Citrix GatewayおよびCitrix ADCとの統合
XenMobile®と統合すると、Citrix GatewayはMAMデバイスが内部ネットワークにリモートデバイスアクセスするための認証メカニズムを提供します。この統合により、モバイル生産性アプリはマイクロVPNを介してイントラネット内の企業サーバーに接続できます。マイクロVPNは、モバイルデバイス上のアプリからCitrix Gatewayに作成されます。Citrix Gatewayは、すべての企業リソースへのアクセスパスとしてマイクロVPNを提供し、強力な多要素認証をサポートします。
Citrix ADCの負荷分散は、以下のケースでXenMobile Serverのすべてのデバイスモードに必要です。
- 複数のXenMobile Serverがある場合
- または、XenMobile ServerがDMZまたは内部ネットワーク内にある場合(したがって、トラフィックはデバイスからCitrix ADC、XenMobileへと流れます)
XenMobile Serverモードの統合要件
Citrix GatewayとCitrix ADCの統合要件は、XenMobile Serverのモード(MAM、MDM、ENT)によって異なります。
MAM
MAMモードのXenMobile Serverの場合:
- Citrix Gatewayが必要です。Citrix Gatewayは、すべての企業リソースへのアクセスパスとしてマイクロVPNを提供し、強力な多要素認証をサポートします。
-
Citrix ADCは負荷分散に推奨されます。
Citrixは、XenMobileを高可用性構成で展開することを推奨しており、これにはXenMobileの前にロードバランサーが必要です。詳細については、「MAMおよびレガシーMAMモードについて」を参照してください。
MDM
MDMモードのXenMobile Serverの場合:
- Citrix Gatewayは必須ではありません。MDM展開の場合、CitrixはモバイルデバイスVPNにCitrix Gatewayを推奨しています。
-
Citrix ADCはセキュリティと負荷分散に推奨されます。
Citrixは、セキュリティと負荷分散のために、XenMobile Serverの前にCitrix ADCアプライアンスを展開することを推奨しています。DMZにXenMobileを配置する標準的な展開では、CitrixはXenMobile Serverの負荷分散と合わせて、SSLブリッジモードでCitrix ADC for XenMobileウィザードを使用することを推奨しています。以下の展開では、SSLオフロードも検討できます。
- XenMobile ServerがDMZではなく内部ネットワークに配置されている場合。
- または、セキュリティチームがSSLブリッジ構成を要求する場合。
Citrixは、MDMの場合、NATまたは既存のサードパーティ製プロキシやロードバランサーを介してXenMobile Serverをインターネットに公開することを推奨していません。これらの構成は、SSLトラフィックがXenMobile Serverで終端される場合(SSLブリッジ)でも、潜在的なセキュリティリスクをもたらします。
高セキュリティ環境の場合、デフォルトのXenMobile構成のCitrix ADCは、セキュリティ要件を満たすか、それを上回ります。
最高のセキュリティ要件を持つMDM環境の場合、Citrix ADCでのSSL終端により、境界でトラフィックを検査しながら、エンドツーエンドのSSL暗号化を維持できます。詳細については、「セキュリティ要件」を参照してください。Citrix ADCは、SSL/TLS暗号とSSL FIPS Citrix ADCハードウェアを定義するオプションを提供します。
ENT (MAM+MDM)
ENTモードのXenMobile Serverの場合:
-
Citrix Gatewayが必要です。Citrix Gatewayは、すべての企業リソースへのアクセスパスとしてマイクロVPNを提供し、強力な多要素認証をサポートします。
XenMobile ServerモードがENTで、ユーザーがMDM登録をオプトアウトした場合、デバイスはレガシーMAMモードで動作します。レガシーMAMモードでは、デバイスはCitrix Gateway FQDNを使用して登録します。詳細については、「MAMおよびレガシーMAMモードについて」を参照してください。
-
Citrix ADCは負荷分散に推奨されます。詳細については、この記事の「MDM」セクションにあるCitrix ADCの項目を参照してください。
重要:
初期登録の場合、負荷分散仮想サーバーをSSLオフロードまたはSSLブリッジのどちらに構成しても、ユーザーデバイスからのトラフィックはXenMobile Serverで認証されます。
設計上の決定事項
以下のセクションでは、XenMobileとCitrix Gatewayの統合を計画する際に考慮すべき多くの設計上の決定事項をまとめます。
ライセンスとエディション
決定の詳細:
- どのエディションのCitrix ADCを使用する予定ですか?
