XenMobile Server

IDプロバイダーとしてのAzure Active Directory

Azure Active Directory(AAD)をIDプロバイダー(IDP)として構成すると、ユーザーは各自のAzure資格情報を使ってXenMobileに登録できます。

iOS、Android、Windows 10およびWindows 11のデバイスがサポートされています。iOSおよびAndroidデバイスはSecure Hubを通じて登録します。この認証方法は、Citrix Secure Hub経由でMDMに登録するユーザーが利用できます。MAMに登録しているデバイスは、AAD資格情報を使用して認証できません。Secure HubをMDM+MAMで使用するには、XenMobileでMAM登録にCitrix Gatewayを使用するよう構成します。詳しくは、「Citrix GatewayとXenMobile」を参照してください。

AzureをIDプロバイダーとして構成するには、[設定]>[認証]>[IDP] の順に選択します。[IDP]ページは、このバージョンのXenMobileで新しく追加されています。XenMobileの以前のバージョンでは、Azureの構成は [設定]>[Microsoft Azure] で行いました。

要件

  • バージョンおよびライセンス

    • iOSデバイスまたはAndroidデバイスを登録するには、Secure Hub 10.5.5が必要となります。
    • Windows 10およびWindows 11デバイスを登録するには、Microsoft Azure Premiumライセンスが必要となります。
  • ディレクトリサービスと認証

    • XenMobile Serverは、証明書ベースの認証用に構成する必要があります。
    • Citrix ADCを認証で使用している場合は、Citrix ADCを証明書ベースの認証に構成する必要があります。
    • Secure Hub認証はAzure ADを使用し、Azure ADで定義された認証モードを履行します。
    • XenMobile Serverは、LDAPを使用してWindows Active Directory(AD)に接続する必要があります。ローカルLDAPサーバーをAzure ADと同期するように構成します。

認証フロー

デバイスがSecure Hubを使用して登録され、AzureをIDプロバイダーとして使用するようにXenMobileが構成される場合:

  1. ユーザーは自分のデバイスのSecure Hubに表示されたAzure ADログイン画面で、 Azure Active Directoryのユーザー名とパスワードを入力します。

  2. Azure ADはそのユーザーを認証し、IDトークンを送信します。

  3. Secure HubはIDトークンをXenMobile Serverと共有します。

  4. XenMobileは、IDトークンと、IDトークンの中のユーザー情報を確認します。XenMobileはセッションIDを返送します。

Azureアカウント設定

Azure ADをIDプロバイダーとして使用するには、まずAzureアカウントにログインして以下の変更をします。

  1. カスタムドメインを登録して、ドメインを検証します。詳しくは、「Azure Active Directoryにカスタムドメイン名を追加する」を参照してください。

  2. ディレクトリ統合ツールを使用して、オンプレミスのディレクトリをAzure Active Directoryに拡張します。詳しくは、「ディレクトリ統合」を参照してください。

Azure ADを使用してWindows 10およびWindows 11デバイスを登録するには、Azureアカウントに以下の変更をします:

  1. MDMをAzure ADの信頼できるパーティーにします。そのためには、[Azure Active Directory]>[アプリケーション] をクリックして、[追加] をクリックします。

  2. ギャラリーの [アプリケーションを追加する] を選択します。[モバイルデバイス管理] に移動して、オンプレミスのMDMアプリケーション を選択します。設定を保存します。

    Citrix XenMobileクラウドの契約をした場合でも、オンプレミスアプリケーションを選択します。Microsoftの用語では非マルチテナントアプリケーションは、オンプレミスMDMアプリケーションです。

  3. アプリケーションで、XenMobile Server検出、使用条件エンドポイント、およびAPP ID URIを構成します。
    • MDM検出URL: https://<FQDN>:8443/<instanceName>/wpe
    • MDM利用規約URL: https://<FQDN>:8443/<instanceName>/wpe/tou
    • アプリID URI: https://<FQDN>:8443/
  4. 手順2で作成したオンプレミスMDMアプリケーションを選択します。[Manage devices for these users] オプションを有効にして、すべてのユーザーまたは特定のユーザーグループに対してMDM管理を有効にします。

    Windows 10およびWindows 11デバイスにAzure ADを使用することについて詳しくは、Microsoftの記事「Azure Active DirectoryとMDMの統合」を参照してください。

Azure ADをIDプロバイダーとして構成

  1. Azureアカウントから以下のように必要な情報を探して記録します。

    • テナントID - Azureアプリケーション設定ページに記載
    • Azure ADを使用してWindows 10およびWindows 11デバイスを登録する場合は、以下も必要です:
      • アプリID URI: XenMobileを実行しているサーバーのURL
      • クライアントID: Azureの構成ページのアプリの一意の識別子
      • キー: Azure アプリケーション設定ページに記載
  2. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  3. [認証] の下の [ID プロバイダー(IDP)] をクリックします。[IDプロバイダー] ページが開きます。

    IDプロバイダ設定画面の画像

  4. [追加] をクリックします。[IDP構成] ページが開きます。

  5. IDプロバイダーの以下の情報を構成します。

    • IDP名: 作成しているIDプロバイダー接続の名前を入力します。
    • IDPの種類: IDプロバイダーの種類としてAzure Active Directoryを選択します。
    • テナントID: Azureアプリケーション設定のページから値をコピーします。ブラウザーのアドレスバーに表示されている、数字と文字から成る部分をコピーします。

    たとえば、 https://manage.windowszaure.com/acmew.onmicrosoft.com#workspaces/ActiveDirectoryExtensin/Directory/abc213-abc123-abc123/onprem... ではテナントIDは次のとおりです:abc123-abc123-abc123

    IDプロバイダ設定画面の画像

  6. 残りのフィールドは自動的に入力されます。入力後、[次へ] をクリックします。

  7. Azure ADを使用してWindows 10およびWindows 11デバイスをMDM登録するためにXenMobileを構成するには、以下の設定を構成します。この任意の手順をスキップするには、[Windows MDM] をオフにします。

    • アプリID URI: Azure設定の構成時に入力した、XenMobile ServerのURLを入力します。
    • クライアントID: Azure構成のページから値をコピーして貼り付けます。クライアントIDはアプリの一意の識別子です。
    • キー: Azureアプリケーション設定のページから値をコピーします。[キー]の下で、一覧から期間を選択し、設定を保存します。キーは、コピーしてこのフィールドに貼り付けることができます。キーは、Microsoft Azure ADでアプリがデータを読み取ったり書き込んだりする場合に必要です。

    IDプロバイダ設定画面の画像

  8. [次へ] をクリックします。

    CitrixはSecure HubをMicrosoft Azureと共に登録し、その情報をメンテナンスしています。この画面は、Secure HubがAzure Active Directoryと通信するのに使用する詳細情報を表示します。このページは将来この情報を変更することが必要になった場合に使用されます。このページはCitrixが変更の通知をしたときにのみ編集します。

  9. [次へ] をクリックします。

    IDプロバイダ設定画面の画像

  10. IDプロバイダーが指定するユーザー識別子の種類を選択します。

    • ユーザー識別子の種類: リストから [userPrincipalName] を選択します。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  11. [次へ] をクリックします。

    IDプロバイダ設定画面の画像

  12. [設定の適用] ページで内容を確認し、[保存] をクリックします。

    IDプロバイダ設定画面の画像

ユーザーエクスペリエンスとは

  1. Secure Hubを起動します。次に、XenMobile Serverの完全修飾ドメイン名(FQDN)、ユーザープリンシパル名(UPN)、またはメールアドレスを入力します。

    Secure Hub画面の画像

  2. 次に、[はい、登録します] をクリックします。

    Secure Hub画面の画像

  3. Azure AD資格情報を使用してログオンします。

    Secure Hub画面の画像

    Secure Hub画面の画像

    Secure Hub画面の画像

  4. Secure Hubによるその他の登録と同じ方法で登録手順を完了します。

    注:

    XenMobileは登録招待状のAzure ADによる認証をサポートしていません。登録URLを含む登録招待状をユーザーに送信する場合は、ユーザーはAzure ADの代わりにLDAPを使用して認証します。

IDプロバイダーとしてのAzure Active Directory