認証

Endpoint Management環境で認証の構成方法を決定する場合、いくつかの点を考慮する必要があります。このセクションでは、認証に影響するさまざまな要素を理解できるよう、以下の項目について説明します。

  • 認証に関係する主なMDXポリシー、Endpoint Managementクライアントプロパティ、NetScaler Gatewayの設定。
  • これらのポリシー、クライアントプロパティ、および設定の関連性。
  • それぞれの選択肢の代償。

また、セキュリティを強化する上で推奨される3つの構成例も紹介します。

大まかに言えば、セキュリティを強化するほどユーザーはより頻繁に認証を行わなければならなくなるため、最適なユーザーエクスペリエンスから遠ざかることになります。こうした問題のバランスをとる方法は、組織のニーズと優先事項によって異なります。3つの推奨構成を検討することで、利用可能な認証手段の関係と、お客様に合ったEndpoint Management環境の最適な展開方法についてより深く理解できます。

認証モード

オンライン認証: ユーザーはEndpoint Managementネットワークに接続できます。インターネット接続が必要になります。

オフライン認証: デバイスで認証を行います。ユーザーは、セキュリティで保護された資格情報コンテナのロックを解除して、ダウンロード済みのメール、キャッシュされたWebサイト、メモなどにオフラインでアクセスできます。

認証方法

単一要素

LDAP: Endpoint Managementでは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリ(Active Directoryなど)への接続を構成することができます。この方法は、企業環境でシングルサインオン(SSO:Single Sign-On)を実現するためによく使用されています。Active Directoryのパスワードのキャッシュ化でCitrix PINを選択すると、LDAPによりユーザーエクスペリエンスを向上させながら、登録時に複雑なパスワードを要求し、パスワードの有効期限およびアカウントのロックアウトを設定してセキュリティを確保できます。

詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。

クライアント証明書: Endpoint Managementを業界標準の証明機関と統合し、証明書を唯一のオンライン認証方法として使用できます。Endpoint Managementでは、ワンタイムパスワード、招待URL、LDAP資格情報のいずれかが要求されるユーザー登録を行った後に、この証明書が提供されます。クライアント証明書をプライマリ認証方法とする場合、クライアント証明書のみの環境では、デバイスで証明書を保護するためにCitrix PINが必要になります。

Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Endpoint ManagementはNetScalerを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler証明書失効一覧(CRL)設定を構成する必要があるかどうか検討します。[Enable CRL Auto Refresh]。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証することができなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

ユーザー向けに証明書ベースの認証を使用する場合、またはデバイスの証明書の発行でエンタープライズ証明機関(CA:Certificate Authority)を利用する必要がある場合に必要な展開環境を示した図については、「アーキテクチャ」を参照してください。

2要素

LDAP+クライアント証明書: Endpoint Management環境において、この構成では最適なSSO機能とNetScalerの2要素認証で提供されるセキュリティが結びつけられており、セキュリティおよびユーザーエクスペリエンスについて最高の組み合わせとなります。LDAPとクライアント証明書の両方を使用することで、ユーザーの知識(Active Directoryパスワード)と所有物(デバイス上のクライアント証明書)の両方によるセキュリティを実現します。Exchangeクライアントアクセスサーバーの環境が適切に構成されていれば、Secure Mail(および他のいくつかのCitrix業務用モバイルアプリ)では、初回アクセス時にクライアント証明書認証を自動で構成し、シームレスなユーザーエクスペリエンスを提供できます。ユーザービリティを最適にするために、このオプションをCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。

LDAP+トークン: この構成では、RADIUSプロトコルを使用して、従来のLDAP資格情報の構成とワンタイムパスワードを組み合わせることができます。ユーザービリティを最適にするために、このオプションをCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。

認証に関係する重要なポリシー、設定、およびクライアントプロパティ

後に示す3つの推奨構成では、次のポリシー、設定、およびクライアントプロパティを利用します。

MDXポリシー

アプリのパスコード:[オン] の場合、アプリを起動する時、または一定期間操作を行わなかった後で再開する時に、アプリのロック解除のためにCitrix PINまたはパスコードが求められます。デフォルトは [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、Endpoint Managementコンソールの [設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。デフォルトは15分です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

注:

Encryption keysポリシーに[Secure offline]を選択すると、このポリシーは自動的に有効になります。

オンラインセッションを必須とする:[オン] の場合、デバイス上のアプリにアクセスするために、企業ネットワークおよびアクティブなセッションへ接続する必要があります。[オフ] の場合、デバイス上のアプリにアクセスするために、アクティブなセッションに接続する必要はありません。デフォルトは [オフ] です。

最大オフライン期間(時間): Endpoint Managementがアプリケーション権利の再確認とポリシー更新を行わずにアプリケーションを実行できる最大期間を定義します。最大オフライン期間が設定されており、iOS向けSecure Hubに有効なNetScaler Gatewayトークンがある場合、アプリはユーザーの操作を中断することなく、Endpoint ManagementからMDXアプリの新しいポリシーを取得します。Secure Hubに有効なNetScalerトークンがない場合、アプリポリシーを更新するにはユーザーがSecure Hubで認証する必要があります。非アクティブなNetScaler Gatewayセッション、または強制的なセッションタイムアウトポリシーにより、NetScalerトークンが無効になることがあります。Secure Hubに再度サインインすると、アプリの実行を続けることができます。

期間が終了する30分前、15分前、5分前に、サインオンするようユーザーに警告メッセージが表示されます。期間終了後は、ユーザーがサインインするまでアプリはロックされます。デフォルトは 72時間(3日) です。最短の期間は1時間です。

注:

ユーザーの移動が頻繁であり国際ローミングを使用する可能性があるシナリオでは、デフォルトの72時間(3日)では時間が足りない場合があることに注意してください。

バックグラウンドサービスチケットの有効期間: バックグラウンドネットワークサービスチケットの有効状態が維持される期間。NetScaler Gatewayを介してSecure MailがActiveSyncを実行するExchange Serverに接続する場合、Endpoint Managementは内部Exchange Serverへの接続にSecure Mailが使用するトークンを発行します。このプロパティ設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくSecure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルトは 168時間(7日間) です。この有効期間が切れると、メール通知は行われなくなります。

オンラインセッションを必須とするまでの猶予期間:[オンラインセッションを必須とする]ポリシーにより使用を停止されるまで(オンラインセッションが検証されるまで)に、オフラインでアプリケーションを使用できる分数を指定します。デフォルトは0(猶予期間なし)です。

MDX Toolkitの認証ポリシーについて詳しくは、「iOSのEndpoint Management MDXポリシー」および「AndroidのEndpoint Management MDXポリシー」を参照してください。

Endpoint Managementクライアントプロパティ

注:

クライアントプロパティは、Endpoint Managementに接続するすべてのデバイスに適用されるグローバル設定です。

Citrix PIN: サインインを簡略化する場合は、Citrix PINを有効にします。PINを使用する場合、ユーザーは他の資格情報(Active Directoryのユーザー名やパスワードなど)を繰り返し入力する必要はありません。Citrix PINは単独のスタンドアロンのオフライン認証として設定できるほか、Active Directoryのパスワードキャッシュと組み合わせて認証を効率化し、ユーザビリティを最適化することもできます。Citrix PINの構成は、Endpoint Managementコンソールの [設定]>[クライアント]>[クライアントプロパティ] で行うことができます。

以下に、いくつかの重要なプロパティの概要を示します。詳しくは、「クライアントプロパティ」を参照してください。

ENABLE_PASSCODE_AUTH

表示名: Enable Citrix PIN Authentication

このキーを使用すると、Citrix PIN機能を有効にできます。ユーザーは、Citrix PINまたはパスコードにより、Active Directoryパスワードの代わりに使用するPINを定義するように求められます。ENABLE_PASSWORD_CACHINGを有効にしているか、Endpoint Managementで証明書認証を使用している場合は、この設定を有効にする必要があります。

設定可能な値: trueまたはfalse

デフォルト値: false

ENABLE_PASSWORD_CACHING

表示名: Enable User Password Caching

このキーを使用すると、ユーザーのActive Directoryパスワードをモバイルデバイス上でローカルにキャッシュできます。このキーをtrueに設定すると、ユーザーはCitrix PINまたはパスコードを設定するように求められます。このキーを true に設定する場合は、ENABLE_PASSCODE_AUTHキーをtrueに設定する必要があります。

設定可能な値: trueまたはfalse

デフォルト値: false

PASSCODE_STRENGTH

表示名: PIN Strength Requirement

このキーでは、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、ユーザーは次回認証を求められたときに、新しいCitrix PINまたはパスコードを設定するように求められます。

設定可能な値: LowMedium、または Strong

デフォルト値: Medium

INACTIVITY_TIMER

表示名: Inactivity Timer

このキーでは、ユーザーがデバイスの操作を行わなくなってから、Citrix PINまたはパスコードの入力を求められずにアプリにアクセスできる時間(分単位)を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコード]設定を [オン] にする必要があります。[アプリのパスコード]設定を [オフ] に設定すると、ユーザーは完全認証を実行するようSecure Hubにリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。デフォルトは15分です。

ENABLE_TOUCH_ID_AUTH

表示名: Enable Touch ID Authentication

オフライン認証での指紋リーダー(iOSのみ搭載)の使用を許可します。オンライン認証では、この設定によらずプライマリ認証方法が求められます。

ENCRYPT_SECRETS_USING_PASSCODE

表示名: Encrypt secrets using Passcode

このキーでは、機密データをプラットフォームベースのネイティブな格納場所(iOSキーチェーンなど)ではなく、モバイルデバイスのSecret Vaultに格納できます。この構成キーにより、重要な成果物を強力に暗号化できますが、ユーザーエントロピー(ユーザーだけが知る、ユーザーが生成したランダムなPINコード)も追加されます。

設定可能な値: trueまたはfalse

デフォルト値: false

NetScalerの設定

Session time-out: この設定を有効にすると、指定期間にわたってNetScalerでネットワークアクティビティが検出されない場合、NetScaler Gatewayによりセッションが切断されます。この設定は、NetScaler Gateway Plug-in、Citrix Workspace、Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。デフォルトは 1440分 です。値を0にすると、設定は無効になります。

Forced time-out: この設定を有効にした場合、タイムアウト時間が経過すると、ユーザーの操作内容にかかわらずNetScaler Gatewayによりセッションが切断されます。タイムアウト時間が経過した場合、ユーザーが切断を中止することはできません。この設定は、NetScaler Gateway Plug-in、Citrix Workspace、Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。Secure MailでSTA(特別なNetScalerモード)を使用している場合、この設定はSecure Mailのセッションには適用されません。デフォルトは 1440分 です。この値を空白にすると、設定は無効になります。

NetScaler Gatewayのタイムアウト設定について詳しくは、NetScalerのドキュメントを参照してください。

ユーザーにデバイスで資格情報を入力してEndpoint Managementの認証を行うように求めるシナリオについては、「認証を求められるシナリオ」を参照してください。

デフォルトの構成設定

NetScaler for XenMobileウィザード、MDX ServiceまたはMDX Toolkit、およびEndpoint Managementコンソールのデフォルト設定を以下に示します。

設定 設定を見つける場所 デフォルト設定
セッションのタイムアウト NetScaler Gateway 1,440分
Forced time-out NetScaler Gateway 1,440分
最大オフライン期間 MDXポリシー 72時間
バックグラウンドサービスチケットの有効期間 MDXポリシー 168時間(7日)
オンラインセッションを必須とする MDXポリシー オフ
オンラインセッションを必須とするまでの猶予期間 MDXポリシー 0
アプリのパスコード MDXポリシー オン
Encrypt secrets using passcode Endpoint Managementクライアントプロパティ FALSE
Enable Citrix PIN Authentication Endpoint Managementクライアントプロパティ FALSE
PIN Strength Requirement Endpoint Managementクライアントプロパティ
PIN Type Endpoint Managementクライアントプロパティ 数字
Enable User Password Caching Endpoint Managementクライアントプロパティ FALSE
Inactivity Timer Endpoint Managementクライアントプロパティ 35
Enable Touch ID Authentication Endpoint Managementクライアントプロパティ false

推奨構成

このセクションでは、セキュリティが最も弱く最適なユーザーエクスペリエンスが得られる構成から、セキュリティが最高レベルでユーザーに操作が求められる頻度が最も多い構成まで、3種類のEndpoint Managementの構成例を示します。お客様自身の構成配置のスケールを決定する際は、これらの例を参考にしてください。これらの設定を変更する場合、他の設定の変更も必要になる可能性があります。たとえば、最大オフライン期間は、セッションのタイムアウト期間よりも短くする必要があります。

最高のセキュリティ

この構成ではセキュリティのレベルは最高になりますが、ユーザビリティが大きく損なわれます。

       
設定 設定を見つける場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 1440 ユーザーは、オンライン認証が求められた時(24時間ごと)にのみ、Secure Hubの資格情報を入力します。
Forced time-out NetScaler Gateway 1440 24時間ごとにオンライン認証を厳格に要求します。アクティビティによりセッションの有効期間が延長されることはありません。
最大オフライン期間 MDXポリシー 23 毎日ポリシーを更新するように求めます。
バックグラウンドサービスチケットの有効期間 MDXポリシー 72時間 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。
オンラインセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを必須にします。
オンラインセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([オンライン セッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー オン アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Endpoint Managementクライアントプロパティ true ユーザーエントロピーで設定されたキーにより資格情報コンテナを保護します。
Enable Citrix PIN Authentication Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Endpoint Managementクライアントプロパティ パスワードの複雑さに関する高レベルの要件を適用します。
PIN Type Endpoint Managementクライアントプロパティ Alphanumeric PINは英数字の文字列になります。
Enable Password Caching Endpoint Managementクライアントプロパティ false Active Directoryのパスワードはキャッシュされず、Citrix PINを使用してオフライン認証を行います。
Inactivity Timer Endpoint Managementクライアントプロパティ 35 ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Endpoint Managementクライアントプロパティ false iOSでのオフライン認証のユースケースで、Touch IDを無効にします。

より高いセキュリティ

この構成は中間的なアプローチであり、ユーザーに認証を求める頻度を増やし(7日ごとではなく最長で3日ごと)、セキュリティを強化しています。認証回数を増やしたことでコンテナはより頻繁にロックされるようになり、デバイスが使用されていない時のデータのセキュリティを確保できます。

       
設定 設定を見つける場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 4320 ユーザーは、オンライン認証が求められた時(3日ごと)にのみ、Secure Hubの資格情報を入力します。
Forced time-out NetScaler Gateway 値なし アクティビティが行われれば、セッションは延長されます。
最大オフライン期間 MDXポリシー 71 3日ごとにポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。
バックグラウンドサービスチケットの有効期間 MDXポリシー 168時間 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。
オンラインセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを必須にします。
オンラインセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([オンライン セッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー オン アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Endpoint Managementクライアントプロパティ false ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。
Enable Citrix PIN Authentication Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Endpoint Managementクライアントプロパティ 中レベルのパスワードの複雑さ規則を適用します。
PIN Type Endpoint Managementクライアントプロパティ Numeric PINは数列になります。
Enable Password Caching Endpoint Managementクライアントプロパティ true ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。
Inactivity Timer Endpoint Managementクライアントプロパティ 30 ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Endpoint Managementクライアントプロパティ true iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。

高セキュリティ

この構成はユーザーが最も使いやすいものであり、セキュリティは基本レベルになります。

       
設定 設定を見つける場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 10080 ユーザーは、オンライン認証が求められた時(7日ごと)にのみ、Secure Hubの資格情報を入力します。
Forced time-out NetScaler Gateway 値なし アクティビティが行われれば、セッションは延長されます。
最大オフライン期間 MDXポリシー 167 毎週(7日ごと)にポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。
バックグラウンドサービスチケットの有効期間 MDXポリシー 240 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーがセッションの期限切れまでにアプリを開かなかった場合に、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。
オンラインセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを必須にします。
オンラインセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([オンライン セッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー オン アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Endpoint Managementクライアントプロパティ false ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。
Enable Citrix PIN Authentication Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Endpoint Managementクライアントプロパティ パスワードの複雑さに関する要件を適用しません。
PIN Type Endpoint Managementクライアントプロパティ Numeric PINは数列になります。
Enable Password Caching Endpoint Managementクライアントプロパティ true ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。
Inactivity Timer Endpoint Managementクライアントプロパティ 90 ユーザーがこの期間にわたりMDXアプリまたはSecure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Endpoint Managementクライアントプロパティ true iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。

高レベルな認証を使用する

アプリによっては、高度な認証(トークンや短い間隔のセッションタイムアウトといった2番目の認証要素など)が必要になる場合があります。こうした認証方法は、MDXポリシーで制御します。この方法では、認証方法を制御するために別個の(同一または別のNetScalerアプライアンス上の)仮想サーバーも必要になります。

設定 設定を見つける場所 推奨設定 動作への影響
代替NetScaler Gateway MDXポリシー セカンダリNetScalerアプライアンスのFQDNとポートを必須にする。 セカンダリNetScalerアプライアンスの認証ポリシーおよびセッションポリシーによって制御する、より強固な認証が可能になります。

代替NetScaler Gatewayインスタンスにログオンするアプリをユーザーが開くと、他のすべてのアプリは、内部ネットワークとの通信にそのNetScaler Gatewayインスタンスを使用するようになります。セキュリティが強化されたNetScaler Gatewayインスタンスのセッションがタイムアウトした場合、セキュリティの弱いNetScaler Gatewayインスタンスに切り替わるだけです。

[オンラインセッションを必須とする]を使用する

Secure Webなどの特定のアプリケーションでは、ユーザーが認証されたセッションを開いておりデバイスがネットワークに接続されている間のみ、ユーザーがアプリを実行できるようにしたほうが良い場合があります。このポリシーではこうした設定を適用し、ユーザーが作業を完了できるように猶予期間を設けます。

設定 設定を見つける場所 推奨設定 動作への影響
オンラインセッションを必須とする MDXポリシー オン デバイスがオンラインで、有効な認証トークンを持っていることを必須にします。
オンラインセッションを必須とするまでの猶予期間 MDXポリシー 35 ユーザーがアプリを使用できなくなるまでに15分間の猶予期間を設けます。