ユーザーのネットワークの場所に基づく適応アクセス - プレビュー
Citrixワークスペースプラットフォーム適応アクセス機能は、高度なポリシーインフラストラクチャを使用して、ユーザーのネットワークの場所に基づいたCitrix Virtual Apps and Desktopsへのアクセスを可能にします。場所は、IPアドレス範囲またはサブネットアドレスで定義されます。
管理者は、ユーザーのネットワークの場所に基づいて、Citrix Virtual Apps and Desktopsを列挙するかどうかのポリシーを定義できます。また、管理者は、ユーザーのネットワークの場所に基づいて、クリップボードアクセス、プリンター、クライアントドライブマッピングなどを有効または無効にすることで、Citrix Virtual Apps and Desktopsで実行できるユーザー操作を制御できます。たとえば、管理者は、アプリケーションにアクセスするための以下のポリシーを実装できます:
- 企業の場所またはブランチオフィスからのみ、機密性の高いアプリケーションをいくつか列挙する。
- 従業員が外部ネットワークからワークスペースにアクセスしている場合は、機密性の高いアプリケーションを列挙しない。
- ブランチオフィスからのプリンターアクセスを無効にする。
- ユーザーが企業ネットワークの外部にいる場合は、クリップボードアクセスとプリンターアクセスを無効にする。
前提条件
-
Citrixワークスペースプラットフォームを介してアクセスするCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)展開。
-
「https://podio.com/webforms/25412100/1884833」を使用して適応アクセスのプレビューにサインアップします。
注: これが必要になるのはプレビュー中のみです。
推奨事項
Citrix DaaS展開で:
- テストのデリバリーグループを特定するか、デリバリーグループを作成して、この機能を実装します。
- ポリシーを作成するか、テストのデリバリーグループで使用できるポリシーを特定します。
注意事項
ネットワークの場所に基づいてCitrix Virtual Apps and Desktopsを選択的に列挙する場合は、ワークスペースではなくCitrix Studioポリシーを使用して、これらのデリバリーグループに対してユーザー管理を実行する必要があります。デリバリーグループを作成するときは、[ユーザー設定] で、[次のユーザーに対するこのデリバリーグループの使用を制限します] または [任意の認証ユーザーによるこのデリバリーグループの使用を許可します] を選択します。これにより、適応アクセスを構成するのに必要な[デリバリーグループ]下の [アクセスポリシー] タブが有効になります。
注: これは、適応アクセスを使用し、ネットワークの場所に基づいて、クリップボードアクセス、プリンターリダイレクト、クライアントドライブマッピングを無効にするなど、ユーザーコントロールを制限する場合には、必要ありません。
構成方法
大まかに言うと、次の手順を実行する必要があります。
- ユーザーの場所に基づいて、実装する適応アクセスポリシーを定義します。
- 適応アクセスの実装を計画している企業およびブランチオフィスのネットワークの場所を構成します。
- 定義されたネットワークの場所を使用して、Citrix StudioでCitrix Virtual Apps and Desktopsの適応アクセスポリシーを構成します。
実装する適応ポリシーの定義
次の例を見てみましょう:
| 場所 | アクセスまたはユーザーコントロール |
|---|---|
| 内部 | すべてのアプリケーションを列挙します |
| ブランチオフィス | すべてのアプリケーションを列挙します |
| 外部 | 機密性の高いアプリケーションをいくつか列挙したり、すべてのアプリケーションへのクリップボードプリンターアクセスを無効にしたりしないでください |
ネットワークの場所の構成
Citrix Cloudのネットワークの場所サービスを使用して(https://citrix.cloud.com/networksites)、ネットワークの場所を構成できます。 サイトを作成し、ネットワーク接続によって、サイトを内部サイトとして扱うか外部サイトとして扱うかを定義できます。その後、サイトにタグを付けることができます。サイトが作成されたら、各クライアントIPアドレスを一連のタグに関連付ける必要があります。
注:
- 外部ネットワークを定義するのではなく、ユーザーがより特権的にアクセスできるネットワークの場所を定義することをお勧めします。ネットワークの場所を使用して、内部ネットワークやブランチオフィスなどを定義し、これらの場所からの優先アクセス権限を付与します。
- ネットワークの場所またはサイトごとにタグを定義します。例:「BranchOffice」(ブランチオフィス)。これらのタグは、Citrix Studioで適応アクセスポリシーを構成するために使用されます。定義されているデフォルトのタグは、LOCATION_externalとLOCATION_internalです。 注: Citrix Studioでは、タグ名の前に「LOCATION_TAG_」というプレフィックスを付ける必要があります。たとえば、「BranchOffice」というタグを使用してネットワークの場所を定義した場合、Citrix Studioポリシーでフィルターオプションを構成するときには、「LOCATION_TAG_BranchOffice」という名前にします。
Citrix Studioでの適応アクセスポリシーの構成
注: これはすべてを網羅した構成ではありません。タグ名を使用してStudioポリシーを構成する方法のサンプルです。
