認証
Citrix Workspaceアプリで、ドメインパススルー、スマートカード、Kerberosパススルー(シングルサインオンまたはSSON)など、さまざまな種類の認証を構成できます。
ドメインパススルー(シングルサインオン)認証
ドメインパススルー(シングルサインオンまたはSSON)を使用すると、ドメインに対して認証することで、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)を再認証する必要なく使用できます。
注:
グループポリシーオブジェクトテンプレートでEnable MPR notifications for the Systemポリシーを無効にした場合、Windows 11でドメインパススルー(シングルサインオン)認証機能はサポートされません。 この機能は、Windows向けCitrix Workspaceアプリバージョン2012以降で利用できます。
有効にすると、ドメインパススルー(シングルサインオン)によって資格情報がキャッシュされるため、毎回サインインしなくてもほかのCitrixアプリケーションに接続できます。企業ポリシーに従うソフトウェアのみをデバイスで実行し、資格情報が侵害されるリスクを軽減するようにしてください。
Citrix Workspaceアプリにログオンすると、スタートメニューの設定を含め、アプリやデスクトップとともに資格情報がStoreFrontにパススルーされます。シングルサインオンの構成後、資格情報を複数回入力することなく、Citrix Workspaceアプリにログオンして仮想アプリと仮想デスクトップのセッションを開始できます。
すべてのWebブラウザーで、グループポリシーオブジェクト(GPO)管理用テンプレートを使用してシングルサインオンを構成する必要があります。グループポリシーオブジェクト(GPO)管理用テンプレートを使用したシングルサインオンの構成について詳しくは、「Citrix Gatewayでのシングルサインオンの構成」を参照してください。
新規インストールまたはアップグレードの両方で次のいずれかのオプションを使用して、シングルサインオンを構成できます:
- コマンドラインインターフェイス
- GUI
注:
ドメインパススルー、シングルサインオン、およびSSONという用語は、このドキュメントで区別なく使用されることがあります。
制限事項:
ユーザー資格情報を使用したドメインパススルーには、次の制限があります:
- Windows HelloやFIDO2などの先進認証方法によるパスワードレス認証はサポートされていません。シングルサインオン(SSO)には、フェデレーション認証サービス(FAS)と呼ばれる追加コンポーネントが必要です。
- SSONを有効にしてCitrix Workspaceアプリをインストールまたはアップグレードするには、デバイスを再起動する必要があります。
- Windows 11マシンで複数プロバイダールーター(MPR)通知を有効にする必要があります。
- ネットワークプロバイダー一覧の先頭に位置している必要があります。
上記の制限を回避するには、シングルサインオンの拡張ドメインパススルー(強化されたSSO)を使用します。
新規インストール中のシングルサインオンの構成
新規インストールでシングルサインオンを構成するには、次の手順を実行します:
- StoreFrontで構成します。
- Delivery ControllerでXML信頼サービスを構成します。
- Internet Explorerの設定を変更します。
- Citrix Workspaceアプリのインストールでシングルサインオンを構成します。
StoreFrontでのシングルサインオンの構成
シングルサインオンを使用すると、ドメインに対して認証でき、各アプリまたはデスクトップを再認証する必要なく同じドメインのCitrix Virtual Apps and DesktopsおよびCitrix DaaSを使用できます。
Storebrowseユーティリティでストアを追加すると、スタートメニューの設定を含め、列挙されたアプリやデスクトップとともに資格情報がCitrix Gatewayサーバーにパススルーされます。シングルサインオンの構成後、資格情報を何度も入力しなくても、ストアを追加したり、アプリやデスクトップを列挙したり、必要なリソースを起動することができます。
Citrix Virtual Apps and Desktops展開によって、StoreFrontで管理コンソールを使用してシングルサインオン認証を構成できます。
次の表で異なる使用例とそれぞれの構成を参照します:
使用例 | 構成の詳細 | 追加情報 |
---|---|---|
StoreFrontでの構成 | Citrix Studioを起動して、[ストア] > [認証方法の管理 - ストア] に移動して [ドメインパススルー] を有効にします。 | Citrix Workspaceアプリでシングルサインオンが構成されていない場合、認証方法は自動的に [ドメインパススルー] から [ユーザー名とパスワード] に切り替えられます(利用可能な場合)。 |
Workspace for Webが必要な場合 | [ストア] > [Workspace for Webサイト] > [認証方法の管理 - ストア] で [ドメインパススルー] を有効にします。 | Citrix Workspaceアプリでシングルサインオンが構成されていない場合、認証方法は自動的に [ドメインパススルー] から [ユーザー名とパスワード] に切り替えられます(利用可能な場合)。 |
Citrix Gatewayでのシングルサインオンの構成
グループポリシーオブジェクト管理用テンプレートを使用してCitrix Gatewayでシングルサインオンを有効にします。ただし、Citrix Gatewayで基本認証と単一要素(1要素を含むnFactor)認証が有効になっていることを確認する必要があります。
-
gpedit.msc
を実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [ユーザー認証] に移動し、[Citrix Gatewayのシングルサインオン] ポリシーを選択します。
- [Enabled] をクリックします。
- [適用]、[OK] の順にクリックします。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
Delivery ControllerでXML信頼サービスを構成
Citrix Virtual Apps and DesktopsおよびCitrix DaaSのDelivery Controllerで管理者として次のPowerShellコマンドを実行します:
asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
Internet Explorer設定の変更
