Citrix Endpoint Management

Endpoint Management

Citrix Endpoint Managementは、すべてのアプリとエンドポイントを1つの統合ビューにまとめて、セキュリティを強化し、生産性を向上させる統合エンドポイント管理(UEM)ソリューションです。UEMの概要については、Citrix Tech Zoneテクニカルブリーフの「Citrix Endpoint Management」を参照してください。

Endpoint Managementは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を提供します。

Endpoint ManagementのMDM機能により、次の操作が可能になります:

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプなどのアクションをデバイスで実行する

Endpoint ManagementのMAM機能により、次の操作が可能になります:

  • BYOモバイルデバイスのアプリとデータのセキュリティを保護する
  • エンタープライズモバイルアプリを配信する
  • アプリのロックおよびデータのワイプを実行する

MDMとMAMの機能を組み合わせることにより、次の操作が可能になります:

  • MDMを使用してコーポレート発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

次の表は、MDM、MAM、または MDM+MAMでサポートされているEndpoint Management機能の概要です。

機能(プラットフォーム別) MDM(1) MAM(2) MDM + MAM
Android Enterprise:      
デバイス登録のサポート あり あり あり
ドメイン認証のサポート あり なし あり
ドメインおよびセキュリティトークン認証のサポート なし なし あり
クライアント証明書認証のサポート なし あり あり
クライアント証明書+ドメイン認証のサポート なし なし あり
クライアント証明書+セキュリティトークンのサポート なし なし あり
Azure AD IDプロバイダーのサポート あり なし あり
Okta IDプロバイダーのサポート あり なし あり
ネイティブSaaSアプリへのシングルサインオン あり なし あり
CDNを使用したエンタープライズアプリ配信のサポート あり あり あり
CDNを使用したMDXアプリ配信のサポート あり あり あり
Android Enterprise専用(COSU)デバイスのプロビジョニングによる共有デバイスのサポート あり なし あり
Android(レガシー):      
デバイス登録のサポート あり あり あり
ドメインまたはドメイン+セキュリティトークン認証のサポート なし なし あり
クライアント証明書認証のサポート なし あり あり
クライアント証明書+ドメイン認証のサポート なし なし あり
クライアント証明書+セキュリティトークンのサポート なし なし あり
Azure ADおよびCitrix IDプロバイダーのサポート あり なし あり
Okta IDプロバイダーのサポート あり なし あり
ネイティブSaaSアプリへのシングルサインオン あり なし あり
CDNを使用したエンタープライズアプリ配信のサポート あり あり あり
CDNを使用したMDXアプリ配信のサポート あり あり あり
Chrome:      
デバイス登録のサポート あり なし あり
ユーザー名とパスワード認証のサポート あり なし あり
iOS:      
デバイス登録のサポート あり あり あり
ドメインまたはドメイン+セキュリティトークン認証のサポート なし なし あり
クライアント証明書認証のサポート なし あり あり
クライアント証明書+ドメイン認証のサポート なし なし あり
Azure ADおよびCitrix IDプロバイダーのサポート あり なし あり
Okta IDプロバイダーのサポート あり なし あり
ネイティブSaaSアプリへのシングルサインオン あり なし あり
CDNを使用したエンタープライズアプリ配信のサポート あり あり あり
CDNを使用したMDXアプリ配信のサポート あり あり あり
Apple Educationの統合 あり なし あり
macOS:      
デバイス登録のサポート あり なし なし
ドメイン、またはドメインおよびワンタイムパスワードのサポート あり なし なし
招待URLおよびワンタイムパスワードのサポート あり なし なし
Windows:      
デバイス登録のサポート あり なし なし
Citrix Workspaceアプリを使用したWindows 10およびWindows 11デバイスの自動登録 あり なし なし
ドメインまたはドメイン+セキュリティトークン認証のサポート あり なし なし
クライアント証明書認証のサポート あり なし なし
クライアント証明書+ドメイン認証のサポート あり なし なし
Azure ADまたはCitrix IDプロバイダー経由のフェデレーション認証 あり なし なし
CDNを使用したエンタープライズアプリ配信のサポート あり なし なし
Workspace Environment Managementの統合(3) あり なし なし

注:

(1)展開順は、MDM用に構成された登録プロファイルを持つデリバリーグループ内のデバイスにのみ適用されます。

(2)MAM登録には、Citrix Gatewayが必要です。

(3) Workspace Environment Management(WEM)の統合により、広範囲なWindowsオペレーティングシステム上のMDM機能にアクセスできます。

詳しくは、「管理モード」を参照してください。

アーキテクチャ

Endpoint Managementアーキテクチャの必要なEndpoint Managementコンポーネントは、組織のデバイスまたはアプリの管理要件によって異なります。Endpoint Managementのコンポーネントはモジュール形式で、相互に依存しています。たとえば、環境にはCitrix Gatewayが含まれています:

  • Citrix Gatewayでは、ユーザーはモバイルアプリにリモートアクセスして、ユーザーデバイスの種類を追跡できます。
  • Endpoint Managementでこれらのアプリとデバイスを管理します。

次の図は、Endpoint Managementクラウド展開とデータセンターとの統合に関する一般的なアーキテクチャの概要です。

一般的なアーキテクチャ

以下のサブセクションには、次に関するリファレンスアーキテクチャ図が含まれています:

  • Endpoint Management
  • 外部認証機関およびEndpoint Managementコネクタ:Exchange ActiveSync用、およびEndpoint Management MDM+MAMとIntune MAMのトラフィックフローなどのオプションコンポーネント。

Citrix ADCおよびCitrix Gatewayの要件について詳しくは、シトリックスの製品ドキュメント(https://docs.citrix.com/)を参照してください。

コアリファレンスアーキテクチャ

ポートの要件について詳しくは、「システム要件」を参照してください。

コアアーキテクチャ

Citrix Virtual Apps and Desktopsを含むリファレンスアーキテクチャ

Citrix Virtual Apps and Desktopsアーキテクチャ

Endpoint Managementコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ

Endpoint Managementコネクタ:Exchange ActiveSync用アーキテクチャ

Citrix Gatewayコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ

Citrix Gatewayコネクタ:Exchange ActiveSync用アーキテクチャ

Endpoint Management MDM+MAMとIntune MAMを使用するリファレンスアーキテクチャ

Endpoint Management MDM+MAMとIntune MAMのトラフィックフロー

リソースの場所

リソースの場所は、業務上の必要性に応じた最適な場所を選択してください。パブリッククラウド、ブランチオフィス、プライベートクラウド、データセンターなどさまざまな場所をリソースの場所にできます。以下は、場所の選択を決定する要素の例です:

  • 利用者との距離
  • データとの距離
  • 拡張の必要性
  • セキュリティ属性

必要な数のリソースの場所を構築できます。以下はいくつかの例です:

  • データとの距離が近い方が望ましい利用者やアプリケーションのために、本社のデータセンターにリソースの場所を構築する。
  • グローバルユーザーのために、パブリッククラウドに別のリソースの場所を追加する。または、ブランチオフィスで別のリソースの場所を構築して、ブランチワーカーが最適に利用できるアプリケーションを提供する。
  • 別のネットワークにさらにリソースの場所を追加して、限定されたアプリケーションを提供する。これ以外のリソースの場所を調整する必要なく、他のリソースや利用者に表示される内容を制限できます。

Cloud Connector

Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。次のサービスにアクセスするには、Cloud Connectorが必要です:LDAP、IDプロバイダー、PKI(公開キー基盤)サーバー、内部DNSクエリ、Citrix Virtual Apps、Citrix Gateway、Citrix Workspace、およびMicrosoft Endpoint Manager。

次の図は、Cloud Connectorのトラフィックフローです。

Cloud Connectorのトラフィックフロー

Cloud Connectorは、Citrix Cloudへの接続を確立し、受信接続を受け入れません。

Cloud Connectorには、デバイスの登録中にのみ負荷がかかります。詳しくは、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。

モバイルアプリケーション管理(MAM)を含むソリューションには、オンプレミスのCitrix Gatewayによって提供されるマイクロVPNが必要です。このシナリオの内容は以下のとおりです。

  • データセンターには、次のコンポーネントが存在します:
    • Cloud Connector
    • Citrix Gateway
    • Exchange、Webアプリ、Active Directory、PKI用のサーバー
  • モバイルデバイスは、Endpoint ManagementおよびオンプレミスのCitrix Gatewayと通信します。

Endpoint Managementコンポーネント

Endpoint Managementコンソール。Endpoint Management管理コンソールは、Endpoint Managementの構成に使用します。Endpoint Managementコンソールの使用の詳細については、「Endpoint Management」の記事を参照してください。Endpoint Managementが最新リリースに更新されると同時に、新機能に関する記事の通知をお送りします。

Endpoint Managementサービスとオンプレミス版の違いは次のとおりです:

  • Remote Supportクライアントは、Endpoint Managementでは使用できません。
  • Citrixでは、Endpoint Managementのsyslogとオンプレミスのsyslogサーバーとの統合はサポートされません。代わりに、Endpoint Managementコンソールの [トラブルシューティングとサポート] ページからログをダウンロードできます。これを行う場合は、[すべてダウンロード] をクリックする必要があります。

MAM SDKまたはMDX Service。MDX Serviceは、2021年9月に製品終了(EOL)となる予定です。MDX Toolkitは、2022年3月に製品終了(EOL)となる予定です。エンタープライズアプリケーションの管理を続行するには、MAM SDKを使用する必要があります。

