Citrix DaaS

ユーザーのネットワークの場所に基づいたアダプティブアクセス

Citrix Workspaceアダプティブアクセス機能は、高度なポリシーインフラストラクチャを使用して、ユーザーのネットワークの場所に基づいたCitrix DaaSへのアクセスを可能にします。場所は、IPアドレス範囲またはサブネットアドレスで定義されます。

管理者は、ユーザーのネットワークの場所に基づいて、仮想アプリおよび仮想デスクトップを列挙するかどうかのポリシーを定義できます。また、管理者は、ユーザーのネットワークの場所に基づいて、クリップボードアクセス、プリンター、クライアントドライブマッピングなどを有効または無効にすることで、ユーザー操作を制御できます。たとえば、自宅からリソースにアクセスするユーザーにはアプリケーションへのアクセスが制限され、ブランチオフィスからリソースにアクセスするユーザーにはフルアクセスが許可されるようにポリシーを設定できます。

アダプティブアクセスの概要

管理者は、アプリケーションにアクセスするための以下のポリシーを実装できます:

  • 企業の社屋またはブランチオフィスからのみ、機密性の高いアプリケーションをいくつか列挙する。
  • 従業員が外部ネットワークからワークスペースにアクセスしている場合は、機密性の高いアプリケーションを列挙しない。
  • ブランチオフィスからのプリンターアクセスを無効にする。
  • ユーザーが企業ネットワークの外部にいる場合は、クリップボードアクセスとプリンターアクセスを無効にする。

使用権

アダプティブアクセス機能は、次のライセンスのいずれかを持つお客様にご利用いただけます。

  • DaaS Premium/Premium Plus
  • Secure Private Access Advanced

前提条件

  • アダプティブアクセス機能が有効になっていることを確認します([Citrix Workspace]>[アクセス]>[アダプティブアクセス])。詳しくは、「アダプティブアクセス機能を有効にする」を参照してください。

    アダプティブアクセスが有効になっている場合、DaaSアクセスポリシーは、[Citrix Gatewayを経由する接続] オプションを使用するように更新されます。

    注:

    DaaSアクセスポリシーにスマートアクセスタグを追加するには、NetScaler Gatewayが必要です。ただし、DaaSはDevice Posture、アダプティブアクセス、およびアダプティブ認証サービスからのタグを消費するため、環境のNetScaler Gatewayで構成する必要はありません。

  • 場所のタグについての知識。詳しくは、「ネットワークの場所のタグ」を参照してください。

注意事項

次の項目は、場所に基づいてアプリケーションの列挙を制限する場合にのみ適用されます。アダプティブアクセスを使用して、ネットワークの場所に基づくクリップボードアクセス、プリンターリダイレクト、クライアントドライブマッピングを無効にするなどのユーザーコントロールを制限する場合は、これらのガイドラインは必要ありません。

  • ネットワークの場所に基づいてCitrix DaaSを選択的に列挙する場合は、ワークスペースではなくCitrix Studioポリシーを使用して、これらのデリバリーグループに対してユーザー管理を実行する必要があります。デリバリーグループを作成するときは、[ユーザー設定] で、[このデリバリーグループの使用を制限します] または [任意の認証ユーザーによるこのデリバリーグループの使用を許可します] を選択します。これにより、[デリバリーグループ] 下の [アクセスポリシー] タブでアダプティブアクセスを構成できます。

デリバリーグループ

  • アダプティブアクセスが有効な場合は、直接ワークロード接続に変更されます。

    • [場所のタグ] フィールドが [Citrix Cloud]>[ネットワークの場所]>[ネットワークの場所を追加]>[場所のタグ] に表示されます。
    • 既存の直接ワークロード接続ポリシーは正常に機能します。
    • 新しいポリシーは、ネットワークの場所サービス(タグを定義しない)とデリバリーグループで作成する必要があります。さらに、ネットワーク接続の種類は内部である必要があります。
    • タグを使用した直接ワークロード接続の新しいポリシーの場合は、ネットワークの場所サービスでタグを定義する必要があり、DaaS Studioのデリバリーグループまたはアクセスポリシーでも同じタグを定義する必要があります。さらに、ネットワーク接続の種類は内部である必要があります。場所のタグは、直接ワークロード接続には関係ありません。
  • Citrix DaaS展開でのテストには、以下をお勧めします。

    • テストのデリバリーグループを特定するか、デリバリーグループを作成して、この機能を実装します。
    • ポリシーを作成するか、テストのデリバリーグループで使用できるポリシーを特定します。

