セキュリティとユーザーエクスペリエンス
セキュリティはどの組織にとっても重要ですが、セキュリティとユーザーエクスペリエンスのバランスを取る必要があります。たとえば、ユーザーが使いにくい高度に保護された環境があるかもしれません。あるいは、環境が非常にユーザーフレンドリーであるため、アクセス制御がそれほど厳しくない場合もあります。この仮想ハンドブックの他のセクションでは、セキュリティ機能について詳しく説明しています。この記事の目的は、一般的なセキュリティ上の懸念事項と、Citrix Endpoint Managementで利用できるセキュリティオプションの概要を説明することです。
-
各ユースケースで留意すべきいくつかの重要な考慮事項を次に示します。
- 特定のアプリ、デバイス全体、またはその両方を保護しますか。
- ユーザーに身元をどのように認証させますか。LDAP、証明書ベースの認証、またはその両方の組み合わせを使用しますか。
- ユーザーセッションがタイムアウトするまでの期間はどのくらいにしますか。バックグラウンドサービス、Citrix ADC、およびオフライン中にアプリにアクセスするためのタイムアウト値は異なることに注意してください。
- ユーザーにデバイスレベルのパスコードとアプリレベルのパスコードを設定させますか。許可するサインイン試行回数は何回ですか。MAMで実装される可能性のある追加のアプリごとの認証要件と、ユーザーがそれらをどのように認識するかを考慮してください。
-
ユーザーにどのような他の制限を課しますか。Siriなどのクラウドサービスへのアクセスをユーザーに許可しますか。提供する各アプリで何ができ、何ができませんか。オフィス内からの携帯電話データプランの使用を防ぐために、企業ネットワーク (Wi-Fi) ポリシーを展開しますか。
-
アプリとデバイス
最初に考慮すべきことの1つは、以下を保護するかどうかです。
- 特定のアプリのみ (モバイルアプリ管理、またはMAM)
- デバイス全体 (モバイルデバイス管理、またはMDM)
- MDM+MAM
最も一般的には、デバイスレベルの制御を必要としない場合、特に組織がBring Your Own Device (BYOD) をサポートしている場合は、モバイルアプリのみを管理する必要があります。
Citrix Endpoint Managementが管理しないデバイスを持つユーザーは、アプリストアを通じてアプリをインストールできます。選択的または完全なワイプなどのデバイスレベルの制御の代わりに、アプリポリシーを通じてアプリへのアクセスを制御します。設定した値に応じて、ポリシーはデバイスがCitrix Endpoint Managementを定期的にチェックして、アプリが引き続き実行を許可されていることを確認することを要求します。
MDMを使用すると、デバイス上のすべてのソフトウェアのインベントリを取得する機能を含め、デバイス全体を保護できます。MDMを使用すると、デバイスがジェイルブレイク、ルート化されている場合、または安全でないソフトウェアがインストールされている場合に、登録を防止できます。ただし、このレベルの制御を行うと、ユーザーは個人デバイスに対するそのような多くの権限を許可することに警戒し、登録率が低下する可能性があります。
認証
-
認証は、ユーザーエクスペリエンスの大部分を占める部分です。組織がすでにActive Directoryを実行している場合、Active Directoryを使用することが、ユーザーがシステムにアクセスするための最も簡単な方法です。
-
認証ユーザーエクスペリエンスのもう1つの重要な部分はタイムアウトです。高セキュリティ環境では、ユーザーがシステムにアクセスするたびにサインオンを要求する場合があります。このオプションは、すべての組織やユースケースにとって理想的ではないかもしれません。
ユーザーエントロピー
セキュリティを強化するために、ユーザーエントロピーと呼ばれる機能を有効にできます。Citrix Secure Hubおよびその他のいくつかのアプリは、すべてが適切に機能するように、パスワード、PIN、証明書などの共通データを共有することがよくあります。この情報は、Citrix Secure Hub内の汎用ボールトに保存されます。[シークレットの暗号化] オプションを通じてユーザーエントロピーを有効にすると、Citrix Endpoint ManagementはUserEntropyというボールトを作成します。Citrix Endpoint Managementは、汎用ボールトからこの新しいボールトに情報を移動します。Citrix Secure Hubまたは別のアプリがデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。
ユーザーエントロピーを有効にすると、いくつかの場所で認証のレイヤーが追加されます。その結果、アプリが UserEntropy ボールト内の共有データ (パスワード、PIN、証明書など) へのアクセスを必要とするたびに、ユーザーは認証する必要があります。
