Endpoint Managementの統合
この記事では、Endpoint Managementを既存のネットワークおよびソリューションと統合する方法を計画するときに考慮すべき点について説明します。たとえば、Citrix Virtual Apps and Desktops用のCitrix Gatewayを既に使用している場合は、次の点を考慮します:
- 既存のCitrix Gatewayインスタンス、または専用の新しいインスタンスを使用する必要がありますか。
- StoreFrontで公開済みのHDXアプリをEndpoint Managementと統合しますか。
- Citrix FilesをEndpoint Managementと併用しますか。
- Endpoint Managementに統合するネットワークアクセス制御のソリューションがありますか。
Citrix Gateway
Citrix Gatewayは、Endpoint Managementの必須コンポーネントです。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
既存のCitrix Gatewayインスタンスを使用することも、Endpoint Management用に新しいインスタンスを設定することもできます。以下のセクションでは、既存、または新規の専用のCitrix Gatewayインスタンスを使用する長所と短所について説明します。
Endpoint Management用に作成済みのCitrix Gateway VIPを使用した共有Citrix Gateway MPX
長所:
- Citrixのすべてのリモート接続(Citrix Virtual Apps、完全VPN、およびクライアントレスVPN)に共通のCitrix Gatewayインスタンスを使用します。
- 証明書の認証やDNS、LDAP、NTPなどのサービスへのアクセスに、Citrix Gatewayの既存の構成を使用します。
- 単一のCitrix Gatewayプラットフォームライセンスを使用します。
短所:
- 同じCitrix Gatewayで2つの異なるユースケースを処理する場合は、スケールの計画が難しくなります。
- Citrix Virtual Appsのユースケースに特定のバージョンのCitrix Gatewayが必要になる場合があります。このような特定のバージョンには、Endpoint Managementの既知の問題がある場合があります。または、Endpoint Managementに、Citrix Gatewayの特定のバージョンに関する既知の問題がある場合があります。
- Citrix Gatewayがある場合は、Endpoint Management用のCitrix Gateway構成を作成するために、NetScaler for XenMobileウィザードを再度実行することはできません。
- PlatinumライセンスがCitrix Gateway 11.1以降で使用されている場合を除き、Citrix Gatewayにインストールされ、VPN接続に必要なユーザーアクセスライセンスはプールされます。これらのライセンスはすべてのCitrix Gateway仮想サーバーで使用可能であるため、Endpoint Management以外のサービスによって消費される可能性があります。
専用のCitrix Gateway VPX/MPXインスタンス
長所:
専用のCitrix Gatewayインスタンスを使用することをお勧めします。
- スケールの計画が容易になるほか、既にリソースの制約がある可能性のあるCitrix GatewayインスタンスからEndpoint Managementのトラフィックが分離されます。
- Endpoint ManagementとCitrix Virtual Appsで必要なCitrix Gatewayソフトウェアのバージョンが異なる事態を回避できます。通常は、Endpoint Managementと互換性のある最新のCitrix Gatewayバージョンおよびビルドを使用することをお勧めします。
- 組み込みのNetScaler for XenMobileウィザードを使用して、Endpoint Management用にCitrix Gatewayを構成できます。
- サービスの仮想的および物理的な分離。
短所:
- Endpoint Managementの構成をサポートするために、Citrix Gatewayで追加のサービスを設定する必要があります。
- 別のCitrix Gatewayプラットフォームライセンスが必要です。Citrix GatewayのCitrix Gatewayインスタンスごとにライセンスを取得します。
Endpoint Management管理モード用のCitrix GatewayとCitrix ADCの統合で考慮すべき点については、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。
StoreFront
Citrix Virtual Apps and Desktops環境の場合は、StoreFrontを使用してHDXアプリケーションをEndpoint Managementと統合できます。HDXアプリをEndpoint Managementと統合すると次のような効果があります:
- Endpoint Managementに登録されているユーザーがこれらのアプリを利用できます。
- これらのアプリが、アプリストアに他のモバイルアプリとともに表示されます。
- Endpoint Managementは、StoreFrontでCitrix Receiverを使用します。
- Citrix Workspaceアプリがデバイスにインストールされると、HDXアプリではこのアプリが使用されるようになります。
StoreFrontには、StoreFrontインスタンスごとに1つのサービスサイトの制限があります。複数のストアがあり、他の実稼働環境での使用から分離する必要があるとします。その場合は、通常、Endpoint Management用に新しいStoreFrontインスタンスとサービスサイトを検討することをお勧めします。
考慮事項は次のとおりです:
- StoreFrontでは認証要件が異なりますか。StoreFrontサービスサイトでは、ログオンにActive Directory資格情報が必要です。証明書ベースの認証のみを使用している場合、同じCitrix Gatewayを使用してEndpoint Management経由でアプリケーションを列挙することはできません。
- 同じストアを使用しますか。それともストアを作成しますか。
- 同じStoreFrontサーバーを使用しますか。それとも別のStoreFrontサーバーを使用しますか。
以下のセクションでは、Citrix WorkspaceとCitrix業務用モバイルアプリでStoreFrontを個別に使用する場合と組み合わせて使用する場合の、メリットとデメリットについて説明します。
既存のStoreFrontインスタンスをEndpoint Managementと統合する
長所:
- 同じストア:HDXアクセスに同じCitrix Gateway VIPを使用する場合、Endpoint ManagementではStoreFrontの追加構成が不要になります。同じストアを使用し、Citrix Workspaceには新しいCitrix Gateway VIPへアクセスするように指示するとします。その場合は、StoreFrontに適切なCitrix Gateway構成を追加します。
- 同じStoreFrontサーバー:StoreFrontの既存のインストールと構成を使用します。
短所:
- 同じストア:Citrix Virtual Apps and DesktopsのワークロードをサポートするようにStoreFrontを再構成すると、Endpoint Managementに悪影響が及ぶ可能性があります。
- 同じStoreFrontサーバー:大規模な環境では、Endpoint Managementがアプリの列挙と起動でCitrix Receiverを使用することにより、負荷が余計にかかる点を考慮する必要があります。
Endpoint Managementとの統合に新しい専用のStoreFrontインスタンスを使用する
長所:
- 新しいストア:Endpoint Managementで使用するStoreFrontストアの構成を変更しても、Virtual Apps and Desktopsの既存のワークロードには影響しません。
- 新しいStoreFrontサーバー:サーバー構成の変更は、Virtual Apps and Desktopsのワークフローに影響しません。さらに、Endpoint Managementがアプリの列挙と起動でCitrix Receiverを使用することによるもの以外の負荷は、スケーラビリティに影響しません。
短所:
- 新しいストア:StoreFrontストアの構成。
- 新しいStoreFrontサーバー:StoreFrontの新規のインストールと構成が必要です。
詳しくは、「アプリストア経由のCitrix Virtual Apps and Desktops」を参照してください。
Citrix Content CollaborationおよびCitrix Files
Citrix Content Collaborationを使用すると、ドキュメントを簡単かつセキュアに交換したり、メールで大容量のドキュメントを送信したり、サードパーティへのドキュメント転送をセキュアに処理することができます。Citrix Filesアプリを使用すると、ユーザーは任意のデバイスからすべてのデータにアクセスして同期することができます。Citrix Filesを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。
Citrix Content CollaborationとEndpoint Managementの統合は、サイトでWorkspaceが有効になっているかによって異なります。
Endpoint ManagementでWorkspaceが有効である場合
Citrix WorkspaceおよびCitrix WorkspaceアプリをCitrix Content Collaborationサービスとともに使用すると、以下を実行できます:
- Citrix Workspaceの[ファイル]タブですべてのファイルにアクセスする。
- すべてのお気に入りフォルダー、個人用フォルダー、共有フォルダーを表示し、Cloud Connectorにアクセスする。
- [フィードバックと承認]でファイルを送信し、ファイルボックスを表示し、ごみ箱を管理して、ファイルを編集する。
- WorkspaceでサポートされていないContent Collaboration機能については、「展開」および「Content Collaboration(ShareFile)アカウントの作成またはCitrix Cloudへのリンク」を参照してください。
Endpoint ManagementでWorkspaceが有効ではない場合
Endpoint ManagementでWorkspaceが有効ではない場合、Content CollaborationとEndpoint Managementを統合します。Endpoint Managementにより、Citrix Filesに次の機能が提供されます:
- 業務用モバイルアプリユーザーのシングルサインオン認証。
- Active Directoryベースのユーザーアカウントのプロビジョニング。
- 包括的なアクセス制御ポリシー。
モバイルユーザーに完全なEnterpriseアカウント機能セットのメリットをもたらすことができます。
または、ストレージゾーンコネクタとのみ統合するようにEndpoint Managementを構成することもできます。ストレージゾーンコネクタを介して、Citrix Filesは以下へのアクセスを提供します:
- ドキュメントとフォルダー
- ネットワークファイル共有
- SharePointサイトの場合:サイトコレクションとドキュメントライブラリ。
接続したファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるのと同じネットワークのホームドライブを含めることができます。Enterpriseアカウントまたはストレージゾーンコネクタとの統合は、Endpoint Managementコンソールを使用して構成します。詳しくは、「Citrix Files for Endpoint Management」を参照してください。
次のセクションでは、Citrix Filesの設計を決定するときに確認すべき質問項目について説明します。
Citrix Filesまたはストレージゾーンコネクタのみとの統合
確認すべき質問項目:
- Citrix管理のストレージゾーンにデータを保存する必要がありますか。
- ユーザーにファイルの共有および同期の機能を提供しますか。
- Citrix Files Webサイト上のファイルにユーザーがアクセスできるようにしますか。またはモバイルデバイスからOffice 365のコンテンツおよび個人向けクラウドコネクタにアクセスできるようにしますか。
設計の決定:
- 上記の質問のいずれかの回答が「はい」の場合は、Enterpriseアカウントと統合します。
- ストレージゾーンコネクタのみと統合すると、iOSユーザーは、SharePointサイトやネットワークファイル共有などの既存のオンプレミスのストレージリポジトリに安全にモバイルアクセスできます。この構成では、Citrix Filesサブドメインの設定やCitrix Filesに対するユーザーのプロビジョニング、Citrix Filesデータのホストが不要になります。Endpoint Managementとストレージゾーンコネクタの併用は、社内ネットワーク外へのユーザー情報漏洩に対するセキュリティ規制に適合したものです。
Storage Zone Controllerサーバーの場所
確認すべき質問項目:
- オンプレミスのストレージや機能(ストレージゾーンコネクタなど)が必要ですか。
- Citrix Filesのオンプレミス機能を使用する場合、Storage Zone Controllerはネットワーク内のどこに配置されますか。
設計の決定:
- Citrix Filesクラウド、オンプレミスのシングルテナントストレージシステム、またはサポートされているサードパーティのクラウドストレージに、Storage Zone Controllerサーバーを配置するかどうかを決定します。
- Storage Zone Controllerは、Citrix Filesコントロールプレーンと通信するためにインターネットアクセスが必要です。直接アクセスやNATおよびPATの構成を含む、いくつかの方法で接続できます。
ストレージゾーンコネクタ
確認すべき質問項目:
- CIFS共有パスは何ですか。
- SharePointのURLは何ですか。
設計の決定:
- オンプレミスのStorage Zone Controllerがこれらの場所にアクセスする必要があるかどうかを判断します。
- ストレージゾーンコネクタは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、Storage Zone Controllerは、DMZファイアウォールの内側にあり、Citrix Gatewayが前に置かれた内部ネットワークに配置することをお勧めします。
SAMLとEndpoint Managementの統合
確認すべき質問項目:
- Citrix FilesにActive Directory認証が必要ですか。
- Endpoint ManagementでCitrix Filesアプリを初めて使用するときにSSOを必須にしますか。
- 現在の環境に標準のIdPはありますか。
- いくつのドメインでSAMLを使用する必要がありますか。
- Active Directoryユーザーに複数のメールエイリアスがありますか。
- Active Directoryドメインの移行が進行中、または近日中に予定されていますか。
設計の決定:
Citrix Filesの認証メカニズムとしてSAMLの使用を選択できます。認証オプションは次のとおりです:
-
SAMLのIDプロバイダー(IdP)としてEndpoint Managementサーバーを使用します。
このオプションは、優れたユーザーエクスペリエンスを提供し、Citrix Filesアカウントの作成を自動化し、モバイルアプリのSSO機能を有効にすることができます。
Endpoint Managementサーバーはこのプロセスのために強化されているため、Active Directoryの同期は不要です。
ユーザープロビジョニングにCitrix Files User Management Toolを使用します。
-
サポートされているサードパーティベンダーをSAMLのIdPとして使用します。
既存のサポートされているIdPがあり、モバイルアプリのSSO機能が不要な場合は、このオプションが最適です。また、このオプションでは、アカウントのプロビジョニングにCitrix Files User Management Toolを使用する必要があります。
サードパーティのIdPソリューション(ADFSなど)を使用すると、Windowsクライアント側にもSSO機能が提供される場合があります。Citrix FilesのSAML IdPを選択する前に、ユースケースを評価するようにします。
-
または、両方のユースケースを満たす方法については、「IDプロバイダーが二重の場合のCitrix Content Collaborationシングルサインオン構成ガイド」を参照してください。
モバイルアプリ
確認すべき質問項目:
- どのCitrix Filesモバイルアプリ(パブリック、MDM、MDX)を使用する予定ですか。
設計の決定:
- Citrix業務用モバイルアプリはApple App StoreやGoogle Playストアから配信できます。パブリックアプリストアからの配信では、Citrixダウンロードページからラップされたアプリを入手します。
- セキュリティ要件が低くコンテナ化が不要の場合、パブリックのCitrix Filesアプリは適切でない可能性があります。
- 詳しくは、「アプリ」と「Citrix Files for Endpoint Management」を参照してください。
セキュリティ、ポリシー、およびアクセス制御
確認すべき質問項目:
- デスクトップ、Web、およびモバイルユーザーにはどのような制限が必要ですか。
- ユーザーに対する標準的なアクセス制御をどのような設定にしますか。
- どのようなファイル保持ポリシーを使用する予定ですか。
設計の決定:
- Citrix Filesを使用すると、従業員の権限を管理できます。詳しくは、「従業員の権限」を参照してください。
- 一部のCitrix Filesのデバイスセキュリティ設定とMDXポリシーは、同じ機能を制御します。そのような場合はEndpoint Managementのポリシーが優先され、次にCitrix Filesのデバイスセキュリティ設定が適用されます。例:外部アプリをCitrix Filesで無効にし、Endpoint Managementでは有効にすると、Citrix Filesではこの外部アプリが無効になります。Endpoint ManagementではPINとパスコードが不要、Citrix FilesアプリではPINとパスコードが必要なようにアプリを構成できます。
標準ストレージゾーンと制限付きストレージゾーン
確認すべき質問項目:
- 制限付きストレージゾーンが必要ですか。
設計の決定:
- 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。このオプションは、ドメイン外でデータを共有するワークフローをサポートします。
- 制限付きストレージゾーンでは機密データが保護され、認証されたドメインユーザーのみが、ゾーンに格納されたデータにアクセスできます。
アクセス制御
企業はネットワーク内外のモバイルデバイスを管理できます。Endpoint Managementなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供することに優れていますが、ネットワークアクセス制御(NAC)ソリューションと組み合わせると、ネットワーク内部のデバイスに対するQoSを向上させ、よりきめ細かい制御を行うことができます。この組み合わせにより、NACソリューションを通じてEndpoint Managementのデバイスセキュリティ評価を強化できます。NACソリューションはEndpoint Managementのセキュリティ評価を使用して、認証の決定を効率的に処理することができます。
次のいずれかのソリューションを使用して、NACポリシーを適用できます:
- Citrix Gateway
- ForeScout
他のNACソリューションとの統合は保証されていません。
Endpoint ManagementとNACソリューションを統合する利点は次のとおりです:
- 社内ネットワーク上のすべてのエンドポイントのセキュリティ、コンプライアンス、制御の強化。
- NACソリューションでは、次のことが可能です:
- ネットワークに接続しようとするデバイスを瞬時に検出します。
- Endpoint Managementにデバイス属性を照会します。
- このデバイス情報を使用して、デバイスを許可、禁止、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用されるセキュリティポリシーによって異なります。
- NACソリューションでは、IT管理者に非管理デバイスと非準拠デバイスのビューを提供します。
Endpoint ManagementでサポートされているNAC準拠フィルターの説明と構成の概要については、「ネットワークアクセス制御」を参照してください。