Citrix Endpoint Managementの統合
この記事では、Citrix Endpoint Managementを既存のネットワークおよびソリューションと統合する方法を計画するときに考慮すべき点について説明します。たとえば、Citrix Virtual Apps and Desktops用のNetScaler Gatewayを既に使用している場合は、次の点を考慮します:
- 既存のNetScaler Gatewayインスタンス、または専用の新しいインスタンスを使用する必要がありますか。
- StoreFrontで公開済みのHDXアプリをCitrix Endpoint Managementと統合しますか。
- Citrix FilesをCitrix Endpoint Managementと併用しますか。
- Citrix Endpoint Managementに統合するネットワークアクセス制御のソリューションがありますか。
NetScaler Gateway
NetScaler Gatewayは、Citrix Endpoint Managementの必須コンポーネントです。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
既存のNetScaler Gatewayインスタンスを使用することも、Citrix Endpoint Management用に新しいインスタンスを設定することもできます。以下のセクションでは、既存、または新規の専用のNetScaler Gatewayインスタンスを使用する長所と短所について説明します。
Citrix Endpoint Management用に作成済みのNetScaler Gateway VIPを使用した共有NetScaler Gateway MPX
長所:
- Citrixのすべてのリモート接続(Citrix Virtual Apps、完全VPN、およびクライアントレスVPN)に共通のNetScaler Gatewayインスタンスを使用します。
- 証明書の認証やDNS、LDAP、NTPなどのサービスへのアクセスに、NetScaler Gatewayの既存の構成を使用します。
- 単一のNetScaler Gatewayプラットフォームライセンスを使用します。
短所:
- 同じNetScaler Gatewayで2つの異なるユースケースを処理する場合は、スケールの計画が難しくなります。
- Citrix Virtual Appsのユースケースに特定のバージョンのNetScaler Gatewayが必要になる場合があります。このような特定のバージョンには、Citrix Endpoint Managementの既知の問題がある場合があります。または、Citrix Endpoint Managementに、NetScaler Gatewayのこのバージョンに関する既知の問題がある場合があります。
- NetScaler Gatewayがある場合は、Citrix Endpoint Management用のNetScaler Gateway構成を作成するために、NetScaler Gateway for XenMobileウィザードを再度実行することはできません。
- PlatinumライセンスがNetScaler Gateway 11.1以降で使用されている場合を除き、NetScaler Gatewayにインストールされ、VPN接続に必要なユーザーアクセスライセンスはプールされます。これらのライセンスはすべてのNetScaler Gateway仮想サーバーで使用可能であるため、Citrix Endpoint Management以外のサービスによって消費される可能性があります。
専用のNetScaler Gateway VPX/MPXインスタンス
長所:
専用のNetScaler Gatewayインスタンスを使用することをお勧めします。
- スケールの計画が容易になるほか、既にリソースの制約がある可能性のあるNetScaler GatewayインスタンスからCitrix Endpoint Managementのトラフィックが分離されます。
- Citrix Endpoint ManagementとCitrix Virtual Appsで必要なNetScaler Gatewayソフトウェアのバージョンが異なる事態を回避できます。通常は、Citrix Endpoint Managementと互換性のある最新のNetScaler Gatewayバージョンおよびビルドを使用することをお勧めします。
- 組み込みのNetScaler Gateway for XenMobileウィザードを使用して、Citrix Endpoint Management用にNetScaler Gatewayを構成できます。
- サービスの仮想的および物理的な分離。
短所:
- Citrix Endpoint Managementの構成をサポートするために、NetScaler Gatewayで追加のサービスを設定する必要があります。
- 別のNetScaler Gatewayプラットフォームライセンスが必要です。NetScaler Gateway GatewayのNetScaler Gatewayインスタンスごとにライセンスを取得します。
Citrix Endpoint Management管理モード用のNetScaler GatewayとCitrix ADCの統合で考慮すべき点については、「NetScaler GatewayおよびCitrix ADCとの統合」を参照してください。
