インストールと構成
インストールチェックリスト
インストールを開始する前に、このリストを完了してください。
| ✔ | 手順 |
|---|---|
| ソフトウェアをインストールする環境内のコンピューターを選択し、インストール準備を行います。システム要件を参照してください。 | |
| TLS証明書とサービスに必要なアカウントをインストールします。システム要件のセキュリティとアカウントの要件を参照してください。 | |
| ライセンスサーバーをバージョン11.13.1.2以降にインストールまたはアップグレードします。ライセンスサーバーはhttps://www.citrix.com/downloads/licensing.htmlからダウンロードしてください。詳しくは、ライセンスサーバーのドキュメントを参照してください。 |
インストールと構成の順序
Citrix®では、Self-Service Password Resetを次の順序でインストールすることをお勧めします。
- 中央ストアの作成。中央ストアの作成を参照してください。
- Self-Service Password Resetのインストール。サービスをインストールしてサービス構成ウィザードを実行するには、ログオンアカウントがドメインユーザーであり、サーバー上のローカル管理者グループに属している必要があります。詳しくは、Self-Service Password Resetのインストールと構成を参照してください。
- コンソールを使用したSelf-Service Password Resetの構成。Self-Service Password Resetのインストールと構成を参照してください。
- StoreFrontでのSelf-Service Password Resetの構成。StoreFrontの構成を参照してください。
- Self-Service Password Resetの構成が安全に設定されていることを確認します。安全な構成を参照してください。
中央ストアの作成
セキュリティ上の理由から、中央ストアはSelf-Service Password Resetサービスを実行しているマシン上に直接作成することをお勧めします。複数のSelf-Service Password Resetサーバーが必要な展開では、Self-Service Password Resetサーバーと共有をホストするサーバーの両方がSMB暗号化をサポートしている場合、中央ストアをリモートネットワーク共有でホストできます。
この機能は、Windows Server 2012 R2またはWindows Server 2016でのみ利用可能です。
データプロキシアカウントの作成
データプロキシアカウントとして使用する通常のドメインユーザーを作成します。ドメイン管理者/ローカル管理者グループのユーザーをデータプロキシアカウントとして設定しないでください。
Windows Server 2012 R2またはWindows Server 2016用の中央ストアの作成
Self-Service Password Resetサーバーと中央ストアの両方にWindows Server 2012 R2またはWindows Server 2016を使用する場合、このセクションで説明するように構成されていれば、リモートネットワーク共有を使用できます。データアクセスを暗号化が選択されていることを確認し、安全な構成に記載されているガイダンスを適用してください。
-
新しい共有ウィザードを開始するには、サーバーマネージャーを開きます。ファイルサービスと記憶域サービスの詳細ページで、左ペインの共有を選択し、タスク > 新しい共有をクリックします。
-
- 左ペインでプロファイルの選択を選択し、SMB共有 - クイックを選択して、次へをクリックします。
-
-
左ペインで共有の場所を選択します。リストから、新しい共有を作成するサーバーと、新しい共有フォルダーを作成するボリュームを選択し、次へをクリックします。
-
左ペインで共有名を選択し、新しい共有名(例: CITRIXSYNC$)を入力して、次へをクリックします。
-
左ペインでその他の設定を選択し、データの暗号化を選択し、共有のキャッシュを許可するの選択を解除して、次へをクリックします。
-
共有のアクセス許可をカスタマイズするには、左ペインでアクセス許可を選択し、アクセス許可のカスタマイズ > 共有を選択します。
-
NTFSアクセス許可をカスタマイズするには、継承を無効にするをクリックし、継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換するを選択します。
-
アクセス許可タブをクリックし、CREATOR OWNER、ローカル管理者、およびSYSTEM以外のすべてのユーザーを削除し、フルコントロールのアクセス許可で作成されたデータプロキシアカウントを追加します。
-
CREATOR OWNERを選択し、編集をクリックして、次のアクセス許可のチェックを外します。
-
フルコントロール
-
サブフォルダーとファイルの削除
-
アクセス許可の変更
-
所有権の取得
-
-
共有タブを選択し、Everyoneを削除し、データプロキシアカウント、ローカル管理者、およびドメイン管理者をフルコントロールのアクセス許可で追加します。
-
新規共有ウィザードの左ペインで確認を選択し、現在選択されている共有設定を確認し、新しいフォルダーの作成プロセスを開始するために作成をクリックし、その後閉じるをクリックします。
-
CITRIXSYNC$共有フォルダーの下に、CentralStoreRootとPeopleの2つのサブフォルダーを作成します。
重要: データプロキシアカウントがこれら2つのサブフォルダーに対してフルコントロールを持っていることを確認してください。
