Endpoint Managementの統合

この記事では、Endpoint Managementを既存のネットワークおよびソリューションと統合する方法を計画するときに考慮すべき点について説明します。たとえば、XenAppおよびXenDesktopでNetScalerを既に使用している場合は、次の点を考慮します:

  • 既存のNetScalerインスタンス、または専用の新しいインスタンスを使用する必要がありますか。
  • StoreFrontで公開済みのHDXアプリをEndpoint Managementと統合しますか。
  • ShareFileをEndpoint Managementと併用しますか。
  • Endpoint Managementに統合するネットワークアクセス制御のソリューションがありますか。

NetScaler Gateway

NetScaler Gatewayは、Endpoint ManagementのENTモードとMAMモードで必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

既存のNetScalerインスタンスを使用することも、Endpoint Management用に新しいインスタンスを設定することもできます。以下のセクションでは、既存、または新規の専用のNetScalerインスタンスを使用するメリットとデメリットについて説明します。

Endpoint Management用に作成済みのNetScaler Gateway VIPを使用した共有NetScaler MPX

長所:

  • Citrixのすべてのリモート接続(XenApp、完全VPN、およびクライアントレスVPN)に共通のNetScalerインスタンスを使用します。
  • 証明書の認証やDNS、LDAP、NTPなどのサービスへのアクセスに、NetScalerの既存の構成を使用します。
  • 単一のNetScalerプラットフォームライセンスを使用します。

短所:

  • 同じNetScalerで2つの大きく異なるユースケースを処理する場合は、スケールの計画が難しくなります。
  • XenAppのユースケースに特定のバージョンのNetScalerが必要になる場合があります。このような特定のバージョンには、Endpoint Managementの既知の問題がある場合があります。または、Endpoint Managementに、NetScalerのこのバージョンに関する既知の問題がある場合があります。
  • NetScaler Gatewayがある場合は、Endpoint Management用のNetScaler構成を作成するために、NetScaler for XenMobileウィザードを再度実行することはできません。
  • PlatinumライセンスがNetScaler Gateway 11.1以降で使用されている場合を除き、NetScalerにインストールされ、VPN接続に必要なユーザーアクセスライセンスはプールされます。これらのライセンスはすべてのNetScaler仮想サーバーで使用可能であるため、Endpoint Management以外のサービスによって消費される可能性があります。

専用のNetScaler VPX/MPXインスタンス

長所:

専用のNetScalerインスタンスを使用することをお勧めします。

  • スケールの計画が容易になるほか、すでにリソースの制約がある可能性のあるNetScalerインスタンスからEndpoint Managementのトラフィックが分離されます。
  • Endpoint ManagementとXenAppで必要なNetScalerソフトウェアのバージョンが異なる事態を回避できます。通常は、Endpoint Managementと互換性のある最新のNetScalerバージョンおよびビルドを使用することをお勧めします。
  • 組み込みのNetScaler for XenMobileウィザードを使用して、Endpoint Management用にNetScalerを構成できます。
  • サービスの仮想的および物理的な分離。

短所:

  • Endpoint Managementの構成をサポートするために、NetScalerで追加のサービスを設定する必要があります。
  • 別のNetScalerプラットフォームライセンスが必要です。NetScaler GatewayのNetScalerインスタンスごとにライセンスを取得します。

Endpoint Managementサーバーの各モードでNetScalerとNetScaler Gatewayを統合するときに考慮すべき点については、「NetScalerおよびNetScaler Gatewayの統合」を参照してください。

StoreFront

Citrix XenAppおよびXenDesktop環境の場合は、StoreFrontを使用してHDXアプリケーションをEndpoint Managementと統合できます。HDXアプリをEndpoint Managementと統合すると次のような効果があります:

  • Endpoint Managementに登録されているユーザーがこれらのアプリを利用できます。
  • これらのアプリが、アプリストアに他のモバイルアプリと共に表示されます。
  • Endpoint Managementは、StoreFrontの従来のPNAgent(サービス)サイトを使用します。
  • Citrix Workspaceアプリがデバイスにインストールされると、HDXアプリではこのアプリが使用されるようになります。