StoreFront
Citrix Virtual Apps and Desktops環境の場合は、StoreFrontを使用してHDXアプリケーションをCitrix Endpoint Managementと統合できます。HDXアプリをCitrix Endpoint Managementと統合すると次のような効果があります:
- Citrix Endpoint Managementに登録されているユーザーがこれらのアプリを利用できます。
- これらのアプリが、アプリストアに他のモバイルアプリとともに表示されます。
- Citrix Endpoint Managementは、StoreFrontでCitrix Receiverを使用します。
- Citrix Workspaceアプリがデバイスにインストールされると、HDXアプリではこのアプリが使用されるようになります。
StoreFrontには、StoreFrontインスタンスごとに1つのサービスサイトの制限があります。複数のストアがあり、他の実稼働環境での使用から分離する必要があるとします。その場合は、通常、Citrix Endpoint Management用に新しいStoreFrontインスタンスとサービスサイトを検討することをお勧めします。
考慮事項は次のとおりです:
- StoreFrontでは認証要件が異なりますか。StoreFrontサービスサイトでは、ログオンにActive Directory資格情報が必要です。証明書ベースの認証のみを使用している場合、同じNetScaler Gatewayを使用してCitrix Endpoint Management経由でアプリケーションを列挙することはできません。
- 同じストアを使用しますか。それともストアを作成しますか。
- 同じStoreFrontサーバーを使用しますか。それとも別のStoreFrontサーバーを使用しますか。
以下のセクションでは、Citrix WorkspaceとCitrix業務用モバイルアプリでStoreFrontを個別に使用する場合と組み合わせて使用する場合の、メリットとデメリットについて説明します。
既存のStoreFrontインスタンスをCitrix Endpoint Managementと統合する
長所:
- 同じストア:HDXアクセスに同じNetScaler Gateway VIPを使用する場合、Citrix Endpoint ManagementではStoreFrontの追加構成が不要になります。同じストアを使用し、Citrix Workspaceには新しいNetScaler Gateway VIPへアクセスするように指示するとします。その場合は、StoreFrontに適切なNetScaler Gateway構成を追加します。
- 同じStoreFrontサーバー:StoreFrontの既存のインストールと構成を使用します。
短所:
- 同じストア:Citrix Virtual Apps and DesktopsのワークロードをサポートするようにStoreFrontを再構成すると、Citrix Endpoint Managementに悪影響が及ぶ可能性があります。
- 同じStoreFrontサーバー:大規模な環境では、Citrix Endpoint Managementがアプリの列挙と起動でCitrix Receiverを使用することにより、負荷が余計にかかる点を考慮する必要があります。
Citrix Endpoint Managementとの統合に新しい専用のStoreFrontインスタンスを使用する
長所:
- 新しいストア:Citrix Endpoint Managementで使用するStoreFrontストアの構成を変更しても、Virtual Apps and Desktopsの既存のワークロードには影響しません。
- 新しいStoreFrontサーバー:サーバー構成の変更は、Virtual Apps and Desktopsのワークフローに影響しません。さらに、Citrix Endpoint Managementがアプリの列挙と起動でCitrix Receiverを使用することによるもの以外の負荷は、スケーラビリティに影響しません。
短所:
- 新しいストア:StoreFrontストアの構成。
- 新しいStoreFrontサーバー:StoreFrontの新規のインストールと構成が必要です。
詳しくは、「アプリストア経由のCitrix Virtual Apps and Desktops」を参照してください。
ShareFileとCitrix Files
ShareFileを使用すると、ドキュメントを簡単かつセキュアに交換したり、メールで大容量のドキュメントを送信したり、サードパーティへのドキュメント転送をセキュアに処理することができます。Citrix Filesアプリを使用すると、ユーザーは任意のデバイスからすべてのデータにアクセスして同期することができます。Citrix Filesを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。
Citrix Endpoint Managementにより、Citrix Filesに次の機能が提供されます:
- 業務用モバイルアプリユーザーのシングルサインオン認証。
- Active Directoryベースのユーザーアカウントのプロビジョニング。
