認証

Citrix Workspaceアプリでは、ドメインパススルー（シングルサインオンまたはSSON）、スマートカード、Kerberosパススルーなど、さまざまな種類の認証を構成できます。

Windows版Citrix Workspace™アプリバージョン2503以降、システムはSSONをデフォルトで休止モードでインストールします。インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用してSSONを有効にできます。有効にするには、ユーザー認証 > ローカルユーザー名とパスワードに移動し、パススルー認証を有効にするチェックボックスを選択します。

注：

SSON設定を有効にするには、GPOポリシーを更新した後、システムを再起動する必要があります。

認証トークン

認証トークンは暗号化されてローカルディスクに保存されるため、システムまたはセッションの再起動時に資格情報を再入力する必要はありません。Citrix Workspaceアプリには、認証トークンのローカルディスクへの保存を無効にするオプションがあります。

セキュリティ強化のため、認証トークンの保存を構成するためのグループポリシーオブジェクト (GPO) ポリシーが提供されるようになりました。

グループポリシーエディター用のCitrix ADMX/ADMLテンプレートは、Citrixのダウンロードページからダウンロードできます。

-  > **注：** > > この構成は、クラウド展開でのみ適用可能です。

グループポリシーオブジェクト (GPO) ポリシーを使用した認証トークンの保存の無効化：

-  1.  `gpedit.msc`を実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。

1. コンピューターの構成ノードで、管理用テンプレート > Citrixコンポーネント > SelfServiceに移動します。

2. 認証トークンの保存ポリシーで、次のいずれかを選択します。

   • 有効: 認証トークンがディスクに保存されることを示します。デフォルトでは有効に設定されています。
   • 無効: 認証トークンがディスクに保存されないことを示します。システムまたはセッションの再起動時に資格情報を再入力してください。
3. 適用、OKの順にクリックします。

バージョン2106以降、Citrix Workspaceアプリには、認証トークンのローカルディスクへの保存を無効にする別のオプションが提供されています。既存のGPO構成に加えて、グローバルアプリ構成サービスを使用して認証トークンのローカルディスクへの保存を無効にすることもできます。

グローバルアプリ構成サービスで、Store Authentication Tokens属性をFalseに設定します。

-  この設定は、グローバルアプリ構成サービスを使用して次のいずれかの方法で構成できます。

-  グローバルアプリ構成サービスユーザーインターフェイス (UI)：UIを使用した構成については、「[Citrix Workspaceアプリの構成](/ja-jp/citrix-workspace/global-app-config-service)」を参照してください。
-  API：APIを使用した設定の構成については、[Citrix Developer](https://developer.cloud.com/citrixworkspace/server-integration/global-app-configuration-service/docs/getting-started)ドキュメントを参照してください。

構成チェッカー

構成チェッカーを使用すると、シングルサインオンが適切に構成されているかどうかを確認するためのテストを実行できます。テストはシングルサインオン構成のさまざまなチェックポイントで実行され、構成結果が表示されます。

1. 通知領域のCitrix Workspaceアプリのアイコンを右クリックし、高度な設定をクリックします。 高度な設定ダイアログが表示されます。

2. 構成チェッカーをクリックします。 Citrix構成チェッカーウィンドウが表示されます。

   

3. 選択ペインからSSONCheckerを選択します。
4. 実行をクリックします。テストのステータスを示す進行状況バーが表示されます。

構成チェッカーウィンドウには、次の列があります。

1. ステータス: 特定のチェックポイントでのテスト結果を表示します。

   • 緑色のチェックマークは、特定のチェックポイントが適切に構成されていることを示します。
   • 青色のIは、チェックポイントに関する情報を示します。
   • 赤色のXは、特定のチェックポイントが適切に構成されていないことを示します。
2. プロバイダー: テストが実行されるモジュールの名前を表示します。この場合はシングルサインオンです。
3. スイート: テストのカテゴリを示します。例: インストール。
4. テスト: 実行される特定のテストの名前を示します。
5. 詳細: 合格と不合格の両方について、テストに関する追加情報を提供します。

