Citrix Cloudへの管理者のアクセスを管理する
Citrix Cloudコンソールで管理者を管理します。管理者の認証に使用するIDプロバイダーに応じて、管理者を個別に追加することも、グループを使用して追加することもできます。
すべての管理者が、Citrix Cloudにサインインするときに認証の第2要素としてトークンを使用する必要があります。管理者として追加されると、デバイスを多要素認証に登録し、Citrix SSOなどの時間ベースのワンタイムパスワード標準に準拠したアプリを使用してトークンを生成できます。
新しい管理者を追加する
Citrix Cloudは、管理者の認証で次のIDプロバイダーをサポートしています:
- Citrix IDプロバイダー:Citrix CloudのデフォルトのIDプロバイダー。個別の管理者の追加のみをサポートします。
- Azure AD:個別の、またはAADグループを使用しての管理者の追加をサポートします。AADグループの管理者のアクセスは、カスタムアクセス権役割のみに限定されています。詳しくは、「管理者グループを管理する」を参照してください。
- SAML 2.0:ADグループによる管理者の追加のみをサポートします。詳しくは、「SAMLをIDプロバイダーとしてCitrix Cloudに接続する」を参照してください。
新しい管理者を追加するには、次のワークフローを使用します:
- 管理者の認証に使用するIDプロバイダーを選択します。
- IDプロバイダーに応じて、個別の管理者を招待するか、管理者が属するグループを選択します。
- 組織内の管理者の役割に応じたアクセス権限を指定します。詳しくは、この記事の「管理者権限を変更する」を参照してください。
個別の管理者を招待する
個別の管理者を追加するには、Citrix Cloudアカウントに参加するよう招待します。管理者を追加すると、Citrixから相手に招待メールが送信されます。管理者は、サインインする前に招待を承諾する必要があります。グループを通じて追加した管理者には招待は送信されず、追加後すぐにサインインできます。
cloud@citrix.com
から送信された招待メールには、アカウントへのアクセス方法が記載されています。招待メールは送信日から5日間有効です。5日が経過すると、招待リンクの有効期限が切れます。招待された管理者が期限切れのリンクを使用した場合、リンクが無効であることを知らせるメッセージがCitrix Cloudで表示されます。
Citrix Cloudには招待メールのステータスも表示されるため、管理者が招待メールを受け入れてCitrix Cloudにサインインしたかどうかを確認できます。
注
管理者アカウントは最大100の顧客アカウントに関連付けることができます。その管理者が100を超える顧客アカウントを管理する必要がある場合、追加の顧客を管理するには、別のメールアドレスで別の管理者アカウントを作成する必要があります。また、管理する必要がなくなった顧客アカウントから管理者を削除することもできます。
管理者を招待するには
-
Citrix Cloudにサインインしてから、メニューで [IDおよびアクセス管理] を選択します。
-
[IDおよびアクセス管理] ページで [管理者] を選択します。コンソールに、アカウント内の現在の管理者全員が表示されます。
- [管理者/グループを追加する] を選択します。
- [管理者の詳細] で、使用するIDプロバイダーを選択します。Azure ADを使用している場合、最初にサインインするように求めるメッセージがCitrix Cloudに表示されることがあります。
- Citrix IDを選択した場合は、ユーザーのメールアドレスを入力して [次へ] をクリックします。
- Azure Active Directoryを選択した場合は、追加するユーザーの名前を入力して [次へ] をクリックします。AADゲストユーザーの招待はサポートされていません。
- [アクセスの設定] で、管理者に適切な権限を設定します。フルアクセス(デフォルトで選択)では、すべてのCitrix Cloud機能とサブスクライブ済みサービスを制御できます。カスタムアクセスでは、選択した機能とサービスを制御できます。
- 管理者の詳細を確認します。変更するには、[戻る] を選択します。
- [招待を送信] を選択します。Citrix Cloudは、指定されたメールアドレスに招待メールを送信し、管理者を一覧に追加します。
招待メールを再送信する
