Azure AD 統合

はじめに

このドキュメントでは、Citrix 環境を Windows 10 の Azure AD 機能と統合する方法について説明します。Windows 10 では Azure AD が導入されました。これは、管理とシングルサインオンを目的として、ローミング中のラップトップをインターネット経由で企業ドメインに参加させることができる新しいドメイン参加モデルです。

このドキュメントの展開例では、IT 部門が新規ユーザーに対し、個人の Windows 10 ラップトップ用の企業メールアドレスと登録コードを提供するシステムについて説明します。ユーザーは、設定パネルのシステム > バージョン情報 > Azure AD に参加オプションからこのコードにアクセスします。

ラップトップが登録されると、Microsoft Edge Web ブラウザーは、Azure SaaS アプリケーションの Web ページを介して、会社の Web サイトや Citrix 公開アプリケーションに自動的にサインオンします。これには、Office 365 などの他の Azure アプリケーションも含まれます。

アーキテクチャ

このアーキテクチャは、従来の企業ネットワークを Azure 内に完全に複製し、Azure AD や Office 365 などの最新のクラウドテクノロジーと統合します。エンドユーザーはすべてリモートワーカーと見なされ、オフィスイントラネット上にいるという概念はありません。

このモデルは、既存のオンプレミスシステムを持つ企業にも適用できます。これは、Azure AD Connect 同期がインターネット経由で Azure にブリッジできるためです。

従来、ファイアウォールで保護された LAN と Kerberos/NTLM 認証であったセキュアな接続とシングルサインオンは、このアーキテクチャでは Azure への TLS 接続と SAML に置き換えられます。新しいサービスは、Azure AD に参加する Azure アプリケーションとして構築されます。Active Directory を必要とする既存のアプリケーション (SQL Server データベースなど) は、Azure Cloud Service の IAAS 部分で標準の Active Directory Server VM を使用して実行できます。

ユーザーが従来のアプリケーションを起動すると、Citrix Virtual Apps and Desktops™ 公開アプリケーションを使用してアクセスされます。さまざまな種類のアプリケーションは、Microsoft Edge のシングルサインオン機能を使用して、ユーザーのAzure アプリケーションページを通じて照合されます。Microsoft は、Azure アプリケーションを列挙して起動できる Android および iOS アプリも提供しています。

• DNS ゾーンの作成

• Azure AD では、管理者がパブリック DNS アドレスを登録し、ドメイン名サフィックスの委任ゾーンを制御する必要があります。これを行うには、管理者は Azure DNS ゾーン機能を使用できます。

• この例では、DNS ゾーン名として citrixsamldemo.net を使用します。

• コンソールには、Azure DNS ネームサーバーの名前が表示されます。これらは、ゾーンの DNS レジストラの NS エントリで参照される必要があります (例: citrixsamldemo.net. NS n1-01.azure-dns.com)。

Azure で実行されている VM への参照を追加する場合、VM の Azure 管理 DNS レコードへの CNAME ポインターを使用するのが最も簡単です。VM の IP アドレスが変更されても、DNS ゾーンファイルを手動で更新する必要はありません。

• この展開では、内部と外部の DNS アドレスサフィックスが一致します。ドメインは citrixsamldemo.net であり、スプリット DNS (内部的には 10.0.0.*) を使用します。

• Web Application Proxy サーバーを参照する「fs.citrixsamldemo.net」エントリを追加します。これは、このゾーンのフェデレーションサービスです。

クラウドサービスの作成

この例では、Azure で実行されている ADFS サーバーを含む AD 環境を含む Citrix 環境を構成します。「citrixsamldemo」という名前のクラウドサービスが作成されます。

Windows 仮想マシンの作成

クラウドサービスで実行される 5 つの Windows VM を作成します。

• ドメインコントローラー (domaincontrol)
• Azure Connect ADFS サーバー (adfs)
• ADFS Web アクセスプロキシ (Web Application Proxy、ドメイン参加なし)
• Citrix Virtual Apps and Desktops Delivery Controller
• Citrix Virtual Apps and Desktops Virtual Delivery Agent (VDA)