• ユーザーは、各チェックポイントと対応する結果に関する詳細な情報が得られます。

• 次のテストが実行されます。

1. シングルサインオンでインストール済み。
2. ログオン資格情報のキャプチャ。
3. ネットワークプロバイダーの登録: ネットワークプロバイダーの登録に対するテスト結果は、「Citrix Single Sign-on」がネットワークプロバイダーのリストで最初に設定されている場合にのみ、緑色のチェックマークを表示します。Citrix Single Sign-onがリストの他の場所に表示されている場合、ネットワークプロバイダーの登録に対するテスト結果は青色のIと追加情報とともに表示されます。
4. シングルサインオンプロセスが実行中。
5. グループポリシー: デフォルトでは、このポリシーはクライアントで構成されています。
6. セキュリティゾーンのインターネット設定: ストア/XenAppサービスのURLをインターネットオプションのセキュリティゾーンのリストに追加してください。セキュリティゾーンがグループポリシーを介して構成されている場合、ポリシーの変更を有効にし、テストの正しいステータスを表示するには、高度な設定ウィンドウを再度開く必要があります。
7. StoreFrontの認証方法。

注：

• Web用ワークスペースにアクセスしている場合、テスト結果は適用されません。

• Citrix Workspaceアプリが複数のストアで構成されている場合、認証方法テストは構成されているすべてのストアで実行されます。

• • テスト結果をレポートとして保存できます。デフォルトのレポート形式は.txtです。

• 「詳細設定」ウィンドウからの構成チェッカーオプションの非表示

1. gpedit.msc を実行して、Citrix Workspace アプリ GPO 管理用テンプレートを開きます。
2. Citrix Components > Citrix Workspace > Self Service > DisableConfigChecker に移動します。
3. Enabled をクリックして、「詳細設定」ウィンドウから構成チェッカーオプションを非表示にします。
4. 適用とOKをクリックします。
5. gpupdate /force コマンドを実行します。

制限事項:

構成チェッカーには、Citrix Virtual Apps and Desktops™ サーバー上の XML サービスに送信される信頼要求の構成チェックポイントは含まれていません。

ビーコンテスト

Citrix Workspace アプリでは、構成チェッカーユーティリティの一部として利用できるビーコンチェッカーを使用してビーコンテストを実行できます。ビーコンテストは、ビーコン (ping.citrix.com) に到達可能かどうかを確認するのに役立ちます。Citrix Workspace アプリ for Windows バージョン 2405 以降、ビーコンテストは Citrix Workspace アプリに追加されたストアで構成されているすべてのビーコンで機能します。この診断テストは、リソース列挙が遅くなる多くの原因の 1 つである、ビーコンが利用できないという問題を排除するのに役立ちます。テストを実行するには、通知領域の Citrix Workspace アプリを右クリックし、詳細設定 > 構成チェッカーを選択します。テストのリストからビーコンチェッカーオプションを選択し、実行をクリックします。

テスト結果は次のいずれかになります。

• 到達可能 – Citrix Workspace アプリはビーコンに正常に接続できます。
• 到達不能 - Citrix Workspace アプリはビーコンに接続できません。
• 部分的に到達可能 - Citrix Workspace アプリはビーコンに断続的に接続できます。

注:

-  テスト結果は Web 用 Workspace には適用されません。
-  テスト結果はレポートとして保存できます。レポートのデフォルト形式は .txt です。

Azure Active Directory を使用した条件付きアクセスのサポート

条件付きアクセスは、Azure Active Directory が組織のポリシーを適用するために使用するツールです。Workspace 管理者は、Citrix Workspace アプリに認証するユーザーに対して Azure Active Directory の条件付きアクセス ポリシーを構成および適用できます。Citrix Workspace アプリを実行している Windows マシンには、Microsoft Edge WebView2 Runtime バージョン 131 以降がインストールされている必要があります。

Azure Active Directory を使用した条件付きアクセス ポリシーの構成に関する詳細と手順については、「Azure AD 条件付きアクセス ドキュメント」を参照してください。

注:

この機能は、Workspace (Cloud) 展開でのみサポートされています。

StoreFront ストアの最新の認証方法のサポート

Citrix Workspace アプリ 2303 for Windows 以降、グループポリシーオブジェクト (GPO) テンプレートを使用して StoreFront ストアの最新の認証方法のサポートを有効にできます。Citrix Workspace アプリ バージョン 2305.1 では、Global App Configuration サービスを使用してこの機能を有効にできます。

