製品ドキュメント
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDFを表示

シングルサインオンのための拡張ドメインパススルー

April 16, 2026
寄稿者: 
C C

シングルサインオンのための拡張ドメインパススルーは、Active Directory (AD) に参加しているクライアントデバイスと Citrix StoreFront を使用する場合に、Kerberos を使用して Citrix Workspace アプリおよび仮想アプリとデスクトップセッションへのシングルサインオンを有効にします。

注:

  • この機能は 32 ビットオペレーティングシステムではサポートされていません

  • この機能は、Citrix Single Sign-on Service (ssonsvr.exe) に基づく従来のパススルー認証機能の代替です

  • 同じセッションホストへの認証に、従来のドメインパススルー (SSON) 認証と拡張ドメインパススルーを同時に使用することはできません

  • 従来のドメインパススルー (SSON) 認証では、グループポリシーオブジェクトテンプレートで Enable MPR notifications for the System ポリシーを有効にする必要があります。ただし、拡張ドメインパススルーでは、このポリシーを有効にすることなくパススルー認証が可能です

  • クロスドメイン認証の場合、ドメイン境界を越えてサービスチケットを取得するには、双方向の推移的信頼が必要です。そうでない場合、Kerberos 委任は機能しません

Citrix Workspace™ アプリ for Windows バージョン 2503 以降、システムはデフォルトで SSON を休止モードでインストールします。インストール後にグループポリシーオブジェクト (GPO) ポリシーを使用して SSON を有効にできます。有効にするには、User Authentication > Local user name and password に移動し、Enable pass-through authentication チェックボックスをオンにします。

  • 注:

    • SSON 設定を有効にするには、GPO ポリシーを更新した後、システムを再起動する必要があります。

システム要件

-  コントロールプレーン
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 以降

-  Virtual Delivery Agent
-  Windows: バージョン 2308 以降

-  > **注:**
-  >
-  > セッションホストまたはクライアントデバイスのいずれかが **Windows 11** を実行している場合、VDA バージョン **2407** 以降、または **2402 LTSR CU2** 以降が必要です。VDA バージョンは、Citrix の [ダウンロード](https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/) ページからダウンロードできます。

-  Citrix Workspace アプリ: バージョン 2309 以降

-  > **注:**
-  >
> セッションホストまたはクライアントデバイスのいずれかが **Windows 11** を実行している場合、Workspace アプリバージョン **2405.10** 以降、または **2402 LTSR CU2** 以降が必要です。

-  クライアントデバイス
-  Active Directory ドメインに参加済み
-  Windows 10 64 ビット
-  Windows 11 64 ビット

注:

  • クライアントデバイスはドメインコントローラーに直接接続できる必要があります。デバイスがネットワーク外にある場合、シングルサインオンはサポートされません。
  • マルチセッションホスト:

    • Windows Server 2016

      注:

  •  > Windows Server 2016 は VDA バージョン 2407 以降ではサポートされていません。
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise マルチセッション 22H2
    • Windows 11 Enterprise マルチセッション 22H2 以降
  • シングルセッションホスト:
    • Windows 10 バージョン 22H2
    • Windows 11 バージョン 22H2 以降

注:

シングルサインオンのための拡張ドメインパススルーは、Remote Credential Guard に依存しています。Microsoft の ドキュメント で Remote Credential Guard の要件とサポートされている認証シナリオを確認してください。

既知の問題

  • [サードパーティ] クライアントデバイスで Windows Defender Credential Guard が有効になっている場合、セッションへのシングルサインオンは失敗し、Your credentials did not work. Windows Defender Credential Guard does not allow using Windows logon credentials. Please enter your credentials. という Windows セキュリティプロンプトが表示されます。回避策として、Windows Defender Credential Guard を無効にできます。この機能を無効にするには、次の 2 つのオプションがあります。

    1. グループポリシーを使用して、Computer Configuration > Administrative Templates > System > Device Guard の下にある Turn On Virtualization Based Security 設定を構成します。

    2. レジストリの HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa の下で、LsaCfgFlags の値を 0 に設定します。