- Internet Explorerを使用して信頼済みサイトの一覧にStoreFrontサーバーを追加します。追加するには:
- [コントロール]パネルで [インターネットオプション] を起動します。
-
[セキュリティ] > [ローカルイントラネット] を選択し、[サイト] をクリックします。
[ローカルイントラネット] ウィンドウが開きます。
- [詳細設定] を選択します。
- 適切なHTTPまたはHTTPSプロトコルを使用して、StoreFrontのFQDNのURLを追加します。
- [適用]、[OK] の順にクリックします。
-
Internet Explorerで [ユーザー認証] の設定を変更します。変更するには:
- [コントロール]パネルで [インターネットオプション] を起動します。
- [セキュリティ] タブ > [ローカルイントラネット] をクリックします。
- [レベルのカスタマイズ] をクリックします。[セキュリティ設定 - ローカルイントラネットゾーン] ウィンドウが開きます。
-
[ユーザー認証] ウィンドウで、[現在のユーザー名とパスワードで自動的にログオンする] を選択します。
- [適用]、[OK] の順にクリックします。
コマンドラインインターフェイスを使用したシングルサインオンの構成
/includeSSON
スイッチを使用してCitrix Workspaceアプリをインストールし、再起動して変更を有効にします。
GUIを使用したシングルサインオンの構成
- Citrix Workspaceアプリインストールファイル(
CitrixWorkspaceApp.exe
)を検索します。 -
CitrixWorkspaceApp.exe
をダブルクリックしてインストーラーを起動します。 - [シングルサインオンを有効化] ウィザードで、[シングルサインオンを有効化] オプションを選択します。
- [次へ] をクリックし、ウィザードの指示に従ってインストールを完了します。
Citrix Workspaceアプリを使用してユーザー資格情報を入力することなく既存のストア(または構成した新しいストア)にログオンできるようになりました。
Workspace for Webでのシングルサインオンの構成
グループポリシーオブジェクト管理用テンプレートを使用して、Workspace for Webのシングルサインオンを構成できます。
- gpedit.mscを実行して、Workspace for WebのGPO管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証] の順に移動します。
- [ローカルユーザー名とパスワード] ポリシーを選択して [有効] に設定します。
- [パススルー認証を有効にします] をクリックします。このオプションを使用すると、Workspace for Webはリモートサーバーでの認証にログイン資格情報を使用できます。
- [すべてのICA接続にパススルー認証を許可します] をクリックします。このオプションは、すべての認証制限を省略し、すべての接続で資格情報のパススルーを許可します。
- [適用]、[OK] の順にクリックします。
- Workspace for Webのセッションを再起動して、この変更を適用します。
シングルサインオンが有効になっていることを確認するには、タスクマネージャーを起動し、ssonsvr.exe
プロセスが実行中であることを確認します。
Active Directoryを使用したシングルサインオンの構成
次の手順を完了し、Active Directoryグループポリシーを使用してCitrix Workspaceアプリでパススルー認証を構成します。このシナリオでは、Microsoft System Center Configuration Managerなどのエンタープライズソフトウェア展開ツールを使用することなくシングルサインオン認証を構成できます。
-
Citrix Workspaceアプリインストールファイル(CitrixWorkspaceApp.exe)をダウンロードして適切なネットワーク共有に配置します。Citrix Workspaceアプリをインストールする対象マシンからアクセス可能であることが必要です。
-
Windows向けCitrix Workspaceアプリのダウンロードページから
CheckAndDeployCitrixReceiverPerMachineStartupScript.bat
テンプレートを入手します。 -
CitrixWorkspaceApp.exe
の場所およびバージョンが反映されるようコンテンツを編集します。 -
Active Directoryのグループポリシー管理コンソールで
CheckAndDeployCitrixReceiverPerMachineStartupScript.bat
をスタートアップスクリプトとして入力します。スタートアップスクリプトの展開について詳しくは、「Active Directory」のセクションを参照してください。 -
[コンピューターの構成] ノードで [管理用テンプレート]>[テンプレートの追加と削除] に移動して
receiver.adml
ファイルを追加します。 -
receiver.adml
テンプレートの追加後、[コンピューターの構成]>[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証] に移動します。テンプレートファイルの追加について詳しくは、「グループポリシーオブジェクト管理用テンプレート」を参照してください。 -
[ローカルユーザー名とパスワード] ポリシーを選択して [有効] に設定します。
-
[パススルー認証を有効にします] チェックボックスをオンにして [適用] を選択します。
-
変更を保存するには、マシンを再起動します。
StoreFrontでのシングルサインオンの構成
StoreFrontの構成
- StoreFrontサーバーでCitrix Studioを起動して、[ストア] > [認証方法の管理 - ストア] の順に選択します。
- [ドメインパススルー] を選択します。
認証トークン
認証トークンは暗号化されローカルディスクに保存されるため、システムやセッションの再起動時に資格情報を再入力する必要はありません。Citrix Workspaceアプリは、ローカルディスクへの認証トークンの保存を無効にするオプションを提供します。
セキュリティを強化するために、認証トークンストレージを構成するためのグループポリシーオブジェクト(GPO)ポリシーが提供されるようになりました。
注:
この構成は、クラウド展開でのみ適用されます。
グループポリシーオブジェクト(GPO)ポリシーを使用して認証トークンの保存を無効にするには:
-
gpedit.msc
を実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[SelfService] に移動します。
-
