NetScaler GatewayおよびNetScalerの統合

Endpoint Managementと統合すると、NetScaler Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、Citrix業務用モバイルアプリはモバイルデバイス上のアプリで作成したNetScaler GatewayへのマイクロVPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。

NetScalerの負荷分散はCitrix Cloud Operationsが管理します。

Endpoint Managementサーバーのモードごとの統合要件

NetScaler GatewayとNetScalerの統合要件は、Endpoint Managementサーバーのモード(MAM、MDM(Mobile Device Management:モバイルデバイス管理)、ENT)に応じて異なります。

MAM

Endpoint ManagementサーバーをMAMモードで使用する場合:

  • NetScaler Gatewayは必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

MDM

Endpoint ManagementサーバーをMDMモードで使用する場合:

  • NetScaler Gatewayは不要です。MDMの展開では、モバイルデバイスVPNとしてNetScaler Gatewayをお勧めします。

ENT(MAM+MDM)

Endpoint ManagementサーバーをENTモードで使用する場合:

  • NetScaler Gatewayは必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

  • Endpoint ManagementサーバーモードがENTの場合にユーザーがMDM登録をオプトアウトすると、デバイスは登録にNetScaler Gatewayの完全修飾ドメイン名を使用します。

設計の決定

以下のセクションでは、NetScaler GatewayとEndpoint Managementとの統合を計画するときに検討すべき、多くの設計上の決定についてまとめています。

証明書

決定する事項の詳細

  • 登録やEndpoint Management環境へのアクセスに高度なセキュリティが必要か
  • LDAPは選択しないか

設計ガイド:

Endpoint Managementのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびEndpoint Management環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。

LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとEndpoint Managementにスマートカードを提示できます。ユーザーはそれにより、Endpoint Managementが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、Endpoint Managementは、それ以降Endpoint Management環境に認証するために使用される証明書を作成して展開します。

Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Endpoint ManagementはNetScalerを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler証明書失効一覧(CRL)設定を構成する必要があるかどうか検討します。[Enable CRL Auto Refresh]。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証することができなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

専用または共有のNetScaler Gateway VIPアドレス

決定する事項の詳細

  • 現在XenAppおよびXenDesktopでNetScaler Gatewayを使用しているか
  • XenAppおよびXenDesktopと同じNetScaler GatewayをEndpoint Managementで利用するか
  • 両方のトラフィックフローの認証要件は何か

設計ガイド

Citrix環境にEndpoint Managementと、XenAppおよびXenDesktopが含まれている場合は、両方で同じNetScaler Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、NetScaler Gatewayは、それぞれのEndpoint Management環境専用にすることをお勧めします。

LDAP認証を使用する場合、Citrix WorkspaceとSecure Hubは同じNetScaler Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、Endpoint ManagementはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してNetScaler Gatewayで認証します。WorkspaceアプリはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じNetScaler Gatewayと認証することはできません。

2台のNetScaler Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスを持つ2つのNetScaler Gateway VIPを作成できますが、Secure Hub用のIPには標準の443ポートを使用し、(Citrix Workspaceアプリを展開する)XenAppおよびXenDesktop用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。

NetScaler Gatewayのタイムアウト

決定する事項の詳細

  • Endpoint Managementのトラフィックに対するNetScaler Gatewayのタイムアウトをどのように構成するか

設計ガイド

NetScaler Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、NetScaler、およびオフラインでのアプリケーションへのアクセスでは、タイムアウト値が異なることに留意してください。

登録FQDN

重要:

登録FQDNを変更するには、新しいSQL ServerデータベースとEndpoint Managementサーバーを再構築する必要があります。

Secure Webのトラフィック

決定する事項の詳細

  • Secure Webを内部のWebブラウジングのみに制限するか
  • 内部と外部両方のWebブラウジングでSecure Webを有効にするか

設計ガイド

Secure Webを内部のWebブラウジング専用で使用する場合で、Secure Webがデフォルトですべての内部サイトに到達できる場合には、NetScaler Gatewayの設定は簡単です。つまりファイアウォールとプロキシサーバーの構成が必要になる場合があります。

内部および外部のブラウジングにSecure Webを使用する場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、ITは登録済みデバイス(MDXコンテナを使用)を社内ネットワークの延長として見ているため、Secure Web接続はNetScalerに戻り、プロキシサーバーを経由してインターネットに接続する必要があります。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされます。つまり、Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、NetScalerでは分割トンネリング設定を使用します。

Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。

Secure Mailのプッシュ通知

決定する事項の詳細

  • プッシュ通知を使用するか

iOS向け設計ガイド

NetScaler Gateway構成にSecure Ticket Authority(STA)が含まれていて、分割トンネリングがオフの場合、NetScaler GatewayはSecure Mailから、iOS向けSecure Mailにプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Android向け設計ガイド