Citrix StoreFront ストアには、次のいずれかの方法で認証できます。

• Windows Hello および FIDO2 セキュリティキーを使用します。詳細については、「その他の認証方法」を参照してください。
• AAD を ID プロバイダーとして、Azure Active Directory (AAD) に参加しているマシンから Citrix StoreFront ストアへのシングルサインオン。詳細については、「その他の認証方法」を参照してください。
• Workspace 管理者は、Citrix StoreFront ストアに認証するユーザーに対して Azure Active Directory の条件付きアクセス ポリシーを構成および適用できます。詳細については、「Azure AD を使用した条件付きアクセスのサポート」を参照してください。

この機能を有効にするには、StoreFront およびゲートウェイの直接認証の基盤となるブラウザーとして Microsoft Edge WebView2 を使用する必要があります。

注:

Microsoft Edge WebView2 Runtime のバージョンが 131 以降であることを確認してください。

Global App Config サービスとグループポリシーオブジェクト (GPO) テンプレートを使用して、StoreFront ストアの最新の認証方法を有効にできます。

Global App Config サービスの使用

この機能を有効にするには:

1. Citrix Cloud™ メニューから、Workspace Configuration を選択し、次に App Configuration を選択します。
2. Security & Authentication をクリックします。
3. Windows チェックボックスが選択されていることを確認します。

4. Microsoft Edge WebView for StoreFront™ Authentication ドロップダウンリストから、Windows の横にあるEnabled を選択します。

   

   • 注:

   • Microsoft Edge WebView for StoreFront Authentication ドロップダウンリストからWindows の横にあるDisabled を選択すると、Citrix Workspace アプリ内で Internet Explorer WebView が使用されます。その結果、Citrix StoreFront ストアの最新の認証方法はサポートされません。

GPO の使用

この機能を有効にするには:

• 1. gpedit.msc を実行して、Citrix Workspace アプリのグループポリシーオブジェクト管理用テンプレートを開きます。
• 1. Computer Configuration ノードの下で、Administrative Templates > Citrix Workspace > User Authentication に移動します。
     • 1. Microsoft Edge WebView for StoreFront authentication ポリシーをクリックし、Enabled に設定します。
• 

1. 適用をクリックし、次にOKをクリックします。

• このポリシーが無効になっている場合、Citrix WorkspaceアプリはInternet Explorer WebViewを使用します。その結果、Citrix StoreFrontストアの最新の認証方法はサポートされません。

• Microsoft Entra ID使用時のEdge WebViewのシングルサインオンサポート

以前は、Entra IDを使用している場合、Citrix Workspaceアプリの認証は失敗していました。バージョン2409以降、Citrix Workspaceアプリは、認証にEntra IDを使用する際にEdge WebViewのシングルサインオン（SSO）をサポートします。

この機能は、UIまたはグループポリシーオブジェクト（GPO）を使用して有効にできます。

UIの使用

Edge WebViewのシングルサインオンの使用を有効にするには、UIのシステムトレイの[高度な設定]セクションに[認証設定]と呼ばれる新しいオプションが導入されました。

UIからこの機能を有効にするには、次の手順を実行します。

1. システムトレイの[高度な設定]セクションをクリックします。次の画面が表示されます。

1. [認証設定]をクリックします。次の画面が表示されます。

   

2. 選択されているオプションがデフォルトオプションである[はい]であることを確認します。そうでない場合は、[はい]を選択します。
3. オプションを変更した場合は、[保存]をクリックします。

• 1. 変更を有効にするには、Citrix Workspaceアプリを再起動します。

注：

[いいえ]を選択した場合、ポリシーは無効になります。

ポリシーが無効になっている場合、Microsoft Entra IDに参加または登録されているデバイスでは、シングルサインオン（SSO）が無効になります。Entra IDがIDプロバイダーとして使用されている場合、エンドユーザーはWorkspaceアプリで認証する必要があります。

GPOの使用

• GPOを使用してEdge WebViewのシングルサインオンの使用を有効にすることもできます。

• GPOを使用してこの機能を有効にするには、次の手順を実行します。

• 1. gpedit.mscを実行してCitrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開き、[コンピューターの構成]ノードに移動します。

