リファレンスアーキテクチャ:CSP 向けの Azure Active Directory Domain Services 使った Citrix DaaS の
アーキテクチャ
Azure Active Directory Domain Services 、Microsoft Azure 上の完全に管理されたActive Directory サービスです。Azure AD は、Microsoft サービスのクラウドベースの ID および認証サービスである Azure AD と混同しないように、Azure AD ドメインサービス (ADDS) は、マネージドドメインコントローラを提供します。Azure ADDS には、ドメイン参加やグループポリシーなどのエンタープライズ機能が含まれています。Azure AD は OpenID Connect や OAuth 2.0 のような最新の認証および承認プロトコルを利用しますが、Azure ADDS は、LDAP や Kerberos のような Active Directory に依存する従来のプロトコルを利用しています。Azure AD ドメインサービスは、Azure AD から管理された AD 環境に ID を自動的に同期します。
Azure ADDSは、Azure サブスクリプションの高可用性 Active Directory ドメインコントローラーを自動的にデプロイおよび管理します。ドメインコントローラーのアクセスは制限され、リモートサーバー管理ツールを使用して管理インスタンスをデプロイすることによってのみドメインを管理できます。さらに、ドメイン管理者とエンタープライズ管理者のアクセス許可は、マネージドサービスでは使用できません。Azure ADDS インスタンスは、サブスクリプション内の仮想ネットワーク (VNet) に直接デプロイされ、リソースは同じ VNet または異なる VNet にデプロイできます。リソースが別の VNet にデプロイされている場合は、VNet ピアリングを介して Azure ADDS VNet に接続する必要があります。
Azure ADDS は、 ユーザーフォレストまたはリソースフォレストとしてデプロイできます。この実装では、外部のオンプレミス AD 環境への信頼を構成せずに、Azure ADDSをユーザーフォレストとしてデプロイしています。また、Citrix DaaS リソースは、 CSP リファレンスアーキテクチャに基づいて展開されます。
アーキテクチャシナリオ 1
この展開シナリオは、次の考慮事項を意味します。
-
Azure AD:
- すべてのお客様に共有する Azure AD テナント
-
Azure ADDS:
- すべての顧客の共有Azure ADDS インスタンス
-
サブスクリプション:
- 小規模のお客様向けの共有 Azure サブスクリプション
- 大企業のお客様向けの専用 Azure サブスクリプション
-
ネットワーク接続:
- Azure ADDS 接続用の専用サブスクリプションから共有サブスクリプションへの VNET ピアリング
アーキテクチャシナリオ 2
この展開シナリオは、次の考慮事項を意味します。
-
Azure AD:
- すべてのお客様に共有する Azure AD テナント
- 大企業のお客様向けの専用の Azure AD テナント
-
Azure ADDS:
- すべての顧客の共有Azure ADDS インスタンス
-
サブスクリプション:
- 小規模のお客様向けの共有 Azure サブスクリプション
- 大企業のお客様向けの専用 Azure サブスクリプション
-
ネットワーク接続:
- Azure ADDS 接続用の専用サブスクリプションから共有サブスクリプションへの VNET ピアリング
アーキテクチャシナリオ 3
この展開シナリオは、次の考慮事項を意味します。
-
Azure AD:
- すべてのお客様に共有する Azure AD テナント
- 大企業のお客様向けの専用の Azure AD テナント
-
Azure ADDS:
- 小規模のお客様向けの共有Azure ADDS インスタンス
- 大規模な顧客向けの専用の Azure ADDSインスタンス
-
サブスクリプション:
- 小規模のお客様向けの共有 Azure サブスクリプション
- 大企業のお客様向けの専用 Azure サブスクリプション
-
ネットワーク接続:
- 専用サブスクリプションから共有サブスクリプションに VNET ピアリングがない
Azure リソース階層
Azure サブスクリプションリソースを設計および整理するときは、次のリソース階層を考慮してください。
初期仮定
Azure ADDS
- Azure AD テナントが存在する
- Azure サブスクリプションが存在します
- 次のアクセス許可を持つ Azure AD アカウントを使用できます。
- Azure AD: グローバル管理者
- サブスクリプション:共同作成者
- Azure ADDS はスタンドアロンユーザーフォレストとしてデプロイされ、信頼は構成されません
- 可能性はありますが、既存の AD ユーザーは Azure AD 接続経由で同期されません
- パスワードハッシュ同期のためにパスワードリセットを強制的にリセットするために、セルフサービスパスワードリセットが導入されます
Citrix Cloud
- Citrix Cloudサブスクリプションが利用可能です
- Citrix Cloud Connector が展開されます
- VDAマスターイメージが展開されます
- Azure ホスティング接続が構成されます
- マシンカタログとデリバリーグループが構成されます
用語
Azure のドキュメントで説明されているように、理解する必要のある最も一般的な Azure 用語を次に示します。
- Azure サブスクリプション: Azure サブスクリプションは、Azure サービスを使用するMicrosoft との契約です。課金は、消費されたリソースに基づいてサブスクリプションに関連付けられ、サブスクリプションなしでリソースを展開することはできません。サブスクリプションを使用すると、リソースへのアクセスを整理できます。サブスクリプションの種類には、トライアル、使用中支払い、エンタープライズ契約、MSDN があり、それぞれ異なる支払い設定を持つことができます。Azure サブスクリプションは、Azure AD テナントに関連付けられる必要があります。
- Azure AD: Azure AD は、ユーザー、グループ、デバイスを対象とした Microsoft のクラウドベースの ID 管理サービスです。Azure AD は LDAP または Kerberos をサポートしていないため、従来の Active Directory ドメインサービスの置き換えとは見なされません。複数の Azure サブスクリプションを 1 つの Azure AD テナントに関連付けることができます。Azure AD は、ライセンスレベルに応じて異なる機能を提供するさまざまな種類のライセンス (無料、プレミアム 1、プレミアム 2) を提供します。
- 管理グループ: Azure 管理グループは、複数のサブスクリプション間でアクセス、ポリシー、およびコンプライアンスを管理できるコンテナーです。管理グループには、サブスクリプションやその他の管理グループを含めることができます。
- Azure RBAC: Azure RBAC は、Azure リソースの承認を管理するために利用されます。Azure RBAC には 70 を超える組み込みロールが含まれており、カスタムロールを作成して、要件に基づいてリソースへの承認を管理できます。権限は、管理グループからサブスクリプションへ、サブスクリプションからリソースグループ、およびリソースグループからリソースにカスケードされます。所有者 RBAC ロールは、Azure リソースに対する最高レベルのアクセス許可を提供し、他のユーザーのリソースアクセス許可を管理することもできます。
- Azure AD ロール: Azure AD ロールは、ユーザー、グループ、アプリの登録、API との対話の作成など、Azure AD 関連のアクションを管理するために使用されます。グローバル管理者ロールは、Azure AD のすべての機能へのアクセス、他のユーザーの役割とライセンスの管理など、Azure AD における最高レベルの承認を付与します。グローバル管理者の役割は、Azure AD テナントを最初に作成したユーザーに自動的に割り当てられます。
- カスタム Azure AD ドメイン: 新しい Azure AD テナントはすべて onmicrosoft.com ドメインの下に作成されます。カスタムドメインは、ドメインレジストラで所有権を検証することによって構成できます。
- リソースグループ: リソースグループは、Azure 内でリソースを整理し、RBAC 経由でアクセス許可を管理するために使用される論理コンテナです。通常、リソースグループ内のリソースは同様のライフサイクルを共有します。リソースグループに他のリソースグループを含めることはできません。また、リソースグループを指定しない限り、Azure リソースを作成することはできません。リソースグループは Azure リージョンにデプロイされている間、さまざまなリージョンのリソースを含めることができます。
- VNET: Azure VNET は、Azure の分離されたアドレス空間下でリソースを管理およびデプロイできるソフトウェア定義のネットワークです。VNet を使用すると、リソースは同じ VNET、インターネット、他の VNet 内のリソース、またはオンプレミスのリソースと通信できます。VNet へのアクセスは、ネットワークセキュリティグループを介してセキュリティで保護されます。また、ユーザー定義ルートを実装してルートを設定することもできます。Azure VNet はレイヤ 3 オーバーレイであるため、VLAN や GARP などのレイヤ 2 セマンティクスを理解できません。すべての VNet にはメインアドレススペースが含まれており、その内部にアドレス空間を持つサブネットが少なくとも 1 つ含まれている必要があります。VNETのVM IPは、実際のVMインスタンスには接続されず、独立したリソースとして管理されるVM NICに割り当てられます。
