Citrix Endpoint Management

認証

Citrix Endpoint Management環境で認証の構成方法を決定する場合、いくつかの点を考慮する必要があります。このセクションでは、認証に影響するさまざまな要素について説明します:

  • 認証に関係する主なMDXポリシー、Citrix Endpoint Managementクライアントプロパティ、NetScaler Gatewayの設定。
  • これらのポリシー、クライアントプロパティ、および設定の関連性。
  • それぞれの選択肢の代償。

また、セキュリティを強化する上で推奨される3つの構成例も紹介します。

大まかに言えば、セキュリティを強化するほどユーザーはより頻繁に認証を行わなければならなくなるため、最適なユーザーエクスペリエンスから遠ざかることになります。こうした問題のバランスをとる方法は、組織のニーズと優先事項によって異なります。3つの推奨設定を確認し、さまざまな認証オプションの相互作用を把握してください。

認証モード

オンライン認証: ユーザーはCitrix Endpoint Managementネットワークに接続できます。インターネット接続が必要になります。

オフライン認証: デバイスで認証を行います。ユーザーは、セキュリティで保護された資格情報コンテナのロックを解除して、ダウンロード済みのメール、キャッシュされたWebサイト、メモなどにオフラインでアクセスできます。

認証方法

単一要素

LDAP:Citrix Endpoint Managementでは、LDAP(Lightweight Directory Access Protocol)に準拠している1つまたは複数のディレクトリへの接続を構成することができます。この方法は、企業環境でシングルサインオン(SSO:Single Sign-On)を実現するためによく使用されています。Citrix PINとActive Directoryのパスワードキャッシュを合わせて使用することにして、LDAPでのユーザーエクスペリエンスを向上させることができます。同時に、登録、パスワードの有効期限、およびアカウントのロックアウト時に、複雑なパスワードによるセキュリティを提供できます。

詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。

クライアント証明書: Citrix Endpoint Managementを業界標準の証明機関と統合し、証明書を唯一のオンライン認証方法として使用できます。Citrix Endpoint Managementでは、ワンタイムパスワード、招待URL、LDAP資格情報のいずれかが要求されるユーザー登録を行った後に、この証明書が提供されます。クライアント証明書をプライマリ認証方法とする場合、クライアント証明書のみの環境では、デバイスで証明書を保護するためにCitrix PINが必要になります。

Citrix Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Citrix Endpoint ManagementはNetScaler Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler Gateway証明書失効一覧(CRL)設定([Enable CRL Auto Refresh])を構成する必要があるかどうか検討します。この手順を使用すると、MAMのみで登録したデバイスがそのデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書は失効後もユーザーが自由に生成できるため、Citrix Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

証明書ベースの認証、またはデバイスの証明書の発行でエンタープライズ証明機関(CA:Certificate Authority)を利用する場合に必要な展開環境を示した図については、「アーキテクチャ」を参照してください。

2要素認証

LDAP+クライアント証明書: この構成は、Citrix Endpoint Managementのセキュリティとユーザーエクスペリエンスの最適な組み合わせです。LDAP認証とクライアント証明書認証の両方を使用する:

  • NetScaler Gatewayの2要素認証で提供されるセキュリティと共にSSOの最高の可能性を引き出します。
  • ユーザーの知識(Active Directoryパスワード)と所有物(デバイス上のクライアント証明書)によるセキュリティを実現します。

Citrix Secure Mailは自動的に構成され、クライアント証明書認証によるシームレスな初回のユーザーエクスペリエンスを提供します。この機能には、正しく構成されたExchangeクライアントアクセスサーバー環境が必要です。

ユーザービリティを最適にするために、LDAPとクライアント証明書認証をCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。

LDAP+トークン: この構成では、RADIUSプロトコルを使用して、従来のLDAP資格情報の構成とワンタイムパスワードを組み合わせることができます。ユーザービリティを最適にするために、このオプションをCitrix PINやActive Directoryのパスワードキャッシュと組み合わせることができます。

認証の重要なポリシー、設定、およびクライアントプロパティ

後に示す3つの推奨構成では、次のポリシー、設定、およびクライアントプロパティを利用します。

MDXポリシー

アプリのパスコード: [オン] の場合、アプリを起動する時、または一定期間操作を行わなかった後で再開する時に、アプリのロック解除のためにCitrix PINまたはパスコードが求められます。デフォルトは [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、Citrix Endpoint Managementコンソールの [設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。デフォルトは15分です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

Micro VPNセッションを必須とする: [オン] の場合、デバイス上のアプリにアクセスするために、エンタープライズネットワークおよびアクティブなセッションへ接続する必要があります。[オフ] の場合、デバイス上のアプリにアクセスするために、アクティブなセッションに接続する必要はありません。デフォルトは [オフ] です。

最大オフライン期間(時間): Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。以下の条件が満たされると、iOSアプリはユーザーの操作がなくても、MDXアプリの新しいポリシーをCitrix Endpoint Managementから取得します:

  • 最大オフライン期間が設定されています。
  • Citrix Secure Hub for iOSに、有効なNetScaler Gatewayトークンがあります。

Citrix Secure Hubに有効なNetScaler Gatewayトークンがない場合、アプリポリシーを更新するにはユーザーがCitrix Secure Hubで認証する必要があります。非アクティブなNetScaler Gatewayセッション、または強制的なセッションタイムアウトポリシーにより、NetScaler Gatewayトークンが無効になることがあります。Citrix Secure Hubに再度サインインすると、アプリの実行を続けることができます。

期間が終了する30分前、15分前、5分前に、サインオンするようユーザーに警告メッセージが表示されます。期間終了後は、ユーザーがサインインするまでアプリはロックされます。デフォルトは 72時間(3日) です。最短の期間は1時間です。

注:

ユーザーの移動が頻繁であり国際ローミングを使用するシナリオでは、デフォルトの72時間(3日)では時間が足りない場合があることに注意してください。

バックグラウンドサービスチケットの有効期間: バックグラウンドネットワークサービスチケットの有効状態が維持される期間。NetScaler Gatewayを介してCitrix Secure MailがActiveSyncを実行するExchange Serverに接続する場合、Citrix Endpoint Managementがトークンを発行します。Citrix Secure Mailは、このトークンを使用して内部Exchange Serverに接続します。このプロパティ設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくCitrix Secure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルトは 168時間(7日間) です。この有効期間が切れると、メール通知は行われなくなります。

Micro VPNセッションを必須とするまでの猶予期間:オンラインセッションが検証されるまでにオフラインでアプリを使用できる分数を指定します。デフォルトは0(猶予期間なし)です。

認証ポリシーの詳細については、次を参照してください:

Citrix Endpoint Managementクライアントプロパティ

注:

クライアントプロパティは、Citrix Endpoint Managementに接続するすべてのデバイスに適用されるグローバル設定です。

Citrix PIN: サインインを簡略化する場合は、Citrix PINを有効にします。PINを使用する場合、ユーザーは他の資格情報(Active Directoryのユーザー名やパスワードなど)を繰り返し入力する必要はありません。Citrix PINは単独のスタンドアロンのオフライン認証として設定できるほか、Active Directoryのパスワードキャッシュと組み合わせて認証を効率化し、ユーザビリティを最適化することもできます。Citrix PINの構成は、Citrix Endpoint Managementコンソールの [設定]>[クライアント]>[クライアントプロパティ] で行うことができます。

以下に、いくつかの重要なプロパティの概要を示します。詳しくは、「クライアントプロパティ」を参照してください。

ENABLE_PASSCODE_AUTH

表示名: Enable Citrix PIN Authentication

このキーを使用すると、Citrix PIN機能を有効にできます。ユーザーは、Citrix PINまたはパスコードにより、Active Directoryパスワードの代わりに使用するPINを定義するように求められます。ENABLE_PASSWORD_CACHINGを有効にしているか、Citrix Endpoint Managementで証明書認証を使用している場合は、この設定を有効にします。

設定可能な値: trueまたはfalse

デフォルト値: false

ENABLE_PASSWORD_CACHING

表示名: Enable User Password Caching

このキーを使用すると、ユーザーのActive Directoryパスワードをモバイルデバイス上でローカルにキャッシュできます。このキーをtrueに設定すると、ユーザーはCitrix PINまたはパスコードを設定するように求められます。このキーをtrueに設定する場合は、ENABLE_PASSCODE_AUTHキーをtrueに設定する必要があります。

設定可能な値: trueまたはfalse

デフォルト値: false

PASSCODE_STRENGTH

表示名: PIN Strength Requirement

このキーでは、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、ユーザーは次回認証を求められたときに、新しいCitrix PINまたはパスコードを設定するように求められます。

設定可能な値: LowMediumStrong

デフォルト値: Medium

INACTIVITY_TIMER

表示名: Inactivity Timer

このキーでは、ユーザーがデバイスの操作を行わなくなってから、Citrix PINまたはパスコードの入力を求められずにアプリにアクセスできる時間(分単位)を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコード] 設定を [オン] に設定する必要があります。[アプリのパスコード]設定を [オフ] に設定すると、ユーザーは完全認証を実行するようCitrix Secure Hubにリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。デフォルトは15分です。

ENABLE_TOUCH_ID_AUTH

表示名: Enable Touch ID Authentication

オフライン認証での指紋リーダー(iOSのみ搭載)の使用を許可します。オンライン認証でも、プライマリ認証方法が求められます。

ENCRYPT_SECRETS_USING_PASSCODE

表示名: Encrypt secrets using Passcode

このキーでは、機密データをプラットフォームベースのネイティブな格納場所(iOSキーチェーンなど)ではなく、モバイルデバイスのSecret Vaultに格納できます。この構成キーにより、重要な成果物を強力に暗号化できますが、ユーザーエントロピー(ユーザーだけが知る、ユーザーが生成したランダムなPINコード)も追加されます。

設定可能な値: trueまたはfalse

デフォルト値: false

NetScaler Gatewayの設定

Session time-out: この設定を有効にすると、指定期間にわたってNetScaler Gatewayでネットワークアクティビティが検出されない場合、NetScaler Gatewayによりセッションが切断されます。この設定は、NetScaler Gateway Plug-in、Citrix Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。デフォルトは1440分です。値を0にすると、設定は無効になります。

Forced time-out: この設定を有効にした場合、タイムアウト時間が経過すると、ユーザーの操作内容にかかわらずNetScaler Gatewayによりセッションが切断されます。タイムアウト時間が経過した場合、ユーザーが切断を中止することはできません。この設定は、NetScaler Gateway Plug-in、Citrix Secure Hub、またはWebブラウザーを使用して接続するユーザーに適用されます。Citrix Secure MailでSTA(特別なNetScaler Gatewayモード)を使用している場合、この設定はCitrix Secure Mailのセッションには適用されません。デフォルトの値は空であるため、アクティビティが行われれば、セッションは延長されます。

NetScaler Gatewayのタイムアウト設定について詳しくは、NetScaler Gatewayのドキュメントを参照してください。

ユーザーにデバイスで資格情報を入力してCitrix Endpoint Managementの認証を行うように求めるシナリオについては、「認証を求められるシナリオ」を参照してください。

デフォルトの構成設定

これらの設定は、以下によって提供されるデフォルトです:

  • NetScaler for XenMobileウィザード
  • MAM SDKまたはMDX Toolkit
  • Citrix Endpoint Managementコンソール
設定 設定が見つかる場所 デフォルト設定
セッションのタイムアウト NetScaler Gateway 1,440分
強制的なタイムアウト NetScaler Gateway 値なし(オフ)
最大オフライン期間 MDXポリシー 72時間
バックグラウンドサービスチケットの有効期間 MDXポリシー 168時間(7日)
マイクロVPNセッションを必須とする MDXポリシー オフ
Micro VPNセッションを必須とするまでの猶予期間 MDXポリシー 0
アプリのパスコード MDXポリシー On
Encrypt secrets using passcode Citrix Endpoint Managementクライアントプロパティ false
Enable Citrix PIN Authentication Citrix Endpoint Managementクライアントプロパティ false
PIN Strength Requirement Citrix Endpoint Managementクライアントプロパティ
PINの種類 Citrix Endpoint Managementクライアントプロパティ Numeric
Enable User Password Caching Citrix Endpoint Managementクライアントプロパティ false
Inactivity Timer Citrix Endpoint Managementクライアントプロパティ 15
Enable Touch ID Authentication Citrix Endpoint Managementクライアントプロパティ false

推奨構成

このセクションでは、セキュリティが最も弱く最適なユーザーエクスペリエンスが得られる構成から、セキュリティが最高レベルでユーザーに操作が求められる頻度が最も多い構成まで、3種類のCitrix Endpoint Managementの構成例を示します。お客様自身の構成配置のスケールを決定する際は、これらの例を参考にしてください。これらの設定を変更する場合、他の設定の変更も必要になる可能性があります。たとえば、最大オフライン期間は、セッションのタイムアウト期間より長くすることはできません。

最高のセキュリティ

この構成ではセキュリティのレベルは最高になりますが、ユーザビリティが大きく損なわれます。

       
設定 設定が見つかる場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 1440 ユーザーは、オンライン認証が求められた時(24時間ごと)にのみ、Citrix Secure Hubの資格情報を入力します。
強制的なタイムアウト NetScaler Gateway 値なし アクティビティが行われれば、セッションは延長されます。
最大オフライン期間 MDXポリシー 23 毎日ポリシーを更新するように求めます。
バックグラウンドサービスチケットの有効期間 MDXポリシー 72時間 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Citrix Secure Mailでは、STAタイムアウト期限をセッションのタイムアウト期限よりも長くすると、メール通知が停止されてしまう事態を回避できます。この場合、セッションの有効期限が切れる前にアプリを開かなかった場合、Citrix Secure Mailはユーザーに確認を求めません。
マイクロVPNセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを提供します。
Micro VPNセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([Micro VPNセッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー On アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Citrix Endpoint Managementクライアントプロパティ true ユーザーエントロピーで設定されたキーにより資格情報コンテナを保護します。
Enable Citrix PIN Authentication Citrix Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Citrix Endpoint Managementクライアントプロパティ Strong パスワードの複雑さに関する高レベルの要件を適用します。
PINの種類 Citrix Endpoint Managementクライアントプロパティ Alphanumeric PINは英数字の文字列になります。
Enable Password Caching Citrix Endpoint Managementクライアントプロパティ false Active Directoryのパスワードはキャッシュされず、Citrix PINを使用してオフライン認証を行います。
Inactivity Timer Citrix Endpoint Managementクライアントプロパティ 15 ユーザーがこの期間にわたりMDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Citrix Endpoint Managementクライアントプロパティ false iOSでのオフライン認証のユースケースで、Touch IDを無効にします。

より高いセキュリティ

この構成は中間的なアプローチであり、ユーザーに認証を求める頻度を増やし(7日ごとではなく最長で3日ごと)、セキュリティを強化しています。認証回数を増やしたことでコンテナはより頻繁にロックされるようになり、デバイスが使用されていないときのデータにセキュリティを提供できます。

       
設定 設定が見つかる場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 4320 ユーザーは、オンライン認証が求められた時(3日ごと)にのみ、Citrix Secure Hubの資格情報を入力します。
強制的なタイムアウト NetScaler Gateway 値なし アクティビティが行われれば、セッションは延長されます。
最大オフライン期間 MDXポリシー 71 3日ごとにポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。
バックグラウンドサービスチケットの有効期間 MDXポリシー 168時間 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Citrix Secure Mailでは、STAのタイムアウト期限をセッションのタイムアウト期限よりも長くすると、ユーザーに確認を求めることなくメール通知が停止されてしまう事態を回避できます。
マイクロVPNセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを提供します。
Micro VPNセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([Micro VPNセッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー On アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Citrix Endpoint Managementクライアントプロパティ false ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。
Enable Citrix PIN Authentication Citrix Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Citrix Endpoint Managementクライアントプロパティ 中レベルのパスワードの複雑さ規則を適用します。
PINの種類 Citrix Endpoint Managementクライアントプロパティ Numeric PINは数列になります。
Enable Password Caching Citrix Endpoint Managementクライアントプロパティ true ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。
Inactivity Timer Citrix Endpoint Managementクライアントプロパティ 30 ユーザーがこの期間にわたりMDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Citrix Endpoint Managementクライアントプロパティ true iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。

高セキュリティ

この構成はユーザーが最も使いやすいものであり、セキュリティは基本レベルになります。

       
設定 設定が見つかる場所 推奨設定 動作への影響
セッションのタイムアウト NetScaler Gateway 10080 ユーザーは、オンライン認証が求められた時(7日ごと)にのみ、Citrix Secure Hubの資格情報を入力します。
強制的なタイムアウト NetScaler Gateway 値なし アクティビティが行われれば、セッションは延長されます。
最大オフライン期間 MDXポリシー 167 毎週(7日ごと)にポリシーを更新するように求めます。1時間短くしているのは、セッションタイムアウトより前に更新を行わせるようにするためです。
バックグラウンドサービスチケットの有効期間 MDXポリシー 240 NetScaler Gatewayのセッショントークンなしでセッションを長時間継続できるようにする、STAのタイムアウト期限です。Citrix Secure Mailでは、STAタイムアウト期限をセッションのタイムアウト期限よりも長くすると、メール通知が停止されてしまう事態を回避できます。この場合、セッションの有効期限が切れる前にアプリを開かなかった場合、Citrix Secure Mailはユーザーに確認を求めません。
マイクロVPNセッションを必須とする MDXポリシー オフ アプリを使用する場合に、有効なネットワーク接続とNetScaler Gatewayセッションを提供します。
Micro VPNセッションを必須とするまでの猶予期間 MDXポリシー 0 猶予期間なし([Micro VPNセッションを必須とする]を有効にする場合)。
アプリのパスコード MDXポリシー On アプリケーションのパスコードを求めます。
Encrypt secrets using passcode Citrix Endpoint Managementクライアントプロパティ false ユーザーエントロピーを要求せずに、資格情報コンテナを暗号化します。
Enable Citrix PIN Authentication Citrix Endpoint Managementクライアントプロパティ true 認証工程の簡略化のため、Citrix PINを有効化します。
PIN Strength Requirement Citrix Endpoint Managementクライアントプロパティ パスワードの複雑さに関する要件を適用しません。
PINの種類 Citrix Endpoint Managementクライアントプロパティ Numeric PINは数列になります。
Enable Password Caching Citrix Endpoint Managementクライアントプロパティ true ユーザーPINにより、Active Directoryのパスワードをキャッシュ化して保護します。
Inactivity Timer Citrix Endpoint Managementクライアントプロパティ 90 ユーザーがこの期間にわたりMDXアプリまたはCitrix Secure Hubを使用しない場合、オフライン認証を求めるメッセージが表示されます。
Enable Touch ID Authentication Citrix Endpoint Managementクライアントプロパティ true iOSでのオフライン認証のユースケース向けに、Touch IDを有効にします。

高レベルな認証を使用する

一部のアプリでは、高度な認証が必要な場合があります。たとえば、トークンや短い間隔のセッションタイムアウトといった2番目の認証要素などです。こうした認証方法は、MDXポリシーで制御します。この方法では、認証方法を制御するために別個の(同一または別のNetScaler Gatewayアプライアンス上の)仮想サーバーも必要になります。

設定 設定が見つかる場所 推奨設定 動作への影響
代替 NetScaler Gateway MDXポリシー セカンダリNetScaler GatewayアプライアンスのFQDNとポートを必須にする。 セカンダリNetScaler Gatewayアプライアンスの認証ポリシーおよびセッションポリシーによって制御する、より強固な認証が可能になります。

代替NetScaler Gatewayを使用するアプリをユーザーが開くと、他のすべてのアプリは、内部ネットワークとの通信にそのNetScaler Gatewayインスタンスを使用します。セキュリティが強化されたNetScaler Gatewayインスタンスのセッションがタイムアウトした場合、セキュリティの弱いNetScaler Gatewayインスタンスに切り替わるだけです。

[Micro VPNセッションを必須とする]の使用

Citrix Secure Webなどの特定のアプリケーションでは、ユーザーのセッションが認証されているときにのみ、ユーザーがアプリを実行するようにできます。このポリシーではこうした設定を適用し、ユーザーが作業を完了できるように猶予期間を設けます。

設定 設定が見つかる場所 推奨設定 動作への影響
マイクロVPNセッションを必須とする MDXポリシー On デバイスがオンラインで、有効な認証トークンを持っていることを必須にします。
Micro VPNセッションを必須とするまでの猶予期間 MDXポリシー 15 ユーザーがアプリを使用できなくなるまでに15分間の猶予期間を設けます
認証