製品ドキュメント
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDFを表示

Active Directory ユーザー名とパスワード認証

April 1, 2026
寄稿者: 
C C

ユーザーは Active Directory のユーザー名とパスワードの入力を求められます。

ユーザー名とパスワード認証画面のスクリーンショット

ユーザーのパスワードの有効期限が切れている場合、または期限切れが近い場合、構成によっては、パスワードを変更するオプションがユーザーに提供されることがあります。

Citrix Workspace アプリ使用時にストアのユーザー名とパスワード認証を有効または無効にするには、認証方法ウィンドウで [Active Directory ユーザー名とパスワード] をオンまたはオフにします。

ストアのユーザー名とパスワード認証をデフォルトで有効にすると、Web ブラウザーを使用するユーザー向けに、そのストアのすべての Web サイトでも有効になります。特定の Web サイトのユーザー名とパスワード認証は、Web サイトの認証方法の管理タブで無効にできます。

信頼済みユーザー ドメインの構成

明示的なドメイン資格情報を使用してログオンするユーザー、または Citrix Gateway からのパススルー認証を使用するユーザーに対して、ストアへのアクセスを制限できます。

  1. Citrix StoreFront 管理コンソールの左ペインで [ストア] ノードを選択し、結果ペインで適切な認証方法を選択します。アクション ペインで、[認証方法の管理] をクリックします。

  2. [ユーザー名とパスワード] > [設定] のリストから、[信頼済みドメインの構成] を選択します。

  3. [信頼済みドメインのみ] を選択し、[追加] をクリックして信頼済みドメインの名前を入力します。そのドメインにアカウントを持つユーザーは、認証サービスを使用するすべてのストアにログオンできます。ドメイン名を変更するには、[信頼済みドメイン] リストのエントリを選択し、[編集] をクリックします。ドメイン内のユーザー アカウントのストアへのアクセスを停止するには、リストでドメインを選択し、[削除] をクリックします。

    ドメイン名を指定する方法によって、ユーザーが資格情報を入力する必要がある形式が決まります。ユーザーにドメイン ユーザー名形式で資格情報を入力させる場合は、NetBIOS 名をリストに追加します。ユーザーにユーザー プリンシパル名形式で資格情報を入力させる場合は、完全修飾ドメイン名をリストに追加します。ユーザーがドメイン ユーザー名形式とユーザー プリンシパル名形式の両方で資格情報を入力できるようにする場合は、NetBIOS 名と完全修飾ドメイン名の両方をリストに追加する必要があります。

  4. 複数の信頼済みドメインを構成する場合は、[デフォルト ドメイン] リストから、ユーザーがログオンするときにデフォルトで選択されるドメインを選択します。

  5. ログオン ページに信頼済みドメインをリスト表示する場合は、[ログオン ページにドメイン リストを表示] チェック ボックスをオンにします。

信頼済みドメイン画面のスクリーンショット

PowerShell

構成済みのドメインのリストを取得するには、Get-STFExplicitCommonOptions コマンドレットを使用します。

信頼済みドメインを更新するには、Set-STFExplicitCommonOptions コマンドレットを使用します。

ユーザーによるパスワード変更の有効化

-  ユーザーがいつでもパスワードを変更できるようにすることができます。または、パスワードの有効期限が切れたユーザーにのみパスワード変更を制限することもできます。これにより、パスワードの有効期限切れによってユーザーがデスクトップやアプリケーションにアクセスできなくなることを確実に防ぐことができます。

パスワード変更機能は、次のクライアントで利用できます。

Citrix Workspace アプリ StoreFront で有効になっている場合、ユーザーは期限切れのパスワードを変更できます パスワードの有効期限が切れることをユーザーに通知 StoreFront で有効になっている場合、ユーザーはパスワードの有効期限が切れる前に変更できます
Windows はい    
Mac はい    
Android      
iOS      
Linux はい    
Web はい はい はい

デフォルトの構成では、パスワードの有効期限が切れていても、Citrix Workspace アプリおよび Web ブラウザーのユーザーがパスワードを変更することはできません。この機能を有効にする場合は、サーバーを含むドメインのポリシーによってユーザーがパスワードを変更できないように設定されていないことを確認してください。ユーザーがパスワードを変更できるようにすると、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織に、ユーザーのパスワード変更機能を内部でのみ使用するように予約するセキュリティ ポリシーがある場合は、どのストアも社内ネットワークの外部からアクセスできないようにしてください。