ユーザーエントロピーの詳細については、MDX Toolkit について を参照してください。ユーザーエントロピーを有効にするには、クライアントプロパティ で関連設定を確認できます。
ポリシー
MDX および MDM ポリシーは、組織に大きな柔軟性をもたらしますが、ユーザーを制限することもできます。特定の状況ではその制限が必要になる場合がありますが、ポリシーによってシステムが使用不能になる可能性もあります。たとえば、機密データを外部に送信する可能性のある Siri や iCloud などのクラウドアプリケーションへのアクセスをブロックしたい場合があります。これらのサービスへのアクセスをブロックするポリシーを設定できますが、そのようなポリシーには意図しない結果が生じる可能性があることに注意してください。たとえば、iOS キーボードのマイクはクラウドアクセスに依存しています。
アプリ
-
エンタープライズモビリティ管理 (EMM) は、モバイルデバイス管理 (MDM) とモバイルアプリケーション管理 (MAM) に分類されます。MDM は組織がモバイルデバイスを保護および制御することを可能にする一方、MAM はアプリケーションの配信と管理を容易にします。BYOD の採用の増加に伴い、Citrix Endpoint Management などの MAM ソリューションを実装して、次の事項を支援できます。
- アプリの配信
- ソフトウェアライセンス
- 構成
- アプリのライフサイクル管理
Citrix Endpoint Management を使用すると、特定の MAM ポリシーと VPN 設定を構成して、データ漏洩やその他のセキュリティ脅威を防ぐことで、これらのアプリにセキュリティを追加できます。Citrix Endpoint Management は、MDM と MAM の両方の機能を同じ環境に含める柔軟性を組織に提供します。
- モバイルデバイスへのアプリ配信機能に加えて、Citrix Endpoint Management は MDX テクノロジーによるアプリのコンテナ化を提供します。MDX は、プラットフォームが提供するデバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリをワイプまたはロックできます。アプリは、きめ細かなポリシーベースの制御の対象となります。独立系ソフトウェアベンダー (ISV) は、Mobile Apps SDK を使用してこれらの制御を適用できます。
企業環境では、ユーザーは職務を支援するためにさまざまなモバイルアプリを使用します。アプリには、パブリックアプリストアのアプリ、社内開発アプリ、またはネイティブアプリを含めることができます。Citrix Endpoint Management は、これらのアプリを次のように分類します。
-
パブリックアプリ: これらのアプリには、Apple App Store や Google Play などのパブリックアプリストアで利用可能な無料または有料のアプリが含まれます。組織外のベンダーは、多くの場合、パブリックアプリストアでアプリを提供しています。このオプションにより、顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズに応じて、組織内で多くのパブリックアプリを使用する場合があります。これらのアプリの例には、GoToMeeting、Salesforce、EpicCare アプリなどがあります。
-
Citrix® は、パブリックアプリストアからアプリバイナリを直接ダウンロードし、それを MDX Toolkit でラップしてエンタープライズ配布することをサポートしていません。サードパーティアプリケーションを MDX 対応にするには、アプリベンダーに連絡してアプリバイナリを入手してください。MDX Toolkit を使用してバイナリをラップするか、MAM SDK をバイナリと統合できます。
-
社内アプリ: 多くの組織には、特定の機能を提供するアプリを作成し、組織内で独自に開発および配布する社内開発者がいます。特定のケースでは、一部の組織は ISV が提供するアプリも所有している場合があります。そのようなアプリをネイティブアプリとして展開することも、Citrix Endpoint Management などの MAM ソリューションを使用してアプリをコンテナ化することもできます。たとえば、ヘルスケア組織は、医師がモバイルデバイスで患者情報を表示できる社内アプリを作成できます。組織は、アプリを MAM SDK 対応にするか、MDM でラップして、患者情報を保護し、バックエンドの患者データベースサーバーへの VPN アクセスを有効にすることができます。
- Web および SaaS アプリ: これらのアプリには、内部ネットワークからアクセスされるアプリ (Web アプリ) またはパブリックネットワーク経由でアクセスされるアプリ (SaaS) が含まれます。Citrix Endpoint Management では、アプリコネクタのリストを使用してカスタム Web および SaaS アプリを作成することもできます。これらのアプリコネクタは、既存の Web アプリへのシングルサインオン (SSO) を容易にすることができます。詳細については、アプリコネクタの種類 を参照してください。たとえば、Google Apps への Security Assertion Markup Language (SAML) に基づく SSO に Google Apps SAML を使用できます。
