Citrix Cloud

システムおよび接続要件

Citrix Cloudでは、管理機能(Webブラウザー経由)およびご利用中の展開環境のリソースに接続される(他のインストールされたコンポーネントからの)操作要求を使用できます。この記事には、ご利用中のリソースとCitrix Cloud間の接続を確立するためのシステム要件、必要なアクセス可能インターネットアドレス、および考慮事項について記載されています。

システム要件

Citrix Cloudの最小構成要件は、以下のとおりです。

  • Active Directoryドメイン
  • ドメインに参加しているCitrix Cloud Connector用の2つの物理マシンまたは仮想マシン。詳しくは、「Citrix Cloud Connectorの技術詳細」を参照してください。
  • ワークロードおよびStoreFrontなどの他のコンポーネントをホストするための物理マシンまたは仮想マシン(ドメイン参加済み)。特定のサービスのシステム要件について詳しくは、各サービスのCitrixドキュメントを参照してください。

スケールとサイズの要件について詳しくは、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。

サポートされるWebブラウザー

  • 最新バージョンのGoogle Chrome
  • 最新バージョンのMozilla Firefox
  • 最新バージョンのMicrosoft Edge
  • 最新バージョンのApple Safari

Transport Layer Security(TLS)の要件

Citrix Cloudは、コンポーネント間のTCPベースの接続でTLS(Transport Layer Security)1.2をサポートしています。Citrix Cloudは、TLS 1.0またはTLS 1.1を介した通信を許可していません。

Citrix Cloudにアクセスするには、TLS 1.2対応のブラウザーを使用して、承認済みの暗号の組み合わせを構成している必要があります。詳しくは、「暗号化とキー管理」を参照してください。

Citrix Cloud管理コンソール

Citrix Cloud管理コンソールは、https://citrix.cloud.comにサインインすると使用できるWebベースのコンソールです。コンソールのWebページでは、サインイン時またはその後に特定の操作を実行するために、インターネットの他のリソースが必要になります。

プロキシ構成

プロキシサーバー経由で接続すると、使用しているWebブラウザーに適用された構成と同じ構成で管理コンソールが機能します。コンソールは、ユーザー環境で機能するため、ユーザー認証を必要とするプロキシサーバーの構成は通常どおりに機能します。

ファイアウォール構成

管理コンソールを機能させる場合、発信接続のためにポート443を開いている必要があります。コンソール内を移動して、一般的な接続性をテストできます。必要なポートの詳細については、「送受信ポートの構成」を参照してください。

コンソール通知

管理コンソールはPendoを使用して、重要なアラート、新機能に関する通知、一部の機能とサービスに関する製品内ガイダンスを表示します。管理コンソール内でPendoのコンテンツを表示できるようにするために、Citrixではアドレスhttps://citrix-cloud-content.customer.pendo.io/を利用できるようにしてください。

以下サービスは、Pendoコンテンツを表示します:

  • Citrix Analytics
  • Citrix DaaS
  • Citrix Workspace

Pendoは、Citrixが顧客にクラウドサービスおよびサポートサービスを提供するために使用するサードパーティのサブプロセッサです。これらのサブプロセッサの完全な一覧については、「Sub-Processors for Citrix Cloud & Support Services and Citrix Affiliates」を参照してください。

セッションのタイムアウト

管理者がCitrix Cloudにサインインした後、24時間が経過すると、管理コンソールセッションがタイムアウトします:このタイムアウトは、コンソールアクティビティの有無にかかわらず発生します。

Citrix Cloudへのライセンスサーバーの登録

オンプレミス展開の使用状況を監視するために、オンプレミスのCitrixライセンスサーバーをCitrix Cloudに登録する場合、次のアドレスを使用できることを確認します:

  • https://trust.citrixnetworkapi.net(コードを取得する場合)
  • https://trust.citrixworkspacesapi.net/ (ライセンスサーバーが登録されていることを確認する場合)
  • https://cis.citrix.com(データをアップロードする場合)
  • https://core-eastus-release-a.citrixworkspacesapi.net
  • https://core.citrixworkspacesapi.net
  • ocsp.digicert.com port 80
  • crl3.digicert.com port 80
  • crl4.digicert.com port 80
  • ocsp.entrust.net port 80
  • crl.entrust.net port 80