ドメインコントローラー

• 標準の Active Directory 展開 (この例では citrixsamldemo.net) を作成するために、DNS サーバーとActive Directory ドメインサービスの役割を追加します。ドメイン昇格が完了したら、Active Directory 証明書サービスの役割を追加します。
• テスト用の通常のユーザーアカウントを作成します (例: George@citrixsamldemo.net)。
• このサーバーは内部 DNS を実行するため、すべてのサーバーは DNS 解決のためにこのサーバーを参照する必要があります。これは、Azure DNS 設定ページから行うことができます。(詳細については、このドキュメントの付録を参照してください。)

ADFS コントローラーと Web Application Proxy サーバー

• ADFS サーバーを citrixsamldemo ドメインに参加させます。Web Application Proxy サーバーは分離されたワークグループに残る必要があるため、AD DNS に DNS アドレスを手動で登録します。

  • AzureAD Connect ツールからのファイアウォール経由の PS リモート処理を許可するために、これらのサーバーで Enable-PSRemoting –Force コマンドレットを実行します。

Citrix Virtual Desktops™ Delivery Controller と VDA

-  残りの 2 台の citrixsamldemo に参加している Windows サーバーに、Citrix Virtual Apps または Citrix Virtual Desktops Delivery Controller™ と VDA をインストールします。

内部 DNS の構成

ドメインコントローラーのインストール後、DNS サーバーを構成して citrixsamldemo.net の内部ビューを処理し、外部 DNS サーバー (例: 8.8.8.8) へのフォワーダーとして機能させます。

以下の静的レコードを追加します。

-  wap.citrixsamldemo.net [Web Application Proxy VM はドメインに参加しません]

• fs.citrixsamldemo.net [内部フェデレーションサーバーアドレス]
• enterpriseregistration.citrixsaml.net [fs.citrixsamldemo.net と同じ]

Azure で実行されているすべての VM は、この DNS サーバーのみを使用するように構成する必要があります。これは、ネットワークインターフェース GUI を介して行うことができます。

既定では、内部 IP (10.0.0.9) アドレスは動的に割り当てられます。IP アドレス設定を使用して、IP アドレスを永続的に割り当てることができます。これは、Web Application Proxy サーバーとドメインコントローラーに対して行う必要があります。

外部 DNS アドレスの構成

VM の実行中、Azure は VM に割り当てられた現在のパブリック IP アドレスを指す独自の DNS ゾーンサーバーを維持します。これは、Azure が既定で各 VM の起動時に IP アドレスを割り当てるため、有効にすると便利な機能です。

この例では、ドメインコントローラーに domaincontrol-citrixsamldemo.westeurope.cloudapp.azure.com という DNS アドレスを割り当てます。

リモート構成が完了すると、Web Application Proxy および Citrix Gateway VM のみがパブリック IP アドレスを有効にする必要があることに注意してください。（構成中、パブリック IP アドレスは環境への RDP アクセスに使用されます）。

セキュリティグループの構成

Azure クラウドは、セキュリティグループを使用して、インターネットから VM への TCP/UDP アクセスに対するファイアウォールルールを管理します。既定では、すべての VM で RDP アクセスが許可されています。Citrix Gateway および Web Application Proxy サーバーも、ポート 443 で TLS を許可する必要があります。

ADFS 証明書の作成

Microsoft 証明機関で Web サーバー証明書テンプレートを有効にします。これにより、カスタム DNS アドレスを持つ証明書を作成し、(秘密キーを含めて) pfx ファイルにエクスポートできます。この証明書は ADFS サーバーと Web Application Proxy サーバーの両方にインストールする必要があるため、PFX ファイルが推奨されるオプションです。

次のサブジェクト名で Web サーバー証明書を発行します。

• 共通名:
  • adfs.citrixsamldemo.net [コンピューター名]
• サブジェクトの別名:
  • *.citrixsamldemo.net [ゾーン名]
  • fs.citrixsamldemo. net [DNS エントリ]
  • enterpriseregistration.citrixsamldemo.net

証明書を、パスワードで保護された秘密キーを含めて pfx ファイルにエクスポートします。

Azure AD のセットアップ

このセクションでは、新しい Azure AD インスタンスをセットアップし、Windows 10 を Azure AD に参加させるために使用できるユーザー ID を作成するプロセスについて詳しく説明します。

新しいディレクトリの作成

クラシック Azure ポータルにログオンし、新しいディレクトリを作成します。

完了すると、概要ページが表示されます。

グローバル管理者ユーザー (AzureAdmin) の作成

Azure でグローバル管理者 (この例では AzureAdmin@citrixsamldemo.onmicrosoft.com) を作成し、新しいアカウントでログオンしてパスワードを設定します。

