テレワークに最適なVDI環境 ～Citrix CloudネイティブFASサポート～

テレワークに最適なVDI環境とは

ビジネス継続の為のテレワークソリューションとして、VDIが非常に注目を浴びています。世の中には様々なVDIソリューションがありますが、「セキュリティ」「ユーザーエクスペリエンス」「コスト」「スピード」「柔軟性」「耐障害性」などテレワークに最適なVDIの要件は多岐に渡ります。

例えば「VDI上でTeamsなどのオンライン会議システムを安定的に稼働させる為の機能」「労務管理、セキュリティ、トラブルシューテイングの観点からユーザーのアクティブティを効率的に動画で記録する機能」「マルチユーザーOS環境におけるワークフロー機能を備えたペーパーレス・ファイル共有ソリューショとの互換性」などテレワークを意識した、きめ細かな発想が製品機能やソリューションとして実装されているかが、VDIソリューションを選ぶ上での大きなポイントになります。

こういったテレワークやモバイルワークに対する「発想」を持ち合わせないソリューションを導入してしまい、セキュリティリスクを肥大化させたり、ユーザーに負担を強いて生産性を落としたり、要件を満たす為のカスタマイズなどで余計なコストを発生させたり、というようなことがないよう正しい情報収集が必要です。

このシリーズでは「ビジネス継続の為の最適なVDI」をテーマに、関連する情報をシリーズでお届けしたいと思います。

今回はセキュアなVDIテレワーク環境を実現する上で絶対的に欠かせない認証セキュリティについて、最新機能を中心に説明したいと思います。

Citrix VDIは多彩な認証に対応

Citrix のVDIソリューションでは、Cloudサービスの一部として提供される無償のワンタイムパスワードからAzure Active Directory やOKTA, Google Identityといったような主要なIDPによる認証、またCitrix Gatewayとそれに対応するお客様独自の様々な認証ソリューションをサポートすることで、非常に幅広い認証方法に対応します。

Citrix Cloudがサポートする認証の種類やソリューションについては、別のブログで体系的に紹介したいと思います。

指紋やスマートカード、FIDO２による顔認証、マトリックス認証など様々な認証に対応しています。

今回Citrix CloudでAzure ADを使ったCitrix Cloudの仮想デスクトップ、アプリケーションアクセスの認証機能が大きく進化しましたので、そのアップデート中心に説明します。

まずは百聞は一見に如かず

まずはこれから、紹介するCitrix CloudのAzure Active Directory認証機能の「進化前「と「進化後」の違いを見てみましょう。

進化前

進化後

違いはズバリ認証を2回聞かれるかSSOで仮想デスクトップまでアクセスできるか。従来これを実現する為にはオンプレ（リソースロケーション）側にStoreFrontやCitrix Gatwayアプライアンスの構築が必要でした。当然冗長化構成をすることが推奨されます。またサーバー証明書やグローバルIP、ドメインの登録なども必要でした。この辺りが大幅に改良されていますので、是非続きをお読みください。

Citrix Cloud によるAzure Active Directory認証のネイティブサポート

統合認証基盤としてAzure ADを採用し、O365などのSaaSやWebアプリケーションの認証を統合されている組織も多いと思います。VDIも同様に統合認証したいというニーズは兼ねてからありました。ご存じのようにAzure Active Directory（以下 Azure AD)では多様な認証オプションを兼ね備え、条件付きアクセスなどのように高度な認証にも対応しています。

Citrix Cloud は既にAzure ADの認証と連携が可能です。これによってAzure AD認証を使いCitrix Workspace環境にアクセスして仮想デスクトップ、仮想アプリケーションを含む、Citrix Workplaceの様々なリソースにアクセスすることが可能です。またユーザーのみならず、Azure ADのを使いCitrix Cloudの管理者アクセスの強化をすることも可能です。

Azure ADを利用した管理コンソールへのセキュアなアクセス

Citrix Cloud ネイティブでAzure AD＋Federated Authenticated Serviceサポート

VDIをはじめとするエンタープライズの仮想デスクトップソリューションではWindows ADの認証が必要となっています。これによりグループポリシーの利用や社内のバックエンドリソースへのシングルサインオンが可能となっています。

この時に問題になるのは、このAzure ADの認証とWindows ADの認証は別物ということです。この場合Citrix CloudにはAzureADのトークン認証ですが、Windows ADの認証はWindowsパスワードもしくはスマートカードのような証明書による認証が必要となっています。なのでこれまでのCitrix CloudのAzure AD認証対応ではユーザーは「Cloudへアクセスする際のAzure AD認証」と「VDIへのWindows AD認証」の2回の認証情報を入力必要がありました。すなわ最初のAzure AD認証のみでSSOでVDIにログオンすることができませんでした。

1 .Citrix Cloud にアクセスするとAzure ADにリダイレクトされるので、Azure ADアカウントで認証を行います。

2.Azure ADのアカウンで認証すると、UPNで紐づけれらたWindows ADアカウントに割り当てられたリソースアイコンが表示される。（ここではデスクトップ）

3.仮想デスクトップでWindows ADにログオンする際にWindows AD認証を再度求められる

4.Windows AD認証によりVDIがWindowsログオン

2回の認証を1回にするために

この課題を解決するが、Citrix Federated Authenticated Service(以下FAS)ソリューションになります。FASはMyCitrixからダウンロードできるオプションコンポーネントになります。

Windows ADログオンはパスワード認証または証明書の認証の２つ方法のみに対応しています。このFASはIDPのトークン認証のUPN情報を元に、UPNで紐づくWindows AD上のシャドーアカウントでスマートカード証明書を発行し、その証明書を用いてWindows ADへのログオンを自動的に行う機構になります。端的に言い換えるとIDPのアクセストークンをスマートカード証明書に変換する働きをします。

Windows AD認証はパスワードまたは証明書によって行われる

FASは「仮想スマートカードサービス」として機能し、その場で仮想スマートカードを生成し、その証明書でユーザーログインし、VDIのセッション待機状況にします。

FASが有効な場合はAzure AD認証のみでVDIに対してもSSOが行われます。

NEW! Citrix CloudのFASのネイティブサポート

以前からCitrix Cloud環境でFASを使うことは可能でしたが、Citrix Cloudが、さらに詳しく言うとCitix Cloud上のWorksacpeサービスとGateway ServiceがネイティブでFASに対応していなかった為、リソースロケーションにCitrix GatewayやStoreFrontを構築する必要がありました。

これまはリソースロケーション側にStoreFonrtもしくはCitrix Gateway及びStoreFrontを配置する必要があった

今回Citrix CloudがネイティブでFASをサポートすることで、リソースロケーション側のCitrix GatewayやStore Frontが不要になりました。よってこれらのコンポーネント構築のみならず、付随するサーバー証明者やグローバルIPなども不要になります。

シンプルな構成かつ簡単な導入

さて、ここでは参考までに、おおまかな構築の流れはを紹介します。わかりやすい構築ガイドは近日公開予定です。ここでは非推奨の最小リソースの検証環境をベースに紹介しますが、本番環境では下段の図のようにきちんと冗長化を意識してください。

FASの最小構成による検証環境例

推奨構成例

構築手順

Azure側

Azure AD上にアカウントを用意します。AD Connectを使いWindows ADアカウントの同期を行います（オプション）。

同期されたアカウントに対してMFAの設定を有効にします。

リソースロケーション側

MyCitrixから最新のFASモジュールをダウンロードします。

FASをインストールします。

CA（Windows認証機関サービス）をインストール、セットアップします。

FASのインストールフォルダにあるGPOテンプレートを読み込み、VDAがFASを認識するように、Domain PolicyでFASサーバーを指定します。

ウィザードに従いFASの設定を行います。

設定の最後でCitrix Cloud上のFASマイクロサービスとの通信設定を行います。（FASマイクロサービスへはアウトバウンドの通信が発生します）

FASのすべての設定が完了したことを確認します。

Windows AD上でシャドーアカウントを準備します。

Citrix Cloud側

ID およびアクセス管理-認証画面でAzure AD認証の為のAzure ADとの連携を行います。

ワークスペース構成-認証でAzure ADを選択して、FASの有効化を行います。

参考：システムスケーラビリティ

以下はFASによって10,000ユーザーの一時間にわたる一斉ログオンを行った際のベンチマークテストになります。一度証明書が発行されるとキャッシュされます。デフォルト発行される証明書の有効期限は7日ですが、その半分の3.5日毎に更新されます。FASの監査状況はパフォーマンスモニターで確認できます。キャッシュが有効な場合はそれほどFASサーバーに負荷はかかりません。

※Delivery ControllerはCitrix Cloud Connectorに置き換えてください。

まとめ

ビジネスの継続のためのVDIによるテレワークの需要が増えていいます。シンプルかつ強固でインフラとして安定したVDIへのアクセス認証基盤が求められています。Azure ADはCitrix Cloud VDIに最も適した統合認証基盤の一つです。

セールスポイント

• Azure ADを使ったCitrix Cloud VDIへの認証強化とがSSOが可能
• O365などSaaSアプリケーションと認証統合が可能
• Cloudネイティブ対応でリソースロケーション側にCitrix StoreFrontやCitrix Gatewayの設置が不要、また付随する証明書やグローバルIPなども不要でよりシンプルに導入可能

関連情報

• SAMLによるAzure ADやADFSとの認証連携
• 仮想デスクトップ製品CVADの概要、ユースケース、比較ページ→

留意事項

本情報は2020年3月現在の情報に基づきます、事前の予告なしに製品やサービスの仕様が変更になる場合があります。本情報により発生するいかなる損害に対しても責任を一切負うものではありません。