- 包括的なアクセス制御ポリシー。
モバイルユーザーに完全なEnterpriseアカウント機能セットのメリットをもたらすことができます。
または、ストレージゾーンコネクタとのみ統合するようにCitrix Endpoint Managementを構成することもできます。ストレージゾーンコネクタを介して、Citrix Filesは以下へのアクセスを提供します:
- ドキュメントとフォルダー
- ネットワークファイル共有
- SharePointサイトの場合:サイトコレクションとドキュメントライブラリ。
接続したファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるのと同じネットワークのホームドライブを含めることができます。Enterpriseアカウントまたはストレージゾーンコネクタとの統合は、Citrix Endpoint Managementコンソールを使用して構成します。詳しくは、「Citrix Files for Citrix Endpoint Management」を参照してください。
次のセクションでは、Citrix Filesの設計を決定するときに確認すべき質問項目について説明します。
Citrix Filesまたはストレージゾーンコネクタのみとの統合
確認すべき質問項目:
- Citrix管理のストレージゾーンにデータを保存する必要がありますか。
- ユーザーにファイルの共有および同期の機能を提供しますか。
- Citrix Files Webサイト上のファイルにユーザーがアクセスできるようにしますか。またはモバイルデバイスからOffice 365のコンテンツおよび個人向けクラウドコネクタにアクセスできるようにしますか。
設計の決定:
- 上記の質問のいずれかの回答が「はい」の場合は、Enterpriseアカウントと統合します。
- ストレージゾーンコネクタのみと統合すると、iOSユーザーは、SharePointサイトやネットワークファイル共有などの既存のオンプレミスのストレージリポジトリに安全にモバイルアクセスできます。この構成では、Citrix Filesサブドメインの設定やCitrix Filesに対するユーザーのプロビジョニング、Citrix Filesデータのホストが不要になります。Citrix Endpoint Managementとストレージゾーンコネクタの併用は、社内ネットワーク外へのユーザー情報漏洩に対するセキュリティ規制に適合したものです。
Storage Zone Controllerサーバーの場所
確認すべき質問項目:
- オンプレミスのストレージや機能(ストレージゾーンコネクタなど)が必要ですか。
- Citrix Filesのオンプレミス機能を使用する場合、Storage Zone Controllerはネットワーク内のどこに配置されますか。
設計の決定:
- Citrix Filesクラウド、オンプレミスのシングルテナントストレージシステム、またはサポートされているサードパーティのクラウドストレージに、Storage Zone Controllerサーバーを配置するかどうかを決定します。
- Storage Zone Controllerは、Citrix Filesコントロールプレーンと通信するためにインターネットアクセスが必要です。直接アクセスやNATおよびPATの構成を含む、いくつかの方法で接続できます。
ストレージゾーンコネクタ
確認すべき質問項目:
- CIFS共有パスは何ですか。
- SharePointのURLは何ですか。
設計の決定:
- オンプレミスのStorage Zone Controllerがこれらの場所にアクセスする必要があるかどうかを判断します。
- StorageZoneコネクタは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、StorageZoneコントローラーは、DMZファイアウォールの内側にあり、NetScaler Gatewayが前に置かれた内部ネットワークに配置することをお勧めします。
SAMLとCitrix Endpoint Managementの統合
確認すべき質問項目:
- Citrix FilesにActive Directory認証が必要ですか。
- Citrix Endpoint ManagementでCitrix Filesアプリを初めて使用するときにSSOを必須にしますか。
- 現在の環境に標準のIdPはありますか。
- いくつのドメインでSAMLを使用する必要がありますか。
- Active Directoryユーザーに複数のメールエイリアスがありますか。
- Active Directoryドメインの移行が進行中、または近日中に予定されていますか。
設計の決定:
Citrix Filesの認証メカニズムとしてSAMLの使用を選択できます。認証オプションは次のとおりです:
-
SAMLのIDプロバイダー(IdP)としてCitrix Endpoint Managementサーバーを使用します。
このオプションは、優れたユーザーエクスペリエンスを提供し、Citrix Filesアカウントの作成を自動化し、モバイルアプリのSSO機能を有効にすることができます。
Citrix Endpoint Managementサーバーはこのプロセスのために強化されているため、Active Directoryの同期は不要です。
