Citrix GatewayおよびCitrix ADCとの統合

Endpoint Managementと統合すると、Citrix Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、Citrix業務用モバイルアプリはモバイルデバイス上のアプリで作成したCitrix GatewayへのMicro VPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。

Citrix ADCの負荷分散はCitrix Cloud Operationsが管理します。

Endpoint Managementサーバーのモードごとの統合要件

Citrix GatewayとCitrix ADCの統合要件は、Endpoint Managementサーバーのモード(MAM、MDM、ENT)によって異なります。

MAM

Endpoint ManagementサーバーをMAMモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのMicro VPNパスを提供し、強力な多要素認証をサポートします。

MDM

Endpoint ManagementサーバーをMDMモードで使用する場合:

  • Citrix Gatewayは必須ではありません。MDMの展開では、モバイルデバイスVPNとしてCitrix Gatewayをお勧めします。

ENT(MAM+MDM)

Endpoint ManagementサーバーをENTモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのMicro VPNパスを提供し、強力な多要素認証をサポートします。

  • Endpoint ManagementサーバーモードがENTの場合にユーザーがMDM登録をオプトアウトすると、デバイスは登録にCitrix Gatewayの完全修飾ドメイン名を使用します。

設計の決定

以下のセクションでは、Citrix GatewayとEndpoint Managementとの統合を計画するときに検討すべき、多くの設計上の決定事項についてまとめています。

証明書

決定する事項の詳細:

  • 登録やEndpoint Management環境へのアクセスに高度なセキュリティが必要か
  • LDAPは選択しないか

設計ガイド:

Endpoint Managementのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびEndpoint Management環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。

LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとEndpoint Managementにスマートカードを提示できます。ユーザーはそれにより、Endpoint Managementが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、Endpoint Managementは、それ以降Endpoint Management環境に認証するために使用される証明書を作成して展開します。

Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAが構成されている場合、Endpoint ManagementはCitrix Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、[Enable CRL Auto Refresh] でCitrix Gateway証明書失効一覧(CRL)設定を構成する必要があるかどうか検討します。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証することができなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

専用または共有のCitrix Gateway VIPアドレス

決定する事項の詳細:

  • 現在、Citrix Virtual Apps and Desktops用のCitrix Gatewayを使用しているか
  • Endpoint ManagementでCitrix Virtual Apps and Desktopsと同じCitrix Gatewayを利用するか
  • 両方のトラフィックフローの認証要件は何か

設計ガイド:

Citrix環境にEndpoint Managementと、Virtual Apps and Desktopsが含まれている場合は、両方で同じCitrix Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、Citrix Gatewayは、それぞれのEndpoint Management環境専用にすることをお勧めします。

LDAP認証を使用する場合、Citrix WorkspaceとSecure Hubは同じCitrix Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、Endpoint ManagementはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。WorkspaceアプリはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayと認証することはできません。

2台のCitrix Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスを持つ2つのCitrix Gateway VIPを作成できますが、Secure Hub用のIPには標準の443ポートを使用し、(Citrix Workspaceアプリを展開する)Citrix Virtual Apps and Desktops用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。

Citrix Gatewayのタイムアウト

決定する事項の詳細:

  • Endpoint Managementのトラフィックに対するCitrix Gatewayのタイムアウトをどのように構成するか

設計ガイド:

Citrix Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、Citrix Gateway、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。

登録FQDN

重要:

登録FQDNを変更するには、新しいSQL ServerデータベースとEndpoint Managementサーバーを再構築する必要があります。

Secure Webのトラフィック

決定する事項の詳細:

  • Secure Webを内部のWebブラウジングのみに制限するか
  • 内部と外部両方のWebブラウジングでSecure Webを有効にするか

設計ガイド:

Secure Webを内部のWebブラウジング専用で使用する場合で、Secure Webがデフォルトですべての内部サイトに到達できる場合には、Citrix Gatewayの設定は簡単です。つまりファイアウォールとプロキシサーバーの構成が必要になる場合があります。

内部および外部のブラウジングにSecure Webを使用する場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、ITは登録済みデバイス(MDXコンテナを使用)を社内ネットワークの延長として見ているため、Secure Web接続はCitrix Gatewayに戻り、プロキシサーバーを経由してインターネットに接続する必要があります。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされます。つまり、Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、Citrix Gatewayでは分割トンネリング設定を使用します。

Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。

Secure Mailのプッシュ通知

決定する事項の詳細:

  • プッシュ通知を使用するか

iOS向け設計ガイド

Citrix Gateway構成にSecure Ticket Authority(STA)が含まれていて、分割トンネリングがオフの場合、Citrix GatewayはSecure Mailから、iOS向けSecure Mailにプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Android向け設計ガイド

Firebase Cloud Messaging(FCM)を使用して、AndroidデバイスがEndpoint Managementに接続するタイミングと方法を制御します。FCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにEndpoint Managementサーバーへの再接続を求めるプッシュ通知がSecure Hubに送信されます。

HDXのSTA

決定する事項の詳細:

  • HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか

設計ガイド:

HDXのSTAはStoreFrontのSTAと一致する必要があり、Virutal App and Desktopsサイトで有効である必要があります。

Citrix FilesおよびCitrix Content Collaboration

決定する事項の詳細:

  • 利用環境でStorageZone Controllerを使用するか
  • どのCitrix Files VIPアドレスURLを使用するか

設計ガイド:

利用環境にStorageZone Controllerを含める場合、Citrix Files Content Switch VIPアドレス(Citrix FilesコントロールプレーンがStorageZones Controllerサーバーとの通信に使用)、Citrix Files負荷分散VIPアドレス、および必要なすべてのポリシーとプロファイルが正しく構成されていることを確認してください。詳細については、Citrix StorageZones Controllerドキュメントを参照してください。

SAML IDプロバイダー

決定する事項の詳細:

  • Citrix FilesにSAMLが必要な場合、Endpoint ManagementをSAML IDプロバイダーとして使用するか

設計ガイド:

ベストプラクティスとして、Citrix FilesをCitrix Endpoint Management Advanced EditionまたはEndpoint Management Enterprise Editionと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。Citrix FilesをEndpoint Managementの上記エディションと組み合わせることで、Citrix業務用モバイルアプリユーザーのシングルサインオン認証、Active Directoryに基づくユーザーアカウントのプロビジョニング、および包括的なアクセス制御ポリシーをCitrix Filesで使用できるようになります。Endpoint Managementコンソールを使用してCitrix Filesを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。

次の2種類のCitrix Filesクライアントがあります:Citrix Files for Endpoint Managementクライアント(別名、ラップされたCitrix Files)、Citrix Filesモバイルクライアント(別名、ラップされていないCitrix Files)。違いを理解するには、「Citrix Files for Endpoint ManagementクライアントとCitrix Filesモバイルクライアントの違い」を参照してください。

Endpoint ManagementとCitrix Filesを構成し、SAMLを使用することで、MDX ServiceでラップされたCitrix Filesモバイルアプリはもちろん、Webサイト、Outlookプラグイン、同期クライアントなどのラップされていないCitrix Filesクライアントへのシングルサインオンアクセスを提供することができます。

Endpoint ManagementをCitrix Files用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳しくは、「Citrix FilesでのSAMLによるシングルサインオン」を参照してください。

ShareConnectでの直接接続

決定する事項の詳細:

  • ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか

設計ガイド:

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、Endpoint ManagementはCitrix Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。

展開タイプごとの登録FQDN

   
展開の種類 登録FQDN
エンタープライズ(MDM+MAM)と必須のMDM登録 Endpoint ManagementサーバーFQDN
エンタープライズ(MDM+MAM)とオプションのMDM登録 Endpoint ManagementサーバーFQDNまたはCitrix Gateway FQDN
MDMのみ Endpoint ManagementサーバーFQDN
MAMのみ(レガシー) Citrix Gateway FQDN
MAMのみ Endpoint ManagementサーバーFQDN

環境のまとめ

NetScaler for XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。ウィザードを使用できるのは1度限りです。テスト環境、開発環境、および実稼働環境などの複数のEndpoint Managementインスタンスがある場合は、追加の環境用に手動でCitrix Gatewayを構成する必要があります。作業環境がある場合は、Endpoint Management用に手動でCitrix Gatewayを構成する前に、設定を書き留めておいてください。

ウィザードの使用時に決定する事項の中で重要となるのは、Endpoint Managementサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はCitrix GatewayとEndpoint Managementとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はEndpoint Managementサーバーのパフォーマンスに影響します。HTTPの場合はEndpoint Managementサーバーのパフォーマンスは向上しますが、 Citrix GatewayとEndpoint Managementとの間のトラフィックは暗号化されません。以下の表に、Citrix GatewayおよびEndpoint ManagementサーバーのHTTPおよびHTTPSポートの要件を示します。

HTTPS

シトリックスでは通常、Citrix Gateway MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでCitrix Gateway SSLオフロードを使用する場合、Endpoint Managementはバックエンドサービスとしてポート80のみをサポートします。

       
展開の種類 Citrix Gatewayの負荷分散手法 SSL再暗号化 Endpoint Managementサーバーポート
MDM SSLブリッジ - 443、8443
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLブリッジ - 443、8443
Enterprise MAM:SSLオフロード 有効 8443

HTTP

       
展開の種類 Citrix Gatewayの負荷分散手法 SSL再暗号化 Endpoint Managementサーバーポート
MDM SSLオフロード 未サポート 80
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLオフロード 未サポート 80
Enterprise MAM:SSLオフロード 有効 8443

Endpoint Management環境でのCitrix Gatewayの図については、「アーキテクチャ」を参照してください。

Citrix GatewayおよびCitrix ADCとの統合