セキュリティとユーザーエクスペリエンス

すべての組織にとってセキュリティは重要ですが、その一方でセキュリティとユーザーエクスペリエンスのバランスをとる必要があります。安全性は高いものの、ユーザーにとって使いにくい環境もあれば、ユーザーにとって使いやすいものの、アクセス制御が厳しくない環境もあります。この仮想ハンドブックの他のセクションではセキュリティ機能について詳しく説明していますが、この記事は、利用できるセキュリティオプションの概要を説明し、Endpoint Managementで一般的なセキュリティ上の問題について考えていただくことを目的としています。

各ユースケースで留意する重要な考慮事項は次のとおりです:

  • 特定のアプリ、デバイス全体、またはその両方を保護しますか。
  • どのような方法でユーザーのIDが認証されるようにしますか。LDAP、証明書ベースの認証、またはこの2つの組み合わせを使用しますか。
  • ユーザーのセッションがタイムアウトするまでにどれくらいの時間が経過する必要がありますか。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。
  • ユーザーがデバイスレベルのパスコードやアプリレベルのパスコードを設定するようにしますか。ユーザーに許容されるログオン試行回数は何回ですか。MAMで実装できるアプリごとの追加の認証要件と、ユーザーによってこれがどのように受け止められるかに留意してください。
  • ユーザーに対して、他にどのような制限を加えますか。Siriなどのクラウドサービスにユーザーがアクセスできるようにする必要がありますか。使用できるそれぞれのアプリで、ユーザーができること、およびできないことは何ですか。オフィススペース内にいるときに携帯データ通信プランが消費されるのを防ぐために、企業のWiFiポリシーを導入する必要がありますか。

アプリとデバイス

最初に、特定のアプリだけを保護すればいいのか(モバイルアプリケーション管理(MAM))、またはデバイス全体を管理する必要があるのか(モバイルデバイス管理(MDM))について考える必要があります。一般に、デバイスレベルの制御が不要な場合は、モバイルアプリを管理すれば十分です。これは特に、BYOD(Bring Your Own Device)がサポートされている組織に当てはまります。

MAM-onlyの環境では、ユーザーは利用可能なリソースにアクセスできます。MAMポリシーは、アプリそのものを保護および管理します。

一方MDMでは、デバイス上のすべてのソフトウェアのインベントリを取得したり、ジェイルブレイクまたはRoot化されたデバイス、または安全でないソフトウェアがインストールされたデバイスの登録を防止したりして、デバイス全体を保護することができます。ただし、このレベルで制御すると、ユーザーは自分が使用する個人用デバイスに対してこのような権限を許可することに慎重になり、登録率が低下する可能性があります。

MDMは一部のデバイスには必要でも、他のデバイスには不要な場合があります。ただし、この選択をすると2つの専用の環境を設定し、追加のリソースと保守が必要になる点に留意する必要があります。

認証

認証は、ユーザーエクスペリエンスの重要な部分を占めています。既にActive Directoryを実行している組織では、Active Directoryを使用することが、ユーザーをシステムにアクセスさせる最も簡単な方法です。

そのほかに、認証におけるユーザーエクスペリエンスで重要な要素となるのがタイムアウトです。高度なセキュリティ環境では、ユーザーがシステムにアクセスするたびにログオンさせる場合がありますが、このオプションはすべての組織にとって最適とは言えません。たとえば、メールにアクセスするたびに資格情報を入力しなければならないことはユーザーにとって煩雑であり、不要かもしれません。

ユーザーエントロピー

セキュリティを強化するために、ユーザーエントロピー と呼ばれる機能を有効にすることができます。Citrix Secure Hubや他のアプリでは、パスワード、PIN、および証明書などの共通データを共有することで、すべてが適正に機能するようになっています。この情報は、Secure Hub内の汎用コンテナーに保存されます。[シークレットの暗号化] オプションでユーザーエントロピーを有効にすると、Endpoint ManagementはUserEntropyという名前の新しいコンテナーを作成し、汎用コンテナーからこの新しいコンテナーに情報を移動させます。Secure Hubや他のアプリがこのデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。

ユーザーエントロピーを有効にすると、複数の場所で認証が強化されます。ただし、UserEntropyコンテナーに格納された共有データ(パスワード、PIN、証明書など)にアプリがアクセスする必要があるたびに、ユーザーはパスワードまたはPINを入力する必要があります。

ユーザーエントロピーについては、「MDX Toolkitについて」を参照してください。ユーザーエントロピーをオンにする場合は、関連する設定項目を [クライアントプロパティ] で見つけることができます。

ポリシー

MDXポリシーとMDMポリシーは、組織に大きな柔軟性をもたらす一方で、ユーザーが制限される場合もあります。状況によってはこれが必要な場合もありますが、ポリシーによってシステムが使用できなくなることもあります。たとえば、送信されたくない場所に機密データが送信される可能性のある、SiriやiCloudなどのクラウドアプリケーションへのアクセスを禁止する必要がある場合、これらのサービスへのアクセスを禁止するポリシーを設定できますが、このようなポリシーによって意図しない結果がもたらされる可能性があることに注意してください。iOSのキーボード上のマイクもクラウドアクセスに依存しているため、この機能へのアクセスも禁止されることになります。

アプリ

エンタープライズモビリティ管理(EMM:Enterprise Mobility Management)は、モバイルデバイス管理(MDM:Mobile Device Management)とモバイルアプリケーション管理(MAM:Mobile Application Management)に分けられます。MDMを利用するとモバイルデバイスを保護し、制御できる一方、MAMではアプリケーションの配信と管理を簡単に行えます。BYOD(Bring Your Own Device)の導入率が増加した場合、一般的には、アプリケーション配信、ソフトウェアライセンス、構成、アプリケーションライフサイクル管理を支援するため、Endpoint ManagementなどのMAMソリューションを実装します。

Citrix Endpoint Managementを使用すると、データの漏洩などのセキュリティ上の脅威を防ぐように特定のMAMポリシーとVPN設定を構成し、こうしたアプリの保護をさらに強化できます。Endpoint Managementは柔軟性に優れており、MAM専用環境またはMDM専用環境としてソリューションを展開することも、同一のプラットフォーム内でMDMとMAMの両方の機能を提供する統合Endpoint Management Enterprise環境として実装することも可能です。

Endpoint Managementは、モバイルデバイスへのアプリ配信機能に加えて、MDXテクノロジーによるアプリのコンテナー化機能も備えています。MDXでは、デバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリはワイプまたはロック可能であり、ポリシーベースで詳細に制御することができます。独立系ソフトウェアベンダー(ISV:Independent Software Vendor)では、Mobile Apps SDKを使用してこうした制御を行うことができます。

企業の環境では、ユーザーは職務の助けとしてさまざまなモバイルアプリを利用しています。こうしたアプリには、パブリックアプリストアのアプリや社内アプリ、場合によってはネイティブアプリも含まれます。Endpoint Managementでは、これらのアプリを次のように分類しています:

パブリックアプリ: これらのアプリには、iTunesやGoogle Playなど、パブリックアプリストアで無料または有料で提供されているアプリが含まれます。組織外のベンダーの多くは、パブリックアプリストアで自社のアプリを公開しています。こうすることで、ベンダーの顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズによっては、組織内でパブリックアプリが数多く使用される場合があります。こうしたアプリには、GoToMeeting、Salesforce、EpicCareなどがあります。

Citrixでは、パブリックアプリストアからアプリバイナリを直接ダウンロードすることおよび、こうしたバイナリを社内配布用にMDX Toolkitでラップすることはサポートしていません。サードパーティのアプリケーションをラップする必要がある場合は、そのアプリのベンダーと協力して、MDX Toolkitでラップ可能なアプリのバイナリを入手します。

社内アプリ: 多くの組織には社内開発者がおり、特定の機能を備え、組織内で独自に開発および配布されるアプリを作成しています。組織によっては、ISVから提供されるアプリを導入している場合もあります。こうしたアプリは、ネイティブアプリとして展開するか、Endpoint ManagementなどのMAMソリューションを使用してコンテナー化できます。たとえば、医療機関で、モバイルデバイスで医師が患者の情報を確認できる社内アプリを作成したとします。さらにMDX ServiceまたはMDX Toolkitを使用してこのアプリをラップすることで、患者の情報を保護するとともに、バックエンドの患者データベースサーバーへのVPNアクセスを有効化できます。

WebアプリおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスするアプリ(Webアプリ)やパブリックネットワーク経由でアクセスするアプリ(SaaS)が含まれます。Endpoint Managementでは、さまざまなアプリコネクタを使用して、カスタムのWebアプリおよびSaaSアプリを作成することもできます。これらのアプリコネクタを利用することで、既存のWebアプリへのシングルサインオン(SSO:Single Sign-On)を簡単に行えます。詳しくは、「アプリコネクタの種類」を参照してください。たとえば、Google Apps向けのセキュリティアサーションマークアップランゲージ(SAML:Security Assertion Markup Language)を基にした、SSO用のGoogle Apps SAMLを使用できます。

業務用モバイルアプリ: Citrixが開発したアプリであり、Endpoint Managementライセンスに含まれています。詳しくは、「業務用モバイルアプリについて」を参照してください。Citrixでは、ISVがMobile Apps SDKを使用して開発したビジネス対応アプリも提供しています。

HDXアプリ: StoreFrontで公開される、Windowsでホストされたアプリです。Citrix Virtual Apps and Desktops環境を使用している場合、こうしたアプリをEndpoint Managementに統合し、登録済みユーザーに公開することができます。

基になる構成およびアーキテクチャは、Endpoint Managementで展開および管理するモバイルアプリの種類によって異なります。たとえば、1つのアプリを権限レベルの異なる複数のユーザーグループが使用する場合、別々のデリバリーグループを作成して、このアプリを2つのバージョンで展開する必要があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認する必要もあります。

iOSアプリケーションのライセンスは、AppleのVolume Purchase Program(VPP)を使用して管理することもできます。この方法を使用するには、Endpoint ManagementコンソールでVPPプログラムを登録し、VPPライセンスでアプリを配信するようにEndpoint ManagementのVPP設定を構成する必要があります。このようにユースケースは多様であるため、Endpoint Management環境を実装する前に、MAM戦略を評価し計画することが重要です。MAM戦略の計画は、次の事柄を定義することから始めることをお勧めします。

アプリの種類: パブリックアプリ、ネイティブアプリ、Citrix業務用モバイルアプリ、Webアプリ、社内アプリ、ISVアプリなど、サポート予定のアプリの種類をリストアップして分類します。また、iOSやAndroidなどのデバイスプラットフォームごとにもアプリを分類します。このように分類することで、アプリの種類ごとに必要なEndpoint Managementの設定を調整しやすくなります。たとえば、一部のアプリをラップの対象から除外する場合や、いくつかのアプリでほかのアプリとのやりとりを行うために、Mobile Apps SDKを使用して特殊なAPIを有効化する必要のある場合があります。

ネットワーク要件: アプリには、適切に設定した明確なネットワークアクセス要件を構成する必要があります。たとえば、VPN経由で内部ネットワークにアクセスする必要があるアプリもあれば、DMZ経由でアクセスをルーティングするためにインターネットアクセスが必要なアプリもあります。こうしたアプリが必要なネットワークに接続できるようにするには、さまざまな設定を適切に構成しなければなりません。アプリごとのネットワーク要件を定義することで、アーキテクチャに関する決定事項を早期に確定し、実装プロセス全体の効率を高めることができます。

セキュリティ要件: 個々またはすべてのアプリに適用されるセキュリティ要件を定義することが重要です。MDXポリシーなどの設定は個々のアプリに適用されますが、セッションと認証の設定はすべてのアプリに適用されます。また、アプリによっては、展開を簡単に行うため、暗号化、コンテナ化、ラップ化、認証、ジオフェンシング、パスコード、あるいはデータ共有に関する特定の要件を事前に定める必要があります。

展開の要件: 公開したアプリを適合したユーザーのみがダウンロードできるように、ポリシーベースの展開を使用する必要のある場合があります。たとえば、特定のアプリについて、デバイスの暗号化が有効であるかデバイスが管理対象であること、またはデバイスがオペレーティングシステムの最小バージョンを満たしていることを必須にできます。また、特定のアプリをコーポレートユーザーだけに利用可能にする必要のある場合もあります。適切な展開ルールまたはアクションを構成できるように、こうした要件の概要を事前に定める必要があります。

ライセンス要件: アプリ関連のライセンス要件を記録することをお勧めします。こうした記録により、ライセンスの使用状況を効率的に管理できるとともに、Endpoint Managementで特定のライセンス管理支援機能を構成する必要があるかを判断できます。