招待メールを再送信するには、コンソールの右端にある省略記号(…)メニューから [招待メールの再送信] を選択します。招待メールを再送信しても、招待メールの有効期限が切れるまでの5日間の制限に変更はありません。
新しいサインインリンクを含む招待メールを再送信する
元の招待メールの有効期限が切れた場合は、新しい招待メールを管理者に送信できます。次の手順を実行します:
- Citrix Cloudから管理者を削除する:[管理者] ページで、一覧から管理者を見つけ、省略記号メニューから [管理者の削除] を選択します。
- Citrix Cloudが削除を完了するまで数分待ちます。場合によっては、削除直後に管理者を再度招待すると、サインインのリンクが正しくない招待状が送信される可能性があります。
- 「管理者を招待するには」の説明に従って、管理者を再度招待します。
管理者の招待を受け入れる
Citrix Cloudアカウントに招待された場合、アカウントの組織IDと顧客名が記載されたメールがCitrixから送信されます。
招待を受け入れるには、[サインイン] をクリックします。その後、ブラウザーウィンドウが開きます。Citrix Cloudアカウントをまだお持ちでない場合は、ブラウザーにパスワード作成ページが表示されます。既にアカウントをお持ちの場合は、Citrix Cloudは既存のパスワードを使用してサインインするように要求します。
サインイン中に、多要素認証に登録するように求められる場合があります。登録手順については、「多要素認証を設定する」を参照してください。
管理者グループを追加する
ADグループ(SAML認証用)またはAzure ADグループ(Azure AD認証用)を使用して管理者を追加できます。詳しくは、「管理者グループを管理する」を参照してください。
Citrix Cloudへの参加リクエストを承認する
管理者のCitrix Cloudアカウントに参加することを希望する組織内のユーザーからの承認リクエストを、Citrix Cloudで受け取ることがあります。
管理者がこれらのリクエストを承認するには、この記事の「個別の管理者を招待する」の説明に従って、アクセスをリクエストしているユーザーを管理者として招待します。この場合、承認リクエストのメールに表示されるメールアドレスと同じアドレスを使用する必要があります。
アクセスをリクエストしているユーザーは、招待を受信後、[サインイン] リンクをクリックして招待を承諾します。その後、ユーザーはCitrix Cloudのパスワードを作成し、管理者アカウントにサインインできます。
承認リクエストの生成方法について詳しくは、「アカウントが既に使用中の場合」を参照してください。
メールアドレスの変更
Citrix Cloudで自分のメールアドレスを変更できます。新しいアドレスは、多要素認証(MFA)の復旧用メールアドレスとは異なる必要があります。メールアドレスを変更すると、Citrix Cloudから新しいアドレスへ確認メールが送信されます。確認したらCitrix Cloudからサインアウトされ、変更を完了できます。数分後に新しいメールアドレスで再度サインインできます。
-
右上のメニューから [自分の設定] を選択します。
- [メールアドレス] で、[メールの変更] を選択します。
- 新しいメールアドレスを入力し、[確認メールを送信] を選択します。
- メールに記載されている6桁の確認コードを入力し、[確認して完了する] を選択します。
- [はい、メールアドレスを変更します] を選択して変更を確認します。
変更を確認したら、Citrix Cloudからサインアウトされます。数分後に新しいメールアドレスで再度サインインできます。
管理者権限を変更する
Citrix Cloudアカウントに管理者を追加するときは、組織内での役割に適した管理者権限を定義します。デフォルトでは、新しい管理者にはCitrix Cloudアカウントのすべての機能と使用可能なサービスへの_フルアクセス権限_が割り当てられています。管理コンソールの特定の領域または特定のサービスへのアクセスを制限する場合は、_カスタムアクセス権限_を定義できます。
他の管理者の権限を定義できるのは、フルアクセス権限を持つCitrix Cloud管理者だけです。
既存の管理者権限を変更するには:
- https://citrix.cloud.comでCitrix Cloudにサインインします。
- Citrix Cloudメニューから、[IDおよびアクセス管理] を選択し、[管理者] を選択します。
