Endpoint Management

Endpoint Managementは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を提供します。

Endpoint ManagementのMDM機能により、次の操作が可能になります:

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプなどのアクションをデバイスで実行する

Endpoint ManagementのMAM機能により、次の操作が可能になります:

  • BYOモバイルデバイスのアプリとデータのセキュリティを保護する
  • エンタープライズモバイルアプリを配信する
  • アプリのロックおよびデータのワイプを実行する

MDMとMAMの機能を組み合わせることにより、次の操作が可能になります:

  • MDMを使用してコーポレート発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

アーキテクチャ

Endpoint Managementアーキテクチャの必要なEndpoint Managementコンポーネントは、組織のデバイスまたはアプリの管理要件によって異なります。Endpoint Managementのコンポーネントはモジュール形式で、相互に依存しています。たとえば、モバイルアプリに対してリモートアクセスを提供し、ユーザーデバイスの種類を追跡するには、Citrix Gatewayを展開します。Endpoint Managementでアプリとデバイスを管理し、Citrix Gatewayによって、ユーザーがネットワークに接続できるようにします。

次の図は、Endpoint Managementクラウド展開とデータセンターとの統合に関する一般的なアーキテクチャの概要です。

一般的なアーキテクチャの図

以下のサブセクションでは、コアのEndpoint Management、外部の認証機関やEndpoint Managementコネクタ:Exchange ActiveSync用などのオプションコンポーネントのリファレンスアーキテクチャの図を表示しています。

Citrix ADCおよびCitrix Gatewayの要件について詳しくは、シトリックスの製品ドキュメント(docs.citrix.com)を参照してください。

コアリファレンスアーキテクチャ

ポートの要件について詳しくは、「システム要件」を参照してください。

コアアーキテクチャの図

Citrix Virtual Apps and Desktopsを含むリファレンスアーキテクチャ

Citrix Virtual Apps and Desktopsアーキテクチャの図

Endpoint Managementコネクタ:Exchange ActiveSyn用を含むリファレンスアーキテクチャ

Endpoint Managementコネクタ:Exchange ActiveSync用アーキテクチャの図

Citrix Gatewayコネクタ:Exchange ActiveSyn用を含むリファレンスアーキテクチャ

Citrix Gatewayコネクタ:Exchange ActiveSync用アーキテクチャの図

リソースの場所

リソースの場所は、業務上の必要性に応じた最適な場所を選択してください。パブリッククラウド、支社、プライベートクラウド、データセンターなどさまざまな場所をリソースの場所にできます。以下は、場所の選択を決定する要素の例です:

  • 利用者との距離
  • データとの距離
  • 拡張の必要性
  • セキュリティ属性

必要な数のリソースの場所を構築できます。以下はいくつかの例です:

  • データとの距離が近い方が望ましい利用者やアプリケーションのために、本社のデータセンターにリソースの場所を構築する。
  • グローバルユーザーのために、パブリッククラウドに別のリソースの場所を追加する。または、支社で別のリソースの場所を構築して、支社の従業員が最適に利用できるアプリケーションを提供する。
  • 別のネットワークにさらにリソースの場所を追加して、限定されたアプリケーションを提供する。これ以外のリソースの場所を調整する必要なく、他のリソースや利用者に表示される内容を制限できます。

Cloud Connector

シトリックスではCloud Connectorを使用して、Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。また、Endpoint Managementのすべての認証の種類をサポートしています。

次の図は、Cloud Connectorのトラフィックフローです。

Cloud Connectorのトラフィックフローの図

Cloud Connectorは、Citrix Cloudへの接続を確立し、受信接続を受け入れません。

モバイルアプリケーション管理(MAM)を含むソリューションには、オンプレミスのCitrix Gatewayによって提供されるMicro VPNが必要です。Cloud Connector、Citrix Gateway、およびExchange、Webアプリ、Active Directory、PKI用のサーバーがデータセンターにあります。モバイルデバイスは、Endpoint ManagementおよびオンプレミスのCitrix Gatewayと通信します。

Endpoint Managementコンポーネント

Endpoint Managementコンソール。Endpoint Management管理コンソールは、Endpoint Managementの構成に使用します。Endpoint Managementコンソールの使用の詳細については、「Endpoint Management」の記事を参照してください。Endpoint Managementが最新リリースに更新されると同時に、新機能に関する記事の通知をお送りします。