• 

• 1. [管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [ユーザー認証]に移動します。

1. [Edge WebViewのシングルサインオンを許可]ポリシーを選択し、[有効]に設定します。
2. [適用]と[OK]をクリックします。

注：

• [無効]を選択した場合、ポリシーは無効になります。

ポリシーが無効になっている場合、Microsoft Entra IDに参加または登録されているデバイスでは、シングルサインオン（SSO）が無効になります。Entra IDがIDプロバイダーとして使用されている場合、エンドユーザーはWorkspaceアプリで認証する必要があります。

その他の認証方法

Citrix Workspaceアプリで次の認証メカニズムを構成できます。次の認証メカニズムが期待どおりに機能するには、Citrix Workspaceアプリを実行しているWindowsマシンにMicrosoft Edge WebView2 Runtimeバージョン131以降がインストールされている必要があります。

1. Windows Helloベースの認証 – Windows Helloベースの認証の構成手順については、「Windows Hello for Businessポリシー設定の構成 - 証明書信頼」を参照してください。

   注：

   ドメインパススルー（シングルサインオンまたはSSON）を使用したWindows Helloベースの認証はサポートされていません。

2. FIDO2セキュリティキーベースの認証 – FIDO2セキュリティキーは、企業従業員がユーザー名やパスワードを入力せずに認証するためのシームレスな方法を提供します。Citrix WorkspaceへのFIDO2セキュリティキーベースの認証を構成できます。ユーザーがFIDO2セキュリティキーを使用してAzure ADアカウントでCitrix Workspaceに認証できるようにする場合は、「パスワードなしのセキュリティキーサインインを有効にする」を参照してください。
3. Microsoft Azure Active Directory（AAD）に参加しているマシンから、AADをIDプロバイダーとしてCitrix Workspaceアプリへのシングルサインオン（SSO）を構成することもできます。Azure Active Directory Domain Servicesの構成に関する詳細については、「Azure Active Directory Domain Servicesの構成」を参照してください。Azure Active DirectoryをCitrix Cloudに接続する方法については、「Azure Active DirectoryをCitrix Cloudに接続する」を参照してください。

スマートカード

Windows向けCitrix Workspaceアプリは、次のスマートカード認証をサポートしています。

• パススルー認証（シングルサインオン） - パススルー認証は、ユーザーがCitrix Workspaceアプリにログオンするときにスマートカードの資格情報をキャプチャします。Citrix Workspaceアプリは、キャプチャされた資格情報を次のように使用します。
  • スマートカードを使用してCitrix Workspaceアプリにログオンするドメイン参加デバイスのユーザーは、再認証することなく仮想デスクトップとアプリケーションを起動できます。
  • スマートカードの資格情報を持つ非ドメイン参加デバイスで実行されているCitrix Workspaceアプリは、仮想デスクトップまたはアプリケーションを起動するために、資格情報を再度入力する必要があります。

• パススルー認証には、StoreFrontとCitrix Workspaceアプリの両方で構成が必要です。

• バイモーダル認証 - バイモーダル認証により、ユーザーはスマートカードを使用するか、ユーザー名とパスワードを入力するかを選択できます。この機能は、スマートカードを使用できない場合に有効です。たとえば、ログオン証明書の有効期限が切れている場合などです。スマートカードを許可するために DisableCtrlAltDel メソッドを False に設定して、バイモーダル認証を許可するには、サイトごとに専用のストアを設定する必要があります。バイモーダル認証にはStoreFrontの構成が必要です。

  バイモーダル認証を使用すると、StoreFront管理者はStoreFrontコンソールで選択することにより、同じストアに対してユーザー名とパスワード、およびスマートカード認証の両方を許可できます。StoreFrontのドキュメントを参照してください。

  注：

  Windows向けCitrix Workspaceアプリは、ユーザー名およびパスワードフィールドでのウムラウト文字をサポートしていません。

• 複数の証明書 - 1枚のスマートカードに対して複数の証明書を利用でき、複数のスマートカードが使用されている場合も同様です。カードリーダーにスマートカードを挿入すると、証明書はCitrix Workspaceアプリを含むユーザーデバイスで実行されているすべてのアプリケーションに適用されます。

• クライアント証明書認証 - クライアント証明書認証には、Citrix GatewayとStoreFrontの構成が必要です。

  • Citrix Gatewayを介してStoreFrontにアクセスする場合、スマートカードを取り外した後に再認証する必要があります。
  • Citrix GatewayのSSL構成が必須クライアント証明書認証に設定されている場合、操作はより安全になります。ただし、必須クライアント証明書認証はバイモーダル認証と互換性がありません。

