-
-
-
-
ユーザーのネットワークロケーションに基づくアダプティブアクセス
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ユーザーのネットワークロケーションに基づくアダプティブアクセス
Citrix Workspace™アダプティブアクセス機能は、高度なポリシーインフラストラクチャを使用して、ユーザーのネットワークロケーションに基づいてCitrix DaaS™へのアクセスを可能にします。ロケーションは、IPアドレス範囲またはサブネットアドレスを使用して定義されます。
-
管理者は、ユーザーのネットワークロケーションに基づいて、仮想アプリとデスクトップを列挙するかしないかを定義するポリシーを設定できます。また、管理者は、ユーザーのネットワークロケーションに基づいて、クリップボードアクセス、プリンター、クライアントドライブマッピングなどを有効または無効にすることで、ユーザーのアクションを制御することもできます。たとえば、管理者は、自宅からリソースにアクセスするユーザーにはアプリケーションへのアクセスを制限し、支社からリソースにアクセスするユーザーにはフルアクセスを許可するポリシーを設定できます。
-
管理者は、アプリケーションにアクセスするために以下のポリシーを実装できます。
- 企業ロケーションまたは支社からのみ、一部の機密性の高いアプリケーションを列挙します。
- 従業員が外部ネットワークからワークスペースにアクセスしている場合、機密性の高いアプリケーションを列挙しません。
- 支社からのプリンターアクセスを無効にします。
- ユーザーが企業ネットワーク外にいる場合、クリップボードアクセスとプリンターアクセスを無効にします。
資格
アダプティブアクセス機能は、Universal Hybrid Multi Cloud License (UHMC) および Platform License (CPL) の一部として利用できます。詳細については、https://www.citrix.com/buy/licensing/product.html を参照してください。
前提条件
-
アダプティブアクセス機能が有効になっていることを確認します (Citrix Workspace > アクセス > アダプティブアクセス)。詳細については、アダプティブアクセス機能を有効にする を参照してください。
-
アダプティブアクセスが有効になっている場合、DaaSアクセスポリシーはCitrix Gateway経由の接続オプションを使用するように更新されます。
-
注記:
-
-
DaaSアクセスポリシーにスマートアクセスタグを追加するには、NetScaler® Gatewayが必要です。ただし、DaaSはデバイスポスチャ、アダプティブアクセス、およびアダプティブ認証サービスからタグを消費するため、セットアップにNetScaler Gatewayが構成されている必要はありません。
-
-
ロケーションタグの理解。詳細については、ネットワークロケーションタグ を参照してください。
注意事項
以下の点は、ロケーションに基づいてアプリケーションの列挙を制限したい場合にのみ適用されます。ネットワークロケーションに基づいて、クリップボードアクセス、プリンターリダイレクト、クライアントドライブマッピングなどのユーザー制御を制限するためにアダプティブアクセスを使用する予定がある場合は、これらのガイドラインを無視できます。
- ネットワークロケーションに基づいてCitrix DaaSを選択的に列挙する予定がある場合、それらのデリバリーグループのユーザー管理は、ワークスペースではなくCitrix Studioポリシーを使用して実行する必要があります。デリバリーグループを作成する際、**ユーザー設定**で、**このデリバリーグループの使用を制限する**ユーザーまたは**認証されたすべてのユーザーがこのデリバリーグループを使用できるようにする**のいずれかを選択します。これにより、**デリバリーグループ**の**アクセスポリシー**タブでアダプティブアクセスを構成できます。
- アダプティブアクセスが有効になっている場合のダイレクトワークロード接続への変更。
- **ロケーションタグ**フィールドは、**Citrix Cloud™ > ネットワークロケーション > ネットワークロケーションの追加 > ロケーションタグ**に表示されます。
- 既存のダイレクトワークロード接続ポリシーは意図したとおりに機能します。
- 新しいポリシーは、ネットワークロケーションサービス(タグを定義せずに)およびデリバリーグループでも作成する必要があります。さらに、ネットワーク接続タイプは**内部**である必要があります。
- タグ付きダイレクトワークロード接続の新しいポリシーの場合、タグはネットワークロケーションサービスで定義する必要があり、DaaS Studioのデリバリーグループまたはアクセスポリシーでも同じタグを定義する必要があります。さらに、ネットワーク接続タイプは**内部**である必要があります。ロケーションタグはダイレクトワークロード接続には関係ありません。
-
Citrix DaaS展開のテストには、以下が推奨されます。
- この機能を実装するためのテストデリバリーグループを特定するか、デリバリーグループを作成します。
- テストデリバリーグループで使用できるポリシーを作成または特定します。
アダプティブアクセス機能を有効にする
- Citrix Cloudにログインします。
- ハンバーガーメニューからワークスペース構成を選択します。
-
- アダプティブアクセストグルは、デフォルトでオフになっています。アダプティブアクセストグルをオンにします。
-
- 確認メッセージではい、アダプティブアクセスを有効にするをクリックします。
-
アダプティブアクセスが有効になっている場合、アダプティブアクセスのロケーションタグを定義できます (Citrix Cloud > ネットワークロケーション > ネットワークロケーションの追加 > ロケーションタグ)。
アダプティブアクセスが無効になっている場合、ネットワークロケーションを追加することはできません。この場合、ロケーションタグは適用されません。
重要: - > アダプティブアクセス機能を無効にしようとすると、次のメッセージが表示されます。この機能が無効になっている場合、Workspace はアダプティブアクセスのタグを DaaS に送信しないことに注意してください。
アダプティブアクセスの構成
管理者がユーザーのネットワークロケーション(オフィスや自宅など)に基づいてアクセス制御を適用する必要があるシナリオを検討します。管理者は、自宅から作業するユーザーに対して、クリップボードの制限などのスマートコントロールも適用する必要があります。 アダプティブアクセスでこのシナリオを実現するには、管理者はユーザーのネットワークに基づいて 2 つのデリバリーグループを作成する必要があります。
- BranchOffice 用の アダプティブアクセス デリバリーグループ。支社のユーザーに関連するアプリケーションを含みます。
- WorkFromHome 用の WFH デリバリーグループ。自宅/リモートユーザーに関連するアプリケーションを含みます。
デリバリーグループが作成されたら、ネットワークロケーションに基づいてアダプティブアクセスを構成するために、次の大まかな手順を実行します。
- タグを定義し、ネットワークロケーションポリシーを構成する
-
アプリケーション列挙のためにデリバリーグループで定義されたタグを使用するか、アプリケーションにスマートコントロールを適用する
- アプリケーションにスマートコントロールを適用する (オプション)
ロケーションベースのアクセスに対するネットワークロケーションタグの定義
最初のステップでは、ユーザーのロケーション(オフィスまたは自宅)に基づいてタグを定義します。
- **BRANCHOFFICE:** このタグは、オフィスネットワークから接続するユーザーに割り当てる必要があります。これらのユーザーは、利用可能なすべてのアプリケーションにフルアクセスできます。
- **WORKFROMHOME:** このタグは、リモートで作業するユーザーに割り当てる必要があります。これらのユーザーは、アプリケーションおよび特定の機能(クリップボード機能など)へのアクセスが制限されます。
タグの詳細については、「ネットワークロケーションタグ」を参照してください。
ユーザーロケーションに基づいてデリバリーグループとそれぞれのタグが作成されたので、ネットワークロケーションポリシーの構成に進むことができます。
ネットワークロケーションポリシーの構成
パブリックソース IP アドレスとロケーションタグを指定して、ユーザーのロケーションに対するネットワークロケーションポリシー規則を定義します。
- Citrix Cloud にサインインします。
- ハンバーガーメニューから [ネットワークロケーション] を選択します。 アダプティブアクセスのトグルが有効になっていることを確認します。そうでない場合、Direct Workload Connection のユーザーインターフェイスが表示されます。
-
[ネットワークロケーションの追加] をクリックします。
-
ロケーション名: ポリシーの適切な名前を入力します。
例: BRANCHOFFICE または WORKFROMHOME
-
パブリック IP アドレス範囲: ネットワークのパブリック IP アドレス範囲を定義します。
- 例: 192.0.2.10 - 192.0.2.30
-
ロケーションタグ: ロケーションのタグを定義します。これは、ロケーションを参照する名前になります。これらのタグは、Citrix Studio でアダプティブアクセスポリシーを構成するために使用されます。詳細については、「Citrix Studio でタグを定義する」を参照してください。
例: BRANCHOFFICE または WORKFROMHOME
- 接続タイプ: アプリケーションの起動タイプを定義します。
内部 - アプリケーション起動時にゲートウェイをバイパスします。 外部 - アプリケーション起動時に Citrix Gateway サービスまたは従来のゲートウェイを使用します。
-
-
- [保存] をクリックします。
- これで、DaaS Studio でこれらのタグを使用してアダプティブアクセスを有効にできます。
注:
- ネットワークロケーションタグがデリバリーグループに割り当てられていない場合、ユーザーはアダプティブアクセスと WFH デリバリーグループの両方で、すべてのアプリケーションへの無制限のアクセスを許可されます。これにより、ユーザーが意図せず承認されていない特定のアプリケーションにアクセスしてしまうシナリオが発生する可能性があります。デリバリーグループにロケーションタグを割り当てることで、ユーザーのネットワークロケーションに基づいてアクセスが制御されるようになります。
- ロケーションタグを定義する際は、プレフィックス「LOCATION_TAG」なしで、例えば BRANCHOFFICE のように、希望するタグ名のみを入力するようにしてください。ただし、Citrix Studio でタグを定義する際は、タグ名に「LOCATION_TAG」というプレフィックスを付ける必要があります。例えば、「LOCATION_TAG_BRANCHOFFICE」のようにします。
アプリケーション列挙のためのデリバリーグループでの定義済みタグの使用
- Citrix Cloud にサインインします。
- [Citrix DaaS] タイルで、[管理] をクリックします。
- デリバリーグループを作成します。詳細については、「デリバリーグループの作成」を参照してください。
- 作成したデリバリーグループを選択し、[デリバリーグループの編集] をクリックします。
- [アクセスポリシー] をクリックします。
-
Citrix Workspace プラットフォーム内でアダプティブアクセスを使用しているお客様は、デリバリーグループのアクセスを内部ネットワークのみに制限するために、次の手順を実行します。
- デリバリーグループを右クリックし、[編集] を選択します。
- 左ペインでアクセスポリシーを選択します。
- 編集アイコンをクリックして、デフォルトの Citrix Gateway 接続ポリシーを変更します。
1. **[ポリシーの編集]** ページで、**[次の条件を満たす接続]** を選択し、**[いずれかに一致]** を選択してから、条件を追加します。
在宅勤務ユーザーの場合は、各デリバリーコントローラーに次の値を入力します。
**フィルター**: ワークスペース
**値**: LOCATION_TAG_WORKFROMHOME
支社ユーザーの場合は、各デリバリーコントローラーに次の値を入力します。
**フィルター**: ワークスペース
**値**: LOCATION_TAG_BRANCHOFFICE
注:
- [値] フィールドには、ネットワークロケーションポリシーの作成時に定義した正しいロケーションタグ名 (プレフィックス “LOCATION_TAG” を含む) を入力してください。たとえば、ロケーションタグを “BRANCHOFFICE” として定義した場合、[値] フィールドには “LOCATION_TAG_BRANCHOFFICE” と入力する必要があります。デリバリーグループのネットワークロケーションタグは、ネットワークロケーションポリシーでどのように定義されたかに関わらず、大文字で入力する必要があります。ロケーションタグの構成について詳しくは、「ネットワークロケーションポリシーの構成」を参照してください。
- デリバリーグループのネットワークロケーションタグは、ネットワークロケーションポリシーでどのように定義されたかに関わらず、大文字で入力する必要があります。ロケーションタグの構成について詳しくは、「ネットワークロケーションポリシーを構成する」を参照してください。
(オプション) アプリケーションにスマートコントロールを適用する
ネットワークロケーションタグを使用したアクセス制限に加えて、管理者はアプリケーションにスマートコントロールを適用することもできます。この例では、在宅勤務ロケーションのユーザーに対してクライアントクリップボードリダイレクトが無効になっています。
- Citrix DaaSにサインインします。