ユーザープロビジョニングにCitrix Files User Management Toolを使用します。
-
サポートされているサードパーティベンダーをSAMLのIdPとして使用します。
既存のサポートされているIdPがあり、モバイルアプリのSSO機能が不要な場合は、このオプションが最適です。また、このオプションでは、アカウントのプロビジョニングにCitrix Files User Management Toolを使用する必要があります。
サードパーティのIdPソリューション(ADFSなど)を使用すると、Windowsクライアント側にもSSO機能が提供される場合があります。Citrix FilesのSAML IdPを選択する前に、ユースケースを評価するようにします。
-
または、両方のユースケースを満たす方法については、「デュアルIDプロバイダーの場合のShareFileシングルサインオン構成ガイド」を参照してください。
モバイルアプリ
確認すべき質問項目:
- どのCitrix Filesモバイルアプリ(パブリック、MDM、MDX)を使用する予定ですか。
設計の決定:
- Citrix業務用モバイルアプリはApple App StoreやGoogle Playストアから配信できます。パブリックアプリストアからの配信では、Citrixダウンロードページからラップされたアプリを入手します。
- セキュリティ要件が低くコンテナ化が不要の場合、パブリックのCitrix Filesアプリは適切でない可能性があります。
- 詳しくは、「アプリ」と「Citrix Files for Citrix Endpoint Management」を参照してください。
セキュリティ、ポリシー、およびアクセス制御
確認すべき質問項目:
- デスクトップ、Web、およびモバイルユーザーにはどのような制限が必要ですか。
- ユーザーに対する標準的なアクセス制御をどのような設定にしますか。
- どのようなファイル保持ポリシーを使用する予定ですか。
設計の決定:
- Citrix Filesを使用すると、従業員の権限を管理できます。詳しくは、「従業員の権限」を参照してください。
- 一部のCitrix Filesのデバイスセキュリティ設定とMDXポリシーは、同じ機能を制御します。そのような場合はCitrix Endpoint Managementのポリシーが優先され、次にCitrix Filesのデバイスセキュリティ設定が適用されます。例:外部アプリをCitrix Filesで無効にし、Citrix Endpoint Managementでは有効にすると、Citrix Filesではこの外部アプリが無効になります。Citrix Endpoint ManagementではPINとパスコードが不要、Citrix FilesアプリではPINとパスコードが必要なようにアプリを構成できます。
標準StorageZoneと制限付きStorageZone
確認すべき質問項目:
- 制限付きストレージゾーンが必要ですか。
設計の決定:
- 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。このオプションは、ドメイン外でデータを共有するワークフローをサポートします。
- 制限付きストレージゾーンでは機密データが保護され、認証されたドメインユーザーのみが、ゾーンに格納されたデータにアクセスできます。
アクセス制御
企業はネットワーク内外のモバイルデバイスを管理できます。Citrix Endpoint Managementなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供することに優れていますが、ネットワークアクセス制御(NAC)ソリューションと組み合わせると、ネットワーク内部のデバイスに対するQoSを向上させ、よりきめ細かい制御を行うことができます。この組み合わせにより、NACソリューションを通じてCitrix Endpoint Managementのデバイスセキュリティ評価を強化できます。NACソリューションはCitrix Endpoint Managementのセキュリティ評価を使用して、認証の決定を効率的に処理することができます。
次のいずれかのソリューションを使用して、NACポリシーを適用できます:
- NetScaler Gateway
- ForeScout
他のNACソリューションとの統合は保証されていません。
Citrix Endpoint ManagementとNACソリューションを統合する利点は次のとおりです:
- 社内ネットワーク上のすべてのエンドポイントのセキュリティ、コンプライアンス、制御の強化。
- NACソリューションでは、次のことが可能です:
- ネットワークに接続しようとするデバイスを瞬時に検出します。
- Citrix Endpoint Managementにデバイス属性を照会します。
- このデバイス情報を使用して、デバイスを許可、禁止、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用されるセキュリティポリシーによって異なります。
- NACソリューションでは、IT管理者に非管理デバイスと非準拠デバイスのビューを提供します。
Citrix Endpoint ManagementでサポートされているNAC準拠フィルターの説明と構成の概要については、「ネットワークアクセス制御」を参照してください。