PoCガイド：シトリックスの安全なプライベートアクセスによるOffice 365への安全なアクセス

概要

ユーザーが Microsoft 365 (Office 365) 内の機密コンテンツにアクセスする場合、組織は認証標準を適用しながら、ユーザーのログイン操作を簡素化できる必要があります。組織は、データセンターの範囲を超えて存在している場合でも、Microsoft 365 のセキュリティを確保できる必要があります。Citrix Workspaceでは、Microsoft 365の強化されたセキュリティコントロールが組織に提供されます。

このシナリオでは、ユーザーは、いずれかのActive Directoryをプライマリユーザーディレクトリとして使用してCitrix Workspaceに対して認証を行います。

Citrix Secure Private AccessサービスがCitrix サブスクリプションに割り当てられている場合、画面ベースの透かしの適用、印刷/ダウンロード操作の制限、画面グラブの制限、キーボードの難読化、信頼できないリンクからのユーザーの保護など、拡張セキュリティポリシーが適用されます。Microsoft 365アプリケーションのトップです。

次のアニメーションは、SSOを使用してMicrosoft 365にアクセスし、Citrix Secure Private Access で保護されているユーザーを示しています。

このデモでは、ユーザーがCitrix Workspace内からアプリケーションを起動するIDP起動SSOフローを示します。この PoC ガイドでは、SPが開始する SSO フローもサポートしています。このフローでは、ユーザーは好みのブラウザから SaaS アプリに直接アクセスしようとします。

この概念実証ガイドでは、次の方法について説明します。

1. Citrix Workspace のセットアップ
2. プライマリ・ユーザー・ディレクトリの統合
3. SaaS アプリケーションにシングルサインオンを組み込む
4. ウェブサイトフィルタリングポリシーを定義する
5. 構成を検証する

Citrix Workspace のセットアップ

環境を設定するための最初の手順は、Citrix Workspaceを組織用に準備することです。これには、

1. ワークスペース URL の設定
2. 適切なサービスの有効化

ワークスペースの URL を設定

1. Citrix Cloud に接続し、管理者アカウントでログインします
2. Citrix Workspaceで、左上のメニューから［ ワークスペース構成 ］にアクセスします
3. [ アクセス ] タブで、組織の一意の URL を入力し、[有効] を選択します。

サービスを有効にする

[ サービス統合 ] タブで、次のサービスを有効にして、SaaS アプリへの安全なアクセスのユースケースをサポートします。

1. Gateway
2. Secure Browser

確認

Citrix Workspaceでは、サービスとURL設定の更新にしばらく時間がかかります。ブラウザから、カスタムワークスペース URL がアクティブであることを確認します。ただし、プライマリユーザーディレクトリが定義されて構成されるまで、ログオンは使用できません。

プライマリ・ユーザー・ディレクトリの統合

ユーザーが Workspace で認証される前に、 プライマリユーザーディレクトリを設定する必要があります 。Workspace 内のアプリに対するすべての要求はセカンダリ ID へのシングルサインオンを使用するため、プライマリユーザーディレクトリはユーザーが必要とする唯一のアイデンティティです。

組織では、Microsoft 365 では、次のいずれかのプライマリユーザーディレクトリを使用できます。

• Active Directory: Active Directory 認証を有効にするには、Cloud Connector のインストールガイドに従って、AcActive Directory ドメインコントローラーと同じデータセンター内にクラウドコネクタをデプロイする必要があります 。
• 時間ベースのワンタイムパスワードを使用する Active Directory: Active Directory ベースの認証には、時間ベースのワンタイムパスワード (TOTP) を使用した多要素認証を含めることもできます。 このガイドでは 、この認証オプションを有効にするために必要な手順を詳しく説明します。
• Citrix Gateway：組織は、オンプレミスのCitrix Gateway を利用して、Citrix WorkspaceのIDプロバイダーとして機能できます。 このガイドでは 、統合の詳細について説明します。
• Okta：組織はOktaをCitrix Workspaceのプライマリユーザーディレクトリとして使用できます。 このガイドでは 、このオプションを設定する手順について説明します。