認証トークンを保存しますポリシーで、次のいずれかを選択します:
- 有効:認証トークンがディスクに保存されていることを示します。デフォルトでは、有効に設定されています。
- 無効:認証トークンがディスクに保存されていないことを示します。システムまたはセッションを再起動するときに、資格情報を再入力します。
- [適用]、[OK] の順にクリックします。
バージョン2106以降、Citrix Workspaceアプリは、ローカルディスクへの認証トークンの保存を無効にするもう1つのオプションを提供します。既存のGPO構成に加えて、Global App Configuration Serviceを使用してローカルディスクへの認証トークンの保存を無効にすることもできます。
Global App Configuration Serviceで、Store Authentication Tokens
属性をFalse
に設定します。
この設定は、次のいずれかの方法でGlobal App Configuration Serviceを使用して構成できます:
- Global App Configuration Serviceのユーザーインターフェイス(UI):UIを使用して構成するには、「Citrix Workspaceアプリの構成」を参照してください。
- API:APIを使用して設定を構成するには、Citrix開発者向けドキュメントを参照してください。
構成チェッカー
構成チェッカーで、シングルサインオンが正しく構成されているかどうか確認するためのテストを実行できます。テストはシングルサインオン構成の各チェックポイントに対して実行され、構成結果を表示します。
- 通知領域でCitrix Workspaceアプリアイコンを右クリックし、[高度な設定] をクリックします。 [高度な設定] ダイアログボックスが開きます。
-
[構成チェッカー] をクリックします。 [Citrix構成チェッカー] ウィンドウが開きます。
- [選択] ペインで [SSONChecker] チェックボックスをオンにします。
- [実行] をクリックします。テストの状態を示す進捗状況バーが表示されます。
[構成チェッカー] ウィンドウには次の列があります:
-
状態: 特定のチェックポイントでのテスト結果が表示されます。
- 緑色のチェックマークは、チェックポイントが適切に構成されていることを示します。
- 青色のIは、チェックポイントに関する情報を示します。
- 赤色のXは、チェックポイントが適切に構成されていないことを示します。
- プロバイダー: テストが実行されているモジュールの名前が表示されます。この場合は、シングルサインオンになります。
- スイート: テストのカテゴリを示します。例:「インストール」。
- テスト: 実行中のテストの名前を示します。
- 詳細: 合格と不合格の両方について、テストに関する詳細情報を提供します。
各チェックポイントおよび対応する結果の詳細を確認することができます。
次のテストが実行されます:
- シングルサインオンとともにインストール済み。
- ログオン資格情報のキャプチャ。
- ネットワークプロバイダーの登録:ネットワークプロバイダーの登録のテスト結果で緑色のチェックマークが表示されるのは、ネットワークプロバイダーの一覧で「Citrix Single Sign-on」が先頭に設定されている場合のみです。「Citrix Single Sign-On」が一覧の先頭以外の場所に表示されている場合、ネットワークプロバイダーの登録のテスト結果では青色のIと詳細情報が表示されます。
- シングルサインオンプロセスが実行されている。
- グループポリシー:デフォルトでは、このポリシーはクライアントで構成されます。
- Internet Explorerのセキュリティゾーンの設定:[インターネットオプション]のセキュリティゾーンの一覧にStore/XenAppサービスのURLを追加していることを確認してください。 セキュリティゾーンをグループポリシー経由で構成しており、そのポリシーを変更した場合、変更を有効にしてテストの正確な状態が表示されるようにするために、[高度な設定] ウィンドウを開き直す必要があります。
- StoreFrontの認証方法。
注:
- Workspace for Webにユーザーがアクセスしている場合、テスト結果は適用されません。
- Citrix Workspaceアプリで複数のストアを構成している場合、認証方法テストはすべての構成済みストアに対して実行されます。
- テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
[高度な設定]ウィンドウの[構成チェッカー]オプションを非表示にする
-
gpedit.msc
を実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。 - グループポリシーエディターで、[Citrixコンポーネント]>[Citrix Workspace]>[Self Service]>[DisableConfigChecker] の順に開きます。
- [有効] を選択すると、[高度な設定] ウィンドウで [構成チェッカー] オプションが表示されなくなります。
- [適用]、[OK] の順にクリックします。
-
gpupdate /force
コマンドを実行します。
制限事項:
構成チェッカーの対象チェックポイントに、Citrix Virtual Apps and Desktopsサーバー上の[Citrix XML Serviceへの要求を信頼する]の構成は含まれません。
ビーコンテスト
Citrix Workspaceアプリを使用して、構成チェッカーユーティリティの一部であるビーコンチェッカーでビーコンテストを実行できます。ビーコンテストは、ビーコン(ping.citrix.com)が到達可能かどうかを確認するのに役立ちます。Windows向けCitrix Workspaceアプリ2402 LTSR CU1バージョン以降では、Citrix Workspaceアプリに追加されたストアで構成されたすべてのビーコンに対してビーコンテストが機能します。この診断テストは、リソース列挙が遅い原因として考えられる多くの原因の1つ、ビーコンが利用できなくなることを回避するのに役立ちます。テストを実行するには、システムトレイのCitrix Workspaceアプリを右クリックし、[高度な設定]>[構成チェッカー] を選択します。テスト一覧から [ビーコンチェッカー] オプションを選択して [実行] をクリックします。
テスト結果は、次のいずれかになります:
- Reachable - Citrix Workspaceアプリが正常にビーコンに通信できます。
- Not reachable - Citrix Workspaceアプリはビーコンに通信できません。
- Partially reachable - Citrix Workspaceアプリは、断続的にビーコンに通信できます。