- Citrix ADCにプラットフォームライセンスを適用しましたか?
- MAM機能が必要な場合、Citrix ADCユニバーサルアクセスライセンスを適用しましたか?
設計ガイダンス:
Citrix Gatewayに適切なライセンスが適用されていることを確認してください。Exchange ActiveSync用のCitrix Gatewayコネクタ™を使用している場合、統合キャッシュが必要になる場合があります。したがって、適切なCitrix ADCエディションが導入されていることを確認する必要があります。
Citrix ADC機能を有効にするためのライセンス要件は次のとおりです。
- XenMobile MDM負荷分散には、最低でもCitrix ADC Standardプラットフォームライセンスが必要です。
- ストレージゾーンコントローラーを使用したShareFile負荷分散には、最低でもCitrix ADC Standardプラットフォームライセンスが必要です。
- XenMobile Advanced Edition (オンプレミス) またはCitrix Endpoint Management™ (クラウド) には、MAMに必要なCitrix Gatewayユニバーサルライセンスが含まれています。
- Exchange負荷分散には、Citrix ADC Platinumプラットフォームライセンス、または統合キャッシュライセンスを追加したCitrix ADC Enterpriseプラットフォームライセンスが必要です。
XenMobile用Citrix ADCバージョン
決定の詳細:
- XenMobile環境で実行されているCitrix ADCのバージョンは何ですか?
- 個別のインスタンスが必要ですか?
設計ガイダンス:
Citrixは、Citrix Gateway仮想サーバーに専用のCitrix ADCインスタンスを使用することを推奨しています。XenMobile環境で必要な最小限のCitrix ADCバージョンとビルドが使用されていることを確認してください。通常、XenMobileには最新の互換性のあるCitrix ADCバージョンとビルドを使用するのが最適です。Citrix Gatewayのアップグレードが既存の環境に影響を与える場合、XenMobile用に2番目の専用インスタンスが適切かもしれません。
XenMobileとVPN接続を使用する他のアプリでCitrix ADCインスタンスを共有する予定がある場合は、両方に十分なVPNライセンスがあることを確認してください。XenMobileのテスト環境と本番環境はCitrix ADCインスタンスを共有できないことに注意してください。
証明書
決定の詳細:
- XenMobile環境への登録とアクセスに、より高度なセキュリティが必要ですか?
- LDAPはオプションではありませんか?
設計ガイダンス:
XenMobileのデフォルト構成はユーザー名とパスワード認証です。XenMobile環境への登録とアクセスに別のセキュリティ層を追加するには、証明書ベースの認証の使用を検討してください。証明書をLDAPと組み合わせて2要素認証に使用することで、RSAサーバーを必要とせずに、より高度なセキュリティを提供できます。
LDAPを許可せず、スマートカードまたは同様の方法を使用する場合、証明書を構成することで、スマートカードをXenMobileに表現できます。その後、ユーザーはXenMobileが生成する一意のPINを使用して登録します。ユーザーがアクセスした後、XenMobileはXenMobile環境への認証に使用される証明書を作成および展開します。
XenMobileは、サードパーティの証明機関に対してのみ証明書失効リスト (CRL) をサポートしています。Microsoft CAが構成されている場合、XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する際には、Citrix ADCの証明書失効リスト (CRL) 設定 Enable CRL Auto Refresh を構成する必要があるかどうかを検討してください。この手順により、MAMに登録されたデバイスのユーザーが既存の証明書を使用して認証できないようにします。XenMobileは新しい証明書を再発行します。これは、証明書が失効した場合でも、ユーザーがユーザー証明書を生成することを制限しないためです。この設定は、CRLが期限切れのPKIエンティティをチェックする際に、PKIエンティティのセキュリティを向上させます。
ネットワークトポロジ
決定の詳細:
- どのCitrix ADCトポロジが必要ですか?
設計ガイダンス:
CitrixはXenMobileにCitrix ADCインスタンスを使用することを推奨しています。ただし、内部ネットワークからDMZへのトラフィックを望まない場合があります。その場合、Citrix ADCの追加インスタンスを設定することを検討してください。内部ユーザー用と外部ユーザー用に1つずつCitrix ADCインスタンスを使用します。ユーザーが内部ネットワークと外部ネットワークを切り替える際、DNSレコードのキャッシュにより、Secure Hubのログオンプロンプトが増加する可能性があります。
XenMobileはCitrix Gatewayのダブルホップをサポートしていません。
専用または共有のCitrix Gateway VIP
決定の詳細:
- 現在、Virtual Apps and DesktopsにCitrix Gatewayを使用していますか?
