Endpoint Management

Endpoint Managementは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を提供します。

Endpoint ManagementのMDM機能により、次の操作が可能になります:

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプなどのアクションをデバイスで実行する

Endpoint ManagementのMAM機能により、次の操作が可能になります:

  • BYOモバイルデバイスのアプリとデータのセキュリティを保護する
  • エンタープライズモバイルアプリを配信する
  • アプリのロックおよびデータのワイプを実行する

MDMとMAMの機能を組み合わせることにより、次の操作が可能になります:

  • MDMを使用してコーポレート発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

次の表は、MDM、MAM、または MDM+MAMでサポートされているEndpoint Management機能の概要です。

機能(プラットフォーム別) MDM(1) MAM(2) MDM + MAM
Android Enterprise:      
デバイス登録のサポート はい はい はい
ドメインまたはドメイン+セキュリティトークン認証のサポート いいえ いいえ はい
クライアント証明書認証のサポート いいえ はい はい
クライアント証明書+ドメイン認証のサポート いいえ いいえ はい
クライアント証明書+セキュリティトークンのサポート いいえ いいえ はい
Azure AD IDプロバイダーのサポート はい いいえ いいえ
ネイティブSaaSアプリへのシングルサインオン はい いいえ はい
CDNを使用したエンタープライズアプリ配信のサポート はい はい はい
Android Enterprise専用(COSU)デバイスのプロビジョニングによる共有デバイスのサポート はい いいえ はい
Android(レガシ):      
デバイス登録のサポート はい はい はい
ドメインまたはドメイン+セキュリティトークン認証のサポート いいえ いいえ はい
クライアント証明書認証のサポート いいえ はい はい
クライアント証明書+ドメイン認証のサポート いいえ いいえ はい
クライアント証明書+セキュリティトークンのサポート いいえ いいえ はい
Azure ADおよびCitrix IDプロバイダーのサポート いいえ いいえ はい
ネイティブSaaSアプリへのシングルサインオン はい いいえ はい
CDNを使用したエンタープライズアプリ配信のサポート はい はい はい
Chrome:      
デバイス登録のサポート はい いいえ はい
ユーザー名とパスワード認証のサポート はい いいえ はい
iOS:      
デバイス登録のサポート はい はい はい
ドメインまたはドメイン+セキュリティトークン認証のサポート いいえ いいえ はい
クライアント証明書認証のサポート いいえ はい はい
クライアント証明書+ドメイン認証のサポート いいえ いいえ はい
派生資格情報のサポート いいえ いいえ はい
Azure ADおよびCitrix IDプロバイダーのサポート いいえ いいえ はい
ネイティブSaaSアプリへのシングルサインオン はい いいえ はい
Apple Educationの統合 はい いいえ はい
macOS:      
デバイス登録のサポート はい いいえ いいえ
ドメイン、またはドメインおよびワンタイムパスワードのサポート はい いいえ いいえ
招待URLおよびワンタイムパスワードのサポート はい いいえ いいえ
Windows:      
デバイス登録のサポート はい いいえ いいえ
Citrix Workspaceアプリを使用したWindows 10デバイスの自動登録 はい いいえ いいえ
ドメインまたはドメイン+セキュリティトークン認証のサポート はい いいえ いいえ
クライアント証明書認証のサポート はい いいえ いいえ
クライアント証明書+ドメイン認証のサポート はい いいえ いいえ
Azure ADまたはCitrix IDプロバイダー経由のフェデレーション認証 はい いいえ いいえ
CDNを使用したエンタープライズアプリ配信のサポート はい いいえ いいえ
Workspace Environment Managementの統合(3) はい いいえ いいえ

注:

(1)展開順は、MDM用に構成された登録プロファイルを持つデリバリーグループ内のデバイスにのみ適用されます。

(2)MAM登録には、Citrix Gatewayが必要です。

(3) Workspace Environment Management(WEM)の統合により、広範囲なWindowsオペレーティングシステム上のMDM機能にアクセスできます。

詳しくは、「管理モード」を参照してください。

アーキテクチャ

Endpoint Managementアーキテクチャの必要なEndpoint Managementコンポーネントは、組織のデバイスまたはアプリの管理要件によって異なります。Endpoint Managementのコンポーネントはモジュール形式で、相互に依存しています。たとえば、モバイルアプリに対してリモートアクセスを提供し、ユーザーデバイスの種類を追跡するには、Citrix Gatewayを展開します。Endpoint Managementでアプリとデバイスを管理し、Citrix Gatewayによって、ユーザーがネットワークに接続できるようにします。