モバイル生産性アプリ: モバイル生産性アプリは、Citrix Endpoint Management ライセンスに含まれる Citrix 開発のアプリです。詳細については、モバイル生産性アプリについて を参照してください。Citrix は、その他の ビジネス対応アプリ も提供しています。ISV は Mobile Apps SDK を使用してビジネス対応アプリを開発します。
HDXアプリ: HDXアプリは、StoreFrontで公開するWindowsホスト型アプリです。Citrix Virtual Apps and Desktops環境がある場合、Citrix Endpoint Managementとアプリを統合して、登録済みユーザーがアプリを利用できるようにすることができます。
Citrix Endpoint Managementで展開および管理するモバイルアプリの種類によって、基盤となる構成とアーキテクチャは異なります。さまざまなレベルの権限を持つ多くのユーザーグループが単一のアプリを使用する場合、アプリの2つのバージョンを展開するために個別のデリバリーグループを作成できます。ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認してください。
Apple Volume Purchaseを使用してiOSアプリケーションのライセンスを管理することもできます。このオプションでは、Apple Volume Purchaseプログラムに登録する必要があります。また、Citrix Endpoint Managementコンソールを使用してVolume Purchase設定を構成する必要があります。この構成により、Volume Purchaseライセンスでアプリを配布できます。このようなさまざまなユースケースがあるため、Citrix Endpoint Management環境を実装する前にMAM戦略を評価し、計画することが重要です。MAM戦略は、以下を定義することから開始できます。
- アプリの種類: サポートする予定のさまざまなアプリの種類をリストアップします。次に、パブリック、ネイティブ、Citrixモバイル生産性アプリ、Web、社内、ISVアプリなどのカテゴリに分類します。また、iOSやAndroidなどの異なるデバイスプラットフォーム向けにアプリを分類します。この分類は、各種類のアプリに必要なCitrix Endpoint Management設定を調整するのに役立ちます。たとえば、特定のアプリはラッピングの対象とならない場合があります。または、一部のアプリでは、他のアプリとの対話のために特別なAPIを有効にするためにMobile Apps SDKの使用が必要になる場合があります。
ネットワーク要件: 特定のネットワークアクセス要件を持つアプリを、適切な設定で構成します。たとえば、特定のアプリはVPNを介して社内ネットワークへのアクセスを必要とする場合があります。一部のアプリは、DMZを介してアクセスをルーティングするためにインターネットアクセスを必要とする場合があります。このようなアプリが必要なネットワークに接続できるようにするには、それに応じてさまざまな設定を構成する必要があります。事前にアプリごとのネットワーク要件を定義することで、アーキテクチャ上の決定を最終決定するのに役立ちます。この作業により、全体的な実装プロセスが効率化されます。
セキュリティ要件: 個々のアプリまたはすべてのアプリに適用されるセキュリティ要件を定義します。MDXポリシーなどの一部の設定は個々のアプリに適用されます。セッションおよび認証設定はすべてのアプリに適用されます。一部のアプリには、特定の暗号化、コンテナ化、ラッピング、認証、ジオフェンシング、パスコード、またはデータ共有の要件がある場合があります。展開を簡素化するために、これらの要件を事前に概説します。
展開要件: ポリシーベースの展開を使用して、準拠しているユーザーのみが公開されたアプリをダウンロードできるようにしたい場合があります。たとえば、特定のアプリで以下を要求したい場合があります。
- デバイスプラットフォームベースの暗号化が有効になっていること
- デバイスが管理されていること
- デバイスが最小オペレーティングシステムバージョンを満たしていること
- 特定のアプリが企業ユーザーのみに利用可能であること
適切な展開ルールまたはアクションを構成できるように、これらの要件を事前に概説します。
ライセンス要件: アプリ関連のライセンス要件を記録します。このようなメモは、ライセンスの使用状況を効果的に管理し、ライセンスを容易にするためにCitrix Endpoint Managementで特定の機能を構成する必要があるかどうかを決定するのに役立ちます。たとえば、無料または有料のiOSアプリを展開する場合、AppleはユーザーがApple Storeアカウントにサインインすることでアプリにライセンス要件を適用します。Apple Volume Purchaseに登録して、Citrix Endpoint Managementを通じてこれらのアプリを配布および管理できます。Volume Purchaseを使用すると、ユーザーはApple Storeアカウントにサインインすることなくアプリをダウンロードできます。また、Samsung Knoxなどのツールには特別なライセンス要件があり、これらの機能を展開する前に完了する必要があります。
許可リストとブロックリストの要件: ユーザーが一部のアプリをインストールまたは使用するのを防ぎたいと考えるでしょう。デバイスを非準拠にするアプリの許可リストを作成します。次に、デバイスが非準拠になったときにトリガーされるポリシーを設定します。一方、アプリは使用が許容されるが、何らかの理由でブロックリストに該当する場合があります。その場合、アプリを許可リストに追加し、アプリは使用可能だが必須ではないことを示すことができます。また、新しいデバイスにプリインストールされているアプリには、オペレーティングシステムの一部ではない一般的なアプリが含まれる場合があることに注意してください。これらのアプリは、ブロックリスト戦略と競合する可能性があります。
アプリのユースケース
医療機関は、モバイルアプリのMAMソリューションとしてCitrix Endpoint Managementを展開する予定です。モバイルアプリは、企業ユーザーとBYODユーザーに提供されます。IT部門は、以下のアプリを提供および管理することを決定しました。
- モバイル生産性アプリ: Citrixが提供するiOSおよびAndroidアプリ。
- Citrix Files: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。
パブリックアプリストア
- Citrix Secure Hub: すべてのモバイルデバイスがCitrix Endpoint Managementと通信するために使用するクライアント。IT部門は、Citrix Secure Hubクライアントを介して、セキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidおよびiOSデバイスは、Citrix Secure Hubを通じてCitrix Endpoint Managementに登録します。
- Citrix Workspaceアプリ: ユーザーがCitrix Virtual Appsによってホストされているアプリをモバイルデバイスで開くことを可能にするモバイルアプリ。
- GoToMeeting: ユーザーがインターネットを介して他のコンピューターユーザー、顧客、クライアント、または同僚とリアルタイムで会議を行うことを可能にするオンライン会議、デスクトップ共有、およびビデオ会議クライアント。
- SalesForce1: Salesforce1は、ユーザーがモバイルデバイスからSalesforceにアクセスできるようにし、すべてのChatter、CRM、カスタムアプリ、およびビジネスプロセスを、あらゆるSalesforceユーザー向けの統合されたエクスペリエンスにまとめます。
- RSA SecurID: 2要素認証用のソフトウェアベースのトークン。
-
EpicCareアプリ: これらのアプリは、医療従事者に患者カルテ、患者リスト、スケジュール、およびメッセージングへの安全でポータブルなアクセスを提供します。
- Haiku: iPhoneおよびAndroidスマートフォン用のモバイルアプリ。
- Canto: iPad用のモバイルアプリ。
-
Rover: iPhoneおよびiPad用のモバイルアプリ。
| Name | Description | Type | Default |HDX: Citrix Virtual Appsは、HDXアプリをCitrix Workspaceに配信します。
- Epic Hyperspace: 電子カルテ管理用のEpicクライアントアプリケーション。
ISV
- Vocera: HIPAA準拠のVoIPおよびメッセージングモバイルアプリで、iPhoneおよびAndroidスマートフォンを介して、いつでもどこでもVocera音声テクノロジーの利点を拡張します。
社内アプリ
- HCMail: 暗号化されたメッセージの作成、社内メールサーバーのアドレス帳の検索、およびメールクライアントを使用した連絡先への暗号化されたメッセージの送信を支援するアプリ。
社内Webアプリ
- PatientRounding: さまざまな部門が患者の健康情報を記録するために使用するWebアプリケーション。
- Outlook Web Access: Webブラウザーを介したメールへのアクセスを可能にします。
- SharePoint: 組織全体のファイルおよびデータ共有に使用されます。
次の表に、MAM構成に必要な基本情報を示します。
