セキュリティとプライバシーポリシーをカスタマイズする
この記事では、ワークスペースへのアクセスと認証を構成した後で、サインインエクスペリエンスをカスタマイズする方法について説明します。
ワークスペースのアクセスと認証の構成に関連する手順の概要については、「アクセスの構成」を参照してください。ワークスペースへの利用者の認証の構成方法については、「セキュアなワークスペース」を参照してください。
統一されたユーザーサインインフローを作成する
デフォルトのサインインエクスペリエンスは、従業員ユーザーとクライアント(外部)ユーザーで画面が分割されています。
この分割画面を削除するには、[ワークスペース構成]>[認証]>[統合ユーザーサインインフロー] に移動して [有効化] を選択します。この機能を有効にすると、すべてのユーザーに同じサインインオプションが表示されます。
Workspaceアプリのデスクトップとモバイルで[Webの非アクティブタイムアウト]を設定する
[ワークスペース構成]>[カスタマイズ]>[基本設定] の [Webの非アクティブタイムアウト] 設定を使用して、利用者がCitrix Workspaceから自動的にサインアウトされるまでのアイドル時間(最大8時間)を指定します。対応する設定のボックスを選択することで、デスクトップおよびモバイルでWorkspaceアプリの非アクティブタイムアウトを有効にすることもできます。
DaaSのセッションを切断する手動サインアウトとは異なり、利用者は、操作が行われずにタイムアウトした後も、DaaSのセッションに接続したままになります。
Citrix Workspaceアプリの再認証期間を設定する
[ワークスペース構成]>[カスタマイズ]>[基本設定] の [Workspaceアプリの再認証期間] 設定を使用して、利用者がCitrix Workspaceアプリにサインインしたままでいられる時間(再度サインインする必要が生じるまでの時間)を指定します。
デフォルトでは、利用者は24時間(1日)ごとにサインインする必要があります。再認証期間は、より長く最大365日まで指定できます。再認証期間が長くなると、サインイン状態の維持に利用者の同意が必要になります。2021年9月27日以降にプロビジョニングされたユーザーは、利用者が再度サインインするために30日間の期間が必要です。
設定した再認証期間の間、一度に14日以上非アクティブ状態でない限り、利用者はサインインしたままになります。利用者が14日以上非アクティブの場合、次にワークスペースにアクセスしようとしたとき、再認証を求められます。
こちらのPowerShellスクリプトをダウンロードし、ダウンロードファイルに含まれている指示に従うことで、利用者のセッションを無効にすることができます。セッションを無効にすると、利用者は24時間以内にワークスペースに再認証する必要があります。
Citrix Workspaceアプリの再認証期間を24時間未満に設定する必要がある場合は、PowerShellで設定できます。 詳しくは、「Steps to configure InactivityTimeoutInMinutes」を参照してください。
サポートされているWorkspaceアプリクライアント
次のバージョンのCitrix Workspaceアプリは、この機能をサポートしています:
- Windows向けWorkspaceアプリ2106以降
- Mac向けWorkspaceアプリ2106以降
- iOS向けWorkspaceアプリ21.6.5以降
- Android向けWorkspaceアプリ21.6.0以降
サポートされている認証方法
Citrix Workspaceアプリへのサインインの維持については、次の認証方法がサポートされています:
- Active Directory
- Active Directory+トークン
- Azure Active Directory
- Citrix Gateway
- Okta
注:
OktaまたはAzure Active Directoryを使用しているCitrix DaaSの顧客と同じエクスペリエンスにするには、Citrixフェデレーション認証サービス(FAS)を構成します。FASについて詳しくは、「Citrixフェデレーション認証サービスを使用したワークスペースに対するシングルサインオンの有効化」を参照してください。
サインイン維持の利用者エクスペリエンス
利用者がデバイスでWorkspaceにサインインすると、サインインを維持することに同意するよう求めるプロンプトが表示されます。
利用者が [許可] を選択すると、再認証期間の間はサインインが維持されます。利用者のデバイスで4日間アクティビティが検出されない場合、利用者には再認証を求めるプロンプトが自動的に表示されます。Citrix Workspaceアプリにサインインした後、デバイスでアプリとデスクトップを使用している限り、再認証期間は有効なままです。
利用者が [拒否] を選択すると、Workspaceは利用者に再度サインインするよう求めます。その後、24時間後に、Workspaceは利用者に再度サインインするよう求めます。
利用者のパスワードが変更された場合、利用者は、再認証期間中に作業を継続するために、Citrix Workspaceアプリでサインアウトし、再度サインインする必要があります。
利用者がアカウントのパスワードを変更できるようにする
注:
この機能は、段階的に顧客にロールアウトしています。ロールアウトプロセスが完了するまで、この機能が表示されない場合があります。
Citrixは、Citrix Workspaceをご使用のお客様に、新機能と製品の更新情報をいち早くお届けするよう取り組んでいます。このプロセスは、わかりやすいものになっています。最初の更新は、Citrix内部サイトのみに適用され、その後徐々にお客様の環境に適用されます。段階的に更新することによって、製品の品質を確保しながら、最大限の可用性を実現しています。
[ワークスペース構成]>[カスタマイズ]>[基本設定] の [アカウントパスワードの変更を許可] 設定は、利用者がCitrix Workspace内からドメインパスワードを変更できるかどうかを制御します。また、組織のパスワードポリシーに従って有効なパスワードを作成できるように、利用者にガイダンスを提供することもできます。