次の図は、Endpoint Managementクラウド展開とデータセンターとの統合に関する一般的なアーキテクチャの概要です。

一般的なアーキテクチャ

以下のサブセクションには、次に関するリファレンスアーキテクチャ図が含まれています:

  • Endpoint Management
  • 外部認証機関およびEndpoint Managementコネクタ:Exchange ActiveSync用などのオプションコンポーネント

Citrix ADCおよびCitrix Gatewayの要件について詳しくは、シトリックスの製品ドキュメント(https://docs.citrix.com/)を参照してください。

コアリファレンスアーキテクチャ

ポートの要件について詳しくは、「システム要件」を参照してください。

コアアーキテクチャ

Citrix Virtual Apps and Desktopsを含むリファレンスアーキテクチャ

Citrix Virtual Apps and Desktopsアーキテクチャ

Endpoint Managementコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ

Endpoint Managementコネクタ:Exchange ActiveSync用アーキテクチャ

Citrix Gatewayコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ

Citrix Gatewayコネクタ:Exchange ActiveSync用アーキテクチャ

リソースの場所

リソースの場所は、業務上の必要性に応じた最適な場所を選択してください。パブリッククラウド、支社、プライベートクラウド、データセンターなどさまざまな場所をリソースの場所にできます。以下は、場所の選択を決定する要素の例です:

  • 利用者との距離
  • データとの距離
  • 拡張の必要性
  • セキュリティ属性

必要な数のリソースの場所を構築できます。以下はいくつかの例です:

  • データとの距離が近い方が望ましい利用者やアプリケーションのために、本社のデータセンターにリソースの場所を構築する。
  • グローバルユーザーのために、パブリッククラウドに別のリソースの場所を追加する。または、支社で別のリソースの場所を構築して、支社の従業員が最適に利用できるアプリケーションを提供する。
  • 別のネットワークにさらにリソースの場所を追加して、限定されたアプリケーションを提供する。これ以外のリソースの場所を調整する必要なく、他のリソースや利用者に表示される内容を制限できます。

Cloud Connector

シトリックスでは、Cloud Connectorを使用して、Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。また、Endpoint Managementのすべての認証の種類をサポートしています。

次の図は、Cloud Connectorのトラフィックフローです。

Cloud Connectorのトラフィックフロー

Cloud Connectorは、Citrix Cloudへの接続を確立し、受信接続を受け入れません。

Cloud Connectorには、デバイスの登録中にのみ負荷がかかります。詳しくは、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。

モバイルアプリケーション管理(MAM)を含むソリューションには、オンプレミスのCitrix Gatewayによって提供されるマイクロVPNが必要です。このシナリオの内容は以下のとおりです。

  • データセンターには、次のコンポーネントが存在します:
    • Cloud Connector
    • Citrix Gateway
    • Exchange、Webアプリ、Active Directory、PKI用のサーバー
  • モバイルデバイスは、Endpoint ManagementおよびオンプレミスのCitrix Gatewayと通信します。

Endpoint Managementコンポーネント

Endpoint Managementコンソール。Endpoint Management管理コンソールは、Endpoint Managementの構成に使用します。Endpoint Managementコンソールの使用について詳しくは、「Endpoint Management」の記事を参照してください。Endpoint Managementが最新リリースに更新されると同時に、新機能に関する記事の通知をお送りします。

Endpoint Managementサービスとオンプレミス版の違いは次のとおりです:

  • Remote Supportクライアントは、Endpoint Managementでは使用できません。
  • Endpoint Managementのサーバー側のコンポーネントは、FIPS 140-2に準拠していません。
  • Endpoint Managementでは、オンプレミスのsyslogサーバーとのsyslog統合はサポートされません。代わりに、Endpoint Managementコンソールの [トラブルシューティングとサポート] ページからログをダウンロードできます。これを行う場合は、[すべてダウンロード] をクリックする必要があります。

MDX Service。Endpoint Management MDX Serviceは、組織内または社外で作成されたモバイルアプリを安全にラップできます。詳しくは、「MDX Service」を参照してください。