ドメインの Azure AD への登録

既定では、ユーザーは <user.name>@<company>.onmicrosoft.com の形式のメールアドレスで識別されます。

これは追加の構成なしでも機能しますが、標準形式のメールアドレス、できればエンドユーザーのメールアカウントと一致する <user.name>@<company>.com の形式がより適切です。

ドメインの追加アクションは、実際の会社のドメインからのリダイレクトを構成します。この例では citrixsamldemo.net を使用します。

シングルサインオンのために ADFS をセットアップする場合は、チェックボックスを有効にします。

Azure AD Connect のインストール

Azure AD 構成 GUI の手順 2 は、Azure AD Connect の Microsoft ダウンロードページにリダイレクトされます。これを ADFS VM にインストールします。ADFS オプションが利用できるように、簡易設定ではなくカスタムインストールを使用します。

AD FS とのフェデレーションシングルサインオンオプションを選択します。

以前に作成した管理者アカウントで Azure に接続します。

内部 AD フォレストを選択します。

すべてのレガシーActive DirectoryオブジェクトをAzure ADと同期します。

ディレクトリ構造が単純な場合、ログオンするユーザーを識別するためにユーザー名が十分に一意であることに依存できます。

デフォルトのフィルタリングオプションを受け入れるか、ユーザーとデバイスを特定のグループセットに制限します。

必要に応じて、Azure ADパスワードをActive Directoryと同期できます。これは通常、ADFSベースの認証には必要ありません。

AD FSで使用する証明書PFXファイルを選択し、DNS名としてfs.citrixsamldemo.netを指定します。

プロキシサーバーの選択を求められたら、wap.citrixsamldemo.netサーバーのアドレスを入力します。Azure AD ConnectがWebアプリケーションプロキシサーバーを構成できるように、管理者としてWebアプリケーションプロキシサーバーでEnable-PSRemoting –Forceコマンドレットを実行する必要がある場合があります。

注:

この手順がリモートPowerShellの信頼性の問題により失敗した場合は、Webアプリケーションプロキシサーバーをドメインに参加させてみてください。

ウィザードの残りの手順では、標準の管理者パスワードを使用し、ADFSのサービスアカウントを作成します。その後、Azure AD ConnectはDNSゾーンの所有権を検証するよう求めます。

TXTおよびMXレコードをAzureのDNSアドレスレコードに追加します。

Azure管理コンソールで検証をクリックします。

注:

この手順が失敗した場合は、Azure AD Connectを実行する前にドメインを検証できます。

• 完了すると、外部アドレスfs.citrixsamldemo.netがポート443経由で接続されます。

• 

Azure AD参加の有効化

ユーザーがWindows 10でAzure AD参加を実行するためにメールアドレスを入力すると、DNSサフィックスが使用されて、ADFSを指すCNAME DNSレコードが構築されます: enterpriseregistration.<upnsuffix>.

この例では、fs.citrixsamldemo.netです。

公開証明機関を使用していない場合は、WindowsがADFSサーバーを信頼するように、ADFSルート証明書がWindows 10コンピューターにインストールされていることを確認してください。以前に生成された標準ユーザーアカウントを使用して、Azure ADドメイン参加を実行します。

UPNは、ADFSドメインコントローラーによって認識されるUPNと一致する必要があることに注意してください。

マシンを再起動し、ユーザーのメールアドレスを使用してログオンすることで、Azure AD参加が成功したことを確認します。ログオンしたら、Microsoft Edgeを起動し、http://myapps.microsoft.comに接続します。ウェブサイトは自動的にシングルサインオンを使用するはずです。

Citrix Virtual AppsまたはCitrix Virtual Desktopsのインストール

通常の方法で、Citrix Virtual AppsまたはCitrix Virtual DesktopsのISOから直接、AzureにDelivery ControllerおよびVDA仮想マシンをインストールできます。

この例では、StoreFrontはDelivery Controllerと同じサーバーにインストールされています。VDAは、Machine Creation Servicesと統合せずに（ただし、オプションで構成可能）、スタンドアロンのWindows 2012 R2 RDSワーカーとしてインストールされます。続行する前に、ユーザーGeorge@citrixsamldemo.netがパスワードで認証できることを確認してください。

