Citrix Cloud Japan用のAzure Active Directoryの権限

この記事では、Azure Active Directory(AD)を接続して使用するときにCitrix Cloud Japanが要求する権限について説明します。Citrix Cloud JapanアカウントでAzure ADがどのように使用されるかによって、ターゲットのAzure ADテナントに1つまたは複数のエンタープライズアプリケーションが作成されることがあります。アカウントごとにアプリケーションのセットを作成しなくても、複数のCitrix Cloud Japanアカウントを1つのAzure ADテナントに接続し、同じエンタープライズアプリケーションを使用できます。

注:

2022年4月、Citrix Cloud JapanがAzure ADの接続のために使用するAzure ADアプリは、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するように更新されました。既存の(2022年4月より前の)Azure AD接続により、アプリで新しい権限を使用する場合は、Azure ADを切断してからCitrix Cloud Japanに再接続する必要があります。この操作により、Citrix Cloud Japanで最新のAzure ADアプリが使用されるようになります。詳しくは、「アプリのアップデートに対応するためAzure ADに再接続する」を参照してください。

アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。

エンタープライズアプリケーション

次の表では、Citrix Cloud JapanでAzure ADの接続時および使用時に使用されるAzure ADエンタープライズアプリケーションと、各アプリケーションの使用目的を示します。

名前 アプリケーションID 使用状況
Citrix Cloud ProductionJP f751768a-a91d-4306-af65-448ab59e2c85 ワークスペース利用者ログイン
CC-Directory-ProductionJP 6550e1c7-8970-46bc-82b6-ebd920ff255d Azure ADとCitrix Cloud Japan間のデフォルト接続
Athena ProductionJP 6464247d-8d40-42b9-a75e-4660db847454 管理者の招待とログイン

アクセス権

Citrix Cloud Japanのエンタープライズアプリケーションの権限があれば、Citrix Cloud JapanはAzure ADテナント内の特定のデータにアクセスできます。Citrix Cloud Japanはこれらのデータを使用して、Azure ADテナントに接続する、専用のサインインURLを使用した管理者によるCitrix Cloud Japanへのサインインを可能にするなど、特定の機能を実行します。Citrix Cloud Japanがこれらのデータにアクセスするには、管理者の同意が必要です。これらのアクセス権限は、Citrix Cloud JapanがAzure ADと連携するための必要最低限の特権です。Azure ADの権限と同意について詳しくは、Microsoft AzureドキュメントWebサイトの「Microsoft IDプラットフォームでのアクセス許可と同意」を参照してください。

本記事では、Azure ADアプリケーション権限の各セットについて次の情報を記載しています:

  • API名: Citrix Cloud Japanが権限を要求するリソースアプリケーション。Microsoft GraphとWindows Azure Active Directoryのことです。Citrix Cloud Japanは、この2つのリソースアプリケーションに同じ権限を要求します。
  • タイプ: Citrix Cloud Japanが特定の権限に対して要求するアクセスレベル。特定のエンタープライズアプリケーションの権限には、次のいずれかのアクセスレベルを設定できます:
    • 委任権限は、ユーザーのプロファイルを照会する場合など、サインインユーザーの代理として操作するために使用されます。
    • アプリケーション権限 は、特定のグループ内のユーザーを照会する場合など、ユーザー不在でアプリケーションが操作を実行するときに使用されます。この種類の権限を付与するには、Azure ADのグローバル管理者の同意が必要です。
  • 要求値: Azure ADが特定の権限に割り当てる情報の文字列。特定のエンタープライズアプリケーションの権限には、次のいずれかの要求値を設定できます:
    • User.Read: Citrix Cloud Japan管理者が、接続されたAzure ADのユーザーをCitrix Cloud Japanアカウントの管理者として追加できるようにします。
    • User.ReadBasic.All: ユーザーのプロファイルから基本情報を収集します。これはUser.Read.Allのサブセットですが、下位互換性のために権限自体は残ります。
    • User.Read.All: Citrix Cloud Japanは、Microsoft GraphのList usersを呼び出して、顧客が接続したAzure ADからユーザーを参照および選択できるようにします。たとえば、Azure ADのユーザーに対し、ワークスペースを使用したCitrix DaaSリソースへのアクセス権限を付与できます。Citrix Cloud Japanは、onPremisesSecurityIdentifierなどの基本プロファイル以外のプロパティにアクセスする必要があるため、User.ReadBasic.Allを使用できません。
    • GroupMember.Read.All: Citrix Cloud Japanは、Microsoft GraphのList groupsを呼び出して、顧客が接続したAzure ADからグループを参照および選択できるようにします。たとえば、Azure ADのグループに対しては、Citrix DaaSアプリケーションへのアクセス権限を付与することもできます。

ワークスペース利用者ログイン

Citrix Cloud ProductionJP(ID:f751768a-a91d-4306-af65-448ab59e2c85)は、Microsoft GraphとWindows Azure Active Directoryリソースアプリケーションの両方で、同じ権限を使用します。

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り 委任
Windows Azure Active Directory User.Read サインインとユーザープロファイルの読み取り 委任

Azure ADとCitrix Cloud Japan間のデフォルト接続

CC-Directory-ProductionJPアプリケーション(ID:6550e1c7-8970-46bc-82b6-ebd920ff255d)は、次の権限を使用します:

API名 要求値 権限 種類
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り 委任
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り 委任
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り 委任
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り 委任
Microsoft Graph GroupMember.Read.All すべてのグループの読み取り アプリケーション
Microsoft Graph User.Read.All すべてのユーザーの完全なプロファイルの読み取り アプリケーション

管理者の招待とログイン

Athena ProductionJPアプリケーション(ID:6464247d-8d40-42b9-a75e-4660db847454)は、次の権限を使用します:

API名 要求値 権限名 種類
Microsoft Graph User.Read サインインとユーザープロファイルの読み取り 委任
Microsoft Graph User.ReadBasic.All すべてのユーザーの基本プロファイルの読み取り 委任
Citrix Cloud Japan用のAzure Active Directoryの権限