StoreFrontには、StoreFrontインスタンスごとに1つのサービスサイトの制限があります。複数のストアがあり、他の実稼働環境での使用から分離する必要があるとします。その場合は、通常、Endpoint Management用に新しいStoreFrontインスタンスとサービスサイトを検討することをお勧めします。

考慮事項は次のとおりです:

  • StoreFrontでは認証要件が異なりますか。StoreFrontサービスサイトでは、ログオンにActive Directory資格情報が必要です。証明書ベースの認証のみを使用している場合、同じNetScaler Gatewayを使用してEndpoint Management経由でアプリケーションを列挙することはできません。
  • 同じストアを使用しますか。それとも新しいストアを作成しますか。
  • 同じStoreFrontサーバーを使用しますか。それとも別のStoreFrontサーバーを使用しますか。

以下のセクションでは、Citrix WorkspaceとCitrix業務用モバイルアプリでStoreFrontを個別に使用する場合と組み合わせて使用する場合の、メリットとデメリットについて説明します。

既存のStoreFrontインスタンスをEndpoint Managementと統合する

長所:

  • 同じストア:HDXアクセスに同じNetScaler VIPを使用する場合、Endpoint ManagementではStoreFrontの追加構成が不要になります。同じストアを使用し、Citrix Workspaceには新しいNetScaler VIPへアクセスするように指示するとします。その場合は、StoreFrontに適切なNetScaler Gateway構成を追加します。
  • 同じStoreFrontサーバー:StoreFrontの既存のインストールと構成を使用します。

短所:

  • 同じストア:XenAppおよびXenDesktopのワークロードをサポートするようにStoreFrontを再構成すると、Endpoint Managementにも悪影響の及ぶ可能性があります。
  • 同じStoreFrontサーバー:大規模な環境では、Endpoint Managementがアプリの列挙と起動でPNAgentを使用することにより、負荷が余計にかかる点を考慮する必要があります。

Endpoint Managementとの統合に新しい専用のStoreFrontインスタンスを使用する

長所:

  • 新しいストア:Endpoint Managementで使用するStoreFrontストアの構成を変更しても、XenAppおよびXenDesktopの既存のワークロードには影響しません。
  • 新しいStoreFrontサーバー:サーバー構成の変更は、XenAppおよびXenDesktopのワークフローに影響しません。さらに、Endpoint Managementがアプリの列挙と起動でPNAgentを使用することによるもの以外の負荷は、スケーラビリティに影響しません。

短所:

  • 新しいストア:StoreFrontストアの構成。
  • 新しいStoreFrontサーバー:StoreFrontの新規のインストールと構成が必要です。

詳しくは、「Citrix Secure Hubを介したCitrix XenAppおよびXenDesktop」を参照してください。

ShareFile

ShareFileを使用すると、ユーザーは任意のデバイスからすべてのデータにアクセスして同期することができます。ShareFileを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。ShareFileをEndpoint Management Advanced EditionまたはEnterprise Editionと統合すると、Endpoint ManagementからShareFileに以下が提供されます:

  • 業務用モバイルアプリユーザーのシングルサインオン認証。
  • Active Directoryベースのユーザーアカウントのプロビジョニング。
  • 包括的なアクセス制御ポリシー。

モバイルユーザーに完全なShareFile Enterprise機能セットのメリットをもたらすことができます。

または、StorageZoneコネクタとのみ統合するようにEndpoint Managementを構成することもできます。StorageZoneコネクタを介して、ShareFileは以下へのアクセスを提供します:

  • ドキュメントとフォルダー
  • ネットワークファイル共有
  • SharePointサイトの場合:サイトコレクションとドキュメントライブラリ。

接続したファイル共有には、Citrix XenAppおよびXenDesktop環境で使用されるのと同じネットワークのホームドライブを含めることができます。ShareFile EnterpriseまたはStorageZoneコネクタとの統合は、Endpoint Managementコンソールを使用して構成します。詳しくは、「ShareFileをEndpoint Managementと使用する」を参照してください。