| アプリ名 | アプリの種類 | MDXラッピング | iOS | Android |
|---|---|---|---|---|
| Citrix Secure Mail | モバイル生産性アプリ | バージョン10.4.1以降は不要 | はい | はい |
| Citrix Secure Web | モバイル生産性アプリ | バージョン10.4.1以降は不要 | はい | はい |
| Citrix Files | モバイル生産性アプリ | バージョン10.4.1以降は不要 | はい | はい |
| Citrix Secure Hub | 公開アプリ | 該当なし | はい | はい |
| Citrix Workspace app | 公開アプリ | 該当なし | はい | はい |
| GoToMeeting | 公開アプリ | 該当なし | はい | はい |
| SalesForce1 | 公開アプリ | 該当なし | はい | はい |
| RSA SecurID | 公開アプリ | 該当なし | はい | はい |
| Epic Haiku | 公開アプリ | 該当なし | はい | はい |
| Epic Canto | 公開アプリ | 該当なし | はい | いいえ |
| Epic Rover | 公開アプリ | 該当なし | はい | いいえ |
| Epic Hyperspace | HDX™アプリ | 該当なし | はい | はい |
-
Vocera ISVアプリ はい はい はい -
HCMail 社内アプリ はい はい はい -
PatientRounding Webアプリ 該当なし はい はい -
Outlook Web Access Webアプリ 該当なし はい はい -
SharePoint Webアプリ 該当なし はい はい -
次の表に、Citrix Endpoint ManagementでMAMポリシーを構成する際に参照できる特定の要件を示します。
-
アプリ名 VPNが必要 連携 (コンテナ外のアプリと) 連携 (コンテナ外のアプリから) デバイスプラットフォームベースの暗号化 - | ————— | ————— | ——————– | ————— | ——————————– |
-
Citrix Secure Mail はい 選択的に許可 許可 不要
-
-
Citrix Secure Web はい 許可 許可 不要 Citrix Files はい 許可 許可 不要 -
Citrix Secure Hub はい 該当なし 該当なし 該当なし Citrix Workspace app はい 該当なし 該当なし 該当なし GoToMeeting いいえ 該当なし 該当なし 該当なし SalesForce1 いいえ 該当なし 該当なし 該当なし -
RSA SecurID いいえ 該当なし 該当なし 該当なし -
Epic Haiku はい 該当なし 該当なし 該当なし -
Epic Canto はい 該当なし 該当なし 該当なし -
Epic Rover はい 該当なし 該当なし 該当なし -
Epic Hyperspace はい 該当なし 該当なし 該当なし -
Vocera はい ブロック ブロック 不要 -
HCMail はい ブロック ブロック 必要 -
PatientRounding はい 該当なし 該当なし 必要
-
-
Outlook Web Access はい 該当なし 該当なし 不要 -
SharePoint はい 該当なし 該当なし 不要 -
アプリ名 プロキシフィルタリング ライセンス ジオフェンシング モバイルアプリSDK 最小オペレーティングシステムバージョン - | —————— | ————— | ———————————– | ———————– | ————————– | ———————— |
-
Citrix Secure Mail 必要 該当なし 選択的に必要 該当なし 適用 Citrix Secure Web 必要 該当なし 不要 該当なし 適用 Secure Notes 必要 該当なし 不要 該当なし 適用
-
-
Citrix Files 必要 該当なし 不要 該当なし 適用 -
Citrix Secure Hub 不要 ボリューム購入 不要 該当なし 適用されない -
Citrix Workspaceアプリ 不要 ボリューム購入 不要 該当なし 適用外 -
GoToMeeting 不要 ボリューム購入 不要 該当なし 適用外 -
SalesForce1 不要 ボリューム購入 不要 該当なし 適用外 -
RSA SecurID 不要 ボリューム購入 不要 該当なし 適用外 -
Epic Haiku 不要 ボリューム購入 不要 該当なし 適用外 -
Epic Canto 不要 ボリューム購入 不要 該当なし 適用外 -
Epic Rover 不要 ボリューム購入 不要 該当なし 適用外 -
Epic Hyperspace 不要 該当なし 不要 該当なし 適用外 -
Vocera 必須 該当なし 必須 必須 適用済み -
HCMail 必須 該当なし 必須 必須 適用済み -
PatientRound-ing 必須 該当なし 不要 該当なし 適用外 -
Outlook Web Access 必須 該当なし 不要 該当なし 適用外 -
SharePoint 必須 該当なし 不要 該当なし 適用外
ユーザーコミュニティ
組織はそれぞれ、異なる機能的役割を担う多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーデバイスを通じて提供されるさまざまなリソースを使用して、異なるタスクやオフィス機能を実行します。ユーザーは、提供されたモバイルデバイスを使用して自宅やリモートオフィスで作業する場合があります。あるいは、ユーザーが自身のモバイルデバイスを所有し、特定のセキュリティコンプライアンス規則の対象となるツールにアクセスすることもあります。
より多くのユーザーコミュニティが業務でモバイルデバイスを使用するようになるにつれて、Enterprise Mobility Management (EMM) はデータ漏洩を防ぐ上で不可欠になります。EMMは、組織のセキュリティ制限を強制するためにも重要です。効率的でより高度なモバイルデバイス管理のために、ユーザーコミュニティを分類することができます。これにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーがユーザーに適用されます。
以下の例は、医療機関のユーザーコミュニティがEMMのためにどのように分類されるかを示しています。
ユーザーコミュニティのユースケース
この医療機関の例では、ネットワークおよび関連会社の従業員やボランティアを含む多くのユーザーに、テクノロジーリソースとアクセスを提供しています。この組織は、EMMソリューションを非管理職ユーザーにのみ展開することを選択しました。
この組織のユーザーの役割と機能は、臨床、非臨床、および契約社員を含むサブグループに分類できます。選択されたユーザーは会社のモバイルデバイスを受け取り、他のユーザーは個人のデバイスから限られた会社のリソースにアクセスできます。適切なレベルのセキュリティ制限を適用し、データ漏洩を防ぐため、組織は登録された各デバイスを企業ITが管理することを決定しました。これらのデバイスは、会社所有であるか、Bring Your Own Device (BYOD) である場合があります。また、ユーザーは1つのデバイスのみを登録できます。
以下のセクションでは、各サブグループの役割と機能の概要を説明します。
臨床
- 看護師
- 医師 (内科医、外科医など)
- 専門医 (栄養士、麻酔科医、放射線科医、心臓病専門医、腫瘍専門医など)
- 外部医師 (非従業員の医師およびリモートオフィスで勤務する事務員)
- 在宅医療サービス (患者宅への訪問診療を行う事務員およびモバイルワーカー)
- 研究専門家 (医学的問題の解決策を見つけるための臨床研究を行う6つの研究所のナレッジワーカーおよびパワーユーザー)
- 教育および研修 (教育および研修における看護師、医師、専門家)
非臨床
- 共有サービス (人事、給与、買掛金、サプライチェーンサービスなど、さまざまなバックオフィス業務を行う事務員)
- 医師サービス (管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、マネージドケア管理、患者アクセスソリューション、収益サイクルソリューションなど、プロバイダー向けにさまざまな医療管理、管理サービス、ビジネスプロセスソリューションを行う事務員)
- サポートサービス (福利厚生管理、臨床統合、コミュニケーション、報酬および業績管理、施設および資産サービス、人事テクノロジーシステム、情報サービス、内部監査およびプロセス改善など、さまざまな非臨床業務を行う事務員)
- 慈善プログラム (慈善プログラムを支援するさまざまな業務を行う事務員およびモバイルワーカー)
契約社員
- 製造業者およびベンダーパートナー (オンサイトおよびサイト間VPN経由でリモート接続し、さまざまな非臨床サポート機能を提供)
上記の情報に基づき、組織は以下のエンティティを作成しました。Citrix Endpoint Management のデリバリーグループの詳細については、「リソースの展開」を参照してください。
Active Directory 組織単位 (OU) とグループ
OU = Citrix Endpoint Managementリソースの場合:
- OU = クリニカル; グループ =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = 非クリニカル; グループ =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
-
Citrix Endpoint Managementのローカルユーザーとグループ
-
グループ = Contractorsの場合、ユーザー =
- Vendor1
- Vendor2
- Vendor 3
-
… Vendor 10
-
