みなさん、こんにちは。Citrixコンサルタントの二宮です。Citrixコンサルティングサービス部では、日々お客様の案件のご支援をしておりますが、案件の中で生まれたナレッジを部内で共有しております。詳しくは過去の「コンサルティングサービス部のご紹介」ブログをご参照下さい。本ブログでは過去にコンサルティングサービス部内で共有されたナレッジをピックアップし、ご紹介したいと思います。今回は、「Citrix Virtual Apps and Desktops Service with Azure Virtual Desktop環境でAzure Active Directory Domain Servicesを利用する」をテーマにご紹介します。

Citrix Virtual Apps and Desktops Service(以下CVADS)は従来オンプレ環境のCitrix Virtual Apps and Desktopsと同様にMicrosoft Active Directory(以下AD)が必須コンポーネントです。CVADSにてリソースロケーションとしてMicrosoft Azureを利用する場合には、Microsoft Azure Active Directory Domain Services(以下Azure AD DS)も利用可能です。Azure AD DSはAzure 上に展開されたマネージドドメインサービスで、ドメインコントローラーをデプロイすることなく、オンプレミスのADで利用していた、LDAP認証やKerberos認証、グループポリシーの管理を行うことが可能です。これらの機能はMicrosoft Azure Active Directory(以下Azure AD)では提供されていない機能です。Azure AD DSをMicrosoft Azure Virtual Desktop(以下AVD)と連携することで、AzureマネージドのAD上でAVDマシンのグループポリシーの管理やAzure ADでは対応していない認証プロトコルが利用でき、オンプレミスのADとほぼ同等の機能を実現できます。(※略称が多いため、以下表にまとめます。)

表1  略称まとめ

名称 略称 概要
Citrix Virtual Apps and Desktops Service CVADS Cloud上に仮想アプリケーション/デスクトップを展開するCitrixのサービス
Active Directory AD 主にオンプレミスで展開される従来型のドメインサービス
Azure Active Directory Domain Services Azure AD DS Azureでサービス提供されるActive Directoryドメインサービス

従来のオンプレミス用ADとほぼ同等の機能を実現可能

Azure Active Directory Azure AD クラウドベースのIDおよびアクセス管理サービス

主にSaaSの認証で用いられる

Azure Virtual Desktop AVD Azure上に展開される仮想デスクトップ

。Azure AD DS環境にてCVADS with AVDを構成する場合の例を以下の図に示します。

図1 CVADS with AVD構成例

CVADSを利用する際には、AVDとCitrix Cloudを連携させるためにCloud Connectorというコンポーネントが必要です。Cloud Connectorはドメイン参加したMicrosoft Windows Server上に構築する必要があるため、Cloud ConnectorをAzure AD DSに参加させます。また、AVDもAzure AD DSにて認証をするためにAzure AD DSに参加させます。今回の構成では、認証はCitrix Cloud上のWorkspaceを利用し、ICAセッションはCitrix Gateway Serviceを利用することといたします。

続いて、今回ご紹介する環境で最も考慮が必要となるWorkspaceでの認証を決定する必要があります。現在Workspaceにて選択できる認証方式は以下の通りです。

・Active Directory

・Active Directory + トークン

・Azure Active Directory

・Okta

・Citrix Gateway

・SAML 2.0

図2 Workspaceの認証方式

Azure ADを認証に利用する場合は、Cloud ConnectorおよびAVDがAzure ADと同期しているオンプレミスのADに参加している必要があります。今回の環境は図1の通り、Cloud ConnectorおよびAVDはAzure AD DSに参加しているため、Azure AD認証は利用できなくなります。従って、Workspace認証にてAzure AD DSを用いたActive Directory認証を利用することといたします。

ここからは簡単に構築方法についてご説明いたします。

  1. Azure AD DSに参加したWindows Server上にCloud Connectorをインストールし、Citrix Cloud上にドメインおよびリソースロケーションを追加します。
  2. Azure上でVDIのマスターとなるVirtual Machineを作成し、Azure AD DSに参加させ、VDAをインストールします。
  3. CVADSにAzureのサブスクリプションを追加し、AVDのマシンカタログを作成します。
  4. Azure AD上のユーザーに紐づけたデリバリーグループを作成します。
  5. Citrix Cloud上のWorkspace認証をActive Directoryに設定し、Workspace経由にてAVDへのアクセスを可能にします。

Citrix Virtual Apps and Desktop service with Azure Virtual Desktop環境には今回ご紹介したAzure AD DS環境だけではなくオンプレミスのAD参加やハイブリッドAzure AD参加など様々なオプションがありますが、構成の一つとして参考にしていただければと思います。

最近、Cloud案件の増加に伴い認証周りの設計に関するご相談も増えており、ナレッジも蓄積されてきています。Citrix Cloud環境への移行、及び新環境で最適な認証方法をご検討の際は、コンサルティングサービス部にご相談いただけますと幸いです。

本ブログの内容は2021年9月時点の情報をベースにしています。事前の予告なしに製品、サービスの仕様が変更される場合がありますので、あらかじめご了承下さい。

参考URL

https://docs.citrix.com/ja-jp/citrix-workspace/secure.html