有効にした場合(デフォルト)、利用者は組織のActive Directory設定に基づいて、いつでもパスワードを変更できます。無効にすると、Workspaceは有効期限が切れたときに利用者にパスワードを変更するよう求めますが、利用者がWorkspace内で有効期限が切れていないパスワードを変更することはできません。
サポートされている認証方法
- Active Directory
- Active Directory+トークン
サポートされているWorkspaceアプリクライアント
次のバージョンのCitrix Workspaceアプリは、この機能をサポートしています:
- Windows向けWorkspaceアプリ2101以降
- Mac向けWorkspaceアプリ2012以降
- Chrome向けWorkspaceアプリ2010以降
- HTML5向けWorkspaceアプリ2101以降
- Android向けWorkspaceアプリ21.1.0以降
利用者は、Edge、Chrome、Firefox、またはSafariブラウザーの最新バージョンを使用してワークスペースにアクセスした場合も、この機能を使用できます。
この機能は、古いバージョンのCitrix WorkspaceアプリおよびLinux向けCitrix Workspaceアプリではサポートされません。
パスワードガイダンス
組織のセキュリティポリシーを満たすと同時に、IDプロバイダーが要求するパスワード要件を最大20個追加できます。利用者がWorkspaceの [アカウント設定] ページからパスワードを変更すると、Workspaceはこれらの要件をガイドとして表示します。パスワード要件を追加しない場合、Workspaceは「組織のパスワード要件は引き続き適用されます。」というメッセージを表示します。
重要:
Citrix Workspaceは、利用者が入力した新しいパスワードを検証しません。利用者がWorkspace経由で有効なパスワードを無効なパスワードに変更しようとすると、IDプロバイダーは新しいパスワードを拒否します。既存のパスワードは変更されません。
パスワード要件を追加するには:
- [ワークスペース構成]>[カスタマイズ]>[基本設定] に移動します。
- [アカウントパスワードの変更を許可] で、設定が有効になっていることを確認します。無効になっている場合は、有効にします。
-
[パスワード要件を追加する] を選択します。
-
有効なパスワードに関する組織のセキュリティ要件に一致する要件を入力します。たとえば、パスワードを特定の文字数にする必要があることを指定できます。利用者がパスワードを変更するときの利用者の要件項目を追加するには、[パスワード要件を追加する ] を選択します。
- 要件の追加が終了したら、[保存] を選択します。
-
設定の変更をすべて保存するには、再度 [保存] を選択します。
パスワードを変更する場合の利用者エクスペリエンス
ヒント:
利用者に対するこの機能の認識を高めるために、利用者がワークスペースを介してドメインパスワードを変更するための推奨事項を内部ナレッジベースに含めることを検討してください。手順が記載されたこちらのPDFファイルをダウンロードして、ご自身が発信する記事やナレッジベースの記事に加えることができます。
[アカウントパスワードの変更を許可] が有効になると、利用者はワークスペースの [アカウント設定]>[セキュリティとサインイン] に移動してパスワードを変更できます。
[パスワードの要件を表示] を選択すると、[ワークスペース構成] で入力したすべての要件が表示されます。
パスワードを変更すると、利用者は自動的にワークスペースからサインアウトされ、新しいパスワードで再度サインインすることが必要になります。
カスタム通知の送信
カスタム通知を送信して、近日実施されるメンテナンス期間など、必要な期間限定のメッセージを表示します。
カスタム通知は、Webデバイスやモバイルデバイスを含むすべてのクライアントのすべての利用者に対して表示されます。利用者のサインイン後にメッセージが表示されます。利用者がこの通知を閉じることはできませんが、モバイルデバイスで折りたたむことはできます。
- Citrix Cloudのメニューから、[ワークスペース構成]>[カスタマイズ]>[基本設定]>[Send custom announcement]>[構成] を選択します。
- 表示するメッセージのタイトルとテキストを入力し、利用者にメッセージを表示する日時や場所(上部または下部)を選択します。
- 利用者にメッセージがどのように表示されるかを確認するには、[プレビュー] を選択します。
- 完了したら、[保存] を選択します。
サインインポリシーの構成
ワークスペースにサインインするときに、組織のライセンス契約書(EULA)を利用者に通知するカスタムサインインポリシーを作成します。
有効にして構成すると、Webデバイスやモバイルデバイスを含むすべてのクライアントでサインインポリシーが表示されます。利用者は、サインイン時にサインインポリシーを確認できます。利用者はこのポリシーを省略することはできず、ワークスペースにサインインするにはポリシーに同意する必要があります。
- Citrix Cloudメニューから [ワークスペース構成]>[カスタマイズ]>[基本設定] を選択します。
- [サインインポリシー] セクションで、[構成] を選択します。ポリシーが存在する場合、このボタンは [編集] と表示されます。
- [ポリシーの有効化] 下のトグルを使用して、機能を有効にします。
- [ポリシーヘッダー] にポリシーのタイトルを入力します。
- サインインする前に利用者が同意する必要があるポリシーのテキストを入力します。必要に応じて、同じテキストボックスに他の言語に翻訳された文章を追加します。
-
ポリシーに同意するために利用者が選択する必要があるボタンの名前を入力します。
- [プレビュー] を選択して、利用者のポリシーがどのように表示されるかを確認します。
- 完了したら、[保存] を選択します。
注
Citrix GatewayをWorkspace IDプロバイダーとして構成している場合は、AAAおよびnFactor認証フローの一部としてサインインポリシーが既に設定されていることがあります。既存のnFactor認証フローの一部として、またはフローの外部で、Citrix Cloud管理コンソールを使用してサインインポリシーを1つだけ構成することをお勧めします。