Active poll period MDXポリシーの代わりにGoogle Cloud Messaging(GCM)を使用して、AndroidデバイスがEndpoint Managementに接続するタイミングと方法を制御することもできます。GCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにEndpoint Managementサーバーへの再接続を求めるプッシュ通知がSecure Hubに送信されます。

HDXのSTA

決定する事項の詳細

  • HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか

設計ガイド:

HDXのSTAはStoreFrontのSTAと一致する必要があり、Virutal AppおよびDesktopsサイトで有効である必要があります。

ShareFile

決定する事項の詳細

  • 利用環境でShareFile StorageZone Controllerを使用するか
  • どのShareFile VIPアドレスURLを使用するか

設計ガイド

利用環境にShareFile StorageZone Controllerを含める場合、ShareFile Content Switch VIPアドレス(ShareFileコントロールプレーンがStorageZones Controllerサーバーとの通信に使用)、ShareFile負荷分散VIPアドレス、および必要なすべてのポリシーとプロファイルが正しく構成されていることを確認してください。詳細については、Citrix ShareFile StorageZones Controllerドキュメントを参照してください。

SAML IDプロバイダー

決定する事項の詳細

  • ShareFileにSAMLが必要な場合、Endpoint ManagementをSAML IDプロバイダーとして使用するか

設計ガイド

ベストプラクティスとして、ShareFileをCitrix Endpoint Management Advanced EditionまたはEndpoint Management Enterprise Editionと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。ShareFileをEndpoint Managementの上記エディションと組み合わせることで、Citrix業務用モバイルアプリユーザーのシングルサインオン認証、Active Directoryに基づくユーザーアカウントのプロビジョニング、および包括的なアクセス制御ポリシーをShareFileで使用できるようになります。Endpoint Managementコンソールを使用してShareFileを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。

次の2種類のShareFileクライアントがあります:ShareFile for Endpoint Managementクライアント(別名、ラップされたShareFile)、ShareFileモバイルクライアント(別名、ラップされていないShareFile)。両者の違いについては、「ShareFile for Endpoint ManagementクライアントとShareFileモバイルクライアントの相違点」を参照してください。

Endpoint ManagementとShareFileを構成し、SAMLを使用することで、MDX ServiceでラップされたShareFile Mobileアプリはもちろん、Webサイト、Outlookプラグイン、同期クライアントなどのラップされていないShareFileクライアントへのシングルサインオンアクセスを提供することができます。

Endpoint ManagementをShareFile用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳細については、「ShareFileでのSAMLによるシングルサインオン」を参照してください。

ShareConnectでの直接接続

決定する事項の詳細

  • ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか

設計ガイド

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、Endpoint ManagementはNetScaler Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。

展開タイプごとの登録FQDN

   
展開の種類 登録FQDN
エンタープライズ(MDM+MAM)と必須のMDM登録 Endpoint ManagementサーバーFQDN
エンタープライズ(MDM+MAM)とオプションのMDM登録 Endpoint ManagementサーバーFQDNまたはNetScaler Gateway FQDN
MDMのみ Endpoint ManagementサーバーFQDN
MAMのみ(レガシー) NetScaler GatewayのFQDN
MAMのみ Endpoint ManagementサーバーFQDN

環境のまとめ

NetScaler for XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。ウィザードを使用できるのは1度限りです。テスト環境、開発環境、および実稼働環境などの複数のEndpoint Managementインスタンスがある場合は、追加の環境用に手動でNetScalerを構成する必要があります。作業環境がある場合は、Endpoint Management用に手動でNetScalerを構成する前に、設定を書き留めておいてください。

ウィザードの使用時に決定する事項の中で重要となるのは、Endpoint Managementサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はNetScalerとEndpoint Managementとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はEndpoint Managementサーバーのパフォーマンスに影響します。HTTPの場合はEndpoint Managementサーバーのパフォーマンスは向上しますが、 NetScalerとEndpoint Managementとの間のトラフィックは暗号化されません。以下の表に、NetScalerおよびEndpoint ManagementサーバーのHTTPおよびHTTPSポートの要件を示します。

HTTPS

Citrixでは通常、NetScaler MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでNetScaler SSLオフロードを使用する場合、Endpoint Managementはバックエンドサービスとしてポート80のみをサポートします。

       
展開の種類 NetScalerの負荷分散手法 SSL再暗号化 Endpoint Managementサーバーポート
MDM SSLブリッジ - 443、8443
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLブリッジ - 443、8443
Enterprise MAM:SSLオフロード 有効 8443

HTTP

       
展開の種類 NetScalerの負荷分散手法 SSL再暗号化 Endpoint Managementサーバーポート
MDM SSLオフロード 未サポート 80
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLオフロード 未サポート 80
Enterprise MAM:SSLオフロード 有効 8443

Endpoint Management環境でのNetScaler Gatewayの図については、「アーキテクチャ」を参照してください。

NetScaler GatewayおよびNetScalerの統合