Citrix GatewayおよびCitrix ADCとの統合
Endpoint Managementと統合すると、Citrix Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、Citrix業務用モバイルアプリはマイクロVPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。Endpoint Managementにより、デバイス上のアプリからCitrix GatewayへのマイクロVPNが作成されます。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
ユーザーがMDM登録をオプトアウトすると、デバイスは登録にCitrix Gatewayの完全修飾ドメイン名を使用します。
Citrix ADCの負荷分散はCitrix Cloud Operationsが管理します。
設計の決定
以下のセクションでは、Citrix GatewayとEndpoint Managementとの統合を計画するときに検討すべき、多くの設計上の決定事項についてまとめています。
証明書
決定の詳細:
- 登録やEndpoint Management環境へのアクセスに高度なセキュリティが必要か
- LDAPは選択しないか
設計ガイド:
Endpoint Managementのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびEndpoint Management環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。
LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとEndpoint Managementにスマートカードを提示できます。ユーザーはそれにより、Endpoint Managementが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、Endpoint Managementは、Endpoint Management環境に認証するために後で使用される証明書を作成して展開します。
Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Endpoint ManagementはCitrix Gatewayを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、[CRL自動更新を有効化] でCitrix Gateway証明書失効一覧(CRL)設定を構成する必要があるかどうか検討します。この手順を使用すると、MAMのみで登録したデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書は失効後もユーザーが自由に生成できるため、Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。
専用または共有のCitrix Gateway VIPアドレス
決定の詳細:
- 現在、Citrix Virtual Apps and Desktops用のCitrix Gatewayを使用しているか
- Endpoint ManagementでCitrix Virtual Apps and Desktopsと同じCitrix Gatewayを利用するか
- 両方のトラフィックフローの認証要件は何か
設計ガイド:
Citrix環境にEndpoint Managementと、Virtual Apps and Desktopsが含まれている場合は、両方で同じCitrix Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、Citrix Gatewayは、それぞれのEndpoint Management環境専用にすることをお勧めします。
LDAP認証を使用する場合、Citrix WorkspaceとSecure Hubは同じCitrix Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、Endpoint ManagementはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。WorkspaceアプリはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayと認証することはできません。
2台のCitrix Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスで2つのCitrix Gateway VIPを作成できます。Secure Hub用のIPには標準の443ポートを使用し、(Citrix Workspaceアプリを展開する)Citrix Virtual Apps and Desktops用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。
Citrix Gatewayのタイムアウト
決定の詳細:
- Endpoint Managementのトラフィックに対するCitrix Gatewayのタイムアウトをどのように構成するか
設計ガイド:
Citrix Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、Citrix Gateway、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。
登録FQDN
重要:
登録FQDNを変更するには、新しいSQL ServerデータベースとEndpoint Managementサーバーを再構築する必要があります。
Secure Webのトラフィック
決定の詳細:
- Secure Webを内部のWebブラウジングのみに制限するか
- 内部と外部両方のWebブラウジングでSecure Webを有効にするか
設計ガイド:
Secure Webを内部でのWeb閲覧のみに使用する予定の場合、Citrix Gatewayの構成は単純です。ただし、デフォルトでSecure Webがすべての内部サイトにアクセスできない場合は、ファイアウォールとプロキシサーバーを構成する必要がある可能性があります。
内部および外部のブラウジングにSecure Webを使用する予定の場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、IT部門は(MDXコンテナを使用する)登録済みデバイスを社内ネットワークの延長とみなします。そのため通常、IT部門はSecure Web接続をCitrix Gatewayに戻し、プロキシサーバーを経由させてからインターネットに接続することを望みます。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされます。Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、Citrix Gatewayでは分割トンネリング設定を使用します。
Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。
Secure Mailのプッシュ通知
決定の詳細:
- プッシュ通知を使用するか
iOS向け設計ガイド:
Citrix Gateway構成にSecure Ticket Authority(STA)が含まれていて分割トンネリングがオフの場合、Citrix GatewayはSecure Mailから次のCitrixリスナーサービスURLへのトラフィックを許可する必要があります。これらのURLは、Secure Mail for iOSのプッシュ通知で指定されます。