業務用モバイルアプリ。シトリックスが開発した業務用モバイルアプリにより、Endpoint Management環境に生産性と通信のためのツールスイートが提供されます。所属する組織のポリシーは、それらのアプリを保護します。詳しくは、「業務用モバイルアプリ」を参照してください。

Endpoint Managementコネクタ:Exchange ActiveSync用Endpoint Managementコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、ExchangeサービスレベルでActiveSyncフィルターを提供します。つまり、メールがEndpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。コネクタでCitrix Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、コネクタを展開できます。詳しくは、「Endpoint Managementコネクタ:Exchange ActiveSync用」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用。Citrix Gatewayコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、境界にActiveSyncフィルターを提供します。このフィルタリングでは、Citrix GatewayをActiveSyncトラフィックのプロキシとして使用します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時にインターセプトします。Exchange ActiveSync用コネクタは、Citrix GatewayとEndpoint Managemen間の中継点として機能します。詳しくは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を参照してください。

Endpoint Managementのセキュリティの技術概要

Citrix Cloudは、Endpoint Management環境のコントロールプレーンを管理します。このコントロールプレーンには、Endpoint Managementサーバー、Citrix ADCロードバランサー、単一テナントデータベースなどが含まれます。クラウドサービスは、Citrix Cloud Connectorを使用して顧客データセンターと統合します。Cloud Connectorを使用しているEndpoint Managementのユーザーは、通常、自社データセンターでCitrix Gatewayを管理します。

次の図は、サービスとそのセキュリティ境界です。

セキュリティ境界

このセクションには、次の情報が記載されています:

  • Citrix Cloudのセキュリティ機能を紹介します。
  • Citrix Cloudのセキュリティを確保するために、シトリックスと顧客の責任範囲を定義します。
  • Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスは提供しません。

データフロー

コントロールプレーンでは、顧客ディレクトリ、DNS、および同様のサービスからのユーザーおよびグループオブジェクトへの読み取りアクセスが制限されています。コントロールプレーンは、セキュリティ保護されたHTTPS接続を使用してCitrix Cloud Connector経由でこれらのサービスにアクセスします。

メール、イントラネット、Webアプリのトラフィックなどの企業データは、Citrix Gatewayを介して直接デバイスとアプリケーションサーバー間を移動します。Citrix Gatewayは、顧客のデータセンターに導入されています。

データ分離

コントロールプレーンは、ユーザデバイスおよびそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントと単一テナントコンポーネントを組み合わせて構成されています。ただし、サービスアーキテクチャごとに、顧客のメタデータは常に各テナントに個別に保存され、固有の資格情報で保護されます。

資格情報の処理

このサービスは、次の種類の資格情報を処理します:

  • ユーザーの資格情報: ユーザーの資格情報は、HTTPS接続経由でデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュリティで保護された接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
  • 管理者資格情報: 管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。このプロセスでは、ワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はそのサービスにアクセスできます。
  • Active Directory資格情報: コントロールプレーンには、Active Directoryからユーザーのメタデータを読み取るためにバインド資格情報が必要です。これらの資格は、AES-256暗号化で暗号化され、テナントごとのデータベースに保存されます。

展開に関する考慮事項

ご使用の環境内にCitrix Gatewayを導入する場合、公開されているベストプラクティスのドキュメントを参照することをお勧めします。

その他のリソース

セキュリティ情報について詳しくは、次のリソースを参照してください:

Mobile Threat Defenseソフトウェアとの統合

Mobile Threat Defense(MTD)は、エンタープライズモバイルデバイスに対する高度なサイバー攻撃の検出、分析、および阻止するための支援を行います。MTDとUnified Endpoint Management(UEM)を組み合わせることによって、組織のセキュリティと可視性を向上させます。

MTDソフトウェアは、Endpoint Managementが以下の目的で使用する脅威データを提供します:

  • マルウェア、フィッシング、ネットワーク攻撃、および中間者攻撃に対して保護する。
  • デバイスのコンプライアンスステータスを定義する。
  • リスクレベルを定義する。
  • アプリ、データ、デバイス、およびモバイルネットワークを保護するために、ポリシーベースの措置を講じる。

Citrix Endpoint Managementは、以下のMTDベンダーと統合されています:

詳細およびデモのリクエストについては、当社のMTDパートナーまたはCitrixの営業担当者にお問い合わせください。