FIDO2およびWebAuthnを用いた認証機能
FIDO2およびWebAuthnを使用したローカル認証と仮想認証
ユーザーは、FIDO2セキュリティキーとTPM 2.0およびWindows Hello対応の統合生体認証デバイスを使用して、仮想セッションでFIDO2またはWebAuthnを活用するアプリケーションに認証できます。
FIDO2について詳しくは、「FIDO2: WebAuthn & CTAP」を参照してください。
この機能の使用方法について詳しくは、「FIDO2リダイレクト」を参照してください。
注
この機能は、WebAuthnまたはFIDO2を使用した仮想セッションへのログオンをサポートしていません。この機能は、仮想セッション内のアプリケーションでこれらの認証方法を使用することのみを許可します。
サポートマトリックス
| セッションホストオペレーティングシステム | Webアプリケーション認証 | UWPアプリケーション認証 |
|---|---|---|
| ウィンドウズ サーバー 2016 | USBリダイレクト経由でサポート | サポートされていません |
| ウィンドウズ サーバー 2019 | サポートされています | サポートされていません |
| ウィンドウズ サーバー 2022 | サポートされています | サポートされています |
| ウィンドウズ サーバー 2025 | サポートされています | サポートされています |
| ウィンドウズ 10 | サポートされています | サポートされています |
| ウィンドウズ 11 | サポートされています | サポートされています |
詳細については、以下の要件をご確認ください。
Webアプリケーション認証
必要条件
WebアプリケーションでFIDO2およびWebAuthn認証を使用するための要件は次のとおりです。
Citrix®コントロールプレーン
- シトリックス バーチャルアプリおよびデスクトップ™ 2009 以降
セッションホスト
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- ウィンドウズ 11
- ウィンドウズ サーバー 2019 以降
- VDA
- Windows: バージョン2009以降
クライアントデバイス
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- ウィンドウズ 11
- Linuxの場合、Linux版ワークスペースアプリのシステム要件を参照してください。
- ワークスペースアプリ
- Windows: バージョン 2009.1 以降
- リナックス: 2303以降のバージョン
Webブラウザーの要件
- 32ビットおよび64ビットブラウザー
サポートされる認証方法
- FIDO2セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔による認証
- 指紋スキャナー
- ウェブオースン
UWP アプリケーション認証
シトリックス バーチャル アプリケーションズ アンド デスクトップ 2112 のリリースにより、シトリックスは UWP アプリケーションでの WebAuthn および FIDO2 認証をサポートします。
Microsoft Teams、Microsoft Outlook for Office 365、OneDrive などのアプリケーションは、Azure Active Directory へのリンクとして認証に UWP アプリケーションを使用します。Citrix は現在、これらのアプリケーションを認証するために FIDO2 の使用をサポートしています。
必要条件
UWP アプリケーションで FIDO2 および WebAuthn 認証を使用するための要件は次のとおりです。
Citrix コントロールプレーン
- シトリックス バーチャル アプリケーションズ アンド デスクトップス 2112 以降
セッションホスト
- オペレーティングシステム
- ウィンドウズ 10 1809 以降
- ウィンドウズ 11
- ウィンドウズ サーバー 2022 以降
- VDA
- Windows: バージョン 2112 以降
クライアントデバイス
- オペレーティングシステム
- Windows 10 のバージョン 1809 以降
- ウィンドウズ 11
- Linuxの場合: Linux版Workspaceアプリのシステム要件を参照してください。
- ワークスペースアプリ
- Windows: バージョン2009.1以降
- リナックス: 2303以降
UWPアプリケーションの要件
- 32ビットおよび64ビットアプリケーション
サポートされている認証方法
- FIDO2セキュリティキー
- ウィンドウズ ハロー
- TPM 2.0
- 統合生体認証
- 顔による認証
- 指紋スキャナー
- ウェブオースン
注:
上記に挙げた認証方法のサポートは、基盤となるオペレーティングシステムの機能に依存します。
クライアント、VDA、またはオペレーティングシステムで機能がサポートされていないためFIDO2リダイレクトが利用できないシナリオでは、USBベースのFIDO2キーをUSBリダイレクトを使用してリダイレクトできます。 FIDO2リダイレクトが利用可能なシナリオでも、USBリダイレクトを使用してUSBベースのFIDO2キーをリダイレクトすることも可能です。この場合、FIDO2リダイレクトを無効にし、適切なUSBリダイレクトルールを構成する必要があります。 USBリダイレクトルールを使用してFIDO2キーを構成する方法の詳細については、USBリダイレクトデバイスルールのドキュメントを参照してください。
msedgewebview2.exeベースのアプリケーションの高度な構成
注:
レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。 レジストリエディターは自己責任で使用してください。編集する前に必ずレジストリをバックアップしてください。
msedgewebview2.exeベースのWebアプリケーションを持つ企業の場合、HDXセッション内でFIDO2リダイレクトを機能させるには、以下の変更を行う必要があります。
-
StudioでFIDO2許可プロセスポリシー設定を行います。
-
テキストフィールドにアプリケーションのフルパスを追加します。ポリシー設定の使用に関する追加の詳細は、ポリシーで確認できます。
注:
ワイルドカード(*)は、アプリケーションパス内で、単一のディレクトリ、ディレクトリ名の一部、実行可能ファイルのベース名、または実行可能ファイルのベース名の一部を置き換えるために使用できます。アプリケーションパスセグメント内に複数のワイルドカードを使用することはサポートされていません。
-
-
VDAで以下のフックキーを設定します
- 64ビットアプリケーションの場合、以下の値を設定する必要があります。
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- レジストリ値の名前: FilePathName
- 値のデータ型: REG_SZ
- Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値の型はDWORDです
- 値のデータ: 00000002
- 32ビットアプリケーションの場合、以下の値を設定する必要があります。
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 値のデータ型: REG_SZ
- Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 値の名前: Flag
- 値のデータ型: DWORD
- 値のデータ: 00000002
- 64ビットアプリケーションの場合、以下の値を設定する必要があります。
msedgewebview2.exeベースのアプリケーションでFIDO2リダイレクトを有効にするには、レジストリ値を設定した後、VDAを再起動します。