Citrix Endpoint Management の統合
-
この記事では、Citrix Endpoint Management を既存のネットワークおよびソリューションと統合する方法を計画する際に考慮すべき事項について説明します。たとえば、Citrix Virtual Apps and Desktops に NetScaler Gateway をすでに使用している場合:
- 既存の NetScaler Gateway インスタンスを使用しますか、それとも新しい専用インスタンスを使用しますか。
- StoreFront を使用して公開されている HDX アプリを Citrix Endpoint Management と統合しますか。
- Citrix Endpoint Management で Citrix Files を使用する予定はありますか。
- Citrix Endpoint Management に統合したいネットワークアクセスコントロールソリューションはありますか。
NetScaler Gateway
-
Citrix Endpoint Management には NetScaler Gateway が必要です。NetScaler Gateway は、すべての企業リソースへのアクセスにマイクロ VPN パスを提供し、強力な多要素認証をサポートします。
-
既存の NetScaler Gateway インスタンスを使用することも、Citrix Endpoint Management 用に新しいインスタンスをセットアップすることもできます。以下のセクションでは、既存または新規の専用 NetScaler Gateway インスタンスを使用する利点と欠点について説明します。
-
Citrix Endpoint Management 用に作成された NetScaler Gateway VIP を持つ共有 NetScaler Gateway MPX
-
利点:
- すべての Citrix リモート接続(Citrix Virtual Apps、フル VPN、クライアントレス VPN)に共通の NetScaler Gateway インスタンスを使用します。
- 証明書認証や DNS、LDAP、NTP などのサービスへのアクセスなど、既存の NetScaler Gateway 構成を使用します。
-
単一の NetScaler Gateway プラットフォームライセンスを使用します。
-
欠点:
- 同じ NetScaler Gateway で 2 つの異なるユースケースを処理する場合、スケーリングの計画がより困難になります。
- Citrix Virtual Apps のユースケースでは特定の NetScaler Gateway バージョンが必要になる場合があります。その同じバージョンには、Citrix Endpoint Management で既知の問題がある場合があります。または、Citrix Endpoint Management に NetScaler Gateway バージョンで既知の問題がある場合があります。
- NetScaler Gateway が存在する場合、NetScaler for XenMobile ウィザードを 2 回実行して、Citrix Endpoint Management 用の NetScaler Gateway 構成を作成することはできません。
- NetScaler Gateway 11.1 以降で Platinum ライセンスが使用されている場合を除き、NetScaler Gateway にインストールされ、VPN 接続に必要となるユーザーアクセスライセンスはプールされます。これらのライセンスはすべての NetScaler Gateway 仮想サーバーで利用できるため、Citrix Endpoint Management 以外のサービスがそれらを消費する可能性があります。
専用 NetScaler Gateway VPX/MPX インスタンス
-
利点:
-
Citrix は、専用の NetScaler Gateway インスタンスを使用することを推奨します。
- スケーリングの計画が容易になり、Citrix Endpoint Management のトラフィックを、すでにリソースが制約されている可能性のある NetScaler Gateway インスタンスから分離できます。
- Citrix Endpoint Management と Citrix Virtual Apps で異なる NetScaler Gateway ソフトウェアバージョンが必要な場合の課題を回避します。一般的に、Citrix Endpoint Management には最新の互換性のある NetScaler Gateway のバージョンとビルドを使用することが推奨されます。
- 組み込みの NetScaler for XenMobile ウィザードを介した NetScaler Gateway の Citrix Endpoint Management 構成を可能にします。
- サービスの仮想的および物理的な分離。
欠点:
- Citrix Endpoint Management 構成をサポートするために、NetScaler Gateway で追加サービスをセットアップする必要があります。
- 別の NetScaler Gateway プラットフォームライセンスが必要です。各 NetScaler Gateway インスタンスに NetScaler Gateway のライセンスを付与します。
Citrix Endpoint Management の管理モード向けに NetScaler Gateway と Citrix ADC を統合する際に考慮すべき事項については、「NetScaler Gateway と Citrix ADC との統合」を参照してください。
-
StoreFront