- 管理対象のIDプロバイダーを選択します:Citrix Identity(デフォルト)、Active Directory(IDプロバイダーとしてSAMLを使用している場合)、またはAzure AD(接続されている場合)。
-
管理対象の管理者またはグループを見つけ、省略記号ボタンをクリックし、[アクセスの編集] を選択します。
- 特定の権限を許可または禁止するには、[カスタムアクセス] を選択します。Citrix Cloudの全機能へのアクセスを許可するには、[フルアクセス] を選択します。
- サービス権限をすばやく見つけるには、検索ボックスを使用します。入力したテキストに一致する権限がCitrix Cloudに表示されます。たとえば、「read only」(読み取り専用)と入力し始めると、タイトルに「read only」が含まれる権限が表示されます。アクセス権限の検索では、大文字と小文字が区別されません。
-
Citrix Cloud管理コンソールのカスタムアクセス権限を定義するには、[全般]を開きます。
- 特定のサービスのカスタムアクセス権限を定義するには、サービスを展開します。
- 権限ごとに、必要に応じてチェックマークを選択またはクリアします。
- [Save] を選択します。
コンソールの権限
このセクションでは、Citrix Cloud管理コンソールで使用できるカスタムアクセス権限について説明します。特定のサービスのカスタムアクセス権限について詳しくは、サービスのドキュメントを参照してください。
- 顧客ダッシュボード(表示のみ): Citrix Service Provider(CSP)のみ。顧客ダッシュボードへの表示アクセスを許可します。
- ドメイン: [IDおよびアクセス管理] > [ドメイン] タブへのアクセスが許可されます。管理者は、このタブからCitrix Cloud Connectorソフトウェアをダウンロードし、ドメイン内のサーバーにインストールすることで、Active Directoryドメインを追加できます。
- ライブラリ: [ライブラリ] コンソールページへのアクセスが許可されます。管理者にアクセス権限があるサービスでは、管理者は、Citrix DaaSのデリバリーグループにユーザーを割り当てたり、Endpoint ManagementからIntune管理対象アプリを追加したり、Secure Private Accessのアプリの詳細を表示する権限を読み取り専用管理者に付与したりすることができます。
- ライセンス: [ライセンス] コンソールページの [クラウドサービス] タブおよび [ライセンス割り当て済みの展開] タブへのアクセスが許可されます。
- 通知: [通知] コンソールページへのアクセスが許可されます。管理者はCitrix Cloudの通知を表示したり閉じたりできます。
- リソースの場所: [リソースの場所] コンソールページへのアクセスが許可されます。管理者は、新しいリソースの場所を追加したり、Citrix Workspaceのシングルサインオン用のFASサーバーを追加したりできます。コネクタの更新を管理することもできます。
- セキュアクライアント: [IDおよびアクセス管理] > [APIアクセス] > [セキュアクライアント] タブへのアクセスが許可されます。管理者は、Citrix Cloud APIで使用する独自のセキュアクライアントを作成および管理できます。この権限には、[IDおよびアクセス管理] > [APIアクセス] > [製品の登録] タブへのアクセスは含まれません。[製品の登録] タブにアクセスできるのはフルアクセス管理者のみです。
- サポートチケット: [サポートチケット] コンソールのメニューオプションおよび [チケットを開く] のヘルプメニューオプションへのアクセスが許可されます。これらのオプションのいずれかを選択すると、管理者は [My Support] ポータルに送信されます。詳しくは、「テクニカルサポート」を参照してください。
- システムログ: [システムログ] コンソールページへのアクセスが許可されます。管理者は、システムログイベントを表示したり、イベントをCSVファイルにエクスポートしたりできます。
- ワークスペース構成: [ワークスペース構成] コンソールページへのアクセスが許可されます。管理者は、認証方法の変更、ワークスペースの外観と動作のカスタマイズ、サービスの有効化と無効化、サイトアグリゲーションの構成を行うことができます。詳しくは、Citrix Workspaceの製品ドキュメントを参照してください。
