Azure Active DirectoryをCitrix Cloudに接続する
Citrix Cloudは、Azure Active Directory(AD)を使用したCitrix Cloud管理者およびワークスペース利用者の認証をサポートしています。
Citrix CloudでAzure ADを使用すると、次のことができるようになります:
- 独自のActive Directoryを活用して、監査、パスワードポリシーを制御し、必要に応じて簡単にアカウントを無効にできます。
- 多要素認証を構成して高レベルのセキュリティを実現し、盗まれたサインイン資格情報が使用される可能性を回避します。
- ブランド設定済みのログインページを使用するため、ユーザーは正しい場所にログインしていることを確認できます。
- ADFS、Okta、Pingなどの任意のIDプロバイダーにフェデレーションを使用できます。
Azure ADアプリと権限
Citrix CloudにはAzure ADが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。このアプリの導入以降、Citrixはパフォーマンスを向上させ、新しい機能と権限をサポートする更新プログラムをリリースしました。
Citrix Cloudへの既存のAzure AD接続により、最新の更新済みアプリを使用する場合は、Citrix CloudでAzure AD接続を更新する必要があります。詳しくは、この記事の「アプリのアップデートに対応するためAzure ADに再接続する」を参照してください。アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。
Citrix CloudがAzure ADとの接続に使用するAzure ADアプリと権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
ヒント:
「Citrix IDと認証の概要」教育コースで、サポートされているIDプロバイダーの詳細をご覧ください。「Planning Citrix Identity and Access Management」モジュールには、このIDプロバイダーをCitrix Cloudに接続してCitrix Workspaceの認証を有効にする方法を説明した短い動画があります。
Citrix Cloudアカウントが複数ある場合の認証
この記事では、IDプロバイダーとしてAzure ADを単一のCitrix Cloudアカウントに接続する方法について説明します。複数のCitrix Cloudアカウントがある場合は、それぞれを同じAzure ADテナントに接続できます。次のタスクを実行します。
- Citrix Cloudアカウントにサインインし、カスタマーピッカーから適切なカスタマーIDを選択します。
- 選択した顧客がAzure ADに初めて接続する顧客である場合は、この記事のすべての手順に従って、ADとAzure ADを同期し、顧客をCitrix Cloudに接続し、管理者を追加します。
- 別の顧客に接続するには、Citrix Cloudコンソールの右上隅にあるユーザーメニューをクリックし、[顧客の変更] を選択して、接続する次の顧客IDを選択します。
- この記事の「Citrix CloudをAzure ADに接続する」の説明に従って、顧客をAzure ADに接続します。
- 顧客IDごとに手順3と4を繰り返します。
Active DirectoryとAzure ADを準備する
Azure ADを使用する前に、次の要件を満たしていることを確認してください:
- Microsoft Azureアカウントを持っている。すべてのAzureアカウントに無料のAzure ADが付属しています。Azureアカウントをお持ちでない場合は、https://azure.microsoft.com/ja-jp/free/?v=17.36に登録してください。
- Azure ADにはグローバル管理者の役割があります。この役割は、Citrix CloudがAzure ADと接続できるようにするために必要です。
- 管理者アカウントには、Azure ADで構成された「mail」プロパティがあります。MicrosoftのAzure AD Connectツールを使用することで、オンプレミスのActive DirectoryアカウントをAzure ADと同期させることができます。または、Office 365のメールで同期されていないAzure ADアカウントを構成することもできます。
Azure AD Connectでアカウントを同期する
- Active Directoryアカウントにメールのユーザープロパティが構成されていることを確認します:
- [Active Directoryユーザーとコンピューター]を開きます。
- Usersフォルダーで、確認するアカウントを見つけて右クリックし、[プロパティ] を選択します。[全般] タブで、[メール] フィールドに有効なエントリがあることを確認します。Citrix Cloudでは、Azure ADから追加された管理者には、CitrixがホストするIDを使用してサインインする管理者とは異なるメールアドレスが必要です。
- Azure AD Connectをインストールおよび構成します。詳しい手順については、Microsoft Azure Webサイトの「簡単設定を使用したAzure AD Connectの開始」を参照してください。
Citrix CloudをAzure ADに接続する
Citrix CloudアカウントをAzure ADに接続する場合、Azure ADのユーザーの基本プロファイルのほか、ユーザープロファイル(またはサインインユーザーのプロファイル)へのアクセス権限が必要です。Citrixはこの権限を要求し、(管理者の)名前とメールアドレスを取得して、管理者が後で他のユーザーを管理者として追加することができるようにします。Citrix Cloudが要求するアプリ権限について詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
重要:
このタスクを完了するには、自分がAzure ADのグローバル管理者であるか、Citrix Cloudにサインインする前にグローバル管理者に前提条件を満たすよう依頼する必要があります。
- ページの左上隅にあるメニューをクリックし、[IDおよびアクセス管理] を選択します。
- Azure Active Directoryを見つけ、省略記号メニューから [接続] を選択します。
- 入力画面が表示されたら、URLに適した短い会社の識別子を入力し、[接続] をクリックします。この識別子は、Citrix Cloud内でグローバルに一意である必要があります。
- 入力画面が表示されたら、接続するAzureアカウントにサインインします。Azureは、Citrix Cloudがアカウントにアクセスして接続に必要な情報を取得するためのアクセス権限を表示します。これらの権限のほとんどは読み取り専用であり、この権限によりCitrix Cloudでグループやユーザープロファイルなどの基本情報をMicrosoft Graphから収集できます。Citrix Endpoint ManagementまたはXenMobile ServerをMicrosoft Intuneと統合した場合、Microsoft Intune関連の読み取り/書き込み権限を付与する必要があります。詳しくは、「Citrix Cloud用のAzure Active Directoryの権限」を参照してください。
- [承諾] をクリックして権限の要求を承諾します。
代替の接続方法
接続フローは次の2つのフェーズに分けることができます:
- AzureでAzure AD(Entra ID)アプリを作成する。
- Citrix CloudでAzure AD(Entra ID)アプリにCitrix Cloudを接続する。
まず、グローバル管理者がエンタープライズアプリをテナントに追加するために使用できるURLを作成する必要があります。詳しくは、「テナント全体の管理者の同意を付与するためのURLを作成する」を参照してください。
これは構築されたURLの説明です。
https://login.microsoftonline.com/<tenant url>/adminconsent?client_id=f9c0e999-22e7-409f-bb5e-956986abdf02&redirect_uri=https://portal.azure.com
ここで
tenant urlは、テナントのURLまたはIDです。
f9c0e999-22e7-409f-bb5e-956986abdf02は、Citrix CloudのクライアントIDです。
Azure ADからCitrix Cloudに管理者を追加する
Citrix Cloudでは、管理者を個別に追加、またはAzure ADグループとして追加できます。
Azure ADから個々の管理者を追加する方法については、「管理者のアクセスを管理する」を参照してください。
Azure AD管理者グループをCitrix Cloudに追加する方法については、「管理者グループを管理する」を参照してください。
Azure ADを使用してCitrix Cloudにサインインする
Azure ADユーザーアカウントの接続後、ユーザーは次のいずれかの方法でCitrix Cloudにサインインできます:
- 会社のAzure AD IDプロバイダーを最初に接続した時に構成した管理者のサインインURLに移動します。例:
https://citrix.cloud.com/go/mycompany - Citrix Cloudのサインインページで、[会社の資格情報でサインイン] をクリックし、最初にAzure ADを接続した時に作成した識別子(「mycompany」など)を入力し、[続行] をクリックします。
ワークスペースのAzure AD認証を有効にする
Azure ADをCitrix Cloudに接続すると、Azure AD経由で自分のワークスペースに認証する許可を利用者に付与できます。
重要:
Azure ADワークスペース認証を有効にする前に、ワークスペースでAzure ADを使用するための考慮事項について「Azure Active Directory」セクションで確認してください。
- Citrix Cloudコンソールで左上隅のメニューボタンをクリックし、[ワークスペース構成] を選択します。
- [認証] タブで、[Azure Active Directory] を選択します。
- [確認] をクリックしてAzure AD認証を有効にした場合のワークスペース環境の変更を承諾します。
高度なAzure AD機能を有効にする
Azure ADは、高度な多要素認証、国際的レベルのセキュリティ機能、20種類のIDプロバイダーとのフェデレーション、セルフサービスパスワードの変更とリセットなどの機能を提供します。Azure ADユーザーでこれらの機能を有効にすると、Citrix Cloudが自動的に活用できるようになります。
Azure ADサービスレベルの機能と価格を比較するには、https://azure.microsoft.com/ja-jp/pricing/details/active-directory/を参照してください。
アプリのアップデートに対応するためAzure ADに再接続する
Citrix CloudにはAzure ADが含まれているため、アクティブなAzure ADセッションにログインする必要なくAzure ADに接続できます。このアプリの導入以来、Citrixはアプリを次のように更新しました:
- 2018年8月に、アプリが更新されてパフォーマンスが向上し、今後のリリースにも対応できるようになりました。
- 2019年5月に、アプリが更新され、Citrix CloudへのAzure AD管理者グループの追加がサポートされるようになりました。
- 2022年4月に、アプリが更新され、Group.Read.All権限の代わりにGroupMember.Read.All権限を使用するようになりました。
これらの更新プログラムがリリースされる前にAzure ADをCitrix Cloudに接続しており、最新の更新済みアプリを使用する場合は、Azure ADをCitrix Cloudから切断してから、再接続する必要があります。最新のアプリの使用は任意です。アプリを更新しないことを選択した場合でも、既存の接続は正常に機能します。
要件
Azure ADを再接続する前に、次の要件を満たしていることを確認してください:
- デフォルトのCitrix IDプロバイダーのフルアクセス権限を持つ管理者である必要があります。Azure ADの資格情報を使用してCitrix Cloudにサインインしている場合、再接続は失敗します。アカウントにCitrix IDプロバイダーを使用する管理者がいない場合は、一時的にアカウントを追加して、Azure ADに再接続したあとにそのアカウントを削除できます。手順については、「個別の管理者を招待する」を参照してください。
- Azure ADを使用してワークスペース利用者を認証している場合は、一時的に別のIDプロバイダーを選択します。Azure ADがCitrix Workspaceの認証方法としても使用されている場合、Citrix CloudではAzure ADを切断できません。詳しくは、Citrix Workspaceドキュメントの「認証方法の選択または変更」を参照してください。
Azure ADを再接続するには
- Citrix IDプロバイダーのフルアクセス権を持つ管理者として、Citrix Cloudにサインインします。
- Citrix Cloudメニューから、[IDおよびアクセス管理] を選択し、次に [認証] を選択します。
- Azure Active Directoryを見つけ、ページの右端にある省略記号(…)メニューから [切断] を選択します。
- 省略記号メニューの [接続] を選択します。
注:
手順3で説明したようにAzure Active Directoryを切断する場合、Citrix Cloudは管理者にこのIDプロバイダーのすべての管理者プロファイルを削除するように要求します。 この手間を省くために、管理者は以下の手順に従ってAzure ADのIDプロバイダーに再接続できます。
- グローバル管理者として、Azureに移動してアプリを削除します。
- Citrix Cloudにログインし、[IDおよびアクセス管理] に移動して[認証] をクリックします。[認証] タブで、Azure ADがまだ接続されていることがわかります。
- Citrix CloudでAzure ADの新しい管理者を追加します。
これにより、管理者を削除せずにアプリの再作成と再接続がトリガーされます。