Citrix Virtual Apps and Desktops 環境がある場合、StoreFront を使用して HDX アプリケーションを Citrix Endpoint Management と統合できます。HDX アプリを Citrix Endpoint Management と統合すると:
- アプリは Citrix Endpoint Management に登録されているユーザーが利用できます。
- アプリは他のモバイルアプリとともにアプリストアに表示されます。
- Citrix Endpoint Management は StoreFront 上の Citrix Receiver を使用します。
- Citrix Workspace アプリがデバイスにインストールされている場合、HDX アプリはそのアプリを使用して起動します。
StoreFront には、StoreFront インスタンスごとに 1 つのサービスサイトという制限があります。多数のストアがあり、他の本番環境での使用から分離したい場合は、Citrix は一般的に、Citrix Endpoint Management 用に新しい StoreFront インスタンスとサービスサイトを検討することを推奨します。
考慮事項は次のとおりです。
- StoreFront に異なる認証要件はありますか。StoreFront サービスサイトには、ログオンに Active Directory 資格情報が必要です。証明書ベースの認証のみを使用するお客様は、同じ NetScaler Gateway を使用して Citrix Endpoint Management を介してアプリケーションを列挙することはできません。
- 同じストアを使用しますか、それともストアを作成しますか。
-
同じ StoreFront サーバーを使用しますか、それとも別の StoreFront サーバーを使用しますか。
- 以下のセクションでは、Citrix Workspace と Citrix モバイル生産性アプリに個別の StoreFront または結合された StoreFront を使用する利点と欠点について説明します。
既存の StoreFront インスタンスを Citrix Endpoint Management と統合する
-
利点:
- 同じストア:HDX アクセスに同じ NetScaler Gateway VIP を使用することを前提として、Citrix Endpoint Management のために StoreFront の追加構成は必要ありません。同じストアを使用し、Citrix Workspace アクセスを新しい NetScaler Gateway VIP に誘導したい場合は、適切な NetScaler Gateway 構成を StoreFront に追加します。
- 同じ StoreFront サーバー:既存の StoreFront のインストールと構成を使用します。
欠点:
- 同じストア:Citrix Virtual Apps and Desktops ワークロードをサポートするための StoreFront の再構成は、Citrix Endpoint Management に悪影響を及ぼす可能性があります。
-
同じ StoreFront サーバー:大規模な環境では、アプリの列挙と起動のために Citrix Receiver を使用する Citrix Endpoint Management からの追加の負荷を考慮してください。
-
Citrix Endpoint Management と統合するために新しい専用 StoreFront インスタンスを使用する
利点:
- 新しいストア:Citrix Endpoint Management のための StoreFront ストアの構成変更は、既存の Virtual Apps and Desktops ワークロードに影響を与えません。
-
新しい StoreFront サーバー:サーバー構成の変更は、Virtual Apps and Desktops ワークフローに影響を与えません。また、アプリの列挙と起動のために Citrix Receiver を使用する Citrix Endpoint Management 以外の負荷は、スケーラビリティに影響を与えません。
-
デメリット:
- 新規ストア: StoreFrontストアの構成。
-
新規StoreFrontサーバー: 新しいStoreFrontのインストールと構成が必要です。
-
詳細については、「アプリストアを介したCitrix Virtual Apps and Desktops」を参照してください。
-
ShareFileとCitrix Files
免責事項:
ShareFile (現Progress) がサポートを終了した場合、この機能は非推奨になります。
-
ShareFileを使用すると、ドキュメントを簡単かつ安全に交換したり、大容量のドキュメントをメールで送信したり、サードパーティへのドキュメント転送を安全に処理したりできます。Citrix Filesアプリを使用すると、ユーザーはあらゆるデバイスからすべてのデータにアクセスして同期できます。Citrix Filesを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。
-
Citrix Endpoint Managementは、Citrix Filesに次の機能を提供します。
- モバイル生産性アプリユーザー向けのシングルサインオン認証
- Active Directoryベースのユーザーアカウントプロビジョニング
- 包括的なアクセス制御ポリシー
モバイルユーザーは、Enterpriseアカウントの全機能セットを利用できます。
-
または、Citrix Endpoint Managementをストレージゾーンコネクタのみと統合するように構成することもできます。ストレージゾーンコネクタを介して、Citrix Filesは以下へのアクセスを提供します。
- ドキュメントとフォルダー
- ネットワークファイル共有
-
SharePointサイト内: サイトコレクションとドキュメントライブラリ
-
接続されたファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるものと同じネットワークホームドライブを含めることができます。Citrix Endpoint Managementコンソールを使用して、Enterpriseアカウントまたはストレージゾーンコネクタとの統合を構成します。詳細については、「Citrix Endpoint Management向けCitrix Files」を参照してください。
-
以下のセクションでは、Citrix Filesの設計上の決定を行う際に考慮すべき事項について説明します。
-
Citrix Filesとの統合、またはストレージゾーンコネクタのみとの統合
検討事項:
- Citrixが管理するストレージゾーンにデータを保存しますか
- ユーザーにファイル共有および同期機能を提供しますか
-
ユーザーがCitrix Files Webサイトでファイルにアクセスできるようにしますか、またはモバイルデバイスからOffice 365コンテンツやパーソナルクラウドコネクタにアクセスできるようにしますか
-
設計上の決定:
- これらの質問のいずれかに対する答えが「はい」の場合、Enterpriseアカウントと統合します。
-
ストレージゾーンコネクタのみとの統合により、iOSユーザーは、SharePointサイトやネットワークファイル共有など、既存のオンプレミスストレージリポジトリへの安全なモバイルアクセスが可能になります。この構成では、Citrix Filesサブドメインを設定したり、Citrix Filesにユーザーをプロビジョニングしたり、Citrix Filesデータをホストしたりすることはありません。Citrix Endpoint Managementでストレージゾーンコネクタを使用すると、企業ネットワーク外へのユーザー情報の漏洩に対するセキュリティ制限が適用されます。
-
ストレージゾーンコントローラーサーバーの場所
検討事項:
- オンプレミスストレージまたはストレージゾーンコネクタなどの機能が必要ですか
- Citrix Filesのオンプレミス機能を使用する場合、ストレージゾーンコントローラーはネットワークのどこに配置されますか
設計上の決定:
- ストレージゾーンコントローラーサーバーをCitrix Filesクラウド、オンプレミスのシングルテナントストレージシステム、またはサポートされているサードパーティのクラウドストレージのどこに配置するかを決定します。
- ストレージゾーンコントローラーは、Citrix Filesコントロールプレーンと通信するためにインターネットアクセスを必要とします。直接アクセスやNAT/PAT構成など、いくつかの方法で接続できます。
ストレージゾーンコネクタ
-
検討事項:
- CIFS共有パスは何ですか
- SharePointのURLは何ですか
設計上の決定:
- これらの場所にアクセスするためにオンプレミスのストレージゾーンコントローラーが必要かどうかを判断します。
- ストレージゾーンコネクタは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、CitrixはストレージゾーンコントローラーをDMZファイアウォールの背後にある内部ネットワークに配置し、NetScaler Gatewayによってフロントエンド化することを推奨します。
Citrix Endpoint ManagementとのSAML統合
検討事項:
- Citrix FilesにActive Directory認証が必要ですか
- Citrix Endpoint Management向けCitrix Filesアプリの初回使用時にSSOが必要ですか
- 現在の環境に標準のIdPはありますか
- SAMLを使用するために必要なドメイン数はいくつですか
- Active Directoryユーザーに多くのメールエイリアスがありますか
- Active Directoryドメインの移行が進行中または近日中に予定されていますか
設計上の決定:
Citrix Filesの認証メカニズムとしてSAMLを使用することを選択できます。認証オプションは次のとおりです。
-
SAMLのアイデンティティプロバイダー (IdP) としてCitrix Endpoint Managementサーバーを使用
このオプションは、優れたユーザーエクスペリエンスを提供し、Citrix Filesアカウント作成を自動化し、モバイルアプリのSSO機能を有効にできます。
Citrix Endpoint Managementサーバーはこのプロセス向けに強化されています。Active Directoryの同期を必要としません。
ユーザープロビジョニングには、Citrix Filesユーザー管理ツールを使用します。
-
SAMLのIdPとしてサポートされているサードパーティベンダーを使用
既存のサポートされているIdPがあり、モバイルアプリのSSO機能を必要としない場合、このオプションが最適である可能性があります。このオプションでは、アカウントプロビジョニングのためにCitrix Filesユーザー管理ツールを使用することも必要です。
ADFSなどのサードパーティIdPソリューションを使用すると、Windowsクライアント側でSSO機能を提供できる場合もあります。Citrix Files SAML IdPを選択する前に、ユースケースを評価してください。
-
または、両方のユースケースを満たすには、「デュアルアイデンティティプロバイダー向けShareFileシングルサインオン構成ガイド」を参照してください。
モバイルアプリ
検討事項:
- どのCitrix Filesモバイルアプリを使用する予定ですか(パブリック、MDM、MDX)?