*注: 現時点では、Azure Active Directory をユーザーのプライマリ ID として使用すると、正常に機能しません。*

Azure 認証を Citrix Workspace にフェデレートする

Microsoft 365とCitrix Workspaceを正常にフェデレートするには、管理者が次の操作を実行する必要があります。

• SaaS アプリの設定
• SaaS アプリを認証する
• 認証ドメインの確認
• ドメインフェデレーションの構成

SaaS アプリの設定

Azure 内でドメインを検証すると、Microsoft 365 SaaS アプリを Citrix Workspace 内で構成できます。

• Citrix Cloudで、［ゲートウェイ］タイルから［ 管理 ］を選択します。

• [ Web/SaaS アプリを追加] を選択します
• [テンプレートの選択] ウィザードで、[ Office 365] を選択します。

• 次を選択
• [ アプリ詳細 ] 画面で、[ 名前]、[アイコン]、および [ 説明 ] を必要に応じて変更します。

• 次を選択

• 強化されたセキュリティポリシーは、関連するドメインフィールドを使用して、セキュリティで保護する URL を決定します。デフォルトの URL に基づいて、関連するドメインが 1 つ自動的に追加されます。強化されたセキュリティポリシーでは、アプリケーションに関連付けられた URL に関連するドメインが必要です。Microsoft 365には多数のURLが含まれており、 Microsoft 365関連ドメインのセクションにあります。

• [ セキュリティの強化 ] ウィンドウで、環境に適切なセキュリティポリシーを選択します。

• [ シングルサインオン ] ウィンドウで、[ 名前 ID 形式] が [永続的] 、[ 名前 ID = Active Directory GUID] を確認します。
• [詳細属性] で、[ 属性名] = [IDPEMail]、[ 属性形式] = [未指定]、[ 属性値] が [電子メール]
• [ Download ] を選択して、 CRT ベースの証明書をキャプチャします 。
• [ ログイン URL] の横にある [ コピー ] ボタンを選択して、ログイン URL をキャプチャします。この URL は後で使われます。
• SAML メタデータのリンクを選択します

• SAML メタデータファイル内で、 entityIdを探します。URL 全体をコピーし、後で使用できるようにストアします。キャプチャすると、SAML メタデータファイルを閉じることができます。

• [ 保存] を選択します
• [ 完了 ] を選択して、Microsoft 365 SaaS アプリの構成を完了します。

SaaS アプリを認証する

• Citrix Cloudで、メニューから［ ライブラリ ］を選択します

• Microsoft 365 アプリを見つけて、[ 購読者を管理]
• アプリを起動する権限のある適切なユーザー/グループを追加します。

認証ドメインの確認

Citrix Workspaceに認証をフェデレートするには、Azure で完全修飾ドメイン名を検証する必要があります。Azure ポータルで、次の操作を行います。

• Azure Active Directory にアクセスする
• ナビゲーションウィンドウで [ カスタムドメイン名 ] を選択します。
• [ カスタムドメインの追加] を選択します。
• 完全修飾ドメイン名を入力してください

• [ ドメインの追加] を選択します
• Azure は、ドメイン名レジストラに組み込むためのレコードを提供します。完了したら、[ 確認] を選択します。

• 完了すると、ドメインには検証済みマークが含まれます

ドメインフェデレーションの構成

最終的な構成では、検証済みドメインのフェデレーション権限として Citrix Workspace を Azure で使用します。フェデレーションの構成は、PowerShell で実行する必要があります。

• PowerShell の起動
• 次のコマンドを使用して、適切なモジュールを追加します。

Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->

• PowerShell 経由でMicrosoft オンラインに接続し、認証する

Connect-MSOLService
<!--NeedCopy-->

• 次の PowerShell コマンドを実行して、ドメインが現在 Azure 内で管理に設定されていることを確認します

Get-MsolDomain
<!--NeedCopy-->

• PowerShell スクリプトで次のコードを使用して、環境に合わせて変数を変更して、 このドメインをフェデレートします

 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $IssuerUri = "https://citrix.com/fdafdjk4" # The entityID taken from the Citrix Worksapce SAML Metadata file
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $uri = "https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be" # The Login URL from the Citrix Workspace Microsoft 365 app configuration
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt") # Path to the downloaded certificate file from Citrix Workspace
 $certData = [system.convert]::tobase64string($cert.rawdata)

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP
<!--NeedCopy-->

• 次の PowerShell コマンドを実行して、ドメインが現在 Azure 内でフェデレーションに設定されていることを確認します

Get-MsolDomain
<!--NeedCopy-->

• 次の PowerShell コマンドを実行して、Azure のフェデレーション設定を確認します

Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

***注:フェデレーション設定を削除する必要がある場合は、次の PowerShell コマンドを実行します*

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed
<!--NeedCopy-->

検証

IDP が開始する検証

• Citrix Workspaceにユーザーとしてログインする
• Microsoft 365アプリケーションを選択してください
• URLを観察して、Azure 経由で簡単にリダイレクトしてください
• Microsoft 365ポータルが正常に起動する

SPが開始する検証

• ブラウザを起動する
• SaaS アプリケーションの会社定義の URL に移動します
• ブラウザーは認証のためにAzure Active Directory Directoryにリダイレクトされ、次にCitrix Workspace にリダイレクトされます。
• ユーザーがプライマリユーザーディレクトリで認証されると、SaaSアプリが起動し、Citrixによってシングルサインオンが提供されます