• ダブルホップセッション - ダブルホップが必要な場合、Citrix Workspaceアプリとユーザーの仮想デスクトップとの間に接続が確立されます。

• スマートカード対応アプリケーション - Microsoft OutlookやMicrosoft Officeなどのスマートカード対応アプリケーションを使用すると、ユーザーは仮想アプリおよびデスクトップセッションで利用可能なドキュメントにデジタル署名したり、暗号化したりできます。

制限事項：

• 証明書はスマートカードに保存する必要があり、ユーザーデバイスには保存できません。
• Citrix Workspaceアプリはユーザー証明書の選択を保存しませんが、構成されている場合はPINを保存します。PINはユーザーセッション中のみ非ページメモリにキャッシュされ、ディスクには保存されません。
• スマートカードが挿入されても、Citrix Workspaceアプリはセッションに再接続しません。
• スマートカード認証用に構成されている場合、Citrix Workspaceアプリは仮想プライベートネットワーク（VPN）シングルサインオンまたはセッションの事前起動をサポートしません。スマートカード認証でVPNを使用するには、Citrix Gateway Plug-inをインストールします。各ステップでスマートカードとPINを使用してWebページからログオンし、認証します。Citrix Gateway Plug-inを使用したStoreFrontへのパススルー認証は、スマートカードユーザーには利用できません。
• citrix.comおよびMerchandising ServerとのCitrix Workspaceアプリアップデーターの通信は、Citrix Gatewayでのスマートカード認証と互換性がありません。

警告

一部の構成ではレジストリの編集が必要です。レジストリエディターを誤って使用すると、オペレーティングシステムの再インストールが必要になる問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。編集する前にレジストリをバックアップしてください。

スマートカード認証のシングルサインオンを有効にするには：

Windows向けCitrix Workspaceアプリを構成するには、インストール中に次のコマンドラインオプションを含めます。

• ENABLE_SSON=Yes

  シングルサインオンは、パススルー認証の別名です。この設定を有効にすると、Citrix WorkspaceアプリがPINの2回目のプロンプトを表示するのを防ぎます。

• レジストリエディターで、次のパスに移動し、シングルサインオンコンポーネントをインストールしていない場合は、SSONCheckEnabled文字列をFalseに設定します。

  HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  このキーは、Citrix Workspaceアプリ認証マネージャーがシングルサインオンコンポーネントをチェックするのを防ぎ、Citrix WorkspaceアプリがStoreFrontに認証できるようにします。

Kerberosの代わりにStoreFrontへのスマートカード認証を有効にするには、Windows向けCitrix Workspaceアプリを次のコマンドラインオプションでインストールします。

• /includeSSONはシングルサインオン（パススルー）認証をインストールします。資格情報のキャッシュとパススルーのドメインベース認証の使用を有効にします。

• ユーザーが異なる認証方法（例：ユーザー名とパスワード）でエンドポイントにログオンする場合、コマンドラインは次のとおりです。

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

この種類の認証は、ログオン時の資格情報のキャプチャを防ぎ、Citrix Workspaceアプリのログオン中にPINを保存できるようにします。

1. gpedit.mscを実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。
2. 管理用テンプレート > Citrixコンポーネント > Citrix Workspace > ユーザー認証 > ローカルユーザー名とパスワードに移動します。
3. パススルー認証を有効にするを選択します。構成とセキュリティ設定に応じて、パススルー認証が機能するようにすべてのICA®オプションでパススルー認証を許可するを選択します。

StoreFrontを構成するには：

• 認証サービスを構成するときに、スマートカードチェックボックスを選択します。

StoreFrontでのスマートカードの使用に関する詳細については、StoreFrontドキュメントの「認証サービスの構成」を参照してください。

スマートカードを使用できるようにユーザーデバイスを有効にするには：

1. 証明機関のルート証明書をデバイスのキーストアにインポートします。
2. ベンダーの暗号化ミドルウェアをインストールします。
3. Citrix Workspaceアプリをインストールして構成します。

証明書の選択方法を変更するには：

デフォルトでは、複数の証明書が有効な場合、Citrix Workspaceアプリはユーザーにリストから証明書を選択するよう促します。代わりに、Citrix Workspaceアプリを構成して、デフォルトの証明書（スマートカードプロバイダーによる）または最新の有効期限を持つ証明書を使用させることができます。有効なログオン証明書がない場合、ユーザーに通知され、利用可能な場合は代替のログオン方法を使用するオプションが与えられます。

有効な証明書は、以下のすべての特性を備えている必要があります。

• ローカルコンピューターの現在の時刻が証明書の有効期間内であること。
• サブジェクト公開キーはRSAアルゴリズムを使用し、キー長が1024ビット、2048ビット、または4096ビットであること。
• キー使用法にデジタル署名が含まれていること。
• サブジェクト代替名にユーザープリンシパル名（UPN）が含まれていること。
• 拡張キー使用法にスマートカードログオンとクライアント認証、またはすべてのキー使用法が含まれていること。
• 証明書の発行者チェーン上のいずれかの認証局が、TLSハンドシェイクでサーバーから送信された許可された識別名（DN）のいずれかと一致すること。

以下のいずれかの方法を使用して、証明書の選択方法を変更します。

• Citrix Workspaceアプリのコマンドラインで、オプション AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } を指定します。

  Prompt がデフォルトです。SmartCardDefault または LatestExpiry の場合、複数の証明書が基準を満たしていると、Citrix Workspaceアプリはユーザーに証明書を選択するよう促します。

• レジストリキー HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager に次のキー値を追加します: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }。

HKEY_CURRENT_USER で定義された値は、ユーザーが証明書を選択するのを最も適切に支援するために、HKEY_LOCAL_MACHINE の値よりも優先されます。

CSP PINプロンプトを使用するには：

デフォルトでは、ユーザーに表示されるPINプロンプトは、スマートカード暗号化サービスプロバイダー（CSP）ではなく、Windows向けCitrix Workspaceアプリによって提供されます。Citrix Workspaceアプリは、必要に応じてユーザーにPINの入力を促し、そのPINをスマートカードCSPに渡します。サイトまたはスマートカードに、プロセスごとまたはセッションごとのPINのキャッシュを許可しないなど、より厳格なセキュリティ要件がある場合、Citrix Workspaceアプリを構成して、PINのプロンプトを含むPIN入力の管理にCSPコンポーネントを使用させることができます。

以下のいずれかの方法を使用して、PIN入力の処理方法を変更します。

• Citrix Workspaceアプリのコマンドラインで、オプション AM_SMARTCARDPINENTRY=CSP を指定します。
• レジストリキー HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager に次のキー値を追加します: SmartCardPINEntry=CSP。

スマートカードのサポートと削除に関する変更

スマートカードを削除すると、Citrix Virtual Appsセッションはログオフします。Citrix Workspaceアプリがスマートカードを認証方法として構成している場合、Windows向けCitrix Workspaceアプリで対応するポリシーを構成し、Citrix Virtual Appsセッションのログオフを強制します。ユーザーはCitrix Workspaceアプリセッションに引き続きログオンしています。

制限事項：

スマートカード認証を使用してCitrix Workspaceアプリサイトにログオンすると、ユーザー名は Logged On と表示されます。

高速スマートカード

高速スマートカードは、既存のHDX PC/SCベースのスマートカードリダイレクトに対する改善です。高遅延WAN環境でスマートカードを使用する際のパフォーマンスを向上させます。

高速スマートカードはWindows VDAでのみサポートされています。

Citrix Workspaceアプリで高速スマートカードログオンを有効にするには：

高速スマートカードログオンはVDAではデフォルトで有効になっており、Citrix Workspaceアプリではデフォルトで無効になっています。高速スマートカードログオンを有効にするには、関連するStoreFrontサイトの default.ica ファイルに次のパラメーターを含めます。

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Citrix Workspaceアプリで高速スマートカードログオンを無効にするには：

Citrix Workspaceアプリで高速スマートカードログオンを無効にするには、関連するStoreFrontサイトの default.ica ファイルから SmartCardCryptographicRedirection パラメーターを削除します。

詳細については、スマートカードを参照してください。

Citrix Workspaceのサイレント認証

Citrix Workspaceアプリは、Citrix Workspaceのサイレント認証を有効にするグループポリシーオブジェクト（GPO）ポリシーを導入します。このポリシーにより、Citrix Workspaceアプリはシステム起動時にCitrix Workspaceに自動的にログオンできます。このポリシーは、ドメイン参加済みデバイスでCitrix Workspaceに対してドメインパススルー（シングルサインオンまたはSSON）が構成されている場合にのみ使用してください。この機能は、Windows向けCitrix Workspaceアプリバージョン2012以降で利用可能です。

Windows向けCitrix Workspaceアプリバージョン2503以降、システムはデフォルトでSSONを休止モードでインストールします。インストール後にグループポリシーオブジェクト（GPO）ポリシーを使用してSSONを有効にできます。有効にするには、[ユーザー認証] > [ローカルユーザー名とパスワード] に移動し、[パススルー認証を有効にする] チェックボックスを選択します。

注：

SSON設定のGPOポリシーを更新した後、システムを再起動する必要があります。

このポリシーが機能するには、次の基準を満たす必要があります。

• シングルサインオンが有効になっている必要があります。
• レジストリエディターでSelfServiceModeキーがOffに設定されている必要があります。

サイレント認証の有効化:

1. gpedit.mscを実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。
2. コンピューターの構成ノードで、管理用テンプレート > Citrix Workspace > セルフサービスの順に移動します。
3. Citrix Workspaceのサイレント認証ポリシーをクリックし、有効に設定します。
4. 適用をクリックし、OKをクリックします。

Windows向けCitrix Workspaceアプリでのパスワードとユーザー名のキャッシュを防止

デフォルトでは、Windows向けCitrix Workspaceアプリは、最後に入力されたユーザー名を自動的に入力します。ユーザー名フィールドの自動入力をクリアするには、ユーザーデバイスのレジストリを編集します。

1. HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsernameというREG_SZ値を作成します。
2. その値をfalseに設定します。

パスワードを記憶するチェックボックスを無効にし、自動サインインを防止するには、Windows向けCitrix Workspaceアプリがインストールされているクライアントマシンに次のレジストリキーを作成します。

• パス: HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
• 種類: REG_SZ
• 名前: SavePasswordMode
• 値: Never

注：

レジストリエディターを誤って使用すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrixは、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターの使用は、ご自身の責任において行ってください。編集する前にレジストリをバックアップしてください。

StoreFrontストアの資格情報のキャッシュを防止するには、StoreFrontドキュメントの「Windows向けCitrix Workspaceアプリでのパスワードとユーザー名のキャッシュを防止」を参照してください。

Azure ADで200を超えるグループのサポート

このリリースでは、200を超えるグループに属するAzure ADユーザーは、そのユーザーに割り当てられたアプリとデスクトップを表示できます。以前は、同じユーザーはこれらのアプリとデスクトップを表示できませんでした。

注：

この機能を有効にするには、ユーザーはCitrix Workspaceアプリからサインアウトし、再度サインインする必要があります。

プロキシ認証のサポート

以前は、プロキシ認証が構成されたクライアントマシンで、プロキシ資格情報がWindows資格情報マネージャーに存在しない場合、Citrix Workspaceアプリへの認証は許可されませんでした。

Windows向けCitrix Workspaceアプリバージョン2102以降では、プロキシ認証が構成されたクライアントマシンで、プロキシ資格情報がWindows資格情報マネージャーに保存されていない場合、認証プロンプトが表示され、プロキシ資格情報の入力を求められます。その後、Citrix Workspaceアプリはプロキシサーバーの資格情報をWindows資格情報マネージャーに保存します。これにより、Citrix Workspaceアプリにアクセスする前にWindows資格情報マネージャーに手動で資格情報を保存する必要がなくなるため、シームレスなログインエクスペリエンスが実現します。

フェデレーションIDプロバイダーのログインプロンプトを強制

バージョン2212以降、Citrix WorkspaceアプリはフェデレーションIDプロバイダーセッション設定を尊重します。詳細については、Knowledge Centerの記事「CTX253779」を参照してください。

ログインプロンプトを強制するために、ストア認証トークンポリシーを使用する必要はなくなりました。

ユーザーエージェント

Citrix Workspaceアプリは、認証のリダイレクトを他のIDプロバイダー（IdP）に含める認証ポリシーを構成するために使用できるユーザーエージェントをネットワーク要求で送信します。

注：

次の表のユーザーエージェントの一部として記載されているバージョン番号は例であり、使用しているバージョンに基づいて自動的に更新されます。

次の表は、各シナリオのシナリオ、説明、および対応するユーザーエージェントを示しています。