ユーザーがいつでもパスワードを変更できるようにすると、パスワードの有効期限が近づいているローカル ユーザーは、ログオン時に警告が表示されます。デフォルトでは、ユーザーの通知期間は、適用される Windows ポリシー設定によって決定されます。または、カスタム通知期間を構成することもできます。

  1. [認証方法の管理] ウィンドウで、[Active Directory ユーザー名とパスワード] > [設定] ドロップダウン メニューから [パスワード オプションの管理] を選択します。

  2. ユーザーがパスワードを変更できるようにするには、[ユーザーによるパスワード変更を許可する] チェック ボックスをオンにします。

    注:

    このオプションを選択しない場合、パスワードの有効期限が切れたためにデスクトップやアプリケーションにアクセスできないユーザーをサポートするための独自の対策を講じる必要があります。

  3. ユーザーがパスワードを変更できるタイミングを、[有効期限が切れた場合のみ] または [いつでも] のいずれにするかを選択します。

  4. パスワードの有効期限が切れる前にユーザーに通知するかどうかを選択します。次のオプションから選択できます。

    • [通知しない] - UI にはパスワードの有効期限切れの通知は表示されません。パスワードの有効期限が切れた時点でユーザーに通知するだけです。

    • [Active Directory グループ ポリシーからの通知設定を使用する] - ログオン後、ユーザー インターフェイスは、グループ ポリシーで構成された日数以内にパスワードの有効期限が切れるかどうかを通知します。ユーザーにはパスワードを変更するオプションが提供されます。

      注:

      StoreFront は、きめ細かいパスワード ポリシーを考慮しません。したがって、きめ細かいパスワード ポリシーを使用している場合は、このオプションを選択しないでください。

    • [カスタマイズされた通知設定を使用する] - ログオン後、ユーザー インターフェイスは、指定された日数以内にパスワードの有効期限が切れるかどうかをユーザーに通知します。ユーザーにはパスワードを変更するオプションが提供されます。

パスワード オプションの管理のスクリーンショット

注 1:

すべてのユーザーのプロファイルを保存するのに十分なディスク領域が StoreFront サーバーにあることを確認してください。ユーザーのパスワードの有効期限が近づいているかどうかを確認するために、StoreFront はサーバー上にそのユーザーのローカル プロファイルを作成します。StoreFront は、ユーザーのパスワードを変更するためにドメイン コントローラーに接続できる必要があります。

注 2: セキュリティ ポリシー [ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を有効にする場合は、パスワードを変更する必要があるすべてのユーザーを含める必要があります。

注 3:

いつでもパスワード変更を有効または無効にすると、Citrix Gateway からのパススルー認証の [パスワード オプションの管理] の設定にも影響します。

PowerShell

信頼済みドメインのリストを取得するには、コマンドレット Get-STFExplicitCommonOptions を使用します。

信頼済みドメインを更新するには、コマンドレット Set-STFExplicitCommonOptions を使用します。

パスワードの検証

通常、StoreFront は Windows に Active Directory で資格情報を検証するよう要求します。これには、Windows サーバーがユーザーと同じドメインにあるか、または 2 つのドメイン間に信頼関係があることが必要です。Active Directory の信頼を確立できない場合、StoreFront を構成して Citrix Virtual Apps and Desktops デリバリーコントローラーを使用して資格情報を認証できます。これは、HTTP Basic および Gateway Pass-through 認証にも影響します。

StoreFront がパスワードを検証する方法を構成するには:

  1. 認証方法の管理」ウィンドウで、「ユーザー名とパスワード > 設定」ドロップダウンメニューから「パスワード検証の構成」を選択します。

    認証方法の管理ダイアログ

  2. パスワードの検証方法」ドロップダウンから、以下を選択します。

    • Active Directory - WindowsにActive Directoryで資格情報を検証するよう要求します
    • Delivery Controller - 構成済みのDelivery Controller™に資格情報を検証するよう要求します

    パスワード検証の構成パネル

  3. Delivery Controller」を選択した場合は、「構成」を選択します。「Delivery Controllerの構成」画面で、ユーザー資格情報を検証するためのDelivery Controllerを1つ以上追加し、「OK」をクリックします。

    Delivery Controllerの編集パネル

  4. OK」を選択します。

PowerShell

パスワードの検証方法を取得するには、コマンドレット Get-STFExplicitAuthenticator を使用します。

Delivery Controllerを介してパスワード検証を行うには、コマンドレット Set-STFExplicitAuthenticator を使用して、検証機能を xmlServiceAuthenticator に設定します。資格情報の認証に使用するDelivery Controllerを設定するには、コマンドレット Enable-STFXmlServiceAuthentication を使用します。

VDAへのシングルサインオン

ユーザーがリソースを起動すると、StoreFrontは、ユーザーがストアへのログオンに使用した資格情報をVDAへのシングルサインオンのために渡します。

ストアで Federated Authentication Service (FAS) が有効になっている場合、StoreFrontはFASサーバーに接続し、ストアへのシングルサインオン用の証明書を提供します。この証明書は、資格情報の代わりにVDAに渡されます。StoreFrontがFASサーバーに接続できない場合、VDAへのシングルサインオンは行われません。

ログオン画面のカスタマイズ

ログオン画面はテンプレートから生成され、通常、C:\inetpub\wwwroot\Citrix\[ストア名]Auth\App_Data\Templates\UsernamePassword.tfrm にあります。このテンプレートは、フォームテンプレート言語 を使用して定義されます。

次の例では、タイトルを追加し、Citrix Workspaceアプリfor Windowsがパスワードをキャッシュしないようにします。

タイトルテキスト

ユーザーがストアにログオンするとき、デフォルトではログオンダイアログボックスにタイトルテキストは表示されません。「ログオンしてください」というテキストを表示するか、独自のカスタムメッセージを作成できます。

  1. テキストエディターを使用して、認証サービスの UsernamePassword.tfrm ファイルを開きます。

  2. ファイル内で次の行を見つけます。

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
<!--NeedCopy-->

  3. 先頭と末尾の @**@ を削除して、ステートメントのコメントを解除します。

    @Heading("ExplicitAuth:AuthenticateHeadingText")
<!--NeedCopy-->

    Citrix Workspaceアプリのユーザーは、この認証サービスを使用するストアにログオンするときに、デフォルトのタイトルテキスト「ログオンしてください」、またはこのテキストの適切なローカライズ版を表示します。

  4. タイトルテキストを変更するには、テキストエディターを使用して、認証サービスの ExplicitFormsCommon.xx.resx ファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\[ストア名]Auth\App_Data\resources\ ディレクトリにあります。

  5. ファイル内で次の要素を見つけます。<value> 要素内に囲まれたテキストを編集して、この認証サービスを使用するストアにアクセスするときにユーザーがログオンダイアログボックスに表示されるタイトルテキストを変更します。

    <data name="AuthenticateHeadingText" xml:space="preserve">
    <value>My Company Name</value>
</data>
<!--NeedCopy-->

    他のロケールのユーザーのログオンダイアログボックスのタイトルテキストを変更するには、ローカライズされたファイル ExplicitAuth.languagecode.resx を編集します。ここで languagecode はロケール識別子です。

Citrix Workspaceアプリfor Windowsによるパスワードとユーザー名のキャッシュの防止

デフォルトでは、Citrix Workspaceアプリfor Windowsは、ユーザーがStoreFrontストアにログオンするときにユーザーのパスワードを保存します。Citrix Workspaceアプリfor Windowsがユーザーのパスワードをキャッシュしないようにするには、認証サービスのファイルを編集します。

  1. テキストエディターを使用して、ファイル inetpub\wwwroot\Citrix\[ストア名]Auth\App_Data\Templates\UsernamePassword.tfrm を開きます。

  2. ファイル内で次の行を見つけます。

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
<!--NeedCopy-->

  3. 次に示すように、ステートメントをコメントアウトします。

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
<!--NeedCopy-->

    この認証サービスを使用するストアにログオンするたびに、ユーザーはパスワードを入力する必要があります。

    デフォルトでは、Citrix Workspaceアプリfor Windowsは、最後に入力されたユーザー名を自動的に入力します。ユーザー名フィールドの自動入力を抑制するには、またはパスワードのキャッシュを抑制する別のメカニズムについては、Citrix Workspaceアプリfor Windowsによるパスワードとユーザー名のキャッシュの防止 を参照してください。

Citrix Gatewayを介したリモートアクセス

Citrix Gatewayを構成して、ユーザーがドメインのユーザー名とパスワード、およびオプションで第2要素を使用してゲートウェイにログオンできるようにすることができます。これらの資格情報は、ストアにサインオンするためにStoreFrontに渡されます。LDAPユーザー名とパスワード認証用にCitrix Gatewayを構成するには、NetScalerドキュメント - LDAP認証 を参照してください。StoreFrontを構成するには、Citrix Gatewayからのパススルー を参照してください。

Active Directory ユーザー名とパスワード認証
April 1, 2026
寄稿者: 
C C
April 1, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.