- [ポリシー] に移動し、[ポリシーの作成] をクリックします。
- [クライアントクリップボードリダイレクト] を選択し、[禁止] をクリックします。
- [次へ] をクリックします。
- [ポリシーの割り当て先] ページで、[アクセスコントロール] を選択します。
-
ポリシーに次の値を定義します。
- モード: 許可
- 接続の種類: Citrix Gatewayを使用
- Gatewayファーム名: ワークスペース
- アクセス条件: LOCATION_TAG_WORKFROMHOME (すべて大文字)
- [次へ] をクリックします。
- ポリシーの名前を入力し、ポリシーの説明を追加します。
- [完了] をクリックします。
WORKFROMHOME ロケーションのユーザーは、起動したリソースへのクリップボードアクセスを実行できません。
ネットワークロケーションタグ
ネットワークロケーションサービスは、次のタグを提供します。
-
デフォルトタグ: これらのタグは、ネットワークロケーションサービスで定義されます。次のデフォルトタグが利用可能です。
- LOCATION_internal: ネットワークロケーションの定義時にネットワーク接続タイプが内部に設定されている場合に、デフォルトで送信されるタグ。
- LOCATION_external: ネットワークロケーションの定義時にネットワーク接続タイプが外部に設定されている場合に、デフォルトで送信されるタグ。
- LOCATION_undefined: ポリシーで定義されていないが、ネットワークロケーションサービスを介して送信されるIPアドレスのタグ。これらのユーザーの起動は、リソースグループで定義されているものと同じです。
- カスタムタグ: 管理者はポリシーでカスタムタグ名を定義できます。例: home、Office、BRANCH
注:
ネットワークロケーションサービスにタグを定義する際は、以下を確認してください。
デフォルトタグは常にプレフィックス “LOCATION_
<タグ名>” で始まります。例: LOCATION_INTERNAL。カスタムタグは常にプレフィックス “LOCATION_TAG
<タグ名>” で始まります。例: LOCATION_TAG_OFFICE。デリバリーグループでタグを定義する際は、タグをすべて大文字で入力する必要があります。
デフォルトタグ: LOCATION_INTERNAL、LOCATION_EXTERNAL、LOCATION_UNDEFINED
カスタムタグ: LOCATION_TAG_OFFICE、LOCATION_TAG_HOME
次の表は、前述のシナリオにおけるポリシーとタグをまとめたものです。
| ロケーション | ポリシー | カスタムタグ | デフォルトタグ | DaaSデリバリーグループで使用するタグ | スマートアクセスポリシーで使用するタグ |
|---|---|---|---|---|---|
| 在宅勤務 | 在宅勤務 | WORKFROMHOME | LOCATION_EXTERNAL | LOCATION_WORKFROMHOME and/or LOCATION_EXTERNAL | LOCATION_WORKFROMHOME and/or LOCATION_EXTERNAL |
| 支社 | 支社 | BRANCHOFFICE | LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE and/or LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE and/or LOCATION_EXTERNAL |
| その他 | 未定義 | 未定義 | LOCATION_UNDEFINED | LOCATION_UNDEFINED | LOCATION_UNDEFINED |
既知の問題
アダプティブアクセス機能を有効にしてルール (タグと接続タイプ) を設定した後に無効にしても、ロケーションタグと接続タイプの列は非表示になりますが、ネットワークロケーションページからロケーションが削除されることはありません。しかし、これらのロケーションはバックエンドで無効になっています。これは表示上の問題です。
タグに基づいてセッションレコーディングポリシーを構成する
Session Recordingを使用すると、組織は仮想セッションでの画面上のユーザーアクティビティを記録できます。カスタムセッションレコーディングポリシー、イベント検出ポリシー、またはイベント応答ポリシーを作成する際に、ネットワークロケーションタグを含むタグを指定できます。例については、「カスタムレコーディングポリシーの作成」を参照してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.