ControllerでSet-BrokerSite –TrustRequestsSentToTheXmlServicePort $true PowerShellコマンドレットを実行し、StoreFront™がユーザーの資格情報なしで認証できるようにします。

フェデレーション認証サービスのインストール

ADFSサーバーにFASをインストールし、Delivery Controllerが信頼されたStoreFrontとして機能するためのルールを構成します（この例では、StoreFrontはDelivery Controllerと同じVMにインストールされているため）。詳細については、「インストールと構成」を参照してください。

StoreFrontの構成

Delivery Controller のコンピューター証明書を要求し、ポート 443 の IIS バインディングを設定して IIS と StoreFront を HTTPS を使用するように構成し、StoreFront のベースアドレスを https: に変更します。

StoreFront を FAS サーバーを使用するように構成し (インストールと構成 の PowerShell スクリプトを使用)、Azure 内で内部的にテストし、FAS サーバーのイベントビューアーを確認してログオンが FAS を使用していることを確認します。

StoreFront での Citrix Gateway の使用の構成

StoreFront 管理コンソールの [認証方法の管理] GUI を使用して、StoreFront が Citrix Gateway を使用して認証を実行するように構成します。

Citrix Gateway 認証オプションを統合するには、Secure Ticket Authority (STA) を構成し、Citrix Gateway アドレスを構成します。

StoreFront へのシングルサインオンのための新しい Azure AD アプリケーションの構成

このセクションでは、現在 Azure Active Directory Premium サブスクリプションを必要とする Azure AD SAML 2.0 シングルサインオン機能を使用します。Azure AD 管理ツールで、[新しいアプリケーション] を選択し、[ギャラリーからアプリケーションを追加] を選択します。

[カスタム] > [組織が使用している一覧にないアプリケーションを追加] を選択して、ユーザー用の新しいカスタムアプリケーションを作成します。

アイコンの構成

215 x 215 ピクセルの画像を作成し、アプリケーションのアイコンとして使用するために、[構成] ページにアップロードします。

SAML 認証の構成

アプリケーションダッシュボードの概要ページに戻り、[シングルサインオンの構成] を選択します。

この展開では SAML 2.0 認証を使用します。これは Microsoft Azure AD シングルサインオン に対応します。

[識別子] は任意の文字列にできます (Citrix Gateway に提供される構成と一致する必要があります)。この例では、[応答 URL] は Citrix Gateway サーバー上の /cgi/samlauth です。

次のページには、Citrix Gateway を Azure AD への証明書利用者として構成するために使用される情報が含まれています。

Base 64 信頼済み署名証明書をダウンロードし、サインオン URL とサインアウト URL をコピーします。これらは後で Citrix Gateway の構成画面に貼り付けます。

ユーザーへのアプリケーションの割り当て

最後のステップは、アプリケーションを有効にして、ユーザーの “myapps.microsoft.com” コントロールページに表示されるようにすることです。これは [ユーザーとグループ] ページで行います。Azure AD Connect によって同期されたドメインユーザーアカウントにアクセスを割り当てます。他アカウントも使用できますが、それらは <user>@<domain> パターンに準拠していないため、明示的にマッピングする必要があります。

MyApps ページ

アプリケーションが構成されると、ユーザーが https://myapps.microsoft.com にアクセスしたときに、Azure アプリケーションのユーザーリストに表示されます。

Azure AD に参加している場合、Windows 10 は、ログオンするユーザーに対して Azure アプリケーションへのシングルサインオンをサポートします。アイコンをクリックすると、ブラウザーは以前に構成された SAML cgi/samlauth Web ページに移動します。

シングルサインオン URL

Azure AD ダッシュボードのアプリケーションに戻ります。アプリケーションでシングルサインオン URL が利用可能になりました。この URL は、Web ブラウザーリンクを提供したり、ユーザーを StoreFront に直接誘導するスタートメニューショートカットを作成したりするために使用されます。

この URL を Web ブラウザーに貼り付けて、Azure AD によって以前に構成された Citrix Gateway cgi/samlauth Web ページにリダイレクトされることを確認します。これは、割り当てられたユーザーに対してのみ機能し、Windows 10 の Azure AD 参加済みログオンセッションに対してのみシングルサインオンを提供します。(他のユーザーは Azure AD 資格情報の入力を求められます。)

Citrix Gateway のインストールと構成

展開にリモートアクセスするには、この例では NetScaler (現在の Citrix Gateway) を実行する別の VM を使用します。これは Azure Store から購入できます。この例では、NetScaler 11.0 の「Bring your own License」バージョンを使用します。

NetScaler® VM にログオンし、Web ブラウザーを内部 IP アドレスに向け、ユーザーが認証されたときに指定された資格情報を使用します。Azure AD VM では、nsroot ユーザーのパスワードを変更する必要があることに注意してください。

ライセンスを追加し、各ライセンスファイルの追加後に [再起動] を選択し、DNS リゾルバーを Microsoft ドメインコントローラーに向けます。

Citrix Virtual Apps and Desktops セットアップウィザードの実行

この例では、SAML を使用しないシンプルな StoreFront 統合の構成から始めます。その展開が機能した後、SAML ログオンポリシーを追加します。

標準の Citrix Gateway StoreFront 設定を選択します。Microsoft Azure で使用する場合、この例ではポート 443 ではなくポート 4433 を構成します。または、Citrix Gateway 管理 Web サイトをポートフォワードまたは再マッピングすることもできます。

簡素化のため、この例ではファイルに保存されている既存のサーバー証明書と秘密鍵をアップロードします。

AD アカウント管理のためのドメインコントローラーの構成

ドメインコントローラーはアカウント解決に使用されるため、その IP アドレスをプライマリ認証方法に追加します。ダイアログボックスの各フィールドで期待される形式に注意してください。

StoreFront アドレスの構成

この例では、StoreFront が HTTPS を使用して構成されているため、SSL プロトコルオプションを選択します。

Citrix Gateway 展開の検証

Citrix Gateway に接続し、ユーザー名とパスワードで認証と起動が成功することを確認します。

Citrix Gateway SAML 認証サポートの有効化

StoreFront で SAML を使用することは、他の Web サイトで SAML を使用することと似ています。NS_TRUE の式で新しい SAML ポリシーを追加します。

以前に Azure AD から取得した情報を使用して、新しい SAML IdP サーバーを構成します。

エンドツーエンドシステムの検証

Azure AD に登録されているアカウントを使用して、Azure AD 参加済み Windows 10 デスクトップにログオンします。Microsoft Edge を起動し、https://myapps.microsoft.com に接続します。

Web ブラウザーにユーザーの Azure AD アプリケーションが表示されるはずです。

アイコンをクリックすると、認証された StoreFront サーバーにリダイレクトされることを確認します。

同様に、シングルサインオン URL を使用した直接接続と、Citrix Gateway サイトへの直接接続が Microsoft Azure にリダイレクトされ、元に戻ることを確認します。

最後に、Azure AD に参加していないマシンでも同じ URL で機能することを確認します（ただし、最初の接続では Azure AD への単一の明示的なサインオンが発生します）。

付録

Azure で VM をセットアップする際には、以下の標準オプションを構成する必要があります。

パブリック IP アドレスと DNS アドレスの提供

Azure はすべての VM に内部サブネット（この例では 10.*.*.*）上の IP アドレスを付与します。デフォルトでは、パブリック IP アドレスも提供され、動的に更新される DNS ラベルによって参照できます。

パブリック IP アドレス/DNS 名ラベルの構成を選択します。VM のパブリック DNS アドレスを選択します。これは、他の DNS ゾーンファイルで CNAME 参照に使用でき、IP アドレスが再割り当てされた場合でも、すべての DNS レコードが VM を正しく指し続けることを保証します。

ファイアウォールルール（セキュリティグループ）の設定

クラウド内の各 VM には、セキュリティグループとして知られる一連のファイアウォールルールが自動的に適用されます。セキュリティグループは、パブリック IP アドレスからプライベート IP アドレスへのトラフィックを制御します。デフォルトでは、Azure はすべての VM への RDP 転送を許可します。Citrix Gateway および ADFS サーバーも TLS トラフィック（443）を転送する必要があります。

VM のネットワークインターフェースを開き、ネットワークセキュリティグループラベルをクリックします。適切なネットワークトラフィックを許可するように受信セキュリティルールを構成します。

関連情報

• インストールと構成は、FAS のインストールと構成に関する主要なリファレンスです。
• 一般的な FAS 展開は、展開アーキテクチャの記事にまとめられています。
• 「ハウツー」記事は、高度な構成の記事で紹介されています。