Azure Active DirectoryをIDプロバイダーとして接続
デフォルトでは、Citrix IDプロバイダーを使用して、Citrix Cloud JapanアカウントのすべてのユーザーのID情報を管理します。これを変更し、Azure Active Directory(AD)を使用してCitrix Cloud Japan管理者とWorkspace利用者を認証できます。
Citrix Cloud JapanでAzure ADを使用すると、次のことができるようになります:
- 独自のActive Directoryを使用して、監査、パスワードポリシーを制御し、必要に応じて簡単にアカウントを無効にできます。
- 多要素認証を構成して高いレベルのセキュリティを実現し、盗まれたサインイン資格情報が使用される可能性を回避します。
- ブランド設定済みのログインページを使用するため、ユーザーは正しい場所にログインしていることを確認できます。
- ADFS、Okta、Pingなどの任意のIDプロバイダーにフェデレーションを使用できます。
Azure ADアプリケーションと権限
Citrix Cloud JapanにはAzure ADアプリが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。Citrix Cloud JapanがAzure ADとの接続に使用するAzure ADアプリケーションと権限について詳しくは、「Citrix Cloud Japan用のAzure Active Directoryの権限」を参照してください。
Active DirectoryとAzure ADを準備する
Azure ADを使用する前に、次の要件を満たしていることを確認してください:
- Microsoft Azureアカウントを持っている。すべてのAzureアカウントに無料のAzure ADが付属しています。Azureアカウントをお持ちでない場合は、https://azure.microsoft.com/en-us/free/?v=17.36に登録してください。
- Azure ADにはグローバル管理者の役割があります。この役割は、Citrix Cloud JapanがAzure ADと接続できるようにするために必要です。
- 管理者アカウントには、Azure ADで構成された「mail」プロパティがあります。MicrosoftのAzure AD Connectツールを使用することで、オンプレミスのActive DirectoryアカウントをAzure ADと同期させることができます。または、Office 365のメールで同期されていないAzure ADアカウントを構成することもできます。
Azure AD Connectでアカウントを同期する
- Active Directoryアカウントにメールのユーザープロパティが構成されていることを確認します:
- [Active Directoryユーザーとコンピューター]を開きます。
- Usersフォルダーで、確認するアカウントを見つけて右クリックし、[プロパティ] を選択します。[全般] タブで、[メール] フィールドに有効なエントリがあることを確認します。Citrix Cloud Japanでは、Azure ADから追加された管理者には、CitrixがホストするIDを使用してサインインする管理者とは異なるメールアドレスが必要です。
- Azure AD Connectをインストールおよび構成します。手順について詳しくは、Microsoft Azure WebサイトでオンプレミスのディレクトリとAzure Active Directoryの統合を参照してください。
Citrix Cloud JapanをAzure ADに接続する
Citrix Cloud JapanアカウントをAzure ADに接続する場合、Azure ADのユーザーの基本プロファイルだけでなく、ユーザープロファイル(またはサインインしたユーザーのプロファイル)へのアクセス権限が必要です。Citrixはこの権限を要求し、(管理者の)名前とメールアドレスを取得して、管理者が後で他のユーザーを管理者として追加することができるようにします。
- Citrix Cloud Japanにサインインします(https://citrix.citrixcloud.jp)。
- ページの左上隅にあるメニューボタンをクリックし、[IDおよびアクセス管理] を選択します。
- Azure Active Directoryを見つけ、省略記号ボタンをクリックして [接続] を選択します。
- 入力画面が表示されたら、URLに適した短い会社の識別子を入力し、[接続] をクリックします。この識別子は、Citrix Cloud Japan内でグローバルに一意である必要があります。
- 入力画面が表示されたら、接続するAzureアカウントにサインインします。Azureは、Citrix Cloud Japanがアカウントにアクセスして接続に必要な情報を取得するためのアクセス権限を表示します。
- [承諾] をクリックして権限の要求を承諾します。
Azure ADからCitrix Cloud Japanに管理者を追加する
- Citrix Cloud Japan管理コンソールの [IDおよびアクセス管理] ページで [管理者] タブをクリックします。
- [管理者/グループを追加する] を選択します。
- [管理者の詳細] で、[Azure AD] を選択します。
- 追加するユーザーの名前を入力し、[次へ] をクリックします。Azure ADゲストユーザーの招待はサポートされていません。
- [アクセスの設定] で、管理者に適切な権限を設定します。
- 管理者の詳細を確認します。変更するには、[戻る] を選択します。
- [招待を送信] を選択します。Citrix Cloud Japanは、指定されたメールアドレスに招待メールを送信し、管理者を一覧に追加します。
メールのリンクをクリックして、会社のAzure Active Directoryにサインインします。これにより、ユーザーのメールアドレスが確認され、Azure ADユーザーアカウントとCitrix Cloud Japan間の接続が完了します。
Azure AD管理者グループからCitrix Cloud Japanに管理者を追加する
Azure Active Directory(AD)グループを使用して、Citrix Cloud Japanアカウントに管理者を追加できます。その後、グループ内のすべての管理者のサービスアクセス許可を管理できます。
この機能は、Citrix DaaS(Virtual Apps and Desktopsサービスの新名称)での使用のみがサポートされています。グループ内の管理者は、Citrix Cloud Japanアカウントのその他のサービスを管理するためのアクセス権を持っていません。
詳しくは、「管理者グループを管理する」を参照してください。
Azure ADを使用してCitrix Cloud Japanにサインインする
Azure ADユーザーアカウントの接続後、管理者は次のいずれかの方法でCitrix Cloud Japanにサインインできます:
- 会社のAzure AD IDプロバイダーを最初に接続した時に構成した管理者のサインインURLに移動します。例:
https://citrix.citrixcloud.jp/go/myorganization
- Citrix Cloud Japanのサインインページで、[会社の資格情報でサインイン] をクリックし、最初にAzure ADを接続したときに作成した識別子を入力し、[続行] をクリックします。
ワークスペースのAzure AD認証を有効にする
Azure ADをCitrix Cloud Japanに接続すると、Azure AD経由で自分のワークスペースに認証する許可を利用者に付与できます。
重要:
Azure ADワークスペース認証を有効にする前に、Citrix WorkspaceでAzure ADを使用するための考慮事項について「Azure Active Directory」セクションで確認してください。
- 左上隅のCitrix Cloud Japanメニューから、[ワークスペースの構成] を選択します。
- [認証] タブ、[Azure Active Directory] の順に選択します。
- [確認] をクリックしてAzure AD認証を有効にした場合のワークスペース環境の変更を承諾します。
高度なAzure AD機能を有効にする
Azure ADは、高度な多要素認証、国際的レベルのセキュリティ機能、20種類のIDプロバイダーとのフェデレーション、セルフサービスパスワードの変更とリセットなどの機能を提供します。Azure ADユーザーでこれらの機能を有効にすると、Citrix Cloud Japanが自動的に使用できるようになります。
アプリのアップデートに対応するためAzure ADに再接続する
2022年4月に、Citrix Cloud Japanで使用されたAzure ADアプリが更新され、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するようになりました。
2022年4月より前にAzure ADをCitrix Cloud Japanに接続しており、最新の更新済みアプリを使用する場合は、Azure ADをCitrix Cloud Japanから切断し、再接続する必要があります。最新のアプリの使用は任意です。アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。
要件
Azure ADを再接続する前に、次の要件を満たしていることを確認してください:
- Azure ADのグローバル管理者である必要があります。Azure ADを再接続するときは、Azure ADのグローバル管理者の役割を使用して、Citrix Cloud Japanにアプリケーションレベルの権限を付与します。これにより、Citrix Cloud JapanがAzure ADに再接続できるようになります。詳しくは、「Citrix Cloud Japan用のAzure Active Directoryの権限」を参照してください。
- デフォルトのCitrix IDプロバイダーのフルアクセス権限を持つ管理者である必要があります。Azure ADの資格情報を使用してCitrix Cloud Japanにサインインしている場合、再接続は失敗します。アカウントにCitrix IDプロバイダーを使用する管理者がいない場合は、一時的にアカウントを追加して、Azure ADに再接続した後にそのアカウントを削除できます。手順については、「個別の管理者を招待する」を参照してください。
- Azure ADを使用してワークスペース利用者を認証している場合は、一時的に別のIDプロバイダーを選択します。Azure ADがCitrix Workspaceの認証方法としても使用されている場合、Citrix Cloud JapanではAzure ADを切断できません。詳しくは、Citrix Workspaceドキュメントの「認証方法の選択または変更」を参照してください。
Azure ADを再接続するには
- Citrix IDプロバイダーのフルアクセス権を持つ管理者として、Citrix Cloud Japanにサインインします。
- Citrix Cloud Japanメニューから、[IDおよびアクセス管理] を選択し、次に [認証] を選択します。
- Azure Active Directoryを見つけ、ページの右端にある省略記号(…)メニューから [切断] を選択します。
- 省略記号メニューの [接続] を選択します。
- プロンプトが表示されたら、グローバル管理者の資格情報を使用してAzureアカウントにサインインします。Azureは、Citrix Cloud Japanがアカウントにアクセスして接続に必要な情報を取得するための権限を表示します。
- [承諾] を選択して権限の要求を承諾します。