IDPとしてのAzure Active Directory

Azure Active Directory(AD)をIDプロバイダー(IDP)として構成すると、ユーザーは各自のAzure資格情報を使ってXenMobileに登録できます。

iOS、Android、およびWindows 10のデバイスがサポートされています。iOSおよびAndroidデバイスはSecure Hubを通じて登録します。

AzureをIDPとして構成するには、[設定]>[認証]>[IDP] の順に選択します。[IDP]ページは、このバージョンのXenMobileで新しく追加されています。XenMobileの以前のバージョンでは、Azureの構成は [設定]>[Microsoft Azure] で行いました。

要件

  • バージョンおよびライセンス

    • iOSデバイスまたはAndroidデバイスを登録するには、Secure Hub 10.5.5が必要となります。
    • Windows 10デバイスを登録するには、Microsoft Azureプレミアムライセンスが必要となります。
  • ディレクトリサービスと認証

    • XenMobileサーバーは、証明書ベースの認証用に構成する必要があります。
    • 認証にNetScalerを使用している場合は、NetScalerは証明書ベースの認証用に構成する必要があります。
    • Secure Hub認証はAzure ADを使用し、Azure ADで定義された認証モードを履行します。
    • XenMobileサーバーは、LDAPを使用してWindows Active Directory(AD)に接続する必要があります。ローカルLDAPサーバーをAzure ADと同期するように構成します。

認証フロー

デバイスがSecure Hubを使用して登録され、AzureをIDPとして使用するようにXenMobileが構成される場合

  1. ユーザーは自分のデバイスのSecure Hubに表示されたAzure ADログイン画面で、ユーザー名とパスワードを入力します。

  2. Azure ADはそのユーザーを認証し、IDトークンを送信します。

  3. Secure HubはIDトークンをXenMobileサーバーと共有します。

  4. XenMobileは、IDトークンと、IDトークンの中のユーザー情報を確認します。XenMobileはセッションIDを返送します。

Azureアカウント設定

Azure ADをIDPとして使用するには、まずAzureアカウントにログインして以下の変更をします。

  1. カスタムドメインを登録して、ドメインを検証します。詳細については、「Azure Active Directoryに独自のドメイン名を追加する」を参照してください。

  2. ディレクトリ統合ツールを使用して、オンプレミスのディレクトリをAzure Active Directoryに拡張します。詳細については、「ディレクトリ統合」を参照してください。

Azure ADを使用してWindows 10デバイスを登録するには、Azureアカウントに以下の変更をします。

  1. MDMをAzure ADの信頼できるパーティーにします。そのためには、[Azure Active Directory]>[アプリケーション] をクリックして、[追加] をクリックします。

  2. ギャラリーの [アプリケーションを追加する] を選択します。[モバイルデバイス管理] に移動して、オンプレミスのMDMアプリケーション を選択します。設定を保存します。

    Citrix XenMobileクラウドの契約をした場合でも、オンプレミスアプリケーションを選択します。Microsoftの用語では非マルチテナントアプリケーションは、オンプレミスMDMアプリケーションです。

  3. アプリケーションで、XenMobileサーバー検出、使用条件エンドポイント、およびAPP ID URIを構成します。
    • MDM検出URL: https://<FQDN>:8443/<instanceName>/wpe
    • MDM利用規約URL: https://<FQDN>:8443/<instanceName>/wpe/tou
    • アプリID URI: https://<FQDN>:8443/
  4. 手順2で作成したオンプレミスMDMアプリケーションを選択します。[Manage devices for these users] オプションを有効にして、すべてのユーザーまたは特定のユーザーグループに対してMDM管理を有効にします。

    Windows 10デバイスにAzure ADを使用することについて詳しくは、Microsoftの記事「Azure Active DirectoryとMDMの統合」を参照してください。

Azure ADをIDPとして構成

  1. Azureアカウントから以下のように必要な情報を探して記録します。

    • テナント ID - Azure アプリケーション設定ページに記載
    • Azure ADを使用してWindows 10デバイスを登録する場合は、以下についても必要です。
      • アプリID URI: XenMobileを実行しているサーバーのURL
      • クライアントID: Azureの構成ページのアプリの一意の識別子
      • キー: Azure アプリケーション設定ページに記載
  2. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  3. [認証] の下の [ID プロバイダー(IDP)] をクリックします。[IDプロバイダー] ページが開きます。

    IDプロバイダ設定画面の画像

  4. [追加] をクリックします。[IDP構成] ページが開きます。

  5. IDPの以下の情報を構成します。

    • IDP名: 作成しているIDP接続の名前を入力します。
    • IDPの種類: IDPの種類としてAzure Active Directoryを選択します。
    • テナントID:[Azure application settings]ページから値をコピーします。ブラウザーのアドレスバーに表示されている、数字と文字から成る部分をコピーします。

    たとえば、 https://manage.windowszaure.com/acmew.onmicrosoft.com#workspaces/ActiveDirectoryExtensin/Directory/abc213-abc123-abc123/onprem... ではテナントIDは次のとおりです:abc123-abc123-abc123

    IDプロバイダ設定画面の画像

  6. 残りのフィールドは自動的に入力されます。入力後、[次へ] をクリックします。

  7. Azure ADを使用してWindows 10デバイスをMDM登録するためにXenMobileを構成するには、以下の設定を構成します。この任意の手順をスキップするには、[Win 10 MDM] をオフにします。

    • アプリID URI: Azure設定の構成時に入力した、XenMobileサーバーのURLを入力します。
    • クライアント ID:[Azure Configure]ページから値をコピーして貼り付けます。クライアントIDはアプリの一意の識別子です。
    • キー:[Azureアプリケーション設定]ページから値をコピーします。[キー]の下で、一覧から期間を選択し、設定を保存します。キーは、コピーしてこのフィールドに貼り付けることができます。キーは、Microsoft Azure ADでアプリがデータを読み取ったり書き込んだりする場合に必要です。

    IDプロバイダ設定画面の画像

  8. [次へ] をクリックします。

    CitrixはSecure HubをMicrosoft Azureと共に登録し、その情報をメンテナンスしています。この画面は、Secure HubがAzure Active Directoryと通信するのに使用する詳細情報を表示します。このページは将来この情報を変更することが必要になった場合に使用されます。このページはCitrixが変更の通知をしたときにのみ編集します。

  9. [次へ] をクリックします。

    IDプロバイダ設定画面の画像

  10. IDPが指定するユーザー識別子の種類を選択します。

    • ユーザー識別子の種類: リストから [userPrincipalName] を選択します。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  11. [次へ] をクリックします。

    IDプロバイダ設定画面の画像

  12. [設定の適用] ページで内容を確認し、[保存] をクリックします。

    IDプロバイダ設定画面の画像

ユーザーエクスペリエンスとは

  1. Secure Hubを起動します。次に、XenMobileサーバーの完全修飾ドメイン名(FQDN)、ユーザープリンシパル名(UPN)、またはメールアドレスを入力します。

    Secure Hub画面の画像

  2. 次に、[はい、登録します] をクリックします。

    Secure Hub画面の画像

  3. Azure AD資格情報を使用してログオンします。

    Secure Hub画面の画像

    Secure Hub画面の画像

    Secure Hub画面の画像

  4. Secure Hubによるその他の登録と同じ方法で登録手順を完了します。

    注:

    XenMobileは登録招待状のAzure ADによる認証をサポートしていません。登録URLを含む登録招待状をユーザーに送信する場合は、ユーザーはAzure ADの代わりにLDAPを使用して認証します。

IDPとしてのAzure Active Directory