Citrixライセンスサーバーにプロキシサーバーを使用している場合、プロキシサーバーがライセンスサーバー製品ドキュメントの「プロキシサーバーの構成」の説明どおりに構成されていることを確認します。

Citrix Cloud Connector

Citrix Cloud Connectorは、Microsoft Windowsサーバーで実行されるサービスセットを展開するソフトウェアパッケージです。Cloud Connectorをホストするマシンは、Citrix Cloudで使用するリソースが存在するネットワーク内にあります。Cloud ConnectorはCitrix Cloudに接続し、必要に応じてリソースを操作および管理することができます。

Cloud Connectorをインストールするために必要な条件については、「システム要件」を参照してください。操作には、Cloud Connectorがポート443を使用して発信する必要があります。インストール後、使用されているCitrix Cloudサービスに応じて、Cloud Connectorにアクセス要件が追加される場合があります。

Cloud Connectorをホストするマシンには、Citrix Cloudとの安定したネットワーク接続が必要です。ネットワークコンポーネントは、HTTPSと、長期間有効で安全なWebソケットをサポートしている必要があります。ネットワークコンポーネントでタイムアウトが設定されている場合、設定は2分より長くする必要があります。

Cloud ConnectorとCitrix Cloudとの接続の問題をトラブルシューティングするには、Cloud Connector接続性チェックユーティリティを使用してください。このユーティリティは、Cloud Connectorマシンで一連のチェックを実行し、Citrix Cloudと関連サービスにアクセス可能であることを確認します。環境でプロキシサーバーを使用している場合、すべての接続チェックはプロキシサーバーを介してトンネリングされます。ユーティリティをダウンロードするには、CitrixサポートのKnowledge CenterでCTX260337を参照してください。

Cloud Connectorの一般的なサービス接続要件

データセンターからインターネットへの接続に必要なのは、発信接続のためにポート443を開くことです。ただし、インターネットのプロキシサーバーまたはファイアウォールの制限がある環境で操作するには、追加の構成が必要です。詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。

サービスを適切に操作し、消費するには、この記事の各アドレスが利用可能である必要があります。次の一覧では、ほとんどのCitrix Cloudサービスに共通したアドレスを表示します:

  • https://*.citrixworkspacesapi.net(サービスが使用するCitrix Cloud APIへのアクセスを提供します)
  • https://*.cloud.com(Citrix Cloudサインインインターフェイスへのアクセスを提供します)
  • https://*.blob.core.windows.net(Citrix Cloud Connectorの更新を格納するAzure Blob Storageへのアクセスを提供します)
  • https://*.servicebus.windows.net(ログおよびActive Directoryエージェントに使用されるAzure Service Busへのアクセスを提供します)

Citrix Cloudサービスは動的であり、IPアドレスは定期的に変更されるため、これらのアドレスはドメイン名としてのみ提供されます。

ベストプラクティスとして、グループポリシーを使用してこれらのアドレスを構成して管理します。また、組織で消費するサービスに適用できるアドレスのみを構成してください。

オンプレミス製品の登録を実行するためにCitrixライセンスサーバーでCitrix Cloudを使用している場合、追加で必要な連絡先アドレスに関しては、本記事の「Citrix Cloudへのライセンスサーバーの登録」を参照してください。

Cloud Connectorで許可されているFQDN

必要なすべての完全修飾ドメイン名(FQDN)がファイアウォールを通過できるようにするために、Citrixは次のリソースを提供しています。

ファイアウォールを構成するときは、これらの両方のリソースを参照して、サービスの展開に必要なFQDNが許可されていることを確認してください。

ローカルホストキャッシュ(高可用性サービス)

コネクタでローカルホストキャッシュ(LHC)を使用する場合は、コネクタがリソースの場所にある他のすべてのコネクタの選出エンドポイントにアクセスできることを確認してください。選出エンドポイントはポート80上にあり、次のURLを通じてアクセスできます:http://<FQDN_OF_PEER_CONNECTOR>/Citrix/CdsController/ISecondaryBrokerElection

コネクタがこのアドレスで通信できない場合、LHCイベント中に複数のブローカーが選出され、仮想アプリとデスクトップの起動が断続的に失敗する可能性があります。詳しくは、「リソースの場所にCloud Connectorが複数存在する場合」を参照してください。

アダプティブ認証

アダプティブ認証サービスへの接続にCloud Connectorを使用する場合は、アダプティブ認証インスタンス用に予約したドメインまたはURLへのCitrix Cloud Connectorのアクセスを許可する必要があります。たとえば、https://aauth.xyz.comを許可します。詳しくは、「アダプティブ認証」を参照してください。

Allowlist.json

allowlist.jsonファイルはhttps://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.jsonにあり、Cloud ConnectorがアクセスするFQDNがリストされています。この一覧は製品ごとにグループ化されており、一覧の中にFQDNの各グループの変更ログも記載されています。

これらのFQDNの一部は、顧客に固有のものであり、角かっこで囲まれたテンプレート化されたセクションがあります。これらのテンプレート化されたセクションは、使用する前に実際の値に置き換える必要があります。たとえば、<CUSTOMER_ID>.xendesktop.netの場合、<CUSTOMER_ID>をCitrix Cloudアカウントの実際の顧客IDに置き換えます。顧客IDは、次のコンソールの場所にあります:

  • 画面の右上隅、Citrix Cloudアカウントの顧客名の下。

    顧客IDが強調表示されたCitrix Cloudコンソール

  • [アカウント設定]ページ、Citrix Cloudの顧客ID(CCID)の下。

    顧客IDが強調表示された[アカウント設定]ページ

  • [セキュアクライアント] タブ([IDおよびアクセス管理]>[APIアクセス]>[セキュアクライアント]

    顧客IDが強調表示された[セキュアクライアント]ページ

ゲートウェイサービスのポイントオブプレゼンス

allowlist.jsonファイルに含まれるFQDNの一部は、CTX270584: Citrix Gateway Service – Points of Presence (PoPs)にも含まれています。ただし、CTX270584には、クライアントがアクセスする次のようなFQDNも含まれます:

  • global-s.g.nssvc.net
  • azure-s.g.nssvc.net

証明書の検証

Cloud Connectorが通信するCloud Connectorバイナリおよびエンドポイントは、ソフトウェアのインストール時に検証されたX.509証明書で保護されています。これらの証明書を検証するには、各Cloud Connectorマシンが特定の要件を満たしている必要があります。これらの要件をまとめた一覧については、「証明書の検証要件」を参照してください。

SSL暗号化解除

一部のプロキシでSSL暗号化解除を有効にすると、Cloud ConnectorがCitrix Cloudに正常に接続できなくなる可能性があります。この問題の解決について詳しくは、CTX221535を参照してください。

クラウドサービス用のCitrix Connector Appliance

Connector Applianceは、ハイパーバイザーに展開できるアプライアンスです。Connector Applianceをホストするハイパーバイザーは、Citrix Cloudで使用するリソースが存在するネットワーク内にあります。Connector ApplianceはCitrix Cloudに接続し、必要に応じてリソースを操作および管理することができます。

Connector Applianceをインストールするために必要な条件については、「システム要件」を参照してください。

操作には、ポート443を使用して発信する必要があります。ただし、インターネットのプロキシサーバーまたはファイアウォールの制限がある環境で操作するには、追加の構成が必要です。

Citrix Cloudサービスを適切に操作し消費するには、以下のアドレスが利用できる必要があります:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.*.nssvc.net

    すべてのサブドメインを有効にできない顧客は、代わりに次のアドレスを使用できます

    • https://*.g.nssvc.net
    • https://*.c.nssvc.net
  • https://*.servicebus.windows.net
  • https://iwsprodeastusuniconacr.azurecr.io
  • https://iwsprodeastusuniconacr.eastus.data.azurecr.io

ネットワークの要件

Connector Appliance環境の構成が以下の要件を満たしていることを確認します:

  • ネットワークにより、Connector ApplianceはDHCPを使用して、DNSおよびNTPサーバー、IPアドレス、ホスト名、およびドメイン名を取得できます。または、Connector Applianceコンソールでネットワーク設定を手動で設定することもできます。
  • このネットワークは、Connector Applianceによって内部的に使用される169.254.0.1/24、169.254.64.0/18、または169.254.192.0/18というリンクローカルIP範囲を使用するようには構成されていません。
  • ハイパーバイザークロックが協定世界時(UTC)に設定され、タイムサーバーと同期されるか、DHCPがNTPサーバー情報をConnector Applianceに提供します。
  • Connector Applianceでプロキシを使用する場合、プロキシは認証されていない、または基本認証が使用されている必要があります。

Citrix Analytics Serviceの接続性

  • 新機能や重要なコミュニケーションを含む製品内メッセージの場合: https://citrix-cloud-content.customer.pendo.io/
  • 追加要件:前提条件

サービスへのデータソースのオンボード(配布準備)について詳しくは、「サポートされるデータソース」を参照してください。

Application Delivery Managementサービスの接続性

完全なインターネット接続要件については、NetScaler製品ドキュメントにある「Supported ports」を参照してください。

Citrix DaaSサービスの接続性

Citrixリソースの場所/Cloud Connector:

  • Cloud Connectorの一般的なサービス接続要件
  • https://[customerid].xendesktop.net。この[customerid]は、Citrix Cloud管理コンソールの [セキュアクライアント] タブ( [IDおよびアクセス管理]>[APIアクセス]>[セキュアクライアント] )に表示される顧客IDパラメーターです。
    • Citrix Virtual Apps Essentialsを使用している顧客は、代わりにhttps://*.xendesktop.netを使用する必要があります。
  • [Quick Deploy]を使用してCitrix DaaSをインストールするお客様は、次の追加アドレスを連絡可能にしておく必要があります:
  • https://*.*.nssvc.net
    • すべてのサブドメインを有効にできない顧客は、代わりに次のアドレスを使用できます:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

Cloud Connectorがサービスと通信する方法の概要については、Citrix Tech ZoneのWebサイトにある「Citrix DaaSの図」を参照してください。

管理コンソール:

  • https://*.citrixworkspacesapi.net(Rendezvousプロトコルには必要ありません)
  • https://*.citrixnetworkapi.net(Rendezvousプロトコルには必要ありません)
  • https://*.cloud.com(Rendezvousプロトコルには必要ありません)
  • https://[customerid].xendesktop.net。この[customerid]は、Citrix Cloud管理コンソールの [セキュアクライアント] タブ( [IDおよびアクセス管理]>[APIアクセス]>[セキュアクライアント] )に表示される顧客IDパラメーターです。
    • Citrix Virtual Apps Essentialsを使用している顧客は、代わりにhttps://*.xendesktop.netを使用する必要があります。
  • https://*.*.nssvc.net (Citrix DaaS Standard for Azureの場合は不要)
    • すべてのサブドメインを有効にできない顧客は、代わりに次のアドレスを使用できます:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net
  • 新機能や重要なコミュニケーションを含む製品内メッセージの場合: https://citrix-cloud-content.customer.pendo.io/

Rendezvousプロトコル

Citrix Gatewayサービスを使用する場合、Rendezvousプロトコルにより、VDAがCitrix Cloud Connectorをバイパスして、Citrix Cloudコントロールプレーンに直接かつ安全に接続できます。

使用しているプロトコルのバージョンに関係なく、特に明記されていない限り、VDAは上記の管理コンソールのアドレスに接続できる必要があります。Rendezvousプロトコルの要件の完全なリストについては、Citrix DaaS製品ドキュメントの次のセクションを参照してください。

ローカルホストキャッシュの要件

ファイアウォールでパケット検査を実行し、ローカルホストキャッシュ機能を使用する場合は、ファイアウォールがXMLおよびSOAPトラフィックを許可していることを確認してください。これには、Cloud Connectorが構成データをCitrix Cloudと同期するときに発生するMDFファイルをダウンロードする機能が必要です。このMDFファイルは、XMLおよびSOAPトラフィックを介してCloud Connectorに配信されます。ファイアウォールがこのトラフィックをブロックすると、Cloud ConnectorとCitrix Cloud間の同期が失敗します。停止状態が発生した場合、Cloud Connectorにある構成データが古くなっているため、ユーザーは作業を続行できません。

この機能について詳しくは、Citrix DaaS製品ドキュメントの「ローカルホストキャッシュ」を参照してください。

VDAのアップグレード要件

Citrix DaaSの[完全な構成]インターフェイスを使用すると、カタログごとまたはマシンごとにVDAをアップグレードできます。すぐに、またはスケジュールした時間に、アップグレードできます。VDAのアップグレード機能について詳しくは、「[完全な構成]インターフェイスを使用したVDAのアップグレード」を参照してください。

この機能を使用する場合は、次の接続要件を満たしていることを確認してください:

  • 次のAzure CDNのURLが許可リストに追加されました。この機能は、Azure CDNエンドポイントからVDAインストーラーをダウンロードします。

    • 実稼働 - 米国(US):https://prod-us-vus-storage-endpoint.azureedge.net/*
    • 実稼働 - 欧州連合(EU):https://prod-eu-vus-storage-endpoint.azureedge.net/*
    • 実稼働 - 南アジア太平洋(APS):https://prod-aps-vus-storage-endpoint.azureedge.net/*
    • 実稼働 - 日本(JP):https://prod-jp-vus-storage-endpoint.azureedge.net/*
  • この機能は、VDAインストーラーが有効な証明書によって署名されていることを確認します。証明書の有効性と失効チェックのために、次のURLが許可リストに追加されていることを確認してください:

    • http://crl3.digicert.com/*
    • http://crl4.digicert.com/*
    • http://ocsp.digicert.com/*
    • http://cacerts.digicert.com/*
  • この機能を使用するには、VDA Upgrade Agentが動作する必要があります。VDAで実行されているVDA Upgrade Agentは、Citrix DaaSと通信します。次のURLが許可リストに追加されていることを確認します:

    • https://[customerId].xendesktop.net/citrix/VdaUpdateService/*。この[customerid]は、Citrix Cloud管理コンソールの [セキュアクライアント] タブ( [IDおよびアクセス管理]>[APIアクセス]>[セキュアクライアント] )に表示される顧客IDパラメーターです。
    • http://xendesktop.net/citrix/VdaUpdateService/*

Endpoint Managementサービスの接続性

Citrixリソースの場所/Cloud Connector:

管理コンソール:

Citrix Gatewayサービスの接続性

重要:

  • SSLインターセプションは、Citrix Gatewayアドレスでは実行できません。一部のプロキシでSSLインターセプションを有効にすると、Cloud ConnectorがCitrix Cloudに正常に接続できなくなる可能性があります。
  • DNSフォワーダーが特定のドメインの再帰的にDNS解決を許可するように構成されている場合、*.citrixngsk8s.netを許可してCloud ConnectorがCitrix Gatewayサービスに接続できるようにします。

NetScaler Intelligent Traffic Managementサービスの接続性

  • https://*.cedexis-test.com
  • https://*.citm-test.com
  • https://cedexis.com
  • https://cedexis-radar.net

SD-WAN Orchestratorサービスの接続性

完全なインターネット接続要件については、「Citrix SD-WAN Orchestratorサービス使用の前提条件」を参照してください。

Remote Browser Isolation(旧称Secure Browser)サービスの接続

Citrixリソースの場所/Cloud Connector:

Cloud Connectorの一般的なサービス接続要件

管理コンソール:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://browser-release-a.azureedge.net
  • https://browser-release-b.azureedge.net

Citrix Secure Private Accessサービスの接続性

  • https://*.netscalergateway.net
  • https://*.*.nssvc.net
    • すべてのサブドメインを有効にできない顧客は、代わりに次のアドレスを使用できます:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

Citrix Workspace Serviceの接続性

  • https://*.cloud.com
  • https://*.citrixdata.com
  • 新機能や重要なコミュニケーションを含む製品内メッセージの場合、次を参照:https://citrix-cloud-content.customer.pendo.io/

Global App Configuration Serviceの接続性

https://discovery.cem.cloud.us https://gacs-discovery.cloud.com https://gacs-config.cloud.com

このサービスについて詳しくは、次のリソースを参照してください:

Citrix Workspaceアプリの接続

次のURLを許可リストに追加します:

  • https://*.cloud.com
  • IDプロバイダーのアドレス。対応するIDプロバイダーのドキュメントの手順を参照してください。
  • https://*.wsp.cloud.com

特定のURLについては、次のアドレスへのアクセスを許可します:

  • <yourcustomer>.cloud.com

Citrix Secure Private Access

  • ngspolicy.netscalergateway.net
  • config.netscalergateway.net
  • app.netscalergateway.net
  • http://tunnel.netscalergateway.net/

Global App Configuration Service

この記事の「Global App Configuration Serviceの接続性」を参照してください。

認証

  • accounts.cloud.com
  • accounts-dsauthweb.cloud.com

IDプロバイダーのURLがエンドユーザーのデバイスからもアクセスできることを確認してください。

Citrix Analytics Service

  • locus.analytics.cloud.com

場所に応じて、次の一覧から適切なURLへのアクセスを有効にします:

  • US:citrixanalyticseh.servicebus.windows.net
  • EU:citrixanalyticseheu.servicebus.windows.net
  • APS:citrixanalyticsehaps.servicebus.windows.net

Workspaceのグラフィカルインターフェイスアセット

  • ctx-ws-assets.cloud.com

個人設定、通知、および機能のロールアウト

  • customer-interface-personalization.us.wsp.cloud.com
  • user-personalization.us.wsp.cloud.com
  • admin-notification.us.wsp.cloud.com
  • customer-interface-personalization.eu.wsp.cloud.com
  • user-personalization.eu.wsp.cloud.com
  • admin-notification.eu.wsp.cloud.com
  • customer-interface-personalization.ap-s.wsp.cloud.com
  • user-personalization.ap-s.wsp.cloud.com
  • admin-notification.ap-s.wsp.cloud.com
  • feature-rollout.us.wsp.cloud.com
  • feature-rollout.eu.wsp.cloud.com
  • feature-rollout.ap-s.wsp.cloud.com

デバイス登録サービス

  • device-registration.us.wsp.cloud.com
  • device-registration.eu.wsp.cloud.com
  • device-registration.ap-s.wsp.cloud.com

プッシュ通知サービス

  • push-events-signalr.us.wsp.cloud.com
  • push-events-signalr.eu.wsp.cloud.com
  • push-events-signalr.ap-s.wsp.cloud.com

Citrix Gatewayサービス

  • https://*.g.nssvc.net

Citrixフェデレーション認証サービス(FAS)を使用したWorkspaceのシングルサインオン

コンソールとFASサービスは、それぞれユーザーのアカウントとネットワークサービスアカウントを使用して次のアドレスにアクセスします。

  • ユーザーアカウントの下のFAS管理コンソール:
    • https://*.cloud.com
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/
    • サードパーティのIDプロバイダーが必要とするアドレス(環境で使用されている場合)
  • ネットワークサービスアカウントの下のFASサービス:
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

環境にプロキシサーバーが含まれている場合は、FAS管理コンソールのアドレスを使用してユーザープロキシを構成します。また、ネットワークサービスアカウントのアドレスが環境に応じて適切に構成されていることを確認してください。

Citrix WorkspaceアプリのIDプロバイダーとしてActive DirectoryまたはActive Directoryおよび時間ベースのワンタイムパスワード(TOTP)を使用している場合は、login.cloud.comも許可リストに登録する必要があります。他のIDプロバイダーを使用している場合は、IDプロバイダーのURLを個別に許可します。

CASのイベントハブのURLもリージョン固有です。citrixanalyticseh-alias.servicebus.windows.net

Workspace Environment Managementサービスの接続性

Citrixリソースの場所/Cloud Connector/エージェント:

https://*.wem.cloud.com

完全な要件については、Workspace Environment Managementサービスのドキュメントの 「接続の前提条件」 を参照してください。