Citrix Endpoint Managementのデリバリーグループ
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
デリバリーグループとユーザーグループのマッピング
| Active Directoryグループ | Citrix Endpoint Managementデリバリーグループ |
|---|---|
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
デリバリーグループとリソースのマッピング
以下の表は、このユースケースにおける各デリバリーグループに割り当てられたリソースを示しています。最初の表はモバイルアプリの割り当てを示し、2番目の表はパブリックアプリ、HDXアプリ、およびデバイス管理リソースを示しています。
| Citrix Endpoint Managementデリバリーグループ | Citrixモバイルアプリ | パブリックモバイルアプリ | HDXモバイルアプリ | ||||
|---|---|---|---|---|---|---|---|
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | |||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | X | ||||||
| Clinical-Home Health Services | X | ||||||
| Clinical-Research Specialist | X | ||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X | X | ||||
| Non-Clinical-Philanthropic Programs | X | X | X | ||||
| Contractors | X | X | X | ||||
| Citrix Endpoint Managementデリバリーグループ | パブリックアプリ: RSA SecurID | パブリックアプリ: EpicCare Haiku | HDXアプリ: Epic Hyperspace | パスコードポリシー | デバイス制限 | 自動アクション | ネットワークポリシー |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
注意事項と考慮事項
- Citrix Endpoint Managementは、初期設定時にAll Usersという名前のデフォルトデリバリーグループを作成します。このデリバリーグループを無効にしない場合、すべてのActive DirectoryユーザーはCitrix Endpoint Managementに登録する権利を持ちます。
- Citrix Endpoint Managementは、LDAPサーバーへの動的接続を使用して、Active Directoryユーザーとグループをオンデマンドで同期します。
- ユーザーがCitrix Endpoint Managementにマッピングされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが多数のグループのメンバーである場合、Citrix Endpoint ManagementはそのユーザーをCitrix Endpoint Managementにマッピングされたグループの一部としてのみ分類します。
セキュリティ要件
Citrix Endpoint Management環境に関連するセキュリティに関する考慮事項の範囲は、すぐに圧倒的なものになる可能性があります。多くの相互に関連する要素と設定が存在します。どこから始めればよいのか、許容できるレベルの保護を確保するために何を選択すればよいのかわからないかもしれません。これらの選択を簡素化するために、Citrixは以下の表に示すように、高、より高、最高のセキュリティに関する推奨事項を提供します。
セキュリティ上の懸念は、デバイスが登録されるモード(MAM、MDMオプションのMDM+MAM、またはMDM必須のMDM+MAM)を決定する唯一の考慮事項ではありません。ユースケースの要件も確認し、管理モードを選択する前にセキュリティ上の懸念を軽減できるかどうかを判断することが重要です。
高: これらの設定を使用すると、ほとんどの組織で許容される基本的なセキュリティレベルを維持しながら、最適なユーザーエクスペリエンスが提供されます。
より高: これらの設定は、セキュリティとユーザビリティのより強力なバランスを生み出します。
最高: これらの推奨事項に従うことで、ユーザビリティとユーザーの採用を犠牲にして、高レベルのセキュリティが提供されます。
管理モードのセキュリティに関する考慮事項
以下の表は、各セキュリティレベルの管理モードを示しています。
| 高セキュリティ | より高セキュリティ | 最高セキュリティ |
|---|---|---|
| MAM、MDM+MAM | MDM+MAM | MDM+MAM |
注記:
- ユースケースによっては、MAMのみの展開でセキュリティ要件を満たし、良好なユーザーエクスペリエンスを提供できます
- BYODのような、すべてのビジネスおよびセキュリティ要件がアプリコンテナ化のみで満たされる可能性があるユースケースでは、CitrixはMAMのみのモードを推奨します
- 高セキュリティ環境(および企業支給デバイス)の場合、Citrixは利用可能なすべてのセキュリティ機能を活用するためにMDM+MAMを推奨します
Citrix ADCおよびNetScaler Gatewayのセキュリティに関する考慮事項
以下の表は、各セキュリティレベルのCitrix ADCおよびNetScaler Gatewayの推奨事項を示しています。
| 高セキュリティ | より高セキュリティ | 最高セキュリティ |
|---|---|---|
| Citrix ADCを推奨。MAMおよびMDM+MAMにはNetScaler Gatewayが必要 | Citrix Endpoint ManagementがDMZにある場合、SSLブリッジを使用したXenMobileウィザード構成用の標準NetScaler | エンドツーエンド暗号化によるSSLオフロード |
注記:
- NATまたは既存のサードパーティ製プロキシ/ロードバランサーを介してCitrix Endpoint Managementサーバーをインターネットに公開することは、MDMのオプションとなる場合があります。ただし、その場合、SSLトラフィックはCitrix Endpoint Managementサーバーで終端され、潜在的なセキュリティリスクをもたらします。
- 高セキュリティ環境では、デフォルトのCitrix Endpoint Management構成を持つNetScaler Gatewayは、通常、セキュリティ要件を満たすか、それを上回ります。
- 最高のセキュリティ要件を持つMDM登録の場合、NetScaler GatewayでのSSL終端により、エンドツーエンドのSSL暗号化を維持しながら、境界でトラフィックを検査できます。
- SSL/TLS暗号を定義するオプション。
- 詳細については、「NetScaler GatewayおよびCitrix ADCとの統合」を参照してください。
登録のセキュリティに関する考慮事項
次の表は、各セキュリティレベルにおけるCitrix ADCおよびNetScaler Gatewayの推奨事項を示しています。
| 高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
|---|---|---|
| Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 | 招待のみの登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 | デバイスIDに紐付けられた登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 |
注:
- Citrixは通常、登録を事前定義されたActive Directoryグループのユーザーのみに制限することを推奨しています。この制限には、組み込みの「すべてのユーザー」配信グループを無効にすることが必要です。
- 登録招待を使用して、招待状を持つユーザーに登録を制限できます。登録招待はWindowsデバイスでは利用できません。
- ワンタイムPIN (OTP) 登録招待を二要素認証ソリューションとして使用し、ユーザーが登録できるデバイスの数を制御できます。(OTP招待はWindowsデバイスでは利用できません。)
デバイスパスコードのセキュリティに関する考慮事項
次の表は、各セキュリティレベルにおけるデバイスパスコードの推奨事項を示しています。
| 高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
|---|---|---|
| 推奨。デバイスレベルの暗号化には高セキュリティが必要です。MDMで強制できます。MDXポリシー「非準拠デバイスの動作」を使用して、MAMのみに必須として設定できます。 | MDM、MAM、またはMDM+MAMポリシーを使用して強制されます。 | MDMおよびMDXポリシーを使用して強制されます。MDM複雑なパスコードポリシー。 |
注:
- Citrixはデバイスパスコードの使用を推奨しています。
- MDMポリシーを介してデバイスパスコードを強制できます。
- MDXポリシーを使用して、管理対象アプリを使用するためのデバイスパスコードを必須にすることができます。例えば、BYODのユースケースなどです。
- Citrixは、MDM+MAM登録のセキュリティを強化するために、MDMとMDXのポリシーオプションを組み合わせることを推奨しています。
- 最高のセキュリティ要件を持つ環境では、複雑なパスコードポリシーを設定し、MDMで強制できます。デバイスがパスコードポリシーに従わない場合に、管理者に通知したり、選択的/完全なデバイスワイプを発行したりする自動アクションを設定できます。