- セルフサービスパスワードリセットのセントラルストアに対して、EncryptData、RejectUnencryptedAccess、およびRequireSecuritySignatureを構成する必要があります。詳細な構成情報については、以下のMicrosoftの記事を参照してください。
https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration
セルフサービスパスワードリセットのインストールと構成
-
- Citrix Virtual Apps and Desktops™インストーラーを使用して、セルフサービスパスワードリセットをインストールします。
- セルフサービスパスワードリセットのインストール後、スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset ConfigurationをクリックしてCitrixセルフサービスパスワードリセットサービスを構成します。
-
コンソールが開いたら、サービスを構成するために以下の3つの基本的な手順に従います。
サービス構成
サービスを構成する前に、セントラルストア、データプロキシアカウント、およびセルフサービスアカウントを作成済みであることを確認してください。
-
中央ペインでサービス構成を選択し、次に右ペインで新規サービス構成をクリックします。
-
セントラルストアの場所画面で、セントラルストアの場所を指定し、次に次へをクリックします。
-
ドメイン構成画面で、セルフサービスパスワードリセットサービスを有効にするドメインを選択し、次にプロパティをクリックします。
-
データプロキシアカウントのユーザー名とパスワード、およびセルフサービスアカウントのユーザー名とパスワードを指定し、次にOKをクリックします。
-
- すべての設定を適用するために次へをクリックします。
-
構成を完了するために完了をクリックします。
ユーザー構成
-
左ペインでユーザー構成を選択し、次に右ペインで新規ユーザー構成をクリックします。
-
ユーザー構成の命名画面で、セルフサービスパスワードサービスのターゲットユーザーグループを定義し、Active Directoryからユーザー/グループ/OUを追加し、次に次へをクリックします。
-
ライセンス構成画面で、ライセンスサーバーを指定し、次に次へをクリックします。
-
セルフサービスパスワードリセットの有効化画面で、チェックボックスを使用して、ユーザーが管理者の介入なしにWindowsパスワードをリセットし、ドメインアカウントのロックを解除できるかどうかを指定し、サービスポートとアドレスを指定し、次に作成をクリックします。
For more information about managing user configurations, see ユーザー構成の管理.
ID検証
- In the left pane, select the Identity Verification node, and then click Manage Questions in the right pane.
- On the Question-Based Authentication screen, select the default language, use the check box to enable or disable masking security question answers, and click Next.
- On the Security Questions screen, click Add Question, type a question in the text box, click OK, and then click Next.
- On the Questionnaire screen, click Add, and select a question. You can reorganize your questions and groups with the Move Up and Move Down buttons. When you are finished on this page, click Create and OK.
For more information about managing identity verification questions, see ID検証の質問の管理.
ユーザー構成の管理
ユーザー構成を使用すると、ユーザーがStorefrontにログオンしたときのインターフェイスの動作と外観を制御できます。新しい構成を作成することは、Self-Service Password Resetを環境内のユーザーに配布する前に行う最後のステップです。既存のユーザー構成はいつでも編集できます。
ユーザー構成は、Active Directory階層(組織単位[OU]または個々のユーザー)またはActive Directoryグループに関連付けられたユーザーに適用する設定の一意のコレクションです。
ユーザー構成は以下で構成されます。
- Active Directoryドメイン階層(OUまたは個々のユーザー)またはActive Directoryグループに関連付けられたユーザー
重要: Active Directory混合モードの配布グループとドメインローカルグループはサポートされていません。
- ライセンスサーバー
- セルフサービス機能(アカウントロック解除とパスワードリセット)
ユーザー構成を作成する前に、以下がすでに作成または定義されていることを確認してください。
- 中央ストア
- サービス構成
ユーザー構成の作成
- スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset Configurationをクリックします。
- 左ペインで、ユーザー構成ノードを選択します。
- アクションメニューから、新しいユーザー構成の追加をクリックします。
ユーザー、OU、またはグループの追加
ユーザー構成ウィザードのユーザー構成の命名ページでは、ユーザー構成をユーザーに関連付けることができます。
ユーザー構成の関連付け:
Active Directory階層(OUまたは個々のユーザー)またはActive Directoryグループに従ってユーザーを関連付けるという2つの選択肢があります。必要に応じて、アクションメニューのユーザー構成の編集をクリックして、後でユーザー構成を別の階層またはグループに関連付けることができます。
グループへのユーザー構成の関連付けは、Active Directory認証を使用するActive Directoryドメインでのみサポートされています。
ユーザー構成の命名ページ(新しいユーザー構成の追加またはユーザー構成の編集ウィザードから)で、OU、ユーザー、またはグループを選択します。
注: Self-Service Password Resetアカウントがパスワードをリセットできるユーザーのグループに、特権アカウント(たとえば、ローカル管理者やドメイン管理者)を含めないことをお勧めします。新しい専用グループを使用してください。
ライセンスの構成
ユーザー構成ウィザードのライセンスの構成ページでは、Self-service Password Resetサービスで使用されるライセンスサーバーを構成できます。
注: ロック解除機能とリセット機能は、Citrix Virtual AppsまたはCitrix Virtual Desktops™ Platinum Editionをお持ちの場合にのみ使用できます。
ライセンスの構成ページ(新しいユーザー構成の追加またはユーザー構成の編集ウィザードから)で、ライセンスサーバー名とポート番号を入力します。
ロック解除またはリセット機能の有効化
Self-Service Password Resetを使用すると、ユーザーは管理者の介入なしにWindowsパスワードをリセットし、ドメインアカウントのロックを解除できます。Self-Service Password Resetの有効化ページから、有効にする機能を選択できます。
Self-Service Password Resetの有効化ページ(新しいユーザー構成の追加またはユーザー構成の編集ウィザードから)で、ユーザーに使用させたい機能(ロック解除またはリセット)を選択します。
ブラックリストの構成
IT管理者は、ユーザーとグループをブラックリストに追加できます。ブラックリスト内のユーザーとグループは、登録、アカウントロック解除、パスワードリセットを含むSelf-Service Password Resetのどの機能も使用できません。また、ブラックリスト内のユーザーは、ログオン後にCitrix Workspace™アプリのTASKボタンを表示できません。
ブラックリストを構成するには:
- スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset Configurationをクリックします。
- 左ペインでユーザー構成を選択し、右ペインでブラックリスト構成をクリックします。
- 追加ボタンと削除ボタンを使用して、ユーザーまたはグループをブラックリストに追加したり、ブラックリストから削除したりします。
ID検証の質問の管理
Citrix Self-Service Password Reset 構成コンソールの本人確認機能は、本人確認、セルフサービスパスワードリセット、およびアカウントロック解除に関連するすべてのセキュリティ質問を管理するための一元的な場所を提供します。デフォルトの質問リストに独自のセキュリティ質問をカスタマイズしたり、質問グループを作成したりできます。
- ユーザーが回答を登録した後に既存のデフォルトの質問を編集する場合、編集された質問の意味を考慮してください。質問を編集しても、ユーザーの再登録は強制されません。しかし、質問の意味を変更すると、元々その質問に回答したユーザーは正しい回答を提供できなくなる可能性があります。
- ユーザーが登録された後にセキュリティ質問を追加、削除、または置き換えることは、以前の質問セットを使用して登録されたすべてのユーザーが、再登録するまで認証およびパスワードのリセットができないことを意味します。ユーザーは、Citrix Workspaceアプリでタスクを開くときに、新しい質問セットに回答する必要があります。
- 個々のセキュリティ質問は、複数のセキュリティ質問グループに属することができます。セキュリティ質問グループを作成すると、作成したすべての質問が任意のセキュリティ質問グループで使用できるようになります。
以下の手順で参照されている設定にアクセスするには、次の手順を使用します。
- スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset Configuration をクリックします。
- 左ペインで、本人確認ノードを選択します。
- アクションメニューから、質問の管理をクリックします。
デフォルト言語を設定するには:
ほとんどの場合、ユーザーは現在のユーザープロファイルに関連付けられた言語でセキュリティ質問が表示されます。その言語が利用できない場合、Self-Service Password Reset は指定されたデフォルト言語で質問を表示します。
- スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset Configuration をクリックします。
