Citrix Endpoint Management について
Citrix Endpoint Management は、すべてのアプリとエンドポイントを統合されたビューに集約し、セキュリティを強化して生産性を向上させる統合エンドポイント管理 (UEM) ソリューションです。UEM の概要については、Citrix Tech Zone の技術概要「Citrix Endpoint Management」を参照してください。
-
Citrix Endpoint Management は、モバイルデバイス管理 (MDM) とモバイルアプリケーション管理 (MAM) を提供します。
-
Citrix Endpoint Management の MDM 機能では、次のことが可能です。
- デバイスポリシーとアプリを展開する
- 資産インベントリを取得する
-
デバイスのワイプなどのアクションを実行する
-
Citrix Endpoint Management の MAM 機能では、次のことが可能です。
- BYO モバイルデバイス上のアプリとデータを保護する
- エンタープライズモバイルアプリを配信する
- アプリをロックし、そのデータをワイプする
MDM と MAM の機能を組み合わせることで、次のことが可能です。
- MDM を使用して企業支給デバイスを管理する
- デバイスポリシーとアプリを展開する
- 資産インベントリを取得する
- デバイスをワイプする
- エンタープライズモバイルアプリを配信する
- デバイス上のアプリをロックし、データをワイプする
次の表は、MDM、MAM、または MDM+MAM でサポートされる Citrix Endpoint Management の機能をまとめたものです。
| 機能 (プラットフォーム別) | MDM (1) | MAM (2) | MDM+MAM |
|---|---|---|---|
| Android Enterprise: | |||
| デバイス登録のサポート | はい | はい | はい |
| ドメイン認証のサポート | はい | いいえ | はい |
| ドメインとセキュリティトークン認証のサポート | いいえ | いいえ | はい |
| クライアント証明書認証のサポート | いいえ | はい | はい |
| クライアント証明書とドメイン認証のサポート | いいえ | いいえ | はい |
| クライアント証明書とセキュリティトークンのサポート | いいえ | いいえ | はい |
| Azure AD ID プロバイダーのサポート | はい | いいえ | はい |
| Okta ID プロバイダーのサポート | はい | いいえ | はい |
| ネイティブ SaaS アプリへのシングルサインオン | はい | いいえ | はい |
| エンタープライズアプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| MDX アプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| 専用の Android Enterprise (COSU) デバイスをプロビジョニングすることによる共有デバイスのサポート | はい | いいえ | はい |
| Android (レガシー): | |||
| デバイス登録のサポート | はい | はい | はい |
| ドメインまたはドメインとセキュリティトークン認証のサポート | いいえ | いいえ | はい |
| クライアント証明書認証のサポート | いいえ | はい | はい |
| クライアント証明書とドメイン認証のサポート | いいえ | いいえ | はい |
| クライアント証明書とセキュリティトークンのサポート | いいえ | いいえ | はい |
| Azure AD および Citrix ID プロバイダーのサポート | はい | いいえ | はい |
| Okta ID プロバイダーのサポート | はい | いいえ | はい |
| ネイティブ SaaS アプリへのシングルサインオン | はい | いいえ | はい |
| エンタープライズアプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| MDX アプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| Chrome: | |||
| デバイス登録のサポート | はい | いいえ | はい |
| ユーザー名とパスワード認証のサポート | はい | いいえ | はい |
| iOS: | |||
| デバイス登録のサポート | はい | はい | はい |
| ドメインまたはドメインとセキュリティトークン認証のサポート | いいえ | いいえ | はい |
| クライアント証明書認証のサポート | いいえ | はい | はい |
| クライアント証明書とドメイン認証のサポート | いいえ | いいえ | はい |
| Azure AD および Citrix ID プロバイダーのサポート | はい | いいえ | はい |
| Okta ID プロバイダーのサポート | はい | いいえ | はい |
| ネイティブ SaaS アプリへのシングルサインオン | はい | いいえ | はい |
| エンタープライズアプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| MDX アプリに対する Citrix Content Delivery Network のサポート | はい | はい | はい |