次のセクションでは、ShareFileの設計を決定するときに確認すべき質問項目について説明します。

ShareFile EnterpriseまたはStorageZoneコネクタのみとの統合

確認すべき質問項目:

  • Citrix管理のStorageZoneにデータを保存する必要がありますか。
  • ユーザーにファイルの共有および同期の機能を提供しますか。
  • ShareFile Webサイト上のファイルにユーザーがアクセスできるようにしますか。またはモバイルデバイスからOffice 365のコンテンツおよび個人向けクラウドコネクタにアクセスできるようにしますか。

設計の決定:

  • 上記の質問のいずれかの回答が「はい」の場合は、ShareFile Enterpriseと統合します。
  • StorageZoneコネクタのみと統合すると、iOSユーザーは、SharePointサイトやネットワークファイル共有などの既存のオンプレミスのストレージリポジトリに安全にモバイルアクセスできます。この構成では、ShareFileサブドメインの設定やShareFileに対するユーザーのプロビジョニング、ShareFileデータのホストが不要になります。Endpoint ManagementとStorageZoneコネクタの併用は、社内ネットワーク外へのユーザー情報漏洩に対するセキュリティ規制に適合したものです。

ShareFile StorageZoneコントローラーサーバーの場所

確認すべき質問項目:

  • オンプレミスのストレージや機能(StorageZoneコネクタなど)が必要ですか。
  • ShareFileのオンプレミス機能を使用する場合、ShareFile StorageZoneコントローラーはネットワーク内のどこに配置されますか。

設計の決定:

  • ShareFileクラウド、オンプレミスの単一テナントストレージシステム、またはサポートされているサードパーティのクラウドストレージに、StorageZoneコントローラーサーバーを配置するかどうかを決定します。
  • StorageZoneコントローラーは、Citrix ShareFileコントロールプレーンと通信するためにインターネットアクセスが必要です。直接アクセスやNATおよびPATの構成を含む、いくつかの方法で接続できます。

StorageZoneコネクタ

確認すべき質問項目:

  • CIFS共有パスは何ですか。
  • SharePointのURLは何ですか。

設計の決定:

  • オンプレミスのStorageZoneコントローラーがこれらの場所にアクセスする必要があるかどうかを判断します。
  • StorageZoneコネクタは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、StorageZoneコントローラーは、DMZファイアウォールの内側にあり、NetScalerが前に置かれた内部ネットワークに配置することをお勧めします。

SAMLとEndpoint Management Enterpriseの統合

確認すべき質問項目:

  • ShareFileにActive Directory認証が必要ですか。
  • Endpoint ManagementでShareFileアプリを初めて使用するときにSSOを必須にしますか。
  • 現在の環境に標準のIdPはありますか。
  • いくつのドメインでSAMLを使用する必要がありますか。
  • Active Directoryユーザーに複数のメールエイリアスがありますか。
  • Active Directoryドメインの移行が進行中、または近日中に予定されていますか。

設計の決定:

Endpoint Management Enterprise環境では、ShareFileの認証メカニズムとしてSAMLを使用できます。認証オプションは次のとおりです:

  • SAMLのIDプロバイダー(IdP)としてEndpoint Managementサーバーを使用します。

このオプションは、優れたユーザーエクスペリエンスを提供し、ShareFileアカウントの作成を自動化するだけでなく、モバイルアプリのSSO機能を有効にすることができます。

  • Endpoint Managementサーバーはこのプロセスのために強化されているため、Active Directoryの同期は不要です。
  • ユーザープロビジョニングにShareFile User Management Toolを使用します。
  • サポートされているサードパーティベンダーをSAMLのIdPとして使用します。

既存のサポートされているIdPがあり、モバイルアプリのSSO機能が不要な場合は、このオプションが最適です。また、このオプションでは、アカウントのプロビジョニングにShareFile User Management Toolを使用する必要があります。