- XenMobileがVirtual Apps and Desktopsと同じCitrix Gatewayを使用する予定ですか?
- 両方のトラフィックフローの認証要件は何ですか?
設計ガイダンス:
Citrix環境にXenMobileとVirtual Apps and Desktopsが含まれている場合、両方に同じCitrix ADCインスタンスとCitrix Gateway仮想サーバーを使用できます。バージョン競合の可能性と環境の分離のため、各XenMobile環境には専用のCitrix ADCインスタンスとCitrix Gatewayが推奨されます。ただし、専用のCitrix ADCインスタンスがオプションではない場合、Citrixは、XenMobileとVirtual Apps and Desktops間で共有される仮想サーバーではなく、Secure Hubのトラフィックフローを分離するために専用のCitrix Gateway仮想サーバーを使用することを推奨しています。
LDAP認証を使用する場合、ReceiverとSecure Hubは問題なく同じCitrix Gatewayに認証できます。証明書ベースの認証を使用する場合、XenMobileはMDXコンテナに証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。ReceiverはSecure Hubとは別であり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayで認証することはできません。
同じFQDNを2つのCitrix Gateway VIPに使用できる以下の回避策を検討できます。
- 同じIPアドレスを持つ2つのCitrix Gateway VIPを作成します。Secure Hub用のVIPは標準のポート443を使用し、Virtual Apps and Desktops(Receiverを展開する)用のVIPはポート444を使用します。
- 結果として、1つのFQDNが同じIPアドレスに解決されます。
- この回避策の場合、StoreFront™を構成して、デフォルトのポート443ではなくポート444のICAファイルを返すようにすることができます。この回避策では、ユーザーがポート番号を入力する必要はありません。
Citrix Gatewayのタイムアウト
決定の詳細:
- XenMobileトラフィックのCitrix Gatewayタイムアウトをどのように構成しますか?
設計ガイダンス:
Citrix Gatewayには、セッションタイムアウトと強制タイムアウトの設定が含まれています。詳細については、「推奨される構成」を参照してください。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリケーションアクセスには異なるタイムアウト値があることに注意してください。
MAM用XenMobileロードバランサーIPアドレス
決定の詳細:
- VIPに内部IPアドレスと外部IPアドレスのどちらを使用していますか?
設計ガイダンス:
Citrix Gateway VIPにパブリックIPアドレスを使用できる環境で、XenMobileの負荷分散VIPとアドレスをこの方法で割り当てると、登録エラーが発生します。
このシナリオでの登録エラーを回避するために、負荷分散VIPが内部IPを使用していることを確認してください。この仮想IPアドレスは、プライベートIPアドレスのRFC 1918標準に従う必要があります。この仮想サーバーに非プライベートIPアドレスを使用すると、Citrix ADCは認証プロセス中にXenMobile Serverに正常に接続できません。詳細については、https://support.citrix.com/article/CTX200430を参照してください。
MDM負荷分散メカニズム
決定事項:
- Citrix Gateway による XenMobile Server の負荷分散方法
設計のガイダンス:
XenMobile が DMZ にある場合は、SSL Bridge を使用します。セキュリティ標準を満たすために必要な場合は、XenMobile が内部ネットワークにあるときに SSL Offload を使用します。
- SSL Bridge モードで Citrix ADC VIP を使用して XenMobile Server の負荷分散を行う場合、インターネットトラフィックは XenMobile Server に直接流れ、そこで接続が終了します。SSL Bridge モードは、セットアップとトラブルシューティングが最も簡単なモードです。
- SSL Offload モードで Citrix ADC VIP を使用して XenMobile Server の負荷分散を行う場合、インターネットトラフィックは Citrix ADC に直接流れ、そこで接続が終了します。その後、Citrix ADC は Citrix ADC から XenMobile Server への新しいセッションを確立します。SSL Offload モードでは、セットアップとトラブルシューティングの際に複雑さが増します。
SSL Offload を使用した MDM 負荷分散のサービスポート
決定事項:
- SSL Offload モードを負荷分散に使用する場合のバックエンドサービスポート
設計のガイダンス:
SSL Offload の場合、ポート 80 または 8443 を次のように選択します。
- 真のオフロードのために、XenMobile Server に戻るポート 80 を使用します。
- エンドツーエンド暗号化、つまりトラフィックの再暗号化はサポートされていません。詳細については、Citrix サポート記事「NetScaler と XenMobile Server 間のサポートされるアーキテクチャ」を参照してください。
登録 FQDN
決定事項:
- 登録および XenMobile インスタンス/負荷分散 VIP の FQDN
設計のガイダンス:
クラスター内の最初の XenMobile Server の初期構成では、XenMobile Server FQDN を指定する必要があります。その FQDN は、MDM VIP URL および内部 MAM LB VIP URL と一致する必要があります。(内部 Citrix ADC アドレスレコードが MAM LB VIP を解決します。)詳細については、この記事の後半にある「各管理モードの登録 FQDN」を参照してください。
さらに、次のものと同じ証明書を使用する必要があります。
- XenMobile SSL リスナー証明書
- 内部 MAM LB VIP 証明書
- MDM VIP 証明書 (MDM VIP に SSL Offload を使用する場合)
重要:
登録 FQDN を構成した後、変更することはできません。新しい登録 FQDN には、新しい SQL Server データベースと XenMobile Server の再構築が必要です。
Secure Web トラフィック
決定事項:
- Secure Web の内部 Web ブラウジングのみへの制限
- Secure Web の内部および外部 Web ブラウジングの両方での有効化
設計のガイダンス:
Secure Web を内部 Web ブラウジングのみに使用する予定の場合、Citrix Gateway の構成は簡単です。Secure Web は、デフォルトですべての内部サイトに到達できる必要があります。ファイアウォールとプロキシサーバーを構成する必要がある場合があります。
Secure Web を内部および外部ブラウジングの両方で使用する予定の場合、SNIP がアウトバウンドインターネットアクセスを持つように有効にする必要があります。IT 部門は通常、登録済みデバイス (MDX コンテナを使用) を企業ネットワークの拡張と見なします。そのため、IT 部門は通常、Secure Web 接続が Citrix ADC に戻り、プロキシサーバーを介してインターネットにアクセスすることを望んでいます。デフォルトでは、Secure Web はすべてのネットワークアクセスに対して、アプリケーションごとの VPN トンネルを使用して内部ネットワークに戻ります。Citrix ADC はスプリットトンネル設定を使用します。
Secure Web 接続の詳細については、「ユーザー接続の構成」を参照してください。
Secure Mail のプッシュ通知
決定事項:
- プッシュ通知の使用
iOS の設計ガイダンス:
Citrix Gateway の構成には、スプリットトンネリングがオフの Secure Ticket Authority (STA) が含まれる場合があります。Citrix Gateway は、Secure Mail for iOS のプッシュ通知で指定された Citrix リスナーサービス URL への Secure Mail からのトラフィックを許可する必要があります。
Android の設計ガイダンス:
Firebase Cloud Messaging (FCM) を使用して、Android デバイスが XenMobile に接続する必要がある方法とタイミングを制御します。FCM が構成されている場合、セキュリティアクションまたは展開コマンドは、Secure Hub にプッシュ通知をトリガーし、ユーザーに XenMobile Server への再接続を促します。
HDX™ STA
決定事項:
- HDX アプリケーションアクセスを統合する場合の STA の使用
設計のガイダンス:
HDX STA は StoreFront の STA と一致し、Virtual Apps and Desktops ファームに対して有効である必要があります。
Citrix Files と ShareFile
決定事項:
- 環境でのストレージゾーンコントローラーの使用
- 使用する Citrix Files VIP URL
設計のガイダンス:
環境にストレージゾーンコントローラーを含める場合は、次のものを正しく構成してください。
- Citrix Files Switch VIP (Citrix Files Control Plane がストレージゾーンコントローラーサーバーと通信するために使用)
- Citrix Files 負荷分散 VIP
- 必要なすべてのポリシーとプロファイル
詳細については、「ストレージゾーンコントローラーのドキュメント」を参照してください。
SAML IdP
決定事項:
- Citrix Files に SAML が必要な場合の XenMobile の SAML IdP としての使用
設計のガイダンス:
推奨されるベストプラクティスは、Citrix Files を XenMobile Advanced Edition または XenMobile Advanced Edition (オンプレミス) または Citrix Endpoint Management (クラウド) と統合することです。これは、SAML ベースのフェデレーションを構成するよりも簡単な代替手段です。これらの XenMobile エディションで Citrix Files を使用する場合、XenMobile は Citrix Files に次の機能を提供します。
- モバイル生産性アプリユーザーのシングルサインオン (SSO) 認証
- Active Directory に基づくユーザーアカウントプロビジョニング
- 包括的なアクセス制御ポリシー
XenMobile コンソールを使用すると、Citrix Files の構成を実行し、サービスレベルとライセンス使用状況を監視できます。
Citrix Files クライアントには、Citrix Files for XenMobile クライアント (ラップされた Citrix Files とも呼ばれます) と Citrix Files モバイルクライアント (ラップされていない Citrix Files とも呼ばれます) の 2 種類があります。違いを理解するには、「Citrix Files for XenMobile クライアントと Citrix Files モバイルクライアントの違い」を参照してください。
XenMobile と ShareFile を構成して SAML を使用し、次のものへの SSO アクセスを提供できます。
- Citrix Files モバイルアプリ
- Web サイト、Outlook プラグイン、同期クライアントなどの非ラップ型 Citrix Files クライアント
XenMobile を Citrix Files の SAML IdP として使用するには、適切な構成が整っていることを確認してください。詳細については、「Citrix Files での SSO 用 SAML」を参照してください。
ShareConnect ダイレクト接続
決定事項:
- ShareConnect を使用したコンピューターまたはモバイルデバイスからのホストコンピューターへのダイレクト接続アクセス
設計のガイダンス:
ShareConnect を使用すると、ユーザーは iPad、Android タブレット、Android フォンを介してコンピューターに安全に接続し、ファイルやアプリケーションにアクセスできます。ダイレクト接続の場合、XenMobile は Citrix Gateway を使用して、ローカルネットワーク外のリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。
各管理モードの登録 FQDN
| 管理モード | 登録 FQDN |
| Enterprise (MDM+MAM) (必須 MDM 登録あり) | XenMobile Server FQDN |
| Enterprise (MDM+MAM) (オプション MDM 登録あり) | XenMobile Server FQDN または Citrix Gateway FQDN |
| MDM のみ | XenMobile Server FQDN |
| MAM のみ (レガシー) | Citrix Gateway FQDN |
| MAM のみ | XenMobile Server FQDN |
展開の概要
Citrix は、適切な構成を確実にするために、XenMobile ウィザード用の Citrix ADC を使用することをお勧めします。ウィザードは 1 回しか使用できません。テスト、開発、および本番環境など、複数の XenMobile インスタンスがある場合は、追加の環境用に Citrix ADC を手動で構成する必要があります。動作する環境がある場合は、XenMobile 用に Citrix ADC を手動で構成する前に、設定をメモしておいてください。
ウィザードを使用する際の重要な決定事項は、XenMobile Server への通信に HTTPS または HTTP のどちらを使用するかです。HTTPS は、Citrix ADC と XenMobile 間のトラフィックが暗号化されるため、安全なバックエンド通信を提供します。再暗号化は XenMobile Server のパフォーマンスに影響を与えます。HTTP は、XenMobile Server のパフォーマンスを向上させます。Citrix ADC と XenMobile 間のトラフィックは暗号化されません。次の表は、Citrix ADC および XenMobile Server の HTTP および HTTPS ポート要件を示しています。
HTTPS
Citrix は通常、Citrix ADC MDM 仮想サーバー構成に SSL Bridge を推奨しています。MDM 仮想サーバーでの Citrix ADC SSL Offload の使用の場合、XenMobile はバックエンドサービスとしてポート 80 のみをサポートします。
| 管理モード | Citrix ADC 負荷分散方法 | SSL 再暗号化 | XenMobile サーバーポート |
| MDM | SSL Bridge | 該当なし | 443、8443 |
| MAM | SSL Offload | 有効 | 8443 |
| Enterprise | MDM: SSL Bridge | 該当なし | 443、8443 |
| Enterprise | MAM: SSL Offload | 有効 | 8443 |
HTTP
| 管理モード | Citrix ADC 負荷分散方法 | SSL 再暗号化 | XenMobile サーバーポート |
| MDM | SSL Offload | サポートされていません | 80 |
| MAM | SSL Offload | 有効 | 8443 |
| Enterprise | MDM: SSL Offload | サポートされていません | 80 |
| Enterprise | MAM: SSL Offload | 有効 | 8443 |
XenMobile 展開における Citrix Gateway の図については、「オンプレミス展開の参照アーキテクチャ」を参照してください。