| Apple Education との統合 | はい | いいえ | はい |
| macOS: | |||
| デバイス登録のサポート | はい | いいえ | いいえ |
| ドメインまたはドメインとワンタイムパスワードのサポート | はい | いいえ | いいえ |
| 招待 URL とワンタイムパスワードのサポート | はい | いいえ | いいえ |
| Windows: | |||
| デバイス登録のサポート | はい | いいえ | いいえ |
| Citrix Workspace アプリを介した Windows 10 および Windows 11 デバイスの自動登録 | はい | いいえ | いいえ |
| ドメインまたはドメインとセキュリティトークン認証のサポート | はい | いいえ | いいえ |
| クライアント証明書認証のサポート | はい | いいえ | いいえ |
| クライアント証明書とドメイン認証のサポート | はい | いいえ | いいえ |
| Azure AD または Citrix ID プロバイダーを介したフェデレーション認証 | はい | いいえ | いいえ |
| エンタープライズアプリに対する Citrix Content Delivery Network のサポート | はい | いいえ | いいえ |
| Workspace Environment Management™ との統合 (3) | はい | いいえ | いいえ |
-
注:
(1) 展開順序は、MDM 用に構成された登録プロファイルを持つデリバリーグループ内のデバイスにのみ適用されます。
-
(2) MAM 登録には NetScaler Gateway が必要です。
-
(3) Workspace Environment Management (WEM) との統合により、幅広い Windows オペレーティングシステムで MDM 機能にアクセスできます。
詳細については、「管理モード」を参照してください。
アーキテクチャ
組織のデバイスおよびアプリ管理要件によって、Citrix Endpoint Management アーキテクチャ内の Citrix Endpoint Management コンポーネントが決まります。Citrix Endpoint Management のコンポーネントはモジュール式であり、相互に構築されます。たとえば、展開には NetScaler Gateway が含まれます。
- NetScaler Gateway は、ユーザーにモバイルアプリへのリモートアクセスを提供し、ユーザーデバイスの種類を追跡します。
- Citrix Endpoint Management は、これらのアプリとデバイスを管理する場所です。
次の図は、Citrix Endpoint Management クラウド展開の一般的なアーキテクチャの概要と、データセンターとの統合を示しています。
-
次のサブセクションには、以下のリファレンスアーキテクチャ図があります。
- Citrix Endpoint Management
-
外部証明機関、Exchange ActiveSync 用 Citrix Endpoint Management コネクタ、Citrix Endpoint Management MDM+MAM および Intune MAM トラフィックフローなどのオプションコンポーネント
- Citrix ADC および NetScaler Gateway の要件の詳細については、Citrix 製品ドキュメント (https://docs.citrix.com/) を参照してください。
コアリファレンスアーキテクチャ
ポート要件の詳細については、「システム要件」を参照してください。
Citrix Virtual Apps and Desktops™ を使用したリファレンスアーキテクチャ
- 
- ### Exchange ActiveSync 用 Citrix Endpoint Management コネクタを使用したリファレンスアーキテクチャ
NetScaler Gateway connector for Exchange ActiveSync を使用したリファレンスアーキテクチャ
- 
リソースロケーション
リソースロケーションは、ビジネスニーズに最適な場所に配置します。たとえば、パブリッククラウド、支社、プライベートクラウド、またはデータセンターなどです。ロケーションの選択を決定する要因は次のとおりです。
- サブスクライバーへの近接性
- データへの近接性
- スケール要件
- セキュリティ属性
リソースロケーションはいくつでも構築できます。たとえば、次のようにします。
- データへの近接性を必要とするサブスクライバーとアプリケーションに基づいて、本社用にデータセンターにリソースロケーションを構築します。
- パブリッククラウドにグローバルユーザー用の個別のリソースロケーションを追加します。または、支社の従業員に最適なアプリケーションを提供するために、支社に個別のリソースロケーションを構築します。
- 制限付きアプリケーションを提供する別のネットワークに、さらにリソースロケーションを追加します。この設定により、他のリソースロケーションを調整することなく、他のリソースとサブスクライバーへの可視性を制限できます。
Cloud Connector
- Cloud Connector は、Citrix Cloud とリソースロケーション間のすべての通信を認証および暗号化します。Cloud Connector は、LDAP、IdP、PKIサーバー、内部DNSクエリ、Citrix Virtual Apps、NetScaler Gateway、Citrix Workspace、Microsoft Endpoint Managerなどのサービスにアクセスするために必要です。
