Endpoint Managementについて

モバイルデバイス管理(MDM)を必要とするのか、モバイルアプリケーション管理(MAM)が必要なのか、その両方を使用するのかによって、Endpoint Managementオファリングを選択します。

例えば、Endpoint ManagementのMDM機能のみを使用する場合は、次の操作を実行できます:

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスワイプなどのアクションをデバイスで実行する

Endpoint ManagementのMAM機能のみを使用する場合は、次の操作を実行できます:

  • BYOモバイルデバイスのアプリとデータをセキュリティ保護する
  • エンタープライズモバイルアプリを配信する
  • アプリのロックおよびデータのワイプを実行する

MDMとMAMの両方の機能を使用する場合は、次の操作を実行できます。

  • MDMを使用して企業発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

Endpoint Managementオファリングについて詳しくは、このデータシートを参照してください。

アーキテクチャ

Endpoint Managementアーキテクチャの必要なEndpoint Managementコンポーネントは、組織のデバイスまたはアプリケーションの管理要件によって異なります。Endpoint Managementのコンポーネントはモジュール形式で、相互に依存しています。例えば、モバイルアプリケーションに対してリモートアクセスを提供し、ユーザーデバイスの種類を追跡するには、NetScaler Gatewayを展開します。Endpoint Managementでアプリケーションとデバイスを管理し、NetScaler Gatewayによって、ユーザーがネットワークに接続できるようにします。

次の図は、Endpoint Managementクラウド展開とデータセンターとの統合に関する一般的なアーキテクチャの概要です。

一般的なアーキテクチャの図

以下のセクションには、コアとなるEndpoint Managementとオプションのコンポーネント(外部認証機関やXenMobile Mail Managerなど)に関するリファレンスアーキテクチャ図が含まれています。

NetScalerおよびNetScaler Gatewayの要件について詳しくは、シトリックスの製品ドキュメント(docs.citrix.com)を参照してください。

コアリファレンスアーキテクチャ

ポートの要件について詳しくは、「システム要件」を参照してください。

コアアーキテクチャの図

外部認証機関を含むリファレンスアーキテクチャ

外部認証機関アーキテクチャの図

XenAppおよびXenDesktopを含むリファレンスアーキテクチャ

XenAppおよびXenDesktopアーキテクチャの図

XenMobile Mail Managerを含むリファレンスアーキテクチャ

XenMobile Mail Managerアーキテクチャの図

XenMobile NetScaler Connectorを含むリファレンスアーキテクチャ

XenMobile NetScaler Connectorアーキテクチャの図

リソースの場所

リソースの場所は、業務上の必要性に応じた最適な場所を選択してください。パブリッククラウド、支社、プライベートクラウド、データセンターなどさまざまな場所をリソースの場所にできます。以下は、場所の選択を決定する要素の例です。

  • 利用者との距離
  • データとの距離
  • 拡張の必要性
  • セキュリティ属性

必要な数のリソースの場所を構築できます。以下はいくつかの例です。

  • データとの距離が近い方が望ましい利用者やアプリケーションのために、本社のデータセンターにリソースの場所を構築する。
  • グローバルユーザーのために、パブリッククラウドに別のリソースの場所を追加する。または、支社で別のリソースの場所を構築して、支社の従業員が最適に利用できるアプリケーションを提供する。
  • 別のネットワークにさらにリソースの場所を追加して、限定されたアプリケーションを提供する。これ以外のリソースの場所を調整する必要なく、他のリソースや利用者に表示される内容を制限できます。

Cloud Connector

CitrixはCloud Connectorを使用して、Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。また、Endpoint Managementのすべての認証の種類をサポートしています。

次の図は、Cloud Connectorのトラフィックフローです。

Cloud Connectorのトラフィックフローの図

Cloud Connectorは、Citrix Cloudへの接続を確立し、受信接続を受け入れません。

モバイルアプリケーション管理(MAM)を含むソリューションには、オンプレミスのNetScaler Gatewayによって提供されるMicro VPNが必要です。Cloud Connector、NetScaler Gateway、およびExchange、Webアプリケーション、Active Directory、PKI用のサーバーがデータセンターにあります。モバイルデバイスは、Endpoint ManagementおよびオンプレミスのNetScaler Gatewayと通信します。

Endpoint Managementコンポーネント

Endpoint Managementコンソール。Endpoint Management管理コンソールは、Endpoint Managementの構成に使用します。Endpoint Managementコンソールの使用の詳細については、「Endpoint Management」の記事を参照してください。Endpoint Managementが最新リリースに更新されると同時に、新機能に関する記事の通知をお送りします。

Endpoint Managementサービスとオンプレミス版の違いは次のとおりです:

  • Remote Supportクライアントは、Endpoint Managementでは使用できません。
  • Endpoint Managementのサーバー側のコンポーネントは、FIPS 140-2に準拠していません。
  • Endpoint Managementでは、オンプレミスのsyslogサーバーとのsyslog統合はサポートされません。代わりに、Endpoint Managementコンソールの [サポート] ページからログをダウンロードできます。これを行う場合は、[すべてダウンロード]をクリックする必要があります。

MDX Service。Endpoint Management MDX Serviceは、組織内または社外で作成されたモバイルアプリケーションを安全にラップできます。詳しくは、「MDX Service」を参照してください。

業務用モバイルアプリ。Citrixが開発した業務用モバイルアプリにより、Endpoint Management環境に生産性と通信のためのツールスイートが提供されます。所属する組織のポリシーは、それらのアプリを保護します。詳しくは、「業務用モバイルアプリ」を参照してください。

XenMobile Mail Manager。XenMobile Mail Managerは、ネイティブのモバイルメールアプリを使用するユーザーが安全にメールにアクセスできるようにします。XenMobile Mail Managerは、ExchangeサービスレベルでActiveSyncフィルタリングを提供します。つまり、メールがEndpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。NetScalerを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、XenMobile Mail Managerを展開できます。詳しくは、「XenMobile Mail Manager」を参照してください。

XenMobile NetScaler Connector。XenMobile Mail Managerは、ネイティブのモバイルメールアプリを使用するユーザーが安全にメールにアクセスできるようにします。XenMobile NetScaler Connectorは、ActiveSyncトラフィックのプロキシとしてNetScalerを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時に傍受します。XenMobile NetScaler Connectorは、NetScalerとEndpoint Managementサーバー間の中継点として機能します。詳しくは、「XenMobile NetScaler Connector」を参照してください。

Endpoint Managementのセキュリティの技術概要

Endpoint Managementサーバー、NetScalerロードバランサー、単一テナントデータベースなどで構成されるEndpoint Management環境のコントロールプレーンは、Citrix Cloudが管理します。クラウドサービスは、Citrix Cloud Connectorを使用して顧客データセンターと統合します。Cloud Connectorを使用しているEndpoint Managementのユーザーは、通常、自社データセンターでNetScaler Gatewayを管理します。

次の図は、サービスとそのセキュリティ境界です。

セキュリティ境界の図

このセクションには、次の情報が記載されています。

  • Citrix Cloudのセキュリティ機能を紹介します。
  • Citrix Cloudのセキュリティを確保するために、シトリックスと顧客の責任範囲を定義します。
  • Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスは提供しません。

データフロー

コントロールプレーンは、顧客ディレクトリおよびDNSなどの他のサービスからのユーザーおよびグループオブジェクトへの読み取りアクセスが制限されています。コントロールプレーンは、セキュリティ保護されたHTTPS接続を使用するCloud Connector経由でこれらのサービスにアクセスします。

メール、イントラネット、Webアプリのトラフィックなどの企業データは、NetScaler Gatewayを介して直接デバイスとアプリケーションサーバー間を移動します。NetScaler Gatewayは、顧客のデータセンターに導入されています。

データ分離

コントロールプレーンは、ユーザデバイスおよびそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントと単一テナントコンポーネントを組み合わせて構成されています。ただし、サービスアーキテクチャごとに、顧客のメタデータは常に各テナントに個別に保存され、固有の資格情報で保護されます。

資格情報の処理

このサービスは、次の種類の資格情報を処理します。

  • ユーザーの資格情報:ユーザーの資格情報は、HTTPS接続経由でデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュリティで保護された接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
  • 管理者資格情報:管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。このプロセスでは、ワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はそのサービスにアクセスできます。
  • Active Directory資格情報:コントロールプレーンには、Active Directoryからユーザーのメタデータを読み取るためにバインド資格情報が必要です。これらの資格は、AES-256暗号化で暗号化され、テナントごとのデータベースに保存されます。

展開に関する考慮事項

ご使用の環境内にNetScaler Gatewayを導入する場合、公開されているベストプラクティスのドキュメントを参照することをお勧めします。

その他のリソース

セキュリティ情報について詳しくは、次のリソースを参照してください。