前の手順で定義したネットワークの場所のタグは、Citrix Studioで適応アクセスポリシーを構成するために使用されます。この手順は、オンプレミスゲートウェイを使用してSmartAccessポリシーを構成する手順に似ています。Citrix Gatewayを「FARM」の下のワークスペースに置き換え、セッションポリシーを「Filter」の下のネットワークの場所のタグに置き換える必要があります。
この手順では、Citrix Studioポリシー(既存または新規)を選択し、それをデリバリーグループ(既存または新規)に関連付けます。デリバリーグループを作成するには、「デリバリーグループの作成」を参照してください。ポリシーを作成するには、「ポリシーの作成」を参照してください。
Citrix Virtual Apps and Desktops列挙の適応アクセスポリシーの構成
前述の例を使用して、機密性の高いアプリケーションを企業ネットワーク(この場合はBranchOffice)からのみ列挙するポリシーを作成してみましょう。 適応アクセスポリシーをテストするために特定したデリバリーグループに対して「LOCATION_TAG_BranchOffice」タグを割り当てるには、次の手順を実行します。
- Citrix Cloudにサインインします。
- [マイサービス]>[DaaS] を選択します。
- [管理] をクリックします。
- 要件に応じてデリバリーグループを作成します。詳しくは、「デリバリーグループの作成」を参照してください。
- 作成したデリバリーグループを選択し、[デリバリーグループの編集] をクリックします。
- [アクセスポリシー] をクリックします。
-
[追加] をクリックして、以下を選択します:
- [ファーム]で[ワークスペース]
- [フィルター]で「LOCATION_TAG_BranchOffice」
注: 同じファームに複数のフィルターを追加できます。[ファーム] は常に [ワークスペース] に設定する必要があり、ネットワークの場所の構成に基づいて作成された適応アクセスタグのいずれかがフィルターに含まれている必要があります。
-
Citrixワークスペースプラットフォーム内で適応アクセスを使用しているお客様は、次の手順を実行して、デリバリーグループのアクセスを内部ネットワークのみに制限してください。
- [NetScaler Gatewayを経由する接続] チェックボックスをオンにしてから、[次のフィルターのいずれかに一致する接続] チェックボックスをオンにします。
- 内部の場所に適切なタグを入力します。
注: [NetScaler Gatewayを経由しないすべての接続] をオンにすると、内部ネットワークから来ているか外部ネットワークから来ているかに関係なく、アプリを表示できます。Citrixワークスペースプラットフォームで適応アクセスを使用しているお客様には、[NetScaler Gatewayを経由しないすべての接続] オプションに頼らずに、デリバリーグループのアクセスを内部ネットワークのみに制限することをお勧めします。
適応アクセスポリシーを構成して、Citrix Virtual Apps and Desktopsへのアクセス時のユーザーコントロールを定義します
前述の例を使用して、ブランチオフィスのみ、コピー/貼り付け機能を無効にするポリシーを作成してみましょう。
「 LOCATION_TAG_BranchOffice」という場所からアクセスしてきたユーザーのコピー/貼り付け機能を無効にするには、以下を実行します:
- Citrix DaaSの構成ページで、[管理] タブをクリックします。
- [ポリシー] タブをクリックします。
- [ポリシーの作成] を選択します。
- [設定項目の選択]で、[クライアントクリップボードリダイレクト] を選択します。
-
[設定の編集]で、[禁止] を選択し、[OK] をクリックします。
-
[ユーザーおよびマシン]ページで、[ユーザーおよびマシンオブジェクトの選択] をクリックしてから、このポリシーをアクセス制御に割り当てます。
- ポリシーの名前を入力します(または、デフォルトの名前を使用します)。経理部やリモートユーザーなど、ポリシーの適用対象に基づいて名前を付けると便利です。また、必要に応じて説明を入力します。
ポリシーはデフォルトで有効になっています。無効にすることもできます。ポリシーを作成して有効にすると、新たにログオンするユーザーに直ちに適用されます。既存のセッションには適用されません。無効にしたポリシーは適用されません。作成済みのポリシーに優先度を設定したり、設定項目を追加したりする必要がある場合は、そのポリシーを一時的に無効にすることを検討してください。
適応アクセスポリシーを外部の場所(LOCATION_external)に割り当てるには
外部の場所にアクセスポリシーを適用する場合、たとえば、構成されていない場所(LOCATION_TAG_BranchOfficeとLOCATION_internal以外の場所)からのユーザーのクリップボードアクセスを無効にする場合、ポリシーをLOCATION_external(定義されたネットワークの場所はいずれもヒットしないため、LOCATION_externalが返されます)に割り当てる必要があります。
ポリシー構成を検証する方法
適応ポリシーを広く実装する前に検証し、ポリシーが意図したとおりに機能していることを確認します。構成例では:
- ネットワークの場所「LOCATION_Internal」からアクセスしてきたユーザーの場合、そのユーザーのアプリは列挙される必要があります。また、そのユーザーのコピー/貼り付け機能は使用可能である必要があります。
- ネットワークの場所「LOCATION_TAG_BranchOffice」からアクセスしてきたユーザーの場合、そのユーザーのアプリは列挙される必要があります。そのユーザーのコピー/貼り付け機能は無効になっている必要があります。
- ネットワークの場所「LOCATION_external」からアクセスしてきたユーザーの場合、アプリが列挙される必要はありません。