アダプティブアクセス機能を有効にする

  1. Citrix Cloudにログオンします。
  2. ハンバーガーメニューから [ワークスペース構成] を選択します。
  3. [アダプティブアクセス] のトグルは、デフォルトではオフになっています。[アダプティブアクセス] のトグルをオンにします。
  4. 確認メッセージで [はい。アダプティブアクセスを有効にします] をクリックします。

アダプティブアクセスを有効にします

アダプティブアクセスを有効にしますのメッセージ

アダプティブアクセスが有効になっている場合、アダプティブアクセスの場所のタグを定義できます([Citrix Cloud]>[ネットワークの場所]>[ネットワークの場所を追加]>[場所のタグ])。

アダプティブアクセスが有効になっています

アダプティブアクセスが無効になっている場合は、ネットワークの場所を追加できません。この場合、場所のタグは適用できません。

アダプティブアクセスが無効になっています

重要:

アダプティブアクセス機能を無効にしようとすると、次のメッセージが表示されます。この機能が無効になっている場合、WorkspaceはアダプティブアクセスのタグをDaaSに送信しないことに注意してください。

アダプティブアクセスが無効になっていますのメッセージ

アダプティブアクセスを構成する

ネットワークの場所に基づいてアダプティブアクセスを設定するには、次の基本手順が必要です。

  1. ネットワークの場所ポリシーを定義します
  2. DaaS Studioでタグを定義します

構成の例として、2種類のユーザー(BranchOfficeユーザーとWorkFromHomeユーザー)が選択され、次のユースケースを達成します。

  • BranchOfficeユーザーは、すべてのアクセス権でアプリケーションにアクセスできる必要があります。
  • WorkFromHomeユーザーはクリップボードにアクセスできない必要があります。

この構成例では、タグの例としてHomeOfficeが使用されています。

ネットワークの場所ポリシーを構成する

  1. Citrix Cloudにサインインします。
  2. ハンバーガーメニューから [ネットワークの場所] を選択します。 [アダプティブアクセス]トグルが有効になっていることを確認します。それ以外の場合は、直接ワークロード接続のユーザー インターフェイスが表示されます。
  3. [ネットワークの場所を追加] をクリックします。

    • 場所の名前: ポリシーの適切な名前を入力します。

      例:BranchOfficeまたはWorkFromHome

    • パブリックIPアドレスの範囲: ネットワークのパブリックIPアドレスの範囲を定義します。

      例:172.9.2.1-172.9.2.30

    • 場所のタグ: 場所のタグを定義します。これには、自分の場所を表す名前を使用できます。これらのタグは、Citrix Studioでアダプティブアクセスポリシーを構成するために使用されます。詳しくは、「Citrix Studioでタグを定義する」を参照してください。

      例:BranchOfficeまたはWorkFromHome

    • 接続の種類: アプリケーション起動の種類を定義します。

    内部 - アプリケーション起動でゲートウェイをバイパスします。 外部 - アプリケーション起動にはCitrix Gatewayサービスまたは従来のゲートウェイを使用します。

  4. [Save] をクリックします。

DaaS Studioでこれらのタグを使用して、アダプティブアクセスを有効にできるようになりました。

注:

場所のタグを定義する場合は、プレフィックス「LOCATION_TAG」を付けずに目的のタグ名のみを入力してください。例:「BranchOffice」。ただし、Citrix Studioでタグを定義する場合は、タグ名の前に「LOCATION_TAG」というプレフィックスを付ける必要があります。例:「LOCATION_TAG_BRANCHOFFICE」。

GUIを使用してCitrix Studioでタグを定義する

この例では、ユーザーのアプリケーションの列挙を制限するために、デリバリー グループでタグが定義されています。2つのデリバリー グループが作成されます。

  • アダプティブアクセスデリバリーグループ – BranchOfficeの場所のユーザー用。これらのユーザーには、このデリバリーグループのすべてのアプリケーションが表示される必要があります。
  • WFHデリバリーグループ – WorkfromHomeの場所のユーザー用。これらのユーザーには、このデリバリーグループのアプリケーションが表示される必要があります。
  1. Citrix Cloudにサインインします。
  2. [Citrix DaaS] タイルで、[管理] をクリックします。
  3. デリバリーグループを作成します。詳しくは、「デリバリーグループの作成」を参照してください。
  4. 作成したデリバリーグループを選択し、[デリバリーグループの編集] をクリックします。
  5. [アクセスポリシー] をクリックします。
  6. Citrix Workspaceプラットフォーム内でアダプティブアクセスを使用しているお客様は、次の手順を実行して、デリバリーグループのアクセスを内部ネットワークのみに制限してください:

    1. デリバリーグループを右クリックし、[編集] を選択します。
    2. 左ペインでアクセスポリシーを選択します。
    3. 編集アイコンをクリックして、デフォルトのCitrix Gateway接続ポリシーを変更します。

      ゲートウェイ接続

    4. [ポリシーの編集] ページで、[次の条件に一致する接続] を選択し、[一部が一致] を選択して、条件を追加します。

      条件

      WorkFromHomeユーザーの場合は、各Delivery Controllerで次の値を入力します。

      ファーム:ワークスペース

      フィルター:LOCATION_TAG_WORKFROMHOME

      BranchOfficeユーザーの場合は、各Delivery Controllerで次の値を入力します。

      フィルター:ワークスペース

      :LOCATION_TAG_BRANCHOFFICE

これらのタグを使用して、アプリケーションへのアクセスを制限できるようになりました。

注:

フィールドには、ネットワークの場所ポリシーの作成時に定義した、プレフィックス「LOCATION_TAG」が付いた正しい場所のタグ名を入力してください。たとえば、場所のタグを「BranchOffice」と定義した場合は、フィールドに「LOCATION_TAG_BRANCHOFFICE」と入力する必要があります。場所のタグの構成について詳しくは、「ネットワークの場所ポリシーを構成する」を参照してください。

アプリケーションのアクセスを制限する

この例では、WorkFromHomeの場所からのユーザーに対してクライアントクリップボードリダイレクトが無効になっています。

  1. Citrix DaaSにサインインします。
  2. [ポリシー] に移動し、[ポリシーの作成] をクリックします。
  3. [クライアントクリップボードリダイレクト] を選択し、[禁止] をクリックします。
  4. [次へ] をクリックします。

クリップボードアクセスを制限

  1. [ポリシーの割り当て] ページで、[アクセス制御] を選択します。
  2. ポリシーに次の値を定義します:

    • モード: 許可
    • 接続の種類:Citrix Gatewayを使用する
    • Gatewayファーム名:ワークスペース
    • アクセス条件:LOCATION_TAG_WORKFROMHOME(すべて大文字)

モードとファーム

  1. [次へ] をクリックします。
  2. ポリシーの名前を入力し、ポリシーの説明を追加します。
  3. [完了]をクリックします。

場所WorkFromHomeからのユーザーは、起動されたリソースへのクリップボードアクセスを実行できません。

タグに基づいたSession Recordingポリシーの構成

Session Recordingにより、組織は仮想セッションでの画面上のユーザーアクティビティを録画できます。カスタムSession Recordingポリシー、イベント検出ポリシー、またはイベント応答ポリシーを作成するときに、ネットワークの場所のタグなどのタグを指定できます。例に関しては、「カスタム録画ポリシーの作成」を参照してください。

ネットワークの場所のタグ

ネットワークの場所サービスは次のタグを提供します。

  • デフォルトのタグ: これらのタグは、ネットワークの場所サービスで定義されます。以下のデフォルトのタグが利用可能です。
    • Location_internal: ネットワーク接続の種類が内部に設定されている場合に、デフォルトで送信されるタグ。
    • Location_external: ネットワーク接続の種類が外部に設定されている場合に、デフォルトで送信されるタグ。
    • Location_undefined:ポリシーで定義されていないが、ネットワークの場所サービスを経由するIPアドレスで送信されるタグ。これらのユーザーの起動は、リソースグループで定義されているものと同じです。
  • カスタムタグ: 管理者はポリシーでカスタムタグ名を定義できます。例:office、home、branch

例:

デフォルトのタグ:LOCATION_INTERNAL、LOCATION_EXTERNAL、LOCATION_UNDEFINED

カスタムタグ:LOCATION_TAG_OFFICE、LOCATION_TAG_HOME

注:

ネットワークの場所サービスのタグを定義するときは、次の点を確認してください:

  • デフォルトのタグは常にプレフィックス「LOCATION_<tag name>」で始まります。たとえば、LOCATION_INTERNAL。
  • カスタムタグは常にプレフィックス「LOCATION_TAG<tag name>」で始まります。たとえば、LOCATION_TAG_OFFICE。

既知の問題

アダプティブアクセス機能を有効にし、規則(タグと接続の種類)を設定した後でアダプティブアクセス機能を無効にしても、場所のタグと接続の種類の列は非表示になりますが、[ネットワークの場所]ページから場所は削除されません。ただし、これらの場所はバックエンドでは無効になっています。これは表示上の問題です。

ユーザーのネットワークの場所に基づいたアダプティブアクセス