ウェブサイトフィルタリングポリシーを定義する

Citrix Secure Private Accessサービスは、ユーザーをフィッシング攻撃から保護するために、SaaSおよびWebアプリ内でWebサイトフィルタリングを提供します。以下に、Web サイトフィルターポリシーを設定する方法を示します。

• Citrix Cloud から、［Secure Private Access］ タイル内で管理する

• このガイドに従っていれば、「 エンドユーザー認証の設定 」ステップと「 SaaS、Web および仮想アプリケーションへのエンドユーザアクセスの構成 」の手順は完了です。[コンテンツアクセスの設定]を選択します。
• [編集] を選択します。
• **ウェブサイトカテゴリを絞り込むオプションを有効にします**
• [ ブロックされたカテゴリ ] ボックスで、[ 追加]
• ユーザーのアクセスをブロックするカテゴリを選択してください

• 適用可能なカテゴリをすべて選択したら、[ 追加]

• 許可されたカテゴリについても同じ操作を行います
• リダイレクトされたカテゴリについても同じ操作を行います。これらのカテゴリは、セキュアブラウザインスタンスにリダイレクトされます。
• 必要に応じて、管理者は、カテゴリの定義に使用したのと同じプロセスに従って、特定の URL について、拒否、許可、およびリダイレクトされたアクションをフィルタリングできます。ウェブサイトの URL はカテゴリよりも優先されます。

構成を検証する

IDP が開始する検証

• Citrix Workspaceにユーザーとしてログインする
• [Microsoft 365] を選択します。セキュリティ強化が無効になっている場合、アプリはローカルブラウザー内で起動します。それ以外の場合は、埋め込みブラウザーが使用されます。
• ユーザーがアプリに自動的にサインオン
• 適切な拡張セキュリティポリシーが適用される
• 構成されている場合は、ブロック、許可、およびリダイレクトされたカテゴリにある SaaS アプリケーション内の URL を選択します
• 構成されている場合は、ブロック、許可、およびリダイレクトされた URL にある SaaS アプリ内の URL を選択します。
• SaaS アプリが正常に起動する

SPが開始する検証

• ブラウザを起動する
• Office 365 の Web サイトにアクセスし、[ サインイン] を選択します
• ユーザー名を入力します。
• ブラウザは認証のためにブラウザをCitrix Workspaceにリダイレクトします
• ユーザーがプライマリユーザーディレクトリで認証されると、セキュリティ強化が無効になっている場合、Microsoft 365 はローカルブラウザーで起動します。強化されたセキュリティが有効な場合、セキュアブラウザインスタンスは Microsoft 365 を起動します

Microsoft 365 関連ドメイン

Citrix Workspace内で新しいアプリを作成すると、関連するドメインフィールドを使用できます。強化されたセキュリティポリシーでは、これらの関連ドメインを使用して、ポリシーを施行するタイミングを決定します。

次の一覧は、Microsoft 365 に関連付けられている現在のドメインです。

*注: これらのドメインはいつでも変更できます*

• *.office.com
• .office365.com
• *.sharepoint.com
• *.live.com
• *.onenote.com
• *.microsoft.com
• *.powerbi.com
• *.dynamics.com
• *.microsoftstream.com
• *.powerapps.com
• *.yammer.com
• *.windowsazure.com
• *.msauth.net
• *.msauthimages.net
• *.msocdn.com
• *.microsoftonline.com
• *.windows.net
• *.microsoftonline-p.com
• *.akamaihd.net
• *.sharepointonline.com
• *.officescriptsservice.com
• *.live.net
• *.office.net
• *.msftauth.net

Microsoft 365 アプリ

Microsoft 365ポータルの代わりに特定のMicrosoft 365アプリ（Word、PowerPoint、またはExcel）を起動することが望ましい場合、管理者はCitrix Cloud内でアプリごとに個別のアプリケーションインスタンスを作成する必要があります。各アプリには一意の URL があり、このガイドで構成されたフェデレーションドメインの正しい値を含める必要があります。フェデレーションドメインエントリは、正しいフェデレーションドメイン構成にリダイレクトするように Azure に通知します。

• Word: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=フェデレーションドメイン
• PowerPoint: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=フェデレーションドメイン
• Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=フェデレーションドメイン
• CRM/Dynamics オンライン: https://<tenant>.crm.dynamics.com/?whr=フェデレーションドメイン
• ビジネス用 OneDrive: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=フェデレーションドメイン
• Outlook 予定表: https://outlook.office.com/owa/?realm=フェデレーションドメイン&path=/calendar/view/Month
• Exchange オンラインへの Outlook Web アクセス: https://outlook.com/owa/フェデレーションドメイン

• SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=フェデレーションドメイン

• Citrix Cloudで、［ゲートウェイ］タイルから［ 管理 ］を選択します。

• [ Web/SaaS アプリを追加] を選択します
• [テンプレートの選択] ウィザードで、[ Office 365] を選択します。

• 次を選択
• [ アプリ詳細 ] 画面で、上記のアプリケーション固有の URL を使用し、[ URL ] フィールドに配置します。
• [ 名前]、 [アイコン]、[説明 ] を必要に応じて変更し、残りのすべてのエントリは変更しません。

• 次を選択

• 強化されたセキュリティポリシーは、関連するドメインフィールドを使用して、セキュリティで保護する URL を決定します。デフォルトの URL に基づいて、関連するドメインが 1 つ自動的に追加されます。強化されたセキュリティポリシーでは、アプリケーションに関連付けられた URL に関連するドメインが必要です。Microsoft 365には多数のURLが含まれており、 Microsoft 365関連ドメインのセクションにあります。

• [ セキュリティの強化 ] ウィンドウで、環境に適切なセキュリティポリシーを選択します。

• [ シングルサインオン ] ウィンドウで、 リレー状態 URL が上からのアプリケーション固有の URL と一致していることを確認します。
• 名前 ID 形式が [永続的] 、[ 名前 ID = Active Directory GUID] を確認します。
• [ 指定した URL を使用してアプリを起動する] 設定を有効にします。ユーザーが Workspace (IDP が開始するフロー) からアプリケーションを起動すると、ユーザーは常に Azure ポータルページで終了します。この設定では、SAML アサーション内にリレー状態 URL が含まれ、Azure ポータルページではなく URL が表示されるように Azure に指示します。
• [詳細属性] で、[ 属性名] = [IDPEMail]、[ 属性形式] = [未指定]、[ 属性値] が [電子メール]

• [ 保存] を選択します
• [ 完了 ] を選択して、Microsoft 365 SaaS アプリの構成を完了します。

サインインの滞在

既定の構成では、Azure Active Directory はログオンプロセス中にダイアログボックスを表示し、ユーザーはサインインしたままにします。

これは Azure の設定で、次の操作を行うことで簡単に変更できます。

• Azure 内で、 Azure Active Directoryを選択します
• 会社のブランディングを選択
• 有効なロケールの選択
• [会社のブランディングの編集] ウィンドウで、[ 表示] オプションで [ **いいえ ] を選択し、サインインしたままにする**

• [ 保存] を選択します

トラブルシューティング

ユーザーアカウントがディレクトリに存在しません

Microsoft 365 を起動しようとすると、次のエラーが表示されることがあります:ユーザーアカウント「アカウント名」が「GUID」ディレクトリに存在しません。

この問題の解決方法に関する提案を次に示します。

• ユーザーに Microsoft 365 管理コンソールで Microsoft 365 を使用するライセンスがあることを確認します
• エラー内の識別された電子メールアドレスが、プライマリユーザーディレクトリ、Azure Active Directory および Microsoft 365 の間で一致することを確認します。

フェデレーションレルムオブジェクト

検証中に、ユーザーに次のエラーが表示されることがあります。

これは、多くの場合、ドメインが検証されていないか、適切にフェデレーションされていないことが原因です。PoC ガイドの次のセクションを確認します。

• 認証ドメインの確認
• ドメインフェデレーションの構成

強化されたセキュリティポリシーが失敗する

ユーザーは、強化されたセキュリティポリシー (透かし、印刷、またはクリップボードアクセス) が失敗することがあります。通常、これは SaaS アプリケーションが複数のドメイン名を使用しているために発生します。SaaS アプリケーションのアプリケーション構成設定に、 関連ドメインのエントリがありました。

強化されたセキュリティポリシーは、関連するドメインに適用されます。 このPoCガイドのMicrosoft 365関連ドメインセクションには 、Microsoftがいつでも変更できる関連ドメインの初期セットが含まれています。

拡張セキュリティポリシーがアプリの特定のセクション内で機能しない場合、関連するドメインは依然として存在しません。不足しているドメイン名を識別するために、管理者はローカルブラウザーで SaaS アプリにアクセスし、次の操作を実行できます。

• ポリシーが失敗するアプリのセクションに移動します
• Google ChromeとMicrosoft Edge（Chromium版）では、ブラウザの右上にある 3 つのドットを選択してメニュー画面を表示します。
• [ その他のツール] を選択します。
• 開発者ツールの選択
• 開発者ツールで、[ ソース] を選択します。これは、アプリケーションのそのセクションのアクセスドメイン名のリストを提供します。アプリのこの部分で強化されたセキュリティポリシーを有効にするには、それらのドメイン名をアプリ構成の [ 関連ドメイン ] フィールドに入力する必要があります。関連ドメインは以下のように追加されます。*.domain.com