- 左ペインで、本人確認ノードを選択します。
- アクションメニューから、質問の管理をクリックします。
- 質問ベースの認証ページのデフォルト言語ドロップダウンリストから、デフォルト言語を選択します。
セキュリティ回答のマスクを有効にするには:
セキュリティ回答のマスクは、ユーザーがセキュリティ質問の回答を登録するとき、または本人確認中に回答を提供するときに、追加のセキュリティレベルを提供します。この機能が有効になっている場合、ユーザーの回答は非表示になります。回答登録プロセス中、これらのユーザーは入力ミスやスペルミスを避けるために回答を2回入力するよう求められます。本人確認中は、エラーがあった場合に再試行を促されるため、ユーザーは回答を1回だけ入力します。
質問ベースの認証ページで、セキュリティ質問の回答をマスクするを選択します。
新しいセキュリティ質問を作成するには:
さまざまな質問を作成し、各質問に言語を指定できます。また、1つの質問に対して複数の翻訳を提供することもできます。Citrix Workspaceアプリでの登録では、ユーザープロファイルの言語設定に対応する言語でアンケートがユーザーに表示されます。その言語が利用できない場合、Self-Service Password Reset はデフォルト言語で質問を表示します。
注: セキュリティ質問に言語を指定すると、その指定された言語にオペレーティングシステムの設定が構成されているユーザーに質問が表示されます。選択されたオペレーティングシステムの設定が利用可能な質問のいずれとも一致しない場合、ユーザーには選択されたデフォルト言語が表示されます。
- セキュリティ質問ページの言語ドロップダウンリストから言語を選択し、質問の追加をクリックします。セキュリティ質問ダイアログボックスが表示されます。
- セキュリティ質問ダイアログボックスで新しい質問を作成します。
重要: 既存の質問の翻訳テキストを含めるには、編集ボタンを使用します。質問の追加を選択すると、元の質問に関連付けられていない新しい質問が作成されます。
既存の質問のテキストを追加または編集するには:
ユーザーが登録された後にセキュリティ質問を追加、削除、または置き換えることは、以前の質問セットを使用して登録されたすべてのユーザーが、再登録するまで認証およびパスワードのリセットができないことを意味します。ユーザーは、Citrix Workspaceアプリでタスクを開くときに、新しい質問セットに回答する必要があります。質問を編集しても、ユーザーの再登録は強制されません。
重要: 既存の質問を編集する場合、質問の意味を変更しないように注意してください。これにより、再認証時にユーザーの回答が一致しなくなる可能性があります。つまり、ユーザーが保存された回答と一致しない異なる回答を提供する可能性があります。
- セキュリティ質問ページの言語ドロップダウンボックスから言語を選択します。
- 質問を選択し、編集をクリックします。
- セキュリティ質問ダイアログボックスで質問を編集します。
セキュリティ質問グループを作成するには:
ユーザーが本人確認のために回答するセキュリティ質問を作成できます。アンケートに追加する各質問には、ユーザーが回答する必要があります。ただし、これらの質問をセキュリティ質問グループにまとめることもできます。
たとえば、質問をグループにまとめることで、6つの質問のグループをアンケートに追加し、ユーザーがそのグループの質問から選択して、たとえば6つのうち3つに回答できるようにします。これにより、ユーザーは本人確認に使用する質問を選択し、回答を提供する柔軟性が得られます。
- セキュリティ質問ページでグループの追加をクリックします。
- セキュリティ質問グループダイアログボックスで、グループに名前を付け、質問を選択し、ユーザーが回答する必要がある質問の数を設定します。
セキュリティ質問グループを編集するには:
編集するセキュリティグループを選択し、セキュリティ質問ページで編集をクリックします。セキュリティ質問グループダイアログボックスが表示され、グループの一部として利用可能なセキュリティ質問のリストが表示されます。現在グループに含まれている質問はチェックマークで示されます。ここで、グループの名前を編集したり、グループに質問を追加したり、ユーザーがこのグループから回答する必要がある質問の数を選択したりできます。
既存のアンケートを追加または削除するには:
アンケートからセキュリティ質問と質問グループを追加または削除します。ユーザーに提示される順序で質問を上下に移動します。アンケートが変更された場合は、Storefront にログオンした後、再登録タスクを実行するようユーザーに通知します。
- アンケートページで追加をクリックして、質問またはグループをアンケートに追加します。
- 削除をクリックして、アンケートから質問を削除します。
- 上に移動または下に移動をクリックして、ユーザーに提示される質問を管理します。
セキュリティ質問をインポートまたはエクスポートするには:
セキュリティ質問とグループのデータをインポートまたはエクスポートできます。
- スタート > すべてのプログラム > Citrix > Citrix Self-Service Password Reset Configuration をクリックします。
- 左ペインで、本人確認ノードを選択します。
-
アクションメニューから、次のいずれかをクリックします。
セキュリティ質問のインポート セキュリティ質問とグループのデータをインポートするファイルの場所を指定します。
セキュリティ質問のエクスポート セキュリティ質問とグループのデータをエクスポートするファイルの場所を指定します。