注:
- テスト結果は、Workspace for Webでは適用されません。
- テスト結果はレポートとして保存できます。デフォルトのレポート形式は.txtです。
Kerberosを使用したドメインパススルー(シングルサインオン)認証
このトピックの内容は、Windows向けCitrix WorkspaceアプリとStoreFront、Citrix Virtual Apps and Desktops、Citrix DaaSとの間の接続にのみ適用されます。
Citrix Workspaceアプリでは、スマートカードを使用する展開環境でのKerberosによるドメインパススルー(シングルサインオンまたはSSON)認証がサポートされます。Kerberosとは、統合Windows認証(IWA)に含まれる認証方法の1つです。
これを有効にすると、認証時にCitrix Workspaceアプリのパスワードが使用されません。その結果、トロイの木馬型の攻撃でユーザーデバイス上のパスワードが漏えいすることを避けることができます。ユーザーは、たとえば指紋リーダーといった生体認証システムなど、任意の認証方法を使用してログオンし、公開リソースにアクセスできます。
スマートカード認証が構成されたCitrix Workspaceアプリ、StoreFront、Citrix Virtual Apps and Desktops、Citrix DaaSでスマートカードを使用してログオンすると、Citrix Workspaceアプリは以下を実行します:
- シングルサインオン中にスマートカードPINを取得します。
-
IWA(Kerberos)を使用してStoreFrontへのユーザー認証を行います。これによってStoreFrontは、使用可能なCitrix Virtual Apps and DesktopsおよびCitrix DaaSの情報をCitrix Workspaceアプリに提供します。
注:
追加のPINプロンプトが表示されるのを回避するためにKerberosを有効にします。Citrix WorkspaceアプリでKerberos認証を使用しない場合、StoreFrontへの認証にはスマートカード資格情報が使用されます。
- HDXエンジン(従来「ICAクライアント」と呼ばれていたもの)がスマートカードのPINをVDAに渡します。これにより、ユーザーがCitrix Workspaceアプリセッションにログオンできます。Citrix Virtual Apps and DesktopsおよびCitrix DaaSが、要求されたリソースを配信します。
Citrix WorkspaceアプリでKerberos認証を使用する場合は、以下のように構成しているかどうかを確認します。
- Kerberosを使用するには、サーバーとCitrix Workspaceアプリを、同じまたは信頼されているWindows Serverドメイン内に設置する必要があります。[Active Directoryユーザーとコンピューター]管理ツールを使って構成するオプションでサーバーの委任に関する信頼関係を構成します。
- ドメイン、Citrix Virtual Apps and DesktopsおよびCitrix DaaSでKerberosが有効になっている必要があります。セキュリティを強化して、必ずKerberosが使用されるようにするには、ドメインでKerberos以外のIWAオプションを無効にします。
- リモートデスクトップサービス接続で、基本認証や保存されたログオン情報の使用、または常にユーザーにパスワードを入力させたりする場合、Kerberosによるログオンは使用できません。
警告:
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
スマートカードを使用する環境でKerberosによるドメインパススルー(シングルサインオン)認証
続行する前に、Citrix Virtual Apps and Desktopsドキュメントの「展開の保護」セクションを参照してください。
Windows向けCitrix Workspaceアプリのインストール時に、以下のコマンドラインオプションを指定します。
-
/includeSSON
これにより、ドメインに参加しているコンピューターにシングルサインオンコンポーネントがインストールされ、ワークスペースのIWA(Kerberos)によるStoreFrontへの認証が有効になります。シングルサインオンコンポーネントは、スマートカードのPINを格納します。次に、HDXエンジンがこのPINを使用して、Citrix Virtual Apps and DesktopsおよびCitrix DaaSがスマートカードハードウェアと資格情報にアクセスできるようにします。Citrix Virtual Apps and DesktopsおよびCitrix DaaSは、自動的にスマートカードから証明書を選択して、HDXエンジンからPINを取得します。
関連オプション「
ENABLE_SSON
」は、デフォルトで有効になっています。
セキュリティポリシーにより、デバイスでシングルサインオンを有効にできない場合は、グループポリシーオブジェクト管理用テンプレートを使用してCitrix Workspaceアプリを構成します。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] を選択します。
- [パススルー認証を有効にします] チェックボックスをオンにします。
-
Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
StoreFrontを構成するには:
StoreFrontサーバーの認証サービスを構成するときに、[ドメインパススルー] オプションをオンにします。これにより、統合Windows認証が有効になります。[スマートカード]オプションは、スマートカードを使用してStoreFrontに接続する非ドメイン参加のクライアントをサポートする場合のみオンにします。
StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。
Azure Active Directoryでの条件付きアクセスのサポート
条件付きアクセスは、Azure Active Directoryが組織のポリシーを適用するために使用するツールです。ワークスペース管理者は、Citrix Workspaceアプリへの認証を行うユーザーに対して、Azure Active Directoryの条件付きアクセスポリシーを構成および適用できます。Citrix Workspaceアプリを実行するWindowsマシンには、Microsoft Edge WebView2ランタイムバージョン99以降がインストールされている必要があります。