次の図は、Cloud Connector のトラフィックフローを示しています。
Cloud Connector は Citrix Cloud への接続を確立します。Cloud Connector は受信接続を受け入れません。
- Cloud Connector は、デバイス登録時のみ負荷がかかります。詳細については、「Cloud Connector のスケールとサイズに関する考慮事項」を参照してください。
モバイルアプリ管理 (MAM) を含むソリューションには、オンプレミスのNetScaler Gateway によって提供されるマイクロVPNが必要です。このシナリオでは、次のコンポーネントがデータセンターにあります。
- Cloud Connector
- NetScaler Gateway
- Exchange、Webアプリ、Active Directory、PKI 用のサーバー
- モバイルデバイスは、Citrix Endpoint Management およびオンプレミスのNetScaler Gateway と通信します。
Citrix Endpoint Management コンポーネント
-
Citrix Endpoint Management コンソール。 Citrix Endpoint Management の構成には、Citrix Endpoint Management 管理者コンソールを使用します。Citrix Endpoint Management コンソールの使用方法の詳細については、「Citrix Endpoint Management」の記事を参照してください。Citrix Endpoint Management の新機能に関する記事が新しいリリース向けに更新されると、Citrix から通知されます。
-
Citrix Endpoint Management サービスとオンプレミスリリースとの違いに注意してください。
- Remote Support クライアントは Citrix Endpoint Management では利用できません。
- Citrix は、オンプレミスのsyslogサーバーとのCitrix Endpoint Management におけるsyslog統合をサポートしていません。代わりに、Citrix Endpoint Management コンソールの [トラブルシューティングとサポート] ページからログをダウンロードできます。その際、[すべてダウンロード] をクリックする必要があります。
MAM SDK。 MDX Toolkit は2023年7月にEOLに達する予定です。エンタープライズアプリケーションの管理を継続するには、MAM SDK を組み込む必要があります。
- モバイルアプリケーション管理 (MAM) SDK は、iOS および Android プラットフォームでカバーされていない MDX 機能を提供します。iOS または Android アプリを MDX 対応にして保護できます。これらのアプリは、社内ストアまたはパブリックアプリストアで利用可能になります。「MDX App SDK」を参照してください。
モバイル生産性向上アプリ。 Citrix が開発したモバイル生産性向上アプリは、Citrix Endpoint Management 環境内で生産性向上ツールと通信ツールのスイートを提供します。会社のポリシーによってこれらのアプリは保護されます。詳細については、「モバイル生産性向上アプリ」を参照してください。
Citrix Endpoint Management connector for Exchange ActiveSync。 Citrix Endpoint Management connector for Exchange ActiveSync は、ネイティブのモバイルメールアプリを使用するユーザーに安全なメールアクセスを提供します。Exchange ActiveSync 用コネクタは、Exchange サービスレベルで ActiveSync フィルタリングを提供します。その結果、フィルタリングはメールが Citrix Endpoint Management 環境に入る時ではなく、Exchange サービスに到達した後にのみ行われます。このコネクタは、NetScaler Gateway の使用を必要としません。既存の ActiveSync トラフィックのルーティングを変更することなく、コネクタを展開できます。詳細については、「Citrix Endpoint Management connector for Exchange ActiveSync」を参照してください。
NetScaler Gateway connector for Exchange ActiveSync。 NetScaler Gateway connector for Exchange ActiveSync は、ネイティブのモバイルメールアプリを使用するユーザーに安全なメールアクセスを提供します。Exchange ActiveSync 用コネクタは、境界で ActiveSync フィルタリングを提供します。フィルタリングは、ActiveSync トラフィックのプロキシとして NetScaler Gateway を使用します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスに配置され、環境に出入りするメールを傍受します。Exchange ActiveSync 用コネクタは、NetScaler Gateway と Citrix Endpoint Management の間の仲介役として機能します。詳細については、「NetScaler Gateway connector for Exchange ActiveSync」を参照してください。
