Citrix Cloud用のAzure Active Directoryの権限
この記事では、Azure Active Directory(AD)を接続して使用するときにCitrix Cloudが要求する権限について説明します。Citrix CloudアカウントでAzure ADがどのように使用されるかによって、ターゲットのAzure ADテナントに1つまたは複数のエンタープライズアプリケーションが作成されることがあります。アカウントごとにアプリケーションのセットを作成しなくても、複数のCitrix Cloudアカウントを1つのAzure ADテナントに接続し、同じエンタープライズアプリケーションを使用できます。
注:
2022年4月、Citrix CloudがAzure ADの接続のために使用するAzure ADアプリは、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するように更新されました。既存の(2022年4月より前の)Azure AD接続により、アプリで新しい権限を使用する場合は、Azure ADを切断してからCitrix Cloudに再接続する必要があります。この操作により、Citrix Cloudで最新のAzure ADアプリが使用されるようになります。詳しくは、「アプリのアップグレードに対応するためAzure ADに再接続する」を参照してください。
アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。
エンタープライズアプリケーション
次の表では、Citrix CloudでAzure ADの接続時および使用時に使用されるAzure ADエンタープライズアプリケーションと、各アプリケーションの使用目的を示します。
| Name | アプリケーションID | 使用状況 |
|---|---|---|
| Citrix Cloud | e95c4605-aeab-48d9-9c36-1a262ef8048e | ワークスペース利用者ログイン |
| Citrix Cloud | f9c0e999-22e7-409f-bb5e-956986abdf02 | Azure ADとCitrix Cloud間のデフォルト接続 |
| Citrix Cloud | 1b32f261-b20c-4399-8368-c8f0092b4470 | 管理者の招待とログイン |
| Citrix Cloud | 5c913119-2257-4316-9994-5e8f3832265b | Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続 |
| Citrix Cloud | e067934c-b52d-4e92-b1ca-70700bd1124e | Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続 |
アクセス権
Citrix Cloudのエンタープライズアプリケーションの権限があれば、Citrix CloudはAzure ADテナント内の特定のデータにアクセスできます。Citrix Cloudはこれらのデータを使用して、Azure ADテナントに接続する、管理者が専用のサインインURLを使用してCitrix Cloudにサインインする、Azure ADテナントとEndpoint Managementを接続するなど、特定の機能を実行します。Citrix Cloudがこれらのデータにアクセスするには、管理者の同意が必要です。これらのアクセス権限は、Citrix CloudがAzure ADと連携するための必要最低限の特権です。Azure ADの権限と同意について詳しくは、Microsoft AzureドキュメントWebサイトの「Microsoft IDプラットフォームでのアクセス許可と同意」を参照してください。
本記事では、Azure ADアプリケーション権限の各セットについて次の情報を記載しています:
- API名: Citrix Cloudが権限を要求するリソースアプリケーション。Microsoft GraphとWindows Azure Active Directoryのことです。Citrix Cloudは、この2つのリソースアプリケーションに同じ権限を要求します。
-
タイプ: Citrix Cloudが特定の権限に対して要求するアクセスレベル。特定のエンタープライズアプリケーションの権限には、次のいずれかのアクセスレベルを設定できます:
- 委任権限は、ユーザーのプロファイルを照会する場合など、サインインユーザーの代理として操作するために使用されます。
- アプリケーション権限 は、特定のグループ内のユーザーを照会する場合など、ユーザー不在でアプリケーションが操作を実行するときに使用されます。この種類の権限を付与するには、Azure ADのグローバル管理者の同意が必要です。
-
要求値: Azure ADが特定の権限に割り当てる情報の文字列。特定のエンタープライズアプリケーションの権限には、次のいずれかの要求値を設定できます:
- User.Read: Citrix Cloud管理者が、接続されたAzure ADのユーザーをCitrix Cloudアカウントの管理者として追加できるようにします。
- User.ReadBasic.All: ユーザーのプロファイルから基本情報を収集します。これはUser.Read.Allのサブセットですが、下位互換性のために権限自体は残ります。
-
User.Read.All: Citrix Cloudは、Microsoft GraphのList usersを呼び出して、顧客が接続したAzure ADからユーザーを参照および選択できるようにします。たとえば、Azure ADのユーザーに対し、ワークスペースを使用したCitrix DaaSリソースへのアクセス権限を付与できます。Citrix Cloudは、
onPremisesSecurityIdentifierなどの基本プロファイル以外のプロパティにアクセスする必要があるため、User.ReadBasic.Allを使用できません。 - GroupMember.Read.All: Citrix Cloudは、Microsoft GraphのList groupsを呼び出して、顧客が接続したAzure ADからグループを参照および選択できるようにします。たとえば、Azure ADのグループに対しては、Citrix DaaSアプリケーションへのアクセス権限を付与することもできます。
