ブログにアクセスいただきありがとうございます。Citrixコンサルタントの二宮です。
現在多くの組織では、SaaS等のインターネット上のあらゆるサービスを利用されているかと思います。インターネット上のサービスを利用するため、ユーザーはサービスにさえアクセスできてしまえばネットワークやデバイスに依存することなく、認証が可能になります。そのため、情報漏洩等のセキュリティ観点から組織は認めたデバイスのみで認証させることが必要になるかと思います。本ブログでは従来のAD参加に加えAzure ADへ参加することで、組織が承認したデバイスからのみアクセスさせることができる「Hybrid Azure AD JoinをCitrix DaaSと検討する」をテーマにご紹介します。
Hybrid Azure AD Joinとは、仮想デスクトップ(VDI)をMicrosoftが提供しているAzure Active Directory(以下Azure AD)とActive Directory(以下AD)両方にドメイン参加する方式です。従来のAD参加だけでなく、Azure ADに参加させる要件として最も多いのはSaaSなどでAzure AD認証を利用する際に、ADに参加してるデバイスを所属の変更をせずに利用させたい場合です。例えば、AD参加のデバイスは、Azure AD認証する際にMulti Factor Authentication(MFA)の認証条件にHybrid Azure AD Joinを構成することで、ADおよびAzure ADに参加しているデバイスからのSaaSアクセスを許可することが可能です。
ここからは、Citrix DaaSにてHybrid Azure AD Joinを構成する際の考慮事項をご紹介したいと思います。
Hybrid Azure AD Joinを構成するためには、ADとAzure ADを同期させるために必要なAzure AD Connectが構成されていることが前提です。Azure AD ConnectとはADとAzure AD間でユーザーやデバイスのIDを同期させるために必要なコンポーネントです。
Azure AD Connectの設定によりHybrid Azure AD Joinのサポート状況が異なることに注意して下さい。(特に、非永続型VDIをご検討している場合は注意が必要です。)
2023年1月現在、非永続VDIにおいてHybrid Azure AD Joinを構成するにはAzure AD ConnectにてADFSもしくはサードパーティIdPが必要です。
Citrix Cloudやリソースロケーションの構成は様々ですが、本ブログでは、注意点の多い非永続型VDIをHybrid Azure AD Joinさせるため、Azure AD ConnectにADFSをインストールした構成を前提として説明します。
大まかな構成図としては、以下のような構成になります。
図1 Hybrid Azure AD Join構成例
Citrix DaaSを利用する際には、VDIやリソースロケーションとCitrix Cloudを連携させるためにCloud Connectorというコンポーネントが必要です。Cloud Connectorはドメイン参加したMicrosoft Windows Server上に構築する必要があるため、該当サーバーをAD に参加させます。また、VDIもADに参加させます。
続いて、ここからはHybrid Azure AD Join用のマスターVMの考慮事項について記載いたします。
非永続VDIでHybrid Azure AD Joinさせる場合、VDAは2112以降がインストールされているかつ、レジストリに以下の項目を追加する必要があります。レジストリが追加されていない場合、Azure ADの参加に失敗することがあります。
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: “BlockAADWorkplaceJoin”=dword:00000001
また、上記設定はグループポリシーで設定することも可能です。グループポリシーについてはこちらをご参照下さい。
マスターVMの準備が完了しましたら、Citrix DaaSからの展開を行います。Hybrid Azure AD Joinを構成するにはマシンIDの設定にて「ハイブリッド Azure Active Directory参加」をご選択下さい。
図2 マシンカタログ設定
最後に展開完了後の確認事項と注意点を記載いたします。
- Citrix Cloud上でマシンが登録済みになっていることを確認します。
※Azure ADへの参加が失敗すると、初期化中で止まることがあります。
図3 マシンの登録状況
- Azure ADのデバイスにHybrid Azure AD Joinとして登録されていることを確認します。
※登録済みに日時が表示されることもご確認下さい。保留中の場合、Azure ADへの登録に失敗している可能性があります。
図4 Azure AD上のデバイス
- 展開したマシンにて下記コマンドを実行します。
dsregcmd /status /debug
「AzureADJoined」および「DomainJoined」が「YES」であることを確認します。
図5 コマンド実行結果
確認事項は以上です。本ブログがHybrid Azure AD Joinの検討や構築の手助けになれば幸いです。
Hybrid Azure AD Joinを構成するにも、Azure AD Connectが構成されているだけでは無く、さまざまな考慮事項があり、それを踏まえて構築することが望まれます。
本ブログの内容は2023年1月時点の情報をベースにしています。事前の予告なしに製品、サービスの仕様が変更される場合がありますので、あらかじめご了承下さい。
参考URL
- https://docs.citrix.com/ja-jp/citrix-daas/install-configure/machine-identities/hybrid-azure-active-directory-joined.html
- https://docs.citrix.com/ja-jp/citrix-daas/install-configure/create-machine-identities-joined-catalogs/create-hybrid-azure-ad-joined-catalogs.html
- https://learn.microsoft.com/en-us/azure/active-directory/devices/howto-device-identity-virtual-desktop-infrastructure
