Citrix on Azure の ID とアクセスに関する考慮事項
この記事では、Citrix の ID およびアクセス制御サービスを提供するさまざまな方法について説明します。
設計上の考慮事項
- Azure サブスクリプションと同様に、Citrix Cloud テナントでは、ユーザー認証または管理者認証用に 1 つの Microsoft Entra テナントのみがサポートされています。 運用プロセスに開発と運用の Microsoft Entra テナントの分離が必要な場合は、Citrix Cloud テナントに対して同様の分離を確立する必要があります。
- Citrix では、Azure B2B またはゲスト アカウントをサポートするために、Workspace または Citrix Gateway と Citrix Federated Authentication Service で SAML 認証が使用されています。 詳細については、「ゲスト アカウント用に Microsoft Entra ID と SAML を構成する方法」を参照してください。
- Citrix には、関連する Citrix 仮想アプリとデスクトップのコア管理と監視のための組み込みのロールベースのアクセス制御 (RBAC) 機能が含まれています。 詳細については、「Delegated administration」 (委任された管理) と「Monitor」 (監視) を参照してください。
- 現在、エンタープライズのお客様の大半は、Azure で完全なドメイン サービスを使用しています。 通常、それらは ID サブスクリプションにデプロイされます。 Azure Multi-Factor Authentication や条件付きアクセスなどの機能を使用するために、Citrix Workspace で直接ユーザー認証を行う ID プロバイダーとして Microsoft Entra ID を引き続き使用できます。
- 認証に Microsoft Entra ID またはその他の SAML ベースの ID プロバイダーを使用する場合、Citrix Federated Authentication Service を使用することでシングル サインオンがサポートされます。
- Microsoft Entra ID のみを持つ環境は、Microsoft Entra 参加済み、およびドメインに参加していないワークロードのサポートを利用できます。
- 次の表は、ドメイン サービスをホストするための各 Azure 戦略の主な Citrix 機能をまとめたものです。 現在、Azure デプロイの計画段階にある場合は、これらの各サービスと実際の ID チームとの比較を確認し、それらの要件とタイムラインを理解します。 ID は、Azure にデプロイするためのクリティカル パスの前提条件です。
| 機能 | Microsoft Entra ID | Microsoft Entra Domain Services | [Active Directory Domain Services] | ドメイン サービスなし |
|---|---|---|---|---|
| Citrix Cloud での委任された管理 | ✓ | ✓ | ✓ | ✓ |
| マシン作成サービス (MCS) | ✓ | ✓ | ✓ | ✓ |
| LDAP/Kerberos | X | ✓ | ✓ | x |
| グループ ポリシー オブジェクト | Intune または Citrix Workspace Environment Management サービスを使用 | ✓ | ✓ | Citrix Workspace Environment Management サービスを使用 |
| リソースへの認証 | ✓ | ✓ | ✓ | ✓ |
| ドメイン参加 | X | ✓ | ✓ | x |
| Citrix Federated Authentication Service | X | X | ✓ | x |
設計の推奨事項
Citrix DaaS on Microsoft Azure の設計ガイダンスは、Citrix TechZone の「Design Guidance for Citrix DaaS on Microsoft Azure」で入手できます。 その記事では、クラウド導入フレームワークの設計原則に沿った Citrix テクノロジのシステム、ワークロード、ユーザー、ネットワークに関する考慮事項を強調しています。
次のステップ
Citrix on Azure のデプロイに固有のリソース編成に関する重要な設計上の考慮事項と推奨事項を確認してください。