  • モバイルアプリケーション管理(MAM)SDKは、iOSおよびAndroidプラットフォームではカバーされないMDX機能を提供します。iOSアプリやAndroidアプリをMDX対応にして保護できます。これらのアプリを、内部ストアまたはパブリックアプリストアのいずれかで利用できるようにします。「MDXアプリSDK」を参照してください。
  • Endpoint Management MDX Serviceは、組織内または社外で作成されたモバイルアプリを安全にラップできます。詳しくは、「MDX Service」を参照してください。

業務用モバイルアプリ。シトリックスが開発した業務用モバイルアプリにより、Endpoint Management環境に生産性と通信のためのツールスイートが提供されます。所属する組織のポリシーは、それらのアプリを保護します。詳しくは、「業務用モバイルアプリ」を参照してください。

Endpoint Managementコネクタ:Exchange ActiveSync用Endpoint Managementコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、ExchangeサービスレベルでActiveSyncフィルターを提供します。つまり、メールがEndpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。コネクタでCitrix Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、コネクタを展開できます。詳しくは、「Endpoint Managementコネクタ:Exchange ActiveSync用」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用。Citrix Gatewayコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、境界にActiveSyncフィルターを提供します。このフィルタリングでは、Citrix GatewayをActiveSyncトラフィックのプロキシとして使用します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時にインターセプトします。Exchange ActiveSync用コネクタは、Citrix GatewayとEndpoint Management間の中継点として機能します。詳しくは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を参照してください。

Endpoint Managementのセキュリティの技術概要

Citrix Cloudは、Endpoint Management環境のコントロールプレーンを管理します。このコントロールプレーンには、Endpoint Managementサーバー、Citrix ADCロードバランサー、シングルテナントデータベースなどが含まれます。クラウドサービスは、Citrix Cloud Connectorを使用して顧客データセンターと統合します。Cloud Connectorを使用しているEndpoint Managementのユーザーは、通常、自社データセンターでCitrix Gatewayを管理します。

次の図は、サービスとそのセキュリティ境界です。

セキュリティ境界

このセクションには、次の情報が記載されています:

  • Citrix Cloudのセキュリティ機能を紹介します。
  • Citrix Cloudのセキュリティを確保するために、シトリックスと顧客の責任範囲を定義します。
  • Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスは提供しません。

包括的なエンドツーエンドのセキュリティを実現するためにEndpoint Managementが使用するテクノロジについては、Citrixのホワイトペーパー『Citrix Endpoint Managementのセキュリティの概要』を参照してください。

データフロー

コントロールプレーンは、ユーザーオブジェクトおよびグループオブジェクトへの読み取りアクセスが制限されています。これらのオブジェクトは、ディレクトリ、DNS、および同様のサービスに格納されています。コントロールプレーンは、セキュリティ保護されたHTTPS接続を使用してCitrix Cloud Connector経由でこれらのサービスにアクセスします。

メール、イントラネット、Webアプリのトラフィックなどの企業データは、Citrix Gatewayを介して直接デバイスとアプリケーションサーバー間を移動します。Citrix Gatewayは、顧客のデータセンターに導入されています。

データ分離

コントロールプレーンは、ユーザーデバイスおよびそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントとシングルテナントコンポーネントを組み合わせて構成されています。ただし、サービスアーキテクチャごとに、顧客のメタデータは常に各テナントに個別に保存され、固有の資格情報で保護されます。

資格情報の処理

このサービスは、次の種類の資格情報を処理します:

  • ユーザーの資格情報: ユーザーの資格情報は、HTTPS接続経由でデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュリティで保護された接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
  • 管理者資格情報: 管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。このプロセスでは、ワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はそのサービスにアクセスできます。
  • Active Directory資格情報: コントロールプレーンには、Active Directoryからユーザーのメタデータを読み取るためにバインド資格情報が必要です。これらの資格は、AES-256暗号化で暗号化され、テナントごとのデータベースに保存されます。

展開に関する考慮事項

ご使用の環境内にCitrix Gatewayを導入する場合、公開されているベストプラクティスのドキュメントを参照することをお勧めします。

その他のリソース

セキュリティ情報について詳しくは、次のリソースを参照してください:

Mobile Threat Defenseソフトウェアとの統合

Mobile Threat Defense(MTD)は、エンタープライズモバイルデバイスに対する高度なサイバー攻撃の検出、分析、および阻止するための支援を行います。MTDとUnified Endpoint Management(UEM)を組み合わせることによって、組織のセキュリティと可視性を向上させます。

MTDソフトウェアは、Endpoint Managementが以下の目的で使用する脅威データを提供します:

  • マルウェア、フィッシング、ネットワーク攻撃、および中間者攻撃に対して保護する。
  • デバイスのコンプライアンスステータスを定義する。
  • リスクレベルを定義する。
  • アプリ、データ、デバイス、およびモバイルネットワークを保護するために、ポリシーベースの措置を講じる。

Citrix Endpoint Managementは、以下のMTDベンダーと統合されています:

詳細およびデモのリクエストについては、当社のMTDパートナーまたはCitrixの営業担当者にお問い合わせください。

Endpoint Management