Android向け設計ガイド:
Firebase Cloud Messaging(FCM)を使用して、AndroidデバイスがEndpoint Managementに接続するタイミングと方法を制御します。FCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにEndpoint Managementサーバーへの再接続を求めるプッシュ通知がSecure Hubに送信されます。
HDXのSTA
決定の詳細:
- HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか
設計ガイド:
HDXのSTAはStoreFrontのSTAと一致する必要があり、Virtual Apps and Desktopsサイトで有効である必要があります。
Citrix FilesおよびCitrix Content Collaboration
決定の詳細:
- 環境でStorage Zone Controllerを使用するか
- どのCitrix Files VIPアドレスURLを使用するか
設計ガイド:
ご使用の環境にStorage Zone Controllerを含める場合は、必ず以下を正しく構成してください:
- Citrix FilesコンテンツスイッチVIP(Citrix FilesコントロールプレーンでStorage Zone Controllerサーバーとの通信に使用)
- Citrix Files負荷分散VIP
- 必要なすべてのポリシーとプロファイル
詳しくは、Storage Zone Controllerのドキュメントを参照してください。
SAML IDプロバイダー
決定の詳細:
- Citrix FilesにSAMLが必要な場合、Endpoint ManagementをSAML IDプロバイダーとして使用するか
設計ガイド:
ベストプラクティスとして、Citrix FilesをCitrix Endpoint Managementと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。Endpoint Managementにより、Citrix Filesに次の機能が提供されます:
- Citrix業務用モバイルアプリユーザーのシングルサインオン(SSO)認証
- Active Directoryベースのユーザーアカウントのプロビジョニング
- 包括的なアクセス制御ポリシー。
Endpoint Managementコンソールを使用してCitrix Filesを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。
次の2種類のCitrix Filesクライアントがあります:Citrix Files for Endpoint Managementクライアント(別名、ラップされたCitrix Files)、Citrix Filesモバイルクライアント(別名、ラップされていないCitrix Files)。違いを理解するには、「Citrix Files for Endpoint ManagementクライアントとCitrix Filesモバイルクライアントの違い」を参照してください。
SAMLを使用して以下へのSSOアクセスを提供するよう、Endpoint ManagementとCitrix Filesを構成できます:
- MAM SDK対応か、MDX Toolkitを使用してラップされたCitrix Filesアプリ
- ラップされていないCitrix Filesクライアント(Webサイト、Outlook Plug-in、同期クライアントなど)
Endpoint ManagementをCitrix Files用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳しくは、「Citrix FilesでのSAMLによるシングルサインオン」を参照してください。
ShareConnectでの直接接続
決定の詳細:
- ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか
設計ガイド:
ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、Endpoint ManagementはCitrix Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。
各管理モードの登録FQDN
| 管理モード | 登録FQDN |
|---|---|
| MDM+MAMと必須のMDM登録 | Endpoint ManagementサーバーFQDN |
| MDM+MAMとオプションのMDM登録 | Endpoint ManagementサーバーFQDNまたはCitrix Gateway FQDN |
| MAMのみ | Endpoint ManagementサーバーFQDN |
| MAMのみ(レガシー) | Citrix Gateway FQDN |
環境のまとめ
テスト環境、開発環境、および実稼働環境などの複数のEndpoint Managementインスタンスがある場合は、追加の環境用に手動でCitrix Gatewayを構成する必要があります。作業環境がある場合は、Endpoint Management用に手動でCitrix Gatewayを構成する前に、設定を書き留めておいてください。
重要な決定となるのは、Endpoint Managementサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はCitrix GatewayとEndpoint Managementとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能です。再暗号化はEndpoint Managementサーバーのパフォーマンスに影響します。HTTPを使用すると、Endpoint Managementサーバーのパフォーマンスが向上します。Citrix GatewayとEndpoint Management間のトラフィックは暗号化されていません。以下の表に、Citrix GatewayおよびEndpoint ManagementのHTTPおよびHTTPSポートの要件を示します。
HTTPS
シトリックスでは通常、Citrix Gateway MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでCitrix Gateway SSLオフロードを使用する場合、Endpoint Managementはバックエンドサービスとしてポート80のみをサポートします。
| 管理モード | Citrix Gatewayの負荷分散手法 | SSL再暗号化 | Endpoint Managementサーバーポート |
|---|---|---|---|
| MAM | SSLオフロード | 有効 | 8443 |
| MDM + MAM | MDM:SSLブリッジ | - | 443、8443 |
| MDM + MAM | MAM:SSLオフロード | 有効 | 8443 |
HTTP
| 管理モード | Citrix Gatewayの負荷分散手法 | SSL再暗号化 | Endpoint Managementサーバーポート |
|---|---|---|---|
| MAM | SSLオフロード | 有効 | 8443 |
| MDM + MAM | MDM:SSLオフロード | 未サポート | 80 |
| MDM + MAM | MAM:SSLオフロード | 有効 | 8443 |
Endpoint Management環境でのCitrix Gatewayの図については、「アーキテクチャ」を参照してください。