サードパーティのIdPソリューション(ADFSなど)を使用すると、Windowsクライアント側にもSSO機能が提供される場合があります。ShareFileのSAML IdPを選択する前に、ユースケースを評価するようにします。

さらに、両方のユースケースを満たすために、ADFSとEndpoint ManagementをデュアルIdPとして構成 できます。

モバイルアプリ

確認すべき質問項目:

  • どのShareFileモバイルアプリ(パブリック、MDM、MDX)を使用する予定ですか。

設計の決定:

  • Citrix業務用モバイルアプリはApple App StoreやGoogle Playストアから配信できます。パブリックアプリケーションストアからの配信では、Citrixダウンロードページからラップされたアプリを入手します。
  • セキュリティレベルが低くコンテナー化が不要の場合、パブリックのShareFileアプリケーションは適切でない可能性があります。MDM-only環境では、Endpoint ManagementをMDMモードで使用して、ShareFileアプリのMDMバージョンを配信できます。
  • 詳しくは、「アプリ」と「Citrix ShareFile for Endpoint Management」を参照してください。

セキュリティ、ポリシー、およびアクセス制御

確認すべき質問項目:

  • デスクトップ、Web、およびモバイルユーザーにはどのような制限が必要ですか。
  • ユーザーに対する標準的なアクセス制御をどのような設定にしますか。
  • どのようなファイル保持ポリシーを使用する予定ですか。

設計の決定:

  • ShareFileを使用すると、従業員の権限とデバイスのセキュリティを管理できます。詳しくは、「従業員の権限」と 「デバイスとアプリの管理」を参照してください。
  • 一部のShareFileのデバイスセキュリティ設定とMDXポリシーは、同じ機能を制御します。そのような場合はEndpoint Managementのポリシーが優先され、次にShareFileのデバイスセキュリティ設定が適用されます。例:外部アプリをShareFileで無効にし、Endpoint Managementでは有効にすると、ShareFileではこの外部アプリが無効になります。Endpoint ManagementではPINとパスコードが不要、ShareFileアプリではPINとパスコードが必要なようにアプリを構成できます。

標準StorageZoneと制限付きStorageZone

確認すべき質問項目:

  • 制限付きStorageZoneが必要ですか。

設計の決定:

  • 標準StorageZoneは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。このオプションは、ドメイン外でデータを共有するワークフローをサポートします。
  • 制限付きStorageZoneでは機密データが保護され、認証されたドメインユーザーのみが、ゾーンに格納されたデータにアクセスできます。

アクセス制御

企業は、ネットワーク内外のモバイルデバイスを管理できるようになりました。Endpoint Managementなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供することに優れていますが、ネットワークアクセス制御(NAC)ソリューションと組み合わせると、ネットワーク内のデバイスに対してQoSとより詳細な制御を加えることができます。この組み合わせにより、NACソリューションを通じてEndpoint Managementのデバイスセキュリティ評価を強化できます。NACソリューションはEndpoint Managementのセキュリティ評価を使用して、認証の決定を効率的に処理することができます。Citrixでは、Endpoint ManagementとCisco Identity Services Engine(ISE)またはForeScoutのNAC統合を検証済みです。他のNACソリューションとの統合は保証されていません。

Endpoint ManagementとNACソリューションを統合する利点は次のとおりです:

  • 社内ネットワーク上のすべてのエンドポイントのセキュリティ、コンプライアンス、制御の強化。
  • NACソリューションでは、次のことが可能です:
    • ネットワークに接続しようとするデバイスを瞬時に検出します。
    • Endpoint Managementにデバイス属性を照会します。
    • 次にこの情報を使用して、デバイスを許可、禁止、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用されるセキュリティポリシーによって異なります。
  • NACソリューションでは、IT管理者に非管理デバイスと非準拠デバイスのビューを提供します。

Endpoint ManagementでサポートされているNAC準拠フィルターについては、「ネットワークアクセス制御」を参照してください。

Endpoint Managementの統合