Citrix Endpoint Management の技術的なセキュリティ概要
Citrix Cloud は、Citrix Endpoint Management 環境のコントロールプレーンを管理します。コントロールプレーンには、Citrix Endpoint Management サーバー、Citrix ADC ロードバランサー、およびシングルテナントデータベースが含まれます。クラウドサービスは、Citrix Cloud Connector を使用して顧客のデータセンターと統合されます。Cloud Connector を使用する Citrix Endpoint Management のお客様は、通常、データセンターで NetScaler Gateway を管理します。
以下の図は、サービスとそのセキュリティ境界を示しています。
このセクションの情報:
- Citrix Cloudのセキュリティ機能の概要
- Citrix Cloud展開のセキュリティ確保におけるCitrixと顧客間の責任分担の定義
- Citrix Cloudまたはそのコンポーネントやサービスの構成または管理ガイダンスではない
Citrix Endpoint Managementが包括的なエンドツーエンドセキュリティを提供するために使用するテクノロジーについては、「モバイルエンタープライズ向けのセキュリティと生産性」を参照してください。
データフロー
コントロールプレーンは、ユーザーオブジェクトとグループオブジェクトへの読み取りアクセスが制限されています。これらのオブジェクトは、ディレクトリ、DNS、および類似のサービスに存在します。コントロールプレーンは、セキュアなHTTPS接続を介してCitrix Cloud Connector経由でこれらのサービスにアクセスします。
電子メール、イントラネット、Webアプリトラフィックなどの企業データは、NetScaler Gatewayを介してデバイスとアプリケーションサーバー間で直接流れます。NetScaler Gatewayは、顧客のデータセンターに展開されます。
データ分離
コントロールプレーンは、ユーザーデバイスとそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントとシングルテナントコンポーネントの組み合わせで構成されています。ただし、サービスアーキテクチャに従い、顧客メタデータは常にテナントごとに個別に保存され、一意の資格情報を使用して保護されます。
資格情報の処理
サービスは、次の種類の資格情報を処理します。
- ユーザー資格情報: ユーザー資格情報は、HTTPS接続を介してデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュアな接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
- 管理者資格情報: 管理者はCitrix Cloudに対して認証を行います。Citrix CloudはCitrix Onlineのサインオンシステムを使用します。このプロセスにより、管理者にサービスへのアクセスを許可するワンタイム署名付きJSON Webトークン(JWT)が生成されます。
- Active Directory資格情報: コントロールプレーンは、Active Directoryからユーザーメタデータを読み取るためのバインド資格情報を必要とします。これらの資格情報はAES-256暗号化を使用して暗号化され、テナントごとのデータベースに保存されます。
展開に関する考慮事項
Citrixは、環境内でNetScaler Gatewayを展開するための公開されているベストプラクティスドキュメントを参照することを推奨します。
その他のリソース
お客様は、Citrix製品に関連するセキュリティ速報を確認することをお勧めします。新規および更新されたセキュリティ速報については、「Citrixセキュリティ速報」を参照してください。また、アラート設定でアラートを受信するように登録することも検討してください。
その他のセキュリティ情報については、以下のリソースを参照してください。
- Citrixセキュリティサイト: https://www.citrix.com/security
- Citrix Cloudドキュメント: Citrix Cloudプラットフォームのセキュアな展開ガイド
- Citrix ADCのセキュアな展開ガイド
モバイル脅威防御ソフトウェアとの統合
モバイル脅威防御(MTD)ソフトウェアは、企業モバイルデバイスに対する高度なサイバー攻撃を検出し、分析し、防止を支援します。MTDと統合Citrix Endpoint Management(UEM)の組み合わせにより、組織のセキュリティと可視性が向上します。
MTDソフトウェアは、Citrix Endpoint Managementが以下の目的で使用する脅威データを提供します。
- マルウェア、フィッシング、ネットワーク攻撃、中間者攻撃からの保護
- デバイスのコンプライアンスステータスの判断
- リスクレベルの判断
- アプリ、データ、デバイス、モバイルネットワークを保護するためのポリシーベースのアクションの実行
Citrix Endpoint Managementは、以下のMTDベンダーと統合します。
詳細情報またはデモのリクエストについては、MTDパートナーまたはCitrix営業担当者にお問い合わせください。