設計上の決定事項:
- Citrixモバイル生産性アプリは、Apple App StoreおよびGoogle Play Storeから配布します。このパブリックアプリストア配布により、Citrixダウンロードページからラップされたアプリを入手できます。
- セキュリティ要件が低く、コンテナ化を必要としない場合、パブリックCitrix Filesアプリは適切ではない可能性があります。
- 詳細については、「アプリ」および「Citrix Endpoint Management向けCitrix Files」を参照してください。
セキュリティ、ポリシー、およびアクセス制御
検討事項:
- デスクトップ、Web、モバイルユーザーにどのような制限が必要ですか?
- ユーザーにどのような標準アクセス制御設定が必要ですか?
- どのようなファイル保持ポリシーを使用する予定ですか?
設計上の決定事項:
- Citrix Filesでは、従業員の権限を管理できます。詳細については、「従業員の権限」を参照してください。
- 一部のCitrix Filesデバイスセキュリティ設定とMDXポリシーは同じ機能を制御します。これらの場合、Citrix Endpoint Managementポリシーが優先され、その後にCitrix Filesデバイスセキュリティ設定が適用されます。例:Citrix Filesで外部アプリを無効にしても、Citrix Endpoint Managementで有効にすると、外部アプリはCitrix Filesで無効になります。Citrix Endpoint ManagementがPIN/パスコードを必要としないようにアプリを構成できますが、Citrix FilesアプリはPIN/パスコードを必要とします。
標準ストレージゾーンと制限付きストレージゾーン
検討事項:
- 制限付きストレージゾーンが必要ですか?
設計上の決定事項:
- 標準ストレージゾーンは機密性の低いデータ向けであり、従業員が非従業員とデータを共有できるようにします。このオプションは、ドメイン外でのデータ共有を含むワークフローをサポートします。
- 制限付きストレージゾーンは機密データを保護します。認証されたドメインユーザーのみがゾーンに保存されたデータにアクセスできます。
アクセス制御
企業はネットワーク内外のモバイルデバイスを管理できます。Citrix Endpoint Managementなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供するのに優れています。ただし、これらをネットワークアクセスコントロール(NAC)ソリューションと組み合わせると、ネットワーク内部のデバイスに対してQoSとよりきめ細かな制御を追加できます。この組み合わせにより、NACソリューションを通じてCitrix Endpoint Managementデバイスセキュリティ評価を拡張できます。その後、NACソリューションはCitrix Endpoint Managementセキュリティ評価を使用して、認証決定を促進および処理できます。
NACポリシーを適用するには、次のいずれかのソリューションを使用できます。
- NetScaler Gateway
- ForeScout
Citrixは、他のNACソリューションとの統合を保証しません。
Citrix Endpoint ManagementとのNACソリューション統合の利点は次のとおりです。
- エンタープライズネットワーク上のすべてのエンドポイントに対するセキュリティ、コンプライアンス、および制御の向上。
- NACソリューションは次のことができます。
- デバイスがネットワークに接続しようとした瞬間に検出します。
- Citrix Endpoint Managementにデバイス属性を照会します。
- そのデバイス情報を使用して、それらのデバイスを許可、ブロック、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用を選択するセキュリティポリシーによって異なります。
- NACソリューションは、IT管理者に管理されていないデバイスおよび非準拠デバイスのビューを提供します。
Citrix Endpoint ManagementでサポートされているNACコンプライアンスフィルターの説明と構成の概要については、「ネットワークアクセスコントロール」を参照してください。