    注: これは Windows の制限であり、RDP 経由での Remote Credential Guard の使用にも影響します。Windows Defender Credential Guard を使用して SSO の拡張ドメインパススルーを使用する必要がある場合は、このシナリオをサポートするよう Microsoft にリクエストを送信することをお勧めします。

StoreFront™ の構成

ストアとその対応する Web サイトでドメインパススルー認証を有効にする必要があります。

ストアのドメインパススルーを有効にするには、次の手順を実行します。

  1. StoreFront 管理コンソールを開きます。

  2. Store > Manage Authentication methods に移動します。Manage Authentication Methods - Web ウィンドウが表示されます。

  3. Domain pass-through チェックボックスをオンにします。

    認証方法の管理

  4. OK をクリックします。

Web サイトのドメインパススルーを有効にするには、次の手順を実行します。

    1. StoreFront 管理コンソールを開きます。
  1. Stores > Receiver for Websites タブ > Manage Receiver for Web Sites > Configure > Authentication Methods を開きます。Edit Receiver for Web site - /Citrix/Web ウィンドウが表示されます。

  2. Domain pass-through チェックボックスをオンにします。

    Web サイトの Receiver の編集

  3. OK をクリックします。

Citrix ポリシーの構成

Citrix ポリシーを使用して設定を有効にする必要があります。

  1. Citrix Studio または Web コンソールに移動します。
  2. Policies > Create Policy をクリックします。Create Policy ダイアログボックスが表示されます。
  3. Enhanced domain pass-through for single sign-on ポリシーを検索します。Edit Settings ダイアログボックスが表示されます。

  4. Allowed オプションを選択して、Enhanced domain pass-through for single sign-on ポリシーを有効にします。 Web サイトの Receiver の編集

  5. OK をクリックします。

セッションホストの構成

Citrix ポリシーを使用して Enhanced domain pass-through for single sign on 機能を有効にした後、セッションホストで Windows 設定も有効にする必要があります。Windows 設定は、ローカルポリシーまたは GPO を介して有効にできます。

  1. Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation に移動します。

  2. Remote host allows delegation of non-exportable credentials 設定を有効にします。

    リモートホストはエクスポート不可能な資格情報の委任を許可します

  3. 設定を有効にするには、セッションホストを再起動します。

注:

Remote host allows delegation of non-exportable credentials 設定は、Windows Server 2016 のローカルポリシーでは利用できません。GPO を使用する代わりに、この設定をセッションホストでローカルに構成する必要がある場合は、次のレジストリ値を追加する必要があります。

キー: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • 値の型: DWORD
  • 値の名前: DisableRestrictedAdmin
  • 値のデータ: 0

クライアントデバイスの構成

クライアントデバイスで次の操作を行う必要があります。

  • シングルサインオンのための拡張ドメインパススルーを有効にする
  • StoreFront サイトを信頼する

シングルサインオンのための拡張ドメインパススルーを有効にする

クライアントデバイスで Enhanced domain pass-through for single sign on 機能を有効にする必要があります。これは、ローカルポリシーまたは GPO を介して行うことができます。

  1. Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication に移動します。

  2. Enhanced Domain pass-through for single sign-on 設定を有効にします。

    選択された拡張ドメイン

  3. 設定を有効にするには、Citrix Workspace アプリを再起動します。

StoreFront サイトを信頼する

クライアントデバイスによってStoreFront URLが信頼されていることを確認する必要があります。URLがすでに信頼されているドメインの一部でない場合は、ローカルイントラネットサイトまたは信頼済みサイトとして追加する必要があります。これは、ローカルポリシーまたはGPOを介して行うことができます。

  1. Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security ページに移動します。

  2. サイトをゾーンの割り当てリスト 設定を有効にし、適切なURLと対応するゾーンの割り当てを追加します。

    サイトとゾーン

  3. ログオンオプション 設定を有効にし、現在のユーザー名とパスワードで自動ログオンに設定します。

    ログオンオプション

    ログオンオプションが有効

シングルサインオンのための拡張ドメインパススルー
April 16, 2026
寄稿者: 
C C
April 16, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.