- VNET ピアリング: ピアリングでは、パブリックインターネット経由でトラフィックをルーティングする従来の VNet から VNet への接続とは対照的に、2 つの VNet が Azure バックボーン経由で接続および通信できます。ピアリングは低レイテンシーを実現し、異なるリージョン、異なるサブスクリプション、さらにはさまざまな Azure AD テナントにまたがって構成できます。ピア接続はデフォルトでは非推移的です。この動作を変更するには、高度な設定が必要です。ハブアンドスポークアーキテクチャでは、スポーク VNET はハブとの通信のみが可能ですが、他のスポーク内のリソースと通信することはできません。
- ネットワークセキュリティグループ: ネットワークセキュリティグループ (NSG) は、VNET 内のリソースへのインバウンドおよびアウトバウンドアクセスを制御できる一連のルールです。これらのリソースは、サブネットまたは NIC に接続できます。ネットワークセキュリティグループ内のインバウンドルールとアウトバウンドルールは独立して管理され、すべてのルールには 100 と 4096 の優先順位が必要です。デフォルトでは、ネットワークセキュリティグループには、同じ VNET 内のリソース間のトラフィックやアウトバウンドインターネットアクセスなどを許可する一連のデフォルトルールが含まれています。ネットワークセキュリティグループは、OS レベルのファイアウォール構成とは一切関係ありません。経験則として、ネットワークセキュリティグループの設計時には、ゼロトラストアプローチをお勧めします。
- アプリの登録: アプリ登録は、外部アプリケーションが Azure API と対話できるようにする Azure AD アカウントです。アプリ登録が作成されると、Azure AD はアプリ ID とシークレットを生成します。このシークレットは、ユーザー名とパスワードとして機能します。この実装では、Citrix CloudがAzure と対話し、マシン作成および電源管理タスクを実行できるように、アプリ登録が作成されます。
Azure ADDSに関する考慮事項
- Azure ADDSは、Azure AD からユーザー ID を自動的に同期します
- Azure AD から Azure ADDSへの同期は機能しますが、逆の方法ではありません
- クラウドで作成されたユーザー、または Azure AD Connect 経由で同期されたユーザーを活用できます
- Azure AD 接続を Azure ADDS環境にインストールして Azure AD にオブジェクトを同期させることはできません。
- LDAP 書き込み関数は ADDSで直接作成されたオブジェクトに対してのみ機能し、Azure AD から同期されたユーザーに対しては機能しません。
- Azure ADDS は、スタンドアロンドメイン (1 つのフォレスト、1 つのドメインのみ) としてのみ使用でき、オンプレミスドメインの拡張としては使用できません
- サービスは Azure アベイラビリティーゾーンにデプロイされます (利用可能な場合)
- Azure ADDS は既定でユーザーフォレストとしてデプロイされます。この執筆の時点で、リソースフォレスト展開モデルはプレビュー中です
- Azure AD から同期されたユーザーの場合、ユーザーがパスワードをリセットするまで、パスワードハッシュは同期されません。Azure セルフサービスパスワードリセットは、ユーザーがパスワードをリセットするのに役立ちます。
- Azure ADDS インスタンスのデプロイ時に作成される AAD DC 管理者グループは、ADUC 内で編集できません。AAD DC 管理者グループは、Azure コンソールの Azure AD グループ内からのみ編集できます。
- Azure AD から同期されたユーザーの場合:
- ADUCコンソールからパスワードをリセットできない
- 別の OU に移動できない
- これらのユーザーは通常、Azure ADDS インスタンスを CSP として管理するために使用され、エンドカスタマーユーザーは ADUC 内で作成できます。
- GPO は、事前に作成された AADDCコンピュータおよびAADCユーザーの組織単位にリンクできます。事前に作成された他のOUにはリンクできません。
- 独自の OU 構造を作成し、GPO を展開できます
- ドメインレベルとサイトレベルの GPO を作成できません
- OU ロックダウンは、新しい OU で制御の委任ウィザードを利用することで可能
- あらかじめ作成された OU では機能しない
ログオンプロセスの考慮事項
Azure ADDSは、が作成された Azure AD テナントからユーザーアカウントを同期します。これには、カスタムドメインで作成されたアカウント、初期 onmicrosoft.com ドメインで作成されたアカウント、および B2B アカウント (Azure AD にゲストとして追加された外部アカウント) が含まれます。ユーザーアカウントの種類に基づいて、ユーザーには異なるログオン操作があります。
- カスタムドメインアカウント:
- UPN (user@domain.com) を使用してログイン:ログイン成功
- NetBIOS (ドメイン\ ユーザー) を使用してログイン:ログイン成功
- Microsoftドメインアカウントの場合:
- UPN (user@domain.onmicrosoft.com) を使用してログイン:ログイン失敗 (1)
- NetBIOS (ドメイン\ ユーザー) を使用してログイン:ログイン成功 (2)
- B2B アカウント (ゲスト):
- UPN (user@domain.com) を使用してログイン:ログイン失敗
- NetBIOS (ドメイン\ ユーザー) を使用してログイン:ログイン失敗 (3)
注:
(1) Azure ADDS では代替 UPN 名の追加は許可されないため、これらのユーザーは UPN 経由でログインできません。
( 2) NetBIOS名がすべてのユーザーで同じであるため、これは正常に動作します。
( 3) これらのユーザーは Azure ADDS に対して認証できません。同期されているにもかかわらず、Azure はパスワードハッシュにアクセスできません。
実装
Azure コンポーネント
手順 1: Azure ADDS用のリソースグループを作成する
1-[Azure Portal] メニューで、[リソースグループ] を選択し、[ 追加] をクリックします
注意事項:
- この手順では、Azure サブスクリプションが作成され、リソースをデプロイする準備ができていることを前提としています。
2-[基本機能] タブで、次の情報を入力し、[ 確認] + [作成] をクリックします。
- サブスクリプション
- リソースグループ名
- 生産資源グループ・リージョン
3-[確認+作成] タブで、[ 作成] をクリックします。
注意事項:
- これらの手順を繰り返して、顧客リソース、ネットワークなどのリソースグループを作成します。
- 必要に応じて、Citrix Machine Creation Servicesが使用するリソースグループを事前に作成することもできます。マシン作成サービス (MCS) では、空のリソースグループのみを使用できます。
手順 2: Azure ADDS VNet を作成する
1-[Azure ポータル] メニューで、[ 仮想ネットワーク] を選択し、[ 追加] をクリックします。
2-[基本機能] タブで、次の情報を入力し、[ 次へ:IP アドレス] をクリックします。
- サブスクリプション
- リソースグループ名
- VNET名
- VNET リージョン
3-[IPアドレス] タブで、次の情報を入力し、[ 次へ:セキュリティ] をクリックします。
- IPv4 アドレス空間
- サブネットの追加
注意事項:
- ネットワーク設計の決定に従ってサブネットを追加します。この例では、ADDSサービスのサブネットと、Citrix Cloud Connectorやマスターイメージなどの共有インフラストラクチャリソースのサブネットを追加します。
4-[セキュリティ] タブで、必要に応じて DDoS とファイアウォールを構成し 、[ 確認] + [作成] をクリックします。
5-[確認+作成] タブで、[ 作成] をクリックします。
注意事項:
- 同じサブスクリプション、または追加のサブスクリプションの両方でカスタマーネットワークを作成するには、これらの手順を繰り返します。
ステップ 3: VNet ピアリングの設定
1-[Azure Portal] メニューで、[ 仮想ネットワーク] を選択し、ADDSがデプロイされる VNET を選択します。
注意事項:
- この実装では、ネットワークはハブアンドスポークアーキテクチャで設計されています。VNET ピアリングは、Azure ADDS ネットワーク (ハブ) からお客様のネットワーク (スポーク) まで構成されます。
- デフォルトでは、VNET ピアリングは推移的ではないため、 スポークネットワークは意図的に設定しない限り相互に通信できません。
- 異なる Azure サブスクリプションと Azure AD テナントでネットワークをピアリングする場合:
- ユーザは、反対側のサブスクリプションのゲストユーザとして追加され、ピアネットワークへの RBAC 権限が付与されている必要があります。
- ネットワークセキュリティグループは、両側で適切に構成する必要があります。
2-[VNET] ブレードで、[ **ピアリングおよび追加**] をクリックします。
3-[ピアリングの追加] ブレードで、次の情報を入力します。
- ソース VNET から宛先 VNET へのピアリングの名前
- サブスクリプション
- 宛先仮想ネットワーク
- 宛先 VNET からソース VNET へのピアリングの名前
4-下にスクロールして 「OK」をクリックします。
注意事項:
- この手順を繰り返して、他のカスタマー(スポーク)ネットワークをピアリングします。
手順 4: Azure AD ドメインサービスのインスタンスを作成する
1-Azure 検索バーで、「 ドメインサービス」と入力し、[ Azure AD ドメインサービス] をクリックします。
2-[Azure AD ドメインサービス] ページで、[ + 追加] をクリックします。
3-[基本機能] タブで、次の情報を入力し、[ 次へ] をクリックします。
- サブスクリプション
- リソースグループ名
- DNS ドメイン名
- リージョン
- SKU
- フォレストタイプ
注意事項:
- AAD DS インスタンスリージョンは、前の手順で事前に作成したネットワークの領域と一致する必要があります。
- ユーザーフォレストは 、Azure ADDS 上のフォレストの既定の種類であり、Azure ADDSインスタンスに対して認証されるように、Azure ADDSのすべてのユーザーアカウントを Azure ADDSに同期します。このモデルは、ユーザーのパスワードハッシュを同期できることを前提としています。
- リソースフォレスト: は、最近サポートされたフォレストの種類で、プレビューされています。この展開モデルでは、Azure ADDS を使用してコンピューターアカウントを管理します。一方向の信頼は、Azure ADDS(信頼する側のドメイン) からオンプレミス AD 環境 (信頼されるドメイン) に構成されます。この構成では、オンプレミス環境のユーザーアカウントは、Azure ADDS ドメインに参加する Azure でホストされているリソースにログインできます。このタイプのフォレストでは、オンプレミスドメインへのネットワーク接続が構成されていることを前提としています。
4-[ネットワーク] タブで、次の情報を入力し、[ 次へ] をクリックします。
- 仮想ネットワーク
- Subnet
5-[管理] タブで、[ グループメンバーシップの管理] をクリックします。
6-[メンバー] ブレードで、[ + メンバの追加] をクリックします。
7-[メンバーの追加] ブレードで、AAD DC 管理者グループのメンバーとして追加するアカウントを検索します。
8-ユーザーを追加したら、[ 選択] をクリックします。
9-[管理] タブに戻り、[ 次へ] をクリックします。
注意事項:
- AAD DC 管理者グループのメンバーシップは、Azure AD からのみ管理でき、Azure ADDS インスタンスの ADUC コンソールからは管理できません。
10-[同期] タブで、[ 次へ] をクリックします。
注意事項:
- このページは、[スコープ] 同期の種類を選択することで、任意で Azure ADDSと同期する Azure AD オブジェクトを選択するために利用できます。
11-[レビュー] タブで、[ 作成] をクリックします。
12-確認ポップアップで、 [OK]をクリックします。
注意事項:
- Azure ADDS インスタンスを作成するプロセスには、最大 1 時間かかることがあります。
手順 5: Azure ADDS VNETの DNS を構成します
1-Azure ADDS インスタンスが作成されたら、[ 仮想ネットワークの DNS サーバー設定の更新] で [ 構成] をクリックします。
注意事項:
- この手順では、Azure ADDS インスタンスが作成された VNET (ハブネットワーク) の DNS 設定が自動的に構成されます。構成が完了すると、すべての DNS クエリが管理対象ドメインコントローラに転送されます。
- カスタマーネットワーク(スポーク)では、DNS 設定を手動で更新する必要があります。
手順 6: カスタマーネットワークの DNS を構成する
1-[Azure Portal] メニューで、[ 仮想ネットワーク] を選択し、顧客 (スポーク) VNET を選択します。
2-VNET ブレードで、[ DNS サーバー] をクリックし、[ カスタム] を選択し、管理対象ドメインコントローラの IP アドレスを入力して [ 保存] をクリックします。
注意事項:
- すべての顧客 (スポーク) VNET、および Azure ADDS インスタンスをホストする VNET にピア接続されるその他の外部 VNET に対して、これらの手順を繰り返します。
手順 7: セルフサービスパスワードリセット (SSPR) を構成する
1-[Azure ポータル] メニューで、[ Azure Active Directory] を選択し、[ パスワードのリセット] をクリックします。
注意事項:
- Azure AD ユーザーが最初に Azure ADDSに同期されると、パスワードハッシュは同期されません。そのため、ユーザーはパスワードをリセットする必要があります。SSPR は、ユーザーがシンプルで安全な方法でパスワードをリセットできるようにするために利用されます。
- Azure ADDS に対するユーザー認証は、この手順が実行されるまで機能しません。
- SSPR を有効にする手順は、以前に構成されていない場合にのみ必要です。
- この手順は、Azure AD ユーザーが Azure ポータルから管理されている場合にのみ必要です (Azure AD 接続経由でオンプレミスの AD から同期されたユーザーではありません)。Azure AD 接続経由でオンプレミスの AD から同期されたユーザーの場合は、次の手順に従います。
2-[プロパティ] ブレードで、[ すべて] を選択し、[ 保存] をクリックします。
注意事項:
- オプションで [Selected] を選択して、SSPR をユーザーのサブセットに対してのみ有効にできます。
- 次回ユーザーがログインすると、SSPR への登録が強制されます。
手順 8: SSPR ユーザー登録プロセス
1-ユーザーがログインすると、 SSPR登録画面にリダイレクトされ 、認証方法を構成します。
注意事項:
- SSPR 認証方法は、Azure ポータルの SSPR 構成ブレードで選択できます。
- この例では、SSPR は基本設定で有効になっています。この基本設定では、電話機 A E メールを設定する必要があります。
2-ユーザーが認証情報を入力すると、SSPR 登録プロセスが完了します。
3-ユーザーは、 セルフサービスパスワードリセットに移動してパスワードをリセットできます 。
注意事項:
- この手順が完了し、ユーザーがパスワードをリセットすると、パスワードハッシュは Azure AD から Azure ADDSに同期されます。
- 同期されたユーザの場合、ADUC を使用してパスワードをリセットすることはできません。
手順 9: AD 管理仮想マシンを作成する
1-[Azure Portal] メニューで、[ 仮想マシン] を選択し、[ 追加] をクリックします
2-[基本機能] タブで、次の情報を入力し、[ 次へ:ディスク] をクリックします。
- サブスクリプション
- リソースグループ
- VM 名
- リージョン
- 可用性オプション
- イメージ
- サイズ
- 管理者アカウントの詳細
3-[ディスク] タブで、 OSディスクタイプを入力し、[ 次へ:ネットワーク] をクリックします。
4-[ネットワーク] タブで、次の情報を構成し、[ 次へ:管理] をクリックします。
- 仮想ネットワーク
- Subnet
- パブリック IP(該当する場合)
- ネットワークセキュリティグループ
5-[管理] タブで、次の情報を構成し、[ 次へ:詳細] をクリックします。
- 監視
- 自動シャットダウン
- バックアップ
6-[詳細設定] タブで、既定の設定のままにして、[ 次へ:タグ] をクリックします。
7-[タグ] タブで、VM インスタンスに必要なタグを作成し、[ 次へ:確認] + [作成] をクリックします。
8-[確認] + [作成] タブで、すべての情報が正しいことを確認し、[ 作成] をクリックします。
注意事項:
- 上記の手順を繰り返して、クラウドコネクタ、マスターイメージなど、追加の仮想マシンをすべて作成します。
手順 10: 管理仮想マシンをドメインに参加する
1-RDP 経由でインスタンスに接続し、サーバーマネージャーを開き、[ 役割と機能の追加] をクリックします。
2-[役割と機能の追加] ウィザードで、次の機能を追加します。
- ロール管理ツール
- ADDSおよび AD LDS ツール
- Windows PowerShell 用のActive Directory モジュール
- AD DS ツール
- AD DS スナップインとコマンドラインツール
- グループポリシー管理コンソール (GPMC)
- DNSマネージャ
3-インストールが完了したら、仮想マシンを Azure ADDS ドメインに参加させます。
注意事項:
- 上記の手順を繰り返して、他のすべての仮想マシンを Azure ADDS ドメインに参加させます。
- RSAT ツールのインストールは、Azure ADDS インスタンスの管理に使用される仮想マシンに対してのみ必要です。
- 以下の手順を実行する前に、仮想マシンを Azure ADDS ドメインに参加させるために使用されるユーザーアカウントのパスワードがリセットされていることを確認してください。
手順 11: Azure AD アプリ登録を作成する
1-Azure ポータルメニューで、[ Azure Active Directory] > [アプリの登録] > [+ 新しい登録]の順に選択します。
2-[アプリケーションの登録] ブレードで、次の情報を入力し、[ 登録] をクリックします。
- アプリ名
- サポートされているアカウントの種類
- Redirect URL
- Web
- 「https://citrix.cloud.com」
3-[概要] ブレードで、次の値をメモ帳にコピーします。
- アプリケーション ID (クライアント)
- ディレクトリ ID (テナント)
注意事項:
- アプリケーションIDとディレクトリIDの値は、後でCitrix MCSがAzure リソースを管理するためのホスティング接続を作成するときに使用されます。
4-[ 証明書とシークレット] をクリックし、[ **+ 新しいクライアント秘密**] をクリックします。
5-[クライアントシークレットの追加] ポップアップで、[ 説明] と [有効期限] を入力し、[ 追加] をクリックします。
6-[証明書とシークレット] 画面に戻り、クライアントシークレットの値をコピーします
注意事項:
- クライアント ID はアプリ登録のユーザー名として機能しますが、クライアントシークレットはパスワードとして機能します。
7-[ API アクセス許可 ] をクリックし、[ 権限の追加] をクリックします。
8-[API アクセス許可の要求] ブレードで、[ API] の下の [私の組織では **Windows Azure の検索を使用する] で、[ **Windows Azure Active Directory] を選択します。
9-Azure Active Directory グラフ API ブレードで、[ 委任されたアクセス許可] を選択し、[ すべてのユーザーの基本プロファイルの読み取り ] アクセス許可を割り当てて、[ アクセス許可の追加] をクリックします
10-[API のアクセス許可の要求] ブレードに戻り、[ API] の下の [私の組織で **Windows Azure の検索を再度使用し** 、 Windows Azure サービス管理 API] を選択します。
11-[Azure サービス管理 API] ブレードで、[ 委任されたアクセス許可] を選択し、[ Azure サービス管理に組織のユーザーとしてアクセスする ] アクセス許可を割り当てて、[ アクセス許可の追加] をクリックします
12-[Azure Portal] メニューで、[ サブスクリプション ] をクリックし、 サブスクリプション IDの値をコピーします
注意事項:
- Citrix MCS経由でリソースを管理するために使用されたすべてのサブスクリプションの値をコピーします。各 Azure サブスクリプションのホスティング接続は、個別に構成する必要があります。
13-サブスクリプションを選択し、[ アクセスコントロール (IAM)] > [+追加] > [ロール割り当ての追加] の順に選択します。
14-[役割の割り当ての追加] ブレードで、 共同作成者の役割を新しいアプリ登録に割り当てて 、[ 保存] をクリックします。
注意事項:
- この手順を繰り返して、追加のサブスクリプションの登録に共同作成者のアクセス許可を追加します。
- 別の Azure AD テナントに属するセカンダリサブスクリプションを使用する場合は、新しいアプリ登録を構成する必要があります。
Citrix コンポーネント
手順 1: Cloud Connector をインストールする
1-RDP経由でCloud Connector仮想マシンに接続し、 Webブラウザーを使用してCitrix Cloudに移動します。Citrix Cloudの資格情報を入力し、[ サインイン]をクリックします
2-[ドメイン] で、[ 新規追加] をクリックします。
3-[ドメイン] タブの [ID とアクセス管理] で、[ + ドメイン] をクリックします。
4-[Cloud Connector タの追加] ウィンドウで [ ダウンロード] をクリックします。
5-cwcconnector.exe ファイルをインスタンスに保存します。
6- cwcconnector.exe ファイルを右クリックし、[ 管理者として実行] を選択します。
7-[Citrix Cloud Connector]ウィンドウで[ サインイン]をクリックします
8-サインインウィンドウで、 Citrix Cloudの資格情報を入力し 、[ サインイン]をクリックします
9-インストールが終了したら、[ 閉じる] をクリックします。
注意事項:
- Cloud Connector インストールには、最大 5 分かかります。
- リソースの場所ごとに、少なくとも 2 つのクラウドコネクタを構成する必要があります。
手順2:VDAマスターイメージを構成する
1-RDP経由でCitrix VDAマスターイメージ仮想マシンに接続し、 Webブラウザーを使用してCitrixダウンロードに移動し 、 最新のCitrix VDAバージョンをダウンロードします
注意事項:
- VDAソフトウェアをダウンロードするには、Citrix資格情報が必要です。
- LTSR または CR バージョンのいずれかをインストールできます。
- サーバーおよびデスクトップOSマシン用に別のVDAインストーラーをダウンロードする必要があります。
2-VDAインストーラーファイルを右クリックし、[ 管理者として実行] を選択します
3-[環境] ページで、[ マスター MCS イメージの作成] を選択します。
4-[コアコンポーネント] ページで、[ 次へ] をクリックします。
5-[追加コンポーネント] ページで、要件に最も適したコンポーネントを選択し、[ 次へ] をクリックします。
6-[Delivery Controller]ページで、次の情報を入力し、[ 次へ]をクリックします。
- [手動で実行] を選択します。
- 各Cloud Connector タの完全修飾ドメインを入力してください
- [ 接続のテスト ]、[ 追加] の順にクリックします。
7-[機能] ページで、展開のニーズに基づいて有効にする機能のチェックボックスをオンにし、[ 次へ] をクリックします。
8-[ファイアウォール] ページで、[ 自動] を選択し、[ 次へ] をクリックします。
9-[概要] ページで、すべての詳細が正しいことを確認し、[ インストール] をクリックします。
10-仮想マシンはインストール中に再起動されます
11-インストールが完了したら、[診断] ページで、配置のニーズに最適なオプションを選択し、[ 次へ] をクリックします。
12-[完了]ページで、[ マシンの再起動 ]がオンになっていることを確認し、[ 完了]をクリックします。
手順 3: Azure ホスティング接続を作成する
1-Citrix Cloud ハンバーガーメニューで、[ マイサービス]>[DaaS]に移動します
2-Web Studioで、[ ホスティング] に移動し、[ 接続とリソースの追加] を選択します
4-[接続] ページで、[ 新しい接続を作成する] の横にあるラジオボタンをクリックし、次の情報を入力して [ 次へ] をクリックします。
- ゾーン
- 接続の種類
- Azure 環境
5-[接続の詳細] ページで、次の情報を入力し、[ 既存のものを使用] をクリックします。
- サブスクリプションID
- 接続名
6-[既存のサービスプリンシパル]ページで、次の情報を入力し、 [OK]をクリックします。
- Active Directory ID
- アプリケーションID
- アプリケーションシークレット
7-[接続の詳細] ページに戻り、[ 次へ] をクリックします。
8-[リージョン]ページで、Cloud ConnectorとVDAがデプロイされたリージョンを選択し、[ 次へ]をクリックします。
9-[ネットワーク] ページで、リソースの名前を入力し、適切な仮想ネットワークとサブネットを選択し、[ 次へ] をクリックします。
10-[概要] ページで、すべての情報が正しいことを確認し、[ 完了] をクリックします。
手順4:マシンカタログの作成
1-Web Studioで、[ マシンカタログ]に移動し、[ マシンカタログの作成]を選択します
2-[はじめに] ページで、[ 次へ] をクリックします。
3-[オペレーティングシステム] ページで、適切なOSを選択し、[ 次へ] をクリックします。
注意事項:
- 以降の画面は、このページで選択したOSの種類によって若干異なります。
4-[マシンの管理]ページで、次の情報を選択し、[ 次へ]をクリックします。
- マシンカタログでは、電源が管理されているマシンを使用します。
- 以下を使用してマシンを展開する:Citrixマシン作成サービス(MCS)
- リソース:Azure ホスティング接続を選択してください
5-[デスクトップエクスペリエンス] ページで、要件に最も適したオプションを選択し、[ 次へ] をクリックします
6-[マスターイメージ]ページで、マスターイメージ、機能レベル(VDAバージョン)を選択し、[ 次へ]をクリックします
7-[ストレージとライセンスの種類] で、要件に最も適したオプションを選択し、[ 次へ] をクリックします。
8-[仮想マシン] ページで、展開する仮想マシンの数、マシンのサイズを構成し、[ 次へ] をクリックします。
9-[ネットワークインターフェイスカード]ページで、 必要に応じてNICを追加し 、[ 次へ]をクリックします。
10-[ライトバックキャッシュ] ページで、ライトキャッシュオプションを選択し、[ 次へ] をクリックします。
11-[リソースグループ]ページで、Citrix MCSリソース用の新しいリソースグループを作成するか、事前に作成したリソースグループを使用するかを選択します。
注意事項:
- 既存のリソースグループのリストには、空のリソースグループのみが表示されます。
12-[Active Directory コンピュータアカウント] ページで、次のオプションを構成し、[ 次へ] をクリックします。
- アカウントオプション:新しい AD アカウントの作成
- ドメイン:ドメインを選択してください
- OU: コンピューターアカウントを保存する OU
- 命名規則:使用する命名規則
注意事項:
- 命名規則のシャープ記号は数字に置き換えられます
- ネーミングスキームを作成するときは、NetBIOS の 15 文字の制限に気を付けてください。
13-[ドメイン資格情報] ページで、[ 資格情報の入力] をクリックします。
14-[Windows セキュリティ] ポップアップで、ドメイン資格情報を入力し、[ 完了] をクリックします
15-[概要] ページで、名前と説明を入力し、[ 完了] をクリックします。
手順5:デリバリーグループの作成
1-Web Studioで、[ デリバリーグループ]に移動し、[ デリバリーグループの作成]を選択します
2-[マシン]ページで、マシンカタログ、マシンの数を選択し、[ 次へ]をクリックします。
3-[ユーザー] ページで認証オプションを選択し、[ 次へ] をクリックします。
4-[アプリケーション] ページで、[ 追加] をクリックします。
5-「アプリケーションの追加」ページで、公開するアプリケーションを選択し、 「OK」をクリックします。
注意事項:
- ほとんどのアプリケーションはスタートメニューに表示されますが、必要に応じて手動でアプリケーションを追加することもできます。
- シームレスなアプリケーションを公開する必要がない場合は、この手順を省略できます。
7-[アプリケーション] ページに戻り、[ 次へ] をクリックします。
8-[デスクトップ] ページで、[ 追加] をクリックします。
9-[デスクトップの追加]ページで、デスクトップを構成し、 [OK]をクリックします。
注意事項:
- フルデスクトップを公開する必要がない場合は、この手順を省略できます。
10-[デスクトップ] ページに戻り、[ 次へ] をクリックします。
11-[概要] ページで、名前と説明を入力し、[ 完了] をクリックします。