Endpoint Managementサービスとオンプレミス版の違いは次のとおりです:

  • Remote Supportクライアントは、Endpoint Managementでは使用できません。
  • Endpoint Managementのサーバー側のコンポーネントは、FIPS 140-2に準拠していません。
  • Endpoint Managementでは、オンプレミスのsyslogサーバーとのsyslog統合はサポートされません。代わりに、Endpoint Managementコンソールの [サポート] ページからログをダウンロードできます。これを行う場合は、[すべてダウンロード] をクリックする必要があります。

MDX Service。Endpoint Management MDX Serviceは、組織内または社外で作成されたモバイルアプリを安全にラップできます。詳しくは、「MDX Service」を参照してください。

業務用モバイルアプリ。シトリックスが開発した業務用モバイルアプリにより、Endpoint Management環境に生産性と通信のためのツールスイートが提供されます。所属する組織のポリシーは、それらのアプリを保護します。詳しくは、「業務用モバイルアプリ」を参照してください。

Endpoint Managementコネクタ:Exchange ActiveSync用Endpoint Managementコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、ExchangeサービスレベルでActiveSyncフィルターを提供します。つまり、メールがEndpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。コネクタでCitrix Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、コネクタを展開できます。詳しくは、「Endpoint Managementコネクタ:Exchange ActiveSync用」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用。Citrix Gatewayコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、ActiveSyncトラフィックのプロキシとしてCitrix Gatewayを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時にインターセプトします。Exchange ActiveSync用コネクタは、Citrix GatewayとEndpoint Managementサーバー間の中継点として機能します。詳しくは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を参照してください。

Endpoint Managementのセキュリティの技術概要

Endpoint Managementサーバー、Citrix ADCロードバランサー、単一テナントデータベースなどで構成されるEndpoint Management環境のコントロールプレーンは、Citrix Cloudが管理します。クラウドサービスは、Citrix Cloud Connectorを使用して顧客データセンターと統合します。Cloud Connectorを使用しているEndpoint Managementのユーザーは、通常、自社データセンターでCitrix Gatewayを管理します。

次の図は、サービスとそのセキュリティ境界です。

セキュリティ境界の図

このセクションには、次の情報が記載されています:

  • Citrix Cloudのセキュリティ機能を紹介します。
  • Citrix Cloudのセキュリティを確保するために、シトリックスと顧客の責任範囲を定義します。
  • Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスは提供しません。

データフロー

コントロールプレーンは、顧客ディレクトリおよびDNSなどの他のサービスからのユーザーおよびグループオブジェクトへの読み取りアクセスが制限されています。コントロールプレーンは、セキュリティ保護されたHTTPS接続を使用するCloud Connector経由でこれらのサービスにアクセスします。

メール、イントラネット、Webアプリのトラフィックなどの企業データは、Citrix Gatewayを介して直接デバイスとアプリケーションサーバー間を移動します。Citrix Gatewayは、顧客のデータセンターに導入されています。

データ分離

コントロールプレーンは、ユーザデバイスおよびそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントと単一テナントコンポーネントを組み合わせて構成されています。ただし、サービスアーキテクチャごとに、顧客のメタデータは常に各テナントに個別に保存され、固有の資格情報で保護されます。

資格情報の処理

このサービスは、次の種類の資格情報を処理します:

  • ユーザーの資格情報:ユーザーの資格情報は、HTTPS接続経由でデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュリティで保護された接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
  • 管理者資格情報:管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。このプロセスでは、ワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はそのサービスにアクセスできます。
  • Active Directory資格情報:コントロールプレーンには、Active Directoryからユーザーのメタデータを読み取るためにバインド資格情報が必要です。これらの資格は、AES-256暗号化で暗号化され、テナントごとのデータベースに保存されます。

展開に関する考慮事項

ご使用の環境内にCitrix Gatewayを導入する場合、公開されているベストプラクティスのドキュメントを参照することをお勧めします。

その他のリソース

セキュリティ情報について詳しくは、次のリソースを参照してください: