みなさん、こんにちは。Citrixコンサルタントの二宮です。Citrixコンサルティングサービス部では、日々お客様の案件のご支援をしておりますが、案件の中で生まれたナレッジを部内で共有しております。詳しくは過去の「コンサルティングサービス部のご紹介」ブログをご参照下さい。本ブログでは過去にコンサルティングサービス部内で共有されたナレッジをピックアップし、ご紹介したいと思います。今回は、「Citrix Virtual Apps and Desktops Service with Azure Virtual Desktop環境でAzure Active Directory Domain Servicesを利用する」をテーマにご紹介します。
Citrix Virtual Apps and Desktops Service(以下CVADS)は従来オンプレ環境のCitrix Virtual Apps and Desktopsと同様にMicrosoft Active Directory(以下AD)が必須コンポーネントです。CVADSにてリソースロケーションとしてMicrosoft Azureを利用する場合には、Microsoft Azure Active Directory Domain Services(以下Azure AD DS)も利用可能です。Azure AD DSはAzure 上に展開されたマネージドドメインサービスで、ドメインコントローラーをデプロイすることなく、オンプレミスのADで利用していた、LDAP認証やKerberos認証、グループポリシーの管理を行うことが可能です。これらの機能はMicrosoft Azure Active Directory(以下Azure AD)では提供されていない機能です。Azure AD DSをMicrosoft Azure Virtual Desktop(以下AVD)と連携することで、AzureマネージドのAD上でAVDマシンのグループポリシーの管理やAzure ADでは対応していない認証プロトコルが利用でき、オンプレミスのADとほぼ同等の機能を実現できます。(※略称が多いため、以下表にまとめます。)
表1 略称まとめ
| 名称 | 略称 | 概要 |
| Citrix Virtual Apps and Desktops Service | CVADS | Cloud上に仮想アプリケーション/デスクトップを展開するCitrixのサービス |
| Active Directory | AD | 主にオンプレミスで展開される従来型のドメインサービス |
| Azure Active Directory Domain Services | Azure AD DS | Azureでサービス提供されるActive Directoryドメインサービス
従来のオンプレミス用ADとほぼ同等の機能を実現可能 |
| Azure Active Directory | Azure AD | クラウドベースのIDおよびアクセス管理サービス
主にSaaSの認証で用いられる |
| Azure Virtual Desktop | AVD | Azure上に展開される仮想デスクトップ |
。Azure AD DS環境にてCVADS with AVDを構成する場合の例を以下の図に示します。
CVADSを利用する際には、AVDとCitrix Cloudを連携させるためにCloud Connectorというコンポーネントが必要です。Cloud Connectorはドメイン参加したMicrosoft Windows Server上に構築する必要があるため、Cloud ConnectorをAzure AD DSに参加させます。また、AVDもAzure AD DSにて認証をするためにAzure AD DSに参加させます。今回の構成では、認証はCitrix Cloud上のWorkspaceを利用し、ICAセッションはCitrix Gateway Serviceを利用することといたします。
続いて、今回ご紹介する環境で最も考慮が必要となるWorkspaceでの認証を決定する必要があります。現在Workspaceにて選択できる認証方式は以下の通りです。
・Active Directory
・Active Directory + トークン
・Azure Active Directory
・Okta
・Citrix Gateway
・SAML 2.0
Azure ADを認証に利用する場合は、Cloud ConnectorおよびAVDがAzure ADと同期しているオンプレミスのADに参加している必要があります。今回の環境は図1の通り、Cloud ConnectorおよびAVDはAzure AD DSに参加しているため、Azure AD認証は利用できなくなります。従って、Workspace認証にてAzure AD DSを用いたActive Directory認証を利用することといたします。
ここからは簡単に構築方法についてご説明いたします。
- Azure AD DSに参加したWindows Server上にCloud Connectorをインストールし、Citrix Cloud上にドメインおよびリソースロケーションを追加します。
- Azure上でVDIのマスターとなるVirtual Machineを作成し、Azure AD DSに参加させ、VDAをインストールします。
- CVADSにAzureのサブスクリプションを追加し、AVDのマシンカタログを作成します。
- Azure AD上のユーザーに紐づけたデリバリーグループを作成します。
- Citrix Cloud上のWorkspace認証をActive Directoryに設定し、Workspace経由にてAVDへのアクセスを可能にします。
Citrix Virtual Apps and Desktop service with Azure Virtual Desktop環境には今回ご紹介したAzure AD DS環境だけではなくオンプレミスのAD参加やハイブリッドAzure AD参加など様々なオプションがありますが、構成の一つとして参考にしていただければと思います。
最近、Cloud案件の増加に伴い認証周りの設計に関するご相談も増えており、ナレッジも蓄積されてきています。Citrix Cloud環境への移行、及び新環境で最適な認証方法をご検討の際は、コンサルティングサービス部にご相談いただけますと幸いです。
本ブログの内容は2021年9月時点の情報をベースにしています。事前の予告なしに製品、サービスの仕様が変更される場合がありますので、あらかじめご了承下さい。
参考URL
https://docs.citrix.com/ja-jp/citrix-workspace/secure.html