- WorkspaceのOAuthクライアント(プレビュー):[IDおよびアクセス管理]>[APIアクセス]>[Workspace API] タブへのアクセスが許可されます管理者は、Citrix WorkspaceプラットフォームAPIと対話するための独自のOAuthクライアントを作成および管理できます。OAuthクライアントはWorkspace API専用として使用されます。また、自動的に期限切れになるプライベートクライアントを作成するオプションを含んでいます。
注:
[Workspace OAuthクライアント] のカスタム役割を割り当てる場合は、慎重に実行することをお勧めします。この役割に関連付けられたアクセス権限により、管理者はWorkspaceプラットフォーム上のエンドユーザーのリソース(VDAまたはアプリケーション)にアクセスできるようになります。[フルアクセス] 権限を持つ管理者には、[Workspace OAuthクライアント] 権限を持つ管理者と同等のアクセス権限が自動的に付与されることにも注意してください。
プライマリMFAメソッドを管理する
多要素認証(MFA)を使用してCitrix Cloudにサインインするには、認証アプリを使用するか、メールアドレスを使用できます。このセクションでは、MFAのデバイス登録を変更する方法、または別の多要素認証方法に切り替える方法について説明します。
MFA用のデバイスを変更する
登録済みのデバイスを紛失し、Citrix Cloudで別のデバイスを使用する場合、または認証アプリをリセットする場合は、Citrix Cloudの多要素認証に再登録できます。
メモ
- デバイスを変更すると、現在のデバイス登録が削除され、新しい認証アプリキーが生成されます。
- 元の登録から同じ認証アプリで再登録する場合は、再登録する前に、認証アプリからCitrix Cloudエントリを削除します。このエントリに表示されるコードは、再登録が完了すると機能しなくなるためです。再登録の前または後にこのエントリを削除しない場合、認証アプリには、異なるコードの2つのCitrix Cloudエントリが表示され、Citrix Cloudへのサインイン時に混乱を引き起こす可能性があります。
- 新しいデバイスを再登録中で、認証アプリがない場合は、デバイスのアプリストアから認証アプリをダウンロードしてインストールします。操作をスムーズにするためには、デバイスを再登録する前に認証アプリをインストールすることをCitrixではお勧めします。
-
Citrix Cloudにサインインして認証アプリからのコードを入力します。
認証アプリがない場合は、[認証アプリがありませんか?] をクリックしてサインインに役立つ復旧方法を選択します。選択した復旧方法に応じて、受信した復旧コード、または未使用のバックアップコードを入力して [確認] を選択します。
- 複数の顧客組織の管理者である場合は、任意の組織を選択します。
-
右上のメニューから [自分の設定] を選択します。
-
[認証アプリ] で [新しいデバイスの追加] を選択します。
- デバイスの変更を確認するメッセージが表示されたら、[はい、自分のデバイスを変更します] を選択します。
- 認証アプリから確認コードを入力して、本人確認を行います。認証アプリがない場合は、[復旧方法を使用する] を選択して、選択した復旧方法で本人確認を行います。選択した復旧方法に応じて、受信した確認コードか復旧コード、または未使用のバックアップコードを入力します。[確認して続行] を選択します。
- 最初に登録したデバイスと元の認証アプリを使用している場合は、認証アプリから既存のCitrix Cloudエントリを削除します。
- 新しいデバイスを登録中で、認証アプリがない場合は、デバイスのアプリストアからダウンロードします。
- 認証アプリから、デバイスでQRコードをスキャンするか、キーを手動で入力します。
- 認証アプリで6桁の確認コードを入力して、[コードを確認する] を選択します。
デバイスを変更したら、[マイプロファイル]ページの確認方法が最新であることを確認することをCitrixでは強くお勧めします。
MFAの方法を変更する
認証アプリを使用してMFAに登録しており、メールアドレスの使用に切り替える場合は、認証方法を変更するとデバイスの登録が削除されることに注意してください。認証アプリを使用した多要素認証に戻る場合は、デバイスを再登録する必要があります。
- Citrix Cloudコンソールの右上のメニューから、[自分の設定] を選択します。
- [多要素認証(MFA)] で、切り替える認証方法を選択します。
- メールMFAに切り替える場合:
- [はい、メールに変更します] を選択して、MFAの方法を変更することを確認します。
- 認証アプリからコードを入力するか、復旧方法を使用してIDを確認します。
- [確認して続行] を選択して変更を完了します。
- 認証アプリに切り替える場合:
- プロンプトが表示されたら、Citrix Cloudがメールアドレスに送信する確認コードを入力し、 [確認して続行]を選択します。または、復旧方法を使用してIDを確認します。
- 認証アプリを使用して、デバイスのカメラでQRコードをスキャンするか、英数字キーを入力します。
- [認証アプリを確認する] で認証アプリから6桁のコードを入力します。
- [コードを確認する] をクリックしてデバイスの登録を完了します。
MFAの復旧方法を管理する
重要:
Citrix Cloudアカウントの安全を確保するには、確認方法を最新の状態に保ち、正確な情報を使用します。認証アプリまたはMFAメールアドレスにアクセスできなくなった場合、これらの確認方法がアカウントへのアクセスを復旧する唯一の方法です。
復旧用のメールアドレスを追加または変更する
- 右上のメニューから [自分の設定] を選択します。
- 復旧用のメールアドレスをまだ追加していない場合は、[復旧方法] の [復旧用のメール アドレス] で [復旧用のメールアドレスを追加する] を選択します。復旧用のメールアドレスを既に追加している場合は、[復旧用のメール アドレスを変更する] を選択します。
- プロンプトが表示されたら、認証アプリの確認コードを入力するか、メールアドレスに送信されたコードを入力します。
- 使用する新しいメールアドレスを入力し、[確認メールを送信]を選択します。このメールアドレスは、Citrix Cloudアカウントに使用するメールアドレスとは異なる必要があります。Citrix Cloud は、入力した電子メールアドレスに確認電子メールを送信します。
- 確認メールにあるコードを入力し、 [コードを確認して完了する]をクリックします。
新しいバックアップコードを生成する
いつでも新しいバックアップコードのセットを生成できます。バックアップコードを使用するとき、Citrix Cloudは、[マイプロファイル]ページで使用された番号を記録します。
新しいバックアップコードを生成したら、必ず安全な場所に保管してください。
- 右上のメニューから [自分の設定] を選択します。
- 以前にバックアップコードを生成したことがない場合は、[復旧方法] 下にある [バックアップコード] で、[新しいバックアップコードを生成する] を選択します。以前にバックアップコードを生成したことがある場合は、[バックアップコードを置き換える] を選択します。
- バックアップコードを置き換えるように求められたら、[はい、コードを置き換えます] を選択します。
- 認証アプリからの確認コード、またはメールアドレスに送信されたコードを入力して、本人確認を行います。
- [確認して続行] を選択します。Citrix Cloudは新しいバックアップコードのセットを生成して表示します。
- [コードをダウンロードする] を選択して、新しいコードをテキストファイルとしてダウンロードします。次に、 [バックアップ コードを保存しました]を選択します。
- [バックアップコードを保存しました] を選択して、バックアップコードの置き換えを完了します。
復旧用の電話番号を変更する
- 右上のメニューから [自分の設定] を選択します。
- [復旧方法] の [復旧用の電話番号] で [復旧用の電話番号を変更する] を選択します。
- 認証アプリの確認コードを入力するか、メールアドレスに送信されたコードを入力します。[確認して続行] を選択します。
- 使用する新しい電話番号を入力します。次に、確認のために電話番号を再入力します。
- [復旧用の電話番号を保存] を選択します。
注:
Citrix Endpoint Management(CEM)の管理者権限を変更できるのは、管理者が管理者への招待を受け入れ、CEMタイルで [管理] をクリックした後のみです。すべてのCitrix Cloud管理者と同様に、CEM管理者はデフォルトでフルアクセス権限を持っています。