-
Directory.Read.All: Citrix Cloudは、Microsoft GraphのList memberOfを呼び出して、ユーザーのグループメンバーシップを取得します(
Groups.Read.Allでは不十分な場合)。 - DeviceManagementApps.ReadWrite.All: Microsoft Intuneによって管理されるプロパティ、グループ割り当て、アプリの状態、アプリの設定、およびアプリ保護ポリシーの読み取りと書き込みを、Citrix Cloudが行えるようにします。
- Directory.AccessAsUser.All: サインインユーザーと同じように、Citrix Cloudがディレクトリ内の情報にアクセスできるようにします。
注:
Directory.Read.Allは、Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続にのみ適用できます。
ワークスペース利用者ログイン
このCitrix Cloudアプリケーション(ID:e95c4605-aeab-48d9-9c36-1a262ef8048e)は、次の権限を使用します:
| API名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | 委任版 |
Azure ADとCitrix Cloud間のデフォルト接続
このCitrix Cloudアプリケーション(ID:f9c0e999-22e7-409f-bb5e-956986abdf02)は、次の権限を使用します:
| API名 | 要求値 | 権限 | 種類 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループの読み取り | 委任版 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任版 |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルの読み取り | 委任版 |
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | 委任版 |
| Microsoft Graph | GroupMember.Read.All | すべてのグループの読み取り | アプリケーション |
| Microsoft Graph | User.Read.All | すべてのユーザーの完全なプロファイルの読み取り | アプリケーション |
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | アプリケーション |
管理者の招待とログイン
このCitrix Cloudアプリケーション(ID:1b32f261-b20c-4399-8368-c8f0092b4470)は、次の権限を使用します:
| API名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | 委任版 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任版 |
Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続
このCitrix Cloudアプリケーション(ID:5c913119-2257-4316-9994-5e8f3832265b)は、次の権限を使用します:
| API名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループの読み取り | 委任版 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任版 |
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | 委任版 |
| Microsoft Graph | Directory.Read.All | ディレクトリデータの読み取り | アプリケーション |
| Microsoft Graph | Directory.Read.All | ディレクトリデータの読み取り | 委任版 |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Microsoft Intuneアプリの読み取りと書き込み | 委任版 |
| Microsoft Graph | Directory.AccessAsUser.All | ディレクトリに対するサインインしたユーザーと同じアクセス | 委任版 |
Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続
このCitrix Cloudアプリケーション(ID:e067934c-b52d-4e92-b1ca-70700bd1124e)は、次の権限を使用します:
| API名 | 要求値 | 権限名 | 種類 |
|---|---|---|---|
| Microsoft Graph | GroupMember.Read.All | すべてのグループの読み取り | 委任版 |
| Microsoft Graph | User.ReadBasic.All | すべてのユーザーの基本プロファイルの読み取り | 委任版 |
| Microsoft Graph | User.Read | サインインとユーザープロファイルの読み取り | 委任版 |
| Microsoft Graph | DeviceManagementApps.ReadWrite.All | Microsoft Intuneアプリの読み取りと書き込み | 委任版 |
| Microsoft Graph | Directory.AccessAsUser.All | ディレクトリに対するサインインしたユーザーと同じアクセス | 委任版 |