FIDO2 and WebAuthn authentication
FIDO2 と WebAuthn を使用したローカル認証と仮想認証
ユーザーは、FIDO2 セキュリティキーと、TPM 2.0 および Windows Hello を備えた統合生体認証デバイスを使用して、仮想セッション内で FIDO2 または WebAuthn を活用するアプリケーションに認証できます。
FIDO2 の詳細については、FIDO2: WebAuthn & CTAP を参照してください。
この機能の使用方法については、FIDO2 リダイレクト を参照してください。
注
この機能は、WebAuthn または FIDO2 を使用した仮想セッションへのログオンをサポートしていません。この機能は、仮想セッション内のアプリケーションでこれらの認証方法を使用することのみを許可します。
この機能はダブルホップシナリオではサポートされていません。
サポートマトリックス
| セッションホストオペレーティングシステム | Web アプリケーション認証 | UWP アプリケーション認証 |
|---|---|---|
| ウィンドウズ サーバー 2016 | USB リダイレクト経由でサポートされています | サポートされていません |
| ウィンドウズ サーバー 2019 | サポートされています | サポートされていません |
| ウィンドウズ サーバー 2022 | サポートされています | サポートされています |
| ウィンドウズ 10 | サポートされています | サポートされています |
| ウィンドウズ 11 | サポートされています | サポートされています |
詳細については、以下の要件をご確認ください。
Webアプリケーション認証
必要条件
WebアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrix® コントロールプレーン
- シトリックス バーチャルアプリおよびデスクトップ™ 2009 以降
セッションホスト
- オペレーティングシステム
- ウィンドウズ 10 バージョン 1809 以降
- ウィンドウズ サーバー 2019 以降
- VDA
- Windows: バージョン 2009 以降
クライアントデバイス
- オペレーティングシステム
- Windows 10 バージョン 1809 以降
- Linux: Linux 向け Workspace アプリケーションのシステム要件を参照してください。
- ワークスペースアプリ
- Windows: バージョン 2009.1 以降
- リナックス: 2303 以降
Webブラウザの要件
- 32ビットおよび64ビットブラウザ
サポートされる認証方法
- FIDO2セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔による認証
- 指紋スキャナー
- ウェブオーセン
UWPアプリケーション認証
Citrix Virtual Apps and Desktops 2112 のリリースに伴い、Citrix は UWP アプリケーションにおける WebAuthn (ウェブオーセン) および FIDO2 認証をサポートしています。
Microsoft Teams、Microsoft Outlook for Office 365、OneDriveなどのアプリケーションは、Azure Active Directoryへのリンクとして認証にUWPアプリケーションを使用します。Citrixは現在、FIDO2を使用してこれらのアプリケーションを認証することをサポートしています。
必要要件
UWPアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrixコントロールプレーン
- シトリックス バーチャル アプリケーションズ アンド デスクトップス 2112 以降
セッションホスト
- オペレーティングシステム
- Windows 10 1809 以降のバージョン
- ウィンドウズ サーバー 2022 以降
- VDA
- Windows: バージョン2112以降
クライアントデバイス
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- Linux: Linux版Workspaceアプリのシステム要件を参照してください。
- Workspaceアプリケーション
- Windows: バージョン2009.1以降
- リナックス: 2303 以降
UWP アプリケーション要件
- 32ビットおよび64ビットアプリケーション
サポートされている認証方法
- FIDO2 セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合された生体認証
- 顔認証機能
- 指紋スキャナー
- ウェブオースン
注:
FIDO2リダイレクトがクライアント、VDA、またはオペレーティングシステムでサポートされていないため利用できないシナリオでは、USBベースのFIDO2キーはUSBリダイレクトを使用してリダイレクトできます。 FIDO2リダイレクトが利用可能なシナリオでも、USBリダイレクトを使用してUSBベースのFIDO2キーをリダイレクトすることが可能です。この場合、FIDO2リダイレクトを無効にし、適切なUSBリダイレクトルールを設定する必要があります。 USBリダイレクトルールを使用してFIDO2キーを設定する方法の詳細については、USBリダイレクトデバイスルールのドキュメントを参照してください。
msedgewebview2.exe ベースのアプリケーションの高度な構成
注:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような、重大な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって発生した問題が解決されることを保証できません。 レジストリエディターはご自身の責任においてご使用ください。編集する前に、必ずレジストリをバックアップしてください。
msedgewebview2.exeベースのWebアプリケーションを使用している企業の場合、HDXセッション内でFIDO2リダイレクトを機能させるには、VDAにレジストリ値を追加する必要があります。
AllowProcesses という名前のレジストリ値に、msedgewebview2.exe の完全なパスを追加します。
- Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
- 値の名前: アロープロセス
- 値の型: レグ_マルチエスゼット
- 値のデータ:
<add full path of the msedgewebview2.exe here >
64ビットアプリケーションの場合、次の値を設定する必要があります。
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: ファイルパス名
- 値の型: レジストリ文字列
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値の型はDWORDです
- 値のデータ: 00000002
32ビットアプリケーションの場合、以下の値を設定する必要があります。
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値の型は REG_SZ です。
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値のデータ型: DWORD
- 値のデータ: 00000002
msedgewebview2.exeベースのアプリケーションでFIDO2リダイレクトを有効にするには、レジストリ値を設定した後、VDAを再起動してください。