Azure Active Directoryを使用して条件付きアクセスポリシーを構成する方法の詳細と手順については、「Azure ADの条件付きアクセスのドキュメント」(Docs.microsoft.com/en-us/azure/active-directory/conditional-access/)を参照してください。
注:
この機能は、Workspace(Cloud)のみでサポートされます。
StoreFrontストアの先進認証方法のサポート
グループポリシーオブジェクト(GPO)テンプレートを使用して、StoreFrontストアの先進認証方法のサポートを有効にすることができます。この機能は、Global App Configuration Serviceを使用して有効にできます。
次のいずれかの方法を使用して、Citrix StoreFrontストアを認証できます:
- Windows HelloとFIDO2セキュリティキーの使用。詳しくは、「その他の認証方法」を参照してください。
- IDプロバイダーとしてAzure Active Directory(AAD)を使用しAAD参加済みのマシンからCitrix StoreFrontストアにシングルサインオン(SSO)。詳しくは、「その他の認証方法」を参照してください。
- Workspace管理者は、Citrix StoreFrontストアへの認証を行うユーザーに対してAzure Active Directoryの条件付きアクセスポリシーを構成および適用できます。詳しくは、「Azure ADを使用した条件付きアクセスのサポート」を参照してください。
この機能を有効にするには、Microsoft Edge WebView2をStoreFrontおよびゲートウェイによる直接認証の基盤となるブラウザーとして使用する必要があります。
注:
Microsoft Edge WebView2ランタイムバージョン102以降を使用してください。
Global App Config Serviceおよびグループポリシーオブジェクト(GPO)テンプレートを使用して、StoreFrontストアの先進認証方法を有効にすることができます。
Global App Config Serviceの使用
この機能を有効にするには:
- [Citrix Cloud] メニューから [ワークスペース構成] を選択し、[アプリ構成] を選択します。
- [セキュリティと認証] をクリックします。
- [Windows] チェックボックスが選択されていることを確認します。
-
[StoreFront認証用のMicrosoft Edge WebView] ドロップダウンリストから [Windows] の横にある [有効] を選択します。
注:
[StoreFront認証用のMicrosoft Edge WebView] ドロップダウンリストから [Windows] の横にある [無効] を選択すると、Citrix Workspaceアプリ内でInternet Explorer WebViewが使用されます。その結果、Citrix Storefrontストアの先進認証方法はサポートされません。
GPOの使用
この機能を有効にするには:
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrix Workspace]>[ユーザー認証] の順に移動します。
-
[StoreFront認証用のMicrosoft Edge WebView] ポリシーをクリックして、[有効] に設定します。
- [Apply] をクリックし、[OK] をクリックします。
このポリシーを無効にすると、Citrix WorkspaceアプリはInternet Explorer WebViewを使用します。そのため、Citrix StoreFrontストアで先進認証方法はサポートされていません。
その他の認証方法
Citrix Workspaceアプリを使用して、次の認証メカニズムを構成できます。次の認証メカニズムが想定どおりに機能するには、Citrix Workspaceアプリを実行するWindowsマシンに、Microsoft Edge WebView2ランタイムバージョン99以降がインストールされている必要があります。
-
Windows Helloベースの認証 – Windows Helloベースの認証の設定手順については、「ビジネス Windows Hello設定の構成 - 証明書の信頼」(Docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings)を参照してください。
注:
ドメインパススルー(シングルサインオンまたはSSON)を使用したWindows Helloベースの認証はサポートされていません。
- FIDO2セキュリティキーベースの認証 – FIDO2セキュリティキーは、企業の従業員がユーザー名やパスワードを入力せずに認証するためのシームレスな方法を提供します。Citrix WorkspaceへのFIDO2セキュリティキーベースの認証を構成できます。ユーザーがFIDO2セキュリティキーを使用してAzure ADアカウントでCitrix Workspaceに対して認証を行うようにする場合は, 「パスワードなしのセキュリティキーサインインを有効にする」(Docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key)を参照してください。
- IDプロバイダーとしてMicrosoft Azure Active Directory(AAD)を使用し、AAD参加済みのマシンからCitrix Workspaceアプリへのシングルサインオンを構成することもできます。Azure Active Directory Domain Servicesの構成について詳しくは、「Azure Active Directory Domain Servicesとは」(Docs.microsoft.com/en-us/azure/active-directory-domain-services/overview)を参照してください。Azure Active DirectoryをCitrix Cloudに接続する方法については、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。
スマートカード
Windows向けCitrix Workspaceアプリでは、以下のスマートカード認証がサポートされます:
-
パススルー認証(シングルサインオン) - ユーザーがCitrix Workspaceアプリにログオンするときに使用するスマートカードの資格情報を取得します。取得した資格情報は以下のように使用されます:
- ドメインに属しているデバイスのユーザーがスマートカードでCitrix Workspaceアプリにログオンした場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要はありません。
- ドメインに属していないデバイスで実行しているCitrix Workspaceアプリがスマートカードの資格情報を使用している場合、仮想デスクトップやアプリケーションの起動時に資格情報を再入力する必要があります。
パススルー認証を使用するには、StoreFrontおよびCitrix Workspaceアプリ両方での構成が必要です。
-
2モード認証 - 認証方法として、スマートカードと、ユーザー名およびパスワードの入力を選択できます。この機能は、スマートカードを使用できない場合に有効です。たとえば、ログオン証明書が期限切れになった場合などです。これを実行できるようにするには、スマートカードを許可するためFalseに設定したDisableCtrlAltDelメソッドを使って、サイトごとに専用ストアをセットアップする必要があります。2モード認証にはStoreFront構成が必要です。
また2方式認証により、StoreFront管理者はStoreFrontコンソールでユーザー名とパスワード、およびスマートカード認証の両方を選択して同じストアで使用できるようにします。StoreFrontのドキュメントを参照してください。
-
複数の証明書 - 単一または複数のスマートカードを使用する場合、複数の証明書を使用できます。ユーザーがスマートカードをリーダーに挿入すると、ユーザーデバイス上で実行する、Citrix Workspaceアプリを含むすべてのアプリケーションで複数の証明書を適用できるようになります。
-
クライアント証明書による認証 - この機能を使用するには、Citrix GatewayおよびStoreFrontでの構成が必要です。
- Citrix Gatewayを使ってStoreFrontにアクセスする場合、ユーザーがスマートカードを取り外した後で再認証が必要です。
- Citrix GatewayのSSL構成で常にクライアント証明書による認証が使用されるようにすると、より安全になります。ただし、この構成では2方式認証を使用できません。
-
ダブルホップセッション - ダブルホップセッションでは、Citrix Workspaceアプリとユーザーの仮想デスクトップとの間に接続が確立されます。
-
スマートカード対応のアプリケーション - Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションでは、仮想アプリと仮想デスクトップのセッションでドキュメントにデジタル署名を追加したりファイルを暗号化したりできます。
制限事項:
- 証明書は、ユーザーデバイス上ではなくスマートカード上に格納されている必要があります。
- Citrix Workspaceアプリはユーザー証明書の選択を保存しませんが、構成時にPINを格納します。PINはユーザーセッションの間にのみ非ページ化メモリにキャッシュされ、ディスク内には格納されません。
- Citrix Workspaceアプリでは、スマートカードが挿入されたときに自動的には切断セッションに再接続されません。
- スマートカード認証が構成されている場合、Citrix Workspaceアプリでは仮想プライベートネットワーク(VPN:Virtual Private Network)のシングルサインオンやセッションの事前起動がサポートされません。スマートカード認証でVPNを使用するには、Citrix Gateway Plug-inをインストールします。スマートカードとPINを使用してWebページからログオンし、各ステップで認証します。スマートカードユーザーは、Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証を使用できません。
- Citrix Workspaceアプリ更新ツールとcitrix.comやMerchandising Server間の通信では、Citrix Gateway上のスマートカード認証を使用できません。
警告
一部の構成では、レジストリの編集が必要です。レジストリエディターの使用を誤ると、問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
スマートカード認証のシングルサインオンを有効にするには:
Windows向けCitrix Workspaceアプリのインストール中に、以下のコマンドラインオプションを指定します:
-
ENABLE_SSON=Yes
シングルサインオンは、「パススルー認証」と呼ばれることもあります。このオプションを指定すると、Citrix WorkspaceアプリでPINを繰り返し入力する必要がなくなります。
-
レジストリエディターで次のパスに移動し、シングルサインオンコンポーネントをインストールしていない場合は
SSONCheckEnabled
文字列をFalse
に設定します。HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
これにより、Citrix WorkspaceアプリのAuthentication Managerでシングルサインオンコンポーネントがチェックされなくなり、Citrix WorkspaceアプリでStoreFrontへの認証が可能になります。
Kerberosの代わりにStoreFrontに対してスマートカード認証を有効にするには、次のコマンドラインオプションでWindows向けCitrix Workspaceアプリをインストールします:
-
/includeSSON
を指定すると、シングルサインオン認証(パススルー認証)がインストールされます。資格情報のキャッシュおよびパススルードメインベース認証の使用を有効にします。 -
ユーザーが別の認証方法(ユーザー名とパスワードなど)でエンドポイントにログオンする場合、コマンドラインは次のようになります:
/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No
このタイプの認証では、ログオン時に資格情報がキャプチャされるのを防ぎ、Citrix Workspaceアプリへのログイン時にPINを格納することができます。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ユーザー認証]>[ローカルユーザー名とパスワード] に移動します。
- [パススルー認証を有効にします] チェックボックスをオンにします。構成およびセキュリティ設定によっては、パススルー認証を実行するために [すべてのICA接続にパススルー認証を許可します] チェックボックスをオンにします。
StoreFrontを構成するには:
- 認証サービスを構成する場合、[スマートカード] チェックボックスをオンにします。
StoreFrontでスマートカードを使用する場合は、StoreFrontドキュメントの「認証サービスの構成」を参照してください。
ユーザーデバイスでスマートカードを使用できるようにするには:
- デバイスのキーストアに、証明機関のルート証明書をインポートします。
- ベンダーが提供する暗号化ミドルウェアをインストールします。
- Citrix Workspaceアプリをインストールして構成します。
証明書の選択方法を変更するには:
複数の証明書が有効な場合、Citrix Workspaceアプリではデフォルトでそれらの証明書の一覧が表示され、ユーザーは使用する証明書を選択できます。管理者は、代わりにデフォルトの証明書(スマートカードプロバイダー指定の証明書)、または有効期限が最も残っている証明書が使用されるようにCitrix Workspaceアプリを構成できます。有効なログオン証明書がない場合はユーザーにメッセージが表示され、使用可能なほかのログオン方法が提示されます。
有効な証明書とは、以下のものを指します:
- ローカルコンピューターの現在時刻に基づき、証明書が有効期限内である。
- サブジェクトの公開キーでRSAアルゴリズムが使用されており、キーの長さが1024ビット、2048ビット、または4096ビットである。
- キー使用法にデジタル署名が含まれている。
- サブジェクトの別名フィールドにユーザープリンシパル名(UPN)が含まれている。
- 拡張キー使用法フィールドにスマートカードログオンおよびクライアント認証、またはすべてのキー使用法が含まれている。
- 証明書の発行者チェーンに含まれる証明機関の1つが、TLSハンドシェイク時にサーバーから送信される、許可される識別名(DN)の1つに合致している。
証明書の選択方法を変更するには、以下のいずれかの構成を行います:
-
Citrix Workspaceアプリのコマンドラインで、オプション
AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }
を指定します。デフォルト値は、Promptです。
SmartCardDefault
またはLatestExpiry
を指定して複数の証明書が該当する場合は、Citrix Workspaceアプリによりユーザーが証明書を選択するための一覧が表示されます。 -
次のキー値をレジストリキー HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
に追加します:CertificateSelectionMode={ PromptSmartCardDefault LatestExpiry }。
最適な証明書をユーザーが選択できるように、HKEY_CURRENT_USER
での設定は、HKEY_LOCAL_MACHINE
の設定よりも優先されます。
CSPのPIN入力メッセージを使用するには:
Windows向けCitrix Workspaceアプリのデフォルトでは、スマートカードのCryptographic Service Provider(CSP)ではなくPIN入力用のメッセージが表示されます。PINの入力が必要な場合、Citrix Workspaceアプリがメッセージを表示して、ユーザーにより入力されたPINをスマートカードのCSPに渡します。プロセスごとやセッションごとのPINのキャッシュが禁止されているなど、環境やスマートカードでより厳格なセキュリティが求められる場合は、CSPコンポーネントを使用してPIN入力用のメッセージを表示してPINを処理するようにCitrix Workspaceアプリを構成できます。
PIN入力の処理方法を変更するには、以下のいずれかの構成を行います:
- Citrix Workspaceアプリのコマンドラインで、オプション
AM_SMARTCARDPINENTRY=CSP
を指定します。 - 次のキー値をレジストリキー
HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
に追加します:SmartCardPINEntry=CSP
スマートカードのサポートおよび取り出しの変更
スマートカードを取り出すと、Citrix Virtual Appsセッションからログオフされます。Citrix Workspaceアプリの認証方法をスマートカードに設定している場合、Citrix Virtual Appsセッションからのログオフを有効にするにはWindows向けCitrix Workspaceアプリで対応するポリシーを構成します。ユーザーはCitrix Workspaceアプリセッションにログインしたままになります。
制限事項:
スマートカード認証を使用してCitrix Workspaceアプリサイトにログインした場合、ユーザー名が [ログオン済み] と表示されます。
高速スマートカード
高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトの改良版です。遅延が大きいWAN環境でスマートカードを使用する場合のパフォーマンスが向上しています。
高速スマートカードは、Windows VDAでのみサポートされています。
Citrix Workspaceアプリで高速スマートカードログオンを有効にするには:
高速スマートカードログオンはVDAでデフォルトで有効になっていますが、Citrix Workspaceアプリではデフォルトで無効になっています。高速スマートカードログオンを有効にするには、関連するStoreFrontサイトのdefault.ica
ファイルに次のパラメーターを追加します:
copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->
Citrix Workspaceアプリで高速スマートカードログオンを無効にするには:
Citrix Workspaceアプリで高速スマートカードログオンを無効にするには、関連するStoreFrontサイトのdefault.ica
ファイルからSmartCardCryptographicRedirection
パラメーターを削除します。
詳しくは、「スマートカード」を参照してください。
Citrix Workspaceのサイレント認証
Citrix Workspaceアプリでは、グループポリシーオブジェクト(GPO)ポリシーが導入され、Citrix Workspaceのサイレント認証が有効になります。このポリシーにより、Citrix Workspaceアプリがシステムの起動時にCitrix Workspaceに自動的にログインできるようになります。このポリシーは、ドメインに参加しているデバイスのCitrix Workspaceに対してドメインパススルー(シングルサインオンまたはSSON)が構成されている場合にのみ使用してください。この機能は、Windows向けCitrix Workspaceアプリバージョン2012以降で利用できます。
このポリシーが機能するには、次の条件を満たす必要があります:
- シングルサインオンを有効にする必要があります。
- レジストリエディターで
SelfServiceMode
キーをOff
に設定する必要があります。
サイレント認証の有効化:
-
gpedit.msc
を実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [Self Service] の順に移動します。
- [Citrix Workspaceのサイレント認証] ポリシーをクリックして、[有効] に設定します。
- [適用]、[OK] の順にクリックします。
Windows向けCitrix Workspaceアプリでのパスワードおよびユーザー名のキャッシュ機能の無効化
デフォルトで、Windows向けCitrix Workspaceでは最後に入力された姓が自動的に抽出されて入力されます。ユーザー名フィールドの自動入力をオフにするには、ユーザーデバイスのレジストリを編集します:
- REG_SZ値のHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsernameを作成します。
- 値を「false」に設定します。
[パスワードを保存する] チェックボックスをオフにして自動サインインを禁止するには、Windows向けCitrix Workspaceアプリがインストールされているクライアントマシンで次のレジストリキーを作成します:
- パス:HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
- 種類:REG_SZ
- 値の名前:SavePasswordMode
- 値:Never
注:
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsのインストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
StoreFrontストアの資格情報がキャッシュされないようにするには、StoreFrontドキュメントの「Windows向けCitrix Workspaceアプリでのパスワードおよびユーザー名のキャッシュ機能の無効化」を参照してください。
Azure Active Directoryで200を超えるグループをサポート
このリリースでは、200を超えるグループに属しているAzure Active Directoryユーザーは、そのユーザーに割り当てられているアプリとデスクトップを表示できるようになります。以前は、同じユーザーがこれらのアプリとデスクトップを表示することはできませんでした。
注:
この機能を有効にするには、ユーザーはCitrix Workspaceアプリからサインアウトし、再度サインインする必要があります。
プロキシ認証のサポート
以前は、プロキシ認証で構成されたクライアントマシンで、プロキシの資格情報がWindows Credential Managerに存在しない場合、Citrix Workspaceアプリへの認証は許可されませんでした。
Windows向けCitrix Workspaceアプリバージョン2102以降、プロキシ認証用に構成されたクライアントマシンでプロキシの資格情報がWindows Credential Managerに保存されていない場合は、認証プロンプトが表示され、プロキシの資格情報の入力を求められます。その後、Citrix Workspaceアプリがプロキシサーバーの資格情報をWindows Credential Managerに保存します。これにより、Citrix Workspaceアプリにアクセスする前にWindows資格情報マネージャーに資格情報を手動で保存する必要がなくなり、シームレスにログインできます。
ユーザーエージェント
Citrix Workspaceアプリは、他のIDプロバイダー(IdP)への認証のリダイレクトなど、ネットワーク要求で認証ポリシーの構成に使用できるユーザーエージェントを送信します。
注:
次の表でUser-Agentの一部として記載されているバージョン番号は一例であり、使用しているバージョンに基づいて自動的に更新されます。
次の表では、シナリオ、説明、および各シナリオに対応するユーザーエージェントを示します:
シナリオ | 説明 | ユーザーエージェント |
---|---|---|
通常のHTTP要求 | 一般に、Citrix Workspaceアプリによって行われたネットワーク要求はユーザーエージェントが含んでいます。たとえば、GET /Citrix/Roaming/Accounts およびGET / AGServices/discover のようなネットワーク要求です |
CitrixReceiver/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) SelfService/23.5.0.63 (Release) X1Class CWACapable |
クラウドストア | Citrix Workspaceアプリでユーザーがクラウドストアに対して認証されると、特定のユーザーエージェントでネットワーク要求が作成されます。たとえば、パス/core/connect/authorize を含むネットワーク要求です。 |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |
Edge WebViewを使用したGateway Advanced Authを備えたオンプレミスストア | ユーザーがEdge WebViewを使用してCitrix Workspaceアプリで高度な認証が構成されたGatewayに対して認証すると、特定のユーザーエージェントを使用してネットワーク要求が行われます。たとえば、GET /nf/auth/doWebview.do とGET /logon/LogonPoint/tmindex.html を含むネットワーク要求です。 |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 Edg/108.0.1462.54 CWAWEBVIEW/23.2.0.2111 Windows/10.0 (22H2 Build 19045.2364) |
IE WebViewを使用したGateway Advanced Authを備えたオンプレミスストア | ユーザーがInternet Explorer WebViewを使用してCitrix Workspaceアプリで高度な認証が構成されたゲートウェイに対して認証すると、特定のユーザーエージェントを使用してネットワークリクエストが行われます。たとえば、GET /nf/auth/doWebview.do とGET /logon/LogonPoint/tmindex.html を含むネットワーク要求です。 |
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko, CWAWEBVIEW/23.5.0.43 |
カスタムWebストア | ユーザーがカスタムWebストアをCitrix Workspaceアプリに追加すると、アプリはユーザーエージェントを送信します。 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |