Citrix Endpoint Management

Citrix Cloudを介したAzure Active Directoryでの認証

Citrix Endpoint Managementでは、Citrix Cloudを介したAzure Active Directory(Azure AD)の資格情報による認証をサポートしています。この認証方法は、Citrix Secure Hub経由でMDMに登録するユーザーが利用できます。

Citrix Secure HubをMDM+MAMで使用するには、Citrix Endpoint ManagementでMAM登録にNetScaler Gatewayを使用するよう構成します。詳しくは、「NetScaler GatewayとCitrix Endpoint Management」を参照してください。

Citrix Endpoint Managementは、Citrix CloudサービスであるCitrix IDを使用して、Azure Active Directoryへのフェデレーションを行います。Azure Active Directoryに直接接続するのではなく、Citrix IDプロバイダーを使用することをお勧めします。

Citrix Endpoint Managementは、次のプラットフォームでAzure ADによる認証をサポートしています:

  • Apple Business ManagerまたはApple School Managerに登録されていないiOSおよびmacOSデバイス
  • Apple Business Managerに登録されているiOSおよびmacOSデバイス
  • Android Enterpriseデバイス(プレビュー)、BYOD(Bring Your Own Device)および完全管理モード用

Citrix Cloudを介したAzure ADによる認証には、次の制限があります:

  • Citrix Endpoint Managementローカルアカウントでは使用できません。
  • 登録招待状のAzure ADによる認証をサポートしていません。登録URLを含む登録招待状をユーザーに送信する場合は、ユーザーはAzure ADの代わりにLDAPを使用して認証します。

前提条件

  • Azure Active Directoryユーザーの資格情報
  • Active Directoryのユーザーグループは、Azure Active Directoryのユーザーグループと一致する必要があります。
  • Active Directoryのユーザー名とメールアドレスは、Azure Active Directoryのユーザー名とメールアドレスと一致する必要があります。
  • ディレクトリサービスの同期のためにCitrix Cloud ConnectorがインストールされたCitrix Cloudアカウント
  • で接続する必要があります。完全なシングルサインオンエクスペリエンスを実現するには、証明書ベースの認証かAzure ADのいずれかを有効にすることをCitrixではお勧めします。モバイルアプリケーション管理(MAM:Mobile Application Management)登録のために、NetScaler GatewayでLDAP認証を使用する場合、登録中にエンドユーザーには二重認証プロンプトが表示されます。詳しくは、「クライアント証明書、または証明書とドメイン認証の組み合わせ」を参照してください。
  • Android Enterpriseの登録プロファイルで、[ユーザーにデバイス管理の許否を許可][オフ] にする必要があります。ユーザーがデバイス管理を拒否した場合、登録の際にIDプロバイダーを使用して認証することができなくなります。詳しくは、「登録セキュリティ」を参照してください。

Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成する

Citrix Secure Hubで使用するためにこのサービスをセットアップするには、Citrix CloudでAzure Active Directoryを構成します。

  1. https://citrix.cloud.comでCitrix Cloudアカウントにサインインします。

  2. Citrix Cloudメニューから [IDおよびアクセス管理] ページに移動し、Azure Active Directoryに接続します。

  3. 管理者のサインインURLを入力し、[接続] をクリックします。

    Citrix Cloud画面

  4. サインインすると、Azure Active DirectoryアカウントがCitrix Cloudに接続されます。[IDおよびアクセス管理]>[認証] ページに、Citrix CloudアカウントとAzure ADアカウントへのサインインに使用するアカウントが表示されます。

  5. Citrix Secure Hubを介して登録するユーザーのAzure ADによる認証を有効にするには、[ワークスペース構成]>[認証] で、[Azure Active Directory] を選択します。構成が完了したら、Citrix Secure Hubからユーザーデバイスを登録できます。

Citrix IDをCitrix Endpoint ManagementのIDPタイプとして構成する

この構成は、Citrix Secure Hubを介して登録するユーザーにのみ適用されます。Citrix CloudでAzure Active Directoryを構成したら、次のようにCitrix Endpoint Managementを構成します。

  1. Citrix Endpoint Managementコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加] をクリックします。

  2. [IDプロバイダー(IDP)] ページで、次の項目を構成します:

    • IDP名: 作成するIDP接続を識別できる一意の名前を入力します。
    • IDPの種類: [Citrix IDプラットフォーム] を選択します。
    • 認証ドメイン: [Azure Active Directory] を選択します。このドメインは、Citrix Cloudの [ワークスペース構成]>[認証] ページのIDプロバイダードメインに対応しています。
  3. [次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します:

    • ユーザー識別子の種類: このフィールドは、デフォルトでは [userPrincipalName] に設定されています。オンプレミスのActive DirectoryとAzure Active Directoryの両方で、すべてのユーザーが同じ識別子で構成されていることを確認してください。Citrix Endpoint Managementは、この識別子を使用して、IDプロバイダーのユーザーをオンプレミスのActive Directoryユーザーにマップします。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  4. [次へ] を選択して [概要] ページを確認し、[保存] をクリックします。

    これで、Citrix Secure Hubユーザー、Citrix Endpoint Managementコンソール、Self Help PortalユーザーがAzure Active Directoryの資格情報を使用してサインインできるようになります。ドメインに参加しているCitrix Secure Hubユーザーは、Citrix Secure Hubを使用してAzure AD資格情報でサインオンできます。Citrix Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。

Citrix Secure Hubの認証フロー

Citrix Endpoint Managementは次のフローにより、Citrix Secure Hubを介して登録されたデバイス上のIDプロバイダーとしてAzure ADを使用してユーザーを認証します:

  1. Citrix Secure Hubを起動します。
  2. Citrix Secure Hubが認証要求をCitrix IDに渡し、Citrix IDがこの要求をAzure Active Directoryに渡します。
  3. ユーザーは、Azure Active Directoryのユーザー名とパスワードを入力します。
  4. Azure Active Directoryがユーザーを検証し、Citrix IDにコードを送信します。
  5. Citrix IDがコードをCitrix Secure Hubに送信し、Citrix Secure HubがコードをCitrix Endpoint Managementサーバーに送信します。
  6. Citrix Endpoint Managementがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。Citrix Endpoint ManagementはセッションIDを返送します。
Citrix Cloudを介したAzure Active Directoryでの認証