を選択し、[追加] をクリックして信頼済みドメインの名前を入力します。そのドメインにアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、[信頼済みドメイン] リストのエントリを選択し、[編集] をクリックします。ドメイン内のユーザーアカウントのストアへのアクセスを停止するには、リストでドメインを選択し、[削除] をクリックします。

    ドメイン名を指定する方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメインユーザー名形式で資格情報を入力させたい場合は、NetBIOS名をリストに追加します。ユーザーにユーザープリンシパル名形式で資格情報を入力させたい場合は、完全修飾ドメイン名をリストに追加します。ユーザーにドメインユーザー名形式とユーザープリンシパル名形式の両方で資格情報を入力させたい場合は、NetBIOS名と完全修飾ドメイン名の両方をリストに追加する必要があります。

  4. 複数の信頼済みドメインを構成する場合は、[デフォルトドメイン] リストから、ユーザーがログオンするときにデフォルトで選択されるドメインを選択します。

  5. ログオンページに信頼済みドメインをリスト表示する場合は、[ログオンページにドメインリストを表示] チェックボックスをオンにします。

信頼済みドメイン画面のスクリーンショット

PowerShell

構成済みドメインのリストを取得するには、コマンドレット `Get-STFExplicitCommonOptions` を使用します。

信頼済みドメインを更新するには、コマンドレット `Set-STFExplicitCommonOptions` を使用します。

ユーザーによるパスワード変更の有効化

-  ユーザーはいつでもパスワードを変更できるように設定できます。または、パスワードの有効期限が切れたユーザーにのみパスワード変更を制限することもできます。これにより、パスワードの有効期限切れによってユーザーがデスクトップやアプリケーションにアクセスできなくなることを確実に防ぐことができます。

パスワード変更機能は、以下のクライアントで利用できます。

Citrix Workspaceアプリ StoreFrontで有効になっている場合、ユーザーは期限切れのパスワードを変更できます パスワードの有効期限が切れることをユーザーに通知 StoreFrontで有効になっている場合、ユーザーは有効期限が切れる前にパスワードを変更できます
Windows はい    
Mac はい    
Android      
iOS      
Linux はい    
Web はい はい はい

デフォルトの構成では、Citrix WorkspaceアプリおよびWebブラウザーのユーザーは、パスワードの有効期限が切れていてもパスワードを変更できません。この機能を有効にする場合は、サーバーを含むドメインのポリシーがユーザーのパスワード変更を妨げないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織のセキュリティポリシーでユーザーのパスワード変更機能が内部使用のみに限定されている場合は、企業ネットワークの外部からストアにアクセスできないようにしてください。

ユーザーがいつでもパスワードを変更できるように設定した場合、パスワードの有効期限がまもなく切れるローカルユーザーには、ログオン時に警告が表示されます。デフォルトでは、ユーザーの通知期間は適用されるWindowsポリシー設定によって決定されます。または、カスタム通知期間を構成することもできます。

  1. [認証方法の管理] ウィンドウで、[Active Directoryユーザー名とパスワード] > [設定] ドロップダウンメニューから [パスワードオプションの管理] を選択します。

  2. ユーザーがパスワードを変更できるようにするには、[ユーザーによるパスワード変更を許可する] チェックボックスをオンにします。

    注:

    このオプションを選択しない場合、パスワードの有効期限切れによりデスクトップやアプリケーションにアクセスできないユーザーをサポートするための独自の対策を講じる必要があります。

  3. ユーザーがパスワードを変更できるタイミングを、[有効期限が切れた場合のみ] または [いつでも] のいずれかから選択します。

  4. パスワードの有効期限が切れる前にユーザーに通知するかどうかを選択します。以下のオプションから選択できます。

    • [通知しない] - UIはパスワード有効期限の通知を表示しません。パスワードの有効期限が切れた時点でユーザーにのみ通知します。

    • [Active Directoryグループポリシーからの通知設定を使用する] - ログオン後、ユーザーインターフェイスは、グループポリシーで構成された日数でパスワードの有効期限が切れるかどうかを通知します。ユーザーにはパスワードを変更するオプションが与えられます。

      注:

      StoreFrontはきめ細かいパスワードポリシーを考慮しません。したがって、きめ細かいパスワードポリシーを使用している場合は、このオプションを選択しないでください。

    • [カスタマイズされた通知設定を使用する] - ログオン後、ユーザーインターフェイスは、指定された日数でパスワードの有効期限が切れるかどうかをユーザーに通知します。ユーザーにはパスワードを変更するオプションが与えられます。

パスワードオプションの管理のスクリーンショット

注1:

StoreFrontサーバーに、すべてのユーザーのプロファイルを保存するのに十分なディスク容量があることを確認してください。ユーザーのパスワードの有効期限がまもなく切れるかどうかを確認するために、StoreFrontはそのユーザーのローカルプロファイルをサーバー上に作成します。StoreFrontは、ユーザーのパスワードを変更するためにドメインコントローラーに接続できる必要があります。

注2:

セキュリティポリシー [ネットワークアクセス: SAMへのリモート呼び出しを許可するクライアントを制限する] を有効にする場合は、パスワードを変更する必要があるすべてのユーザーを含める必要があります。

注3:

いつでもパスワード変更を有効または無効にすると、Citrix Gatewayからのパススルー認証の[パスワードオプションの管理] の設定にも影響します。

PowerShell

信頼済みドメインのリストを取得するには、コマンドレット `Get-STFExplicitCommonOptions` を使用します。

信頼済みドメインを更新するには、cmdlet Set-STFExplicitCommonOptions を使用します。

パスワードの検証

通常、StoreFront は Windows に Active Directory で資格情報を検証するよう要求します。これには、Windows サーバーがユーザーと同じドメインにあるか、2つのドメイン間に信頼関係があることが必要です。Active Directory の信頼関係を確立できない場合、StoreFront を構成して、Citrix Virtual Apps and Desktops のデリバリーコントローラーを使用して資格情報を認証できます。これは、HTTP Basic 認証および Gateway パススルー認証にも影響します。

StoreFront がパスワードを検証する方法を構成するには:

  1. 認証方法の管理」ウィンドウで、「ユーザー名とパスワード > 設定」ドロップダウンメニューから「パスワード検証の構成」を選択します。

    Manage Authentication methods dialog

  2. パスワードの検証方法」ドロップダウンから、以下を選択します。

    • Active Directory - Active Directoryで資格情報を検証するようにWindowsに要求します。
    • Delivery Controllers - 構成済みのDelivery Controller™に資格情報の検証を要求します。

    Configure Password validation panel

  3. Delivery Controllersを選択した場合は、「構成」を選択します。「Delivery Controllersの構成」画面で、ユーザー資格情報を検証するためのDelivery Controllersを1つ以上追加し、「OK」をクリックします。

    Edit Delivery Controller panel

  4. OK」を選択します。

PowerShell

パスワードがどのように検証されるかを取得するには、Get-STFExplicitAuthenticator コマンドレットを使用します。

Delivery Controllerを介してパスワード検証を行うには、Set-STFExplicitAuthenticator コマンドレットを使用してバリデーターを xmlServiceAuthenticator に設定します。資格情報を認証するために使用するDelivery Controllerを設定するには、Enable-STFXmlServiceAuthentication コマンドレットを使用します。

VDAへのシングルサインオン

ユーザーがリソースを起動すると、StoreFrontはユーザーがストアへのログインに使用した資格情報をVDAへのシングルサインオンのために渡します。

ストアでフェデレーション認証サービス (FAS) が有効になっている場合、StoreFrontはFASサーバーに接続し、ストアへのシングルサインオン用の証明書を提供します。この証明書は、資格情報の代わりにVDAに渡されます。StoreFrontがFASサーバーに接続できない場合、VDAへのシングルサインオンは行われません。

ログオン画面のカスタマイズ

ログオン画面は、通常 C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm にあるテンプレートから生成されます。このテンプレートは、フォームテンプレート言語を使用して定義されます。

次の例では、タイトルを追加し、Citrix Workspaceアプリfor Windowsがパスワードをキャッシュしないようにします。

タイトルテキスト

ユーザーがストアにログオンするとき、デフォルトではログオンダイアログボックスにタイトルテキストは表示されません。「ログオンしてください」というテキストを表示するか、独自のカスタムメッセージを作成できます。

  1. テキストエディターを使用して、認証サービスの UsernamePassword.tfrm ファイルを開きます。

  2. ファイル内で次の行を見つけます。

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
<!--NeedCopy-->

  3. 先頭と末尾の @* および末尾の *@ を削除して、ステートメントのコメントを解除します。

    @Heading("ExplicitAuth:AuthenticateHeadingText")
<!--NeedCopy-->

    Citrix Workspaceアプリのユーザーは、この認証サービスを使用するストアにログオンする際に、デフォルトのタイトルテキスト「ログオンしてください」またはこのテキストの適切なローカライズ版を目にします。

  4. タイトルテキストを変更するには、テキストエディターを使用して、認証サービスの ExplicitFormsCommon.xx.resx ファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ ディレクトリにあります。

  5. ファイル内で次の要素を見つけます。<value> 要素内に囲まれたテキストを編集して、この認証サービスを使用するストアにアクセスする際にユーザーがログオンダイアログボックスで目にするタイトルテキストを変更します。

    <data name="AuthenticateHeadingText" xml:space="preserve">
    <value>My Company Name</value>
</data>
<!--NeedCopy-->

    他のロケールのユーザーのログオンダイアログボックスのタイトルテキストを変更するには、ローカライズされたファイル ExplicitAuth.languagecode.resx を編集します。ここで、languagecode はロケール識別子です。

Citrix Workspaceアプリfor Windowsによるパスワードとユーザー名のキャッシュの防止

デフォルトでは、Citrix Workspaceアプリfor Windowsは、ユーザーがStoreFrontストアにログオンする際にパスワードを保存します。Citrix Workspaceアプリfor Windowsがユーザーのパスワードをキャッシュしないようにするには、認証サービス用のファイルを編集します。

  1. テキストエディターを使用して、ファイル inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm を開きます。

  2. ファイル内で次の行を見つけます。

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
<!--NeedCopy-->

  3. 以下に示すように、ステートメントをコメントアウトします。

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
<!--NeedCopy-->

    ユーザーは、この認証サービスを使用するストアにログオンするたびにパスワードを入力する必要があります。

    デフォルトでは、Citrix Workspaceアプリfor Windowsは最後に入力されたユーザー名を自動的に入力します。ユーザー名フィールドの自動入力を抑制する方法、またはパスワードのキャッシュを抑制する別のメカニズムについては、「Citrix Workspaceアプリfor Windowsによるパスワードとユーザー名のキャッシュの防止」を参照してください。

Citrix Gatewayを介したリモートアクセス

ドメインのユーザー名とパスワード、およびオプションで第2要素を使用してゲートウェイにログオンするようにCitrix Gatewayを構成できます。これらの資格情報は、ストアにサインオンするためにStoreFrontに渡されます。LDAPユーザー名とパスワード認証用にCitrix Gatewayを構成するには、「NetScaler documentation - LDAP authentication」を参照してください。StoreFrontを構成するには、「Citrix Gatewayからのパススルー」を参照してください。

Active Directoryユーザー名とパスワード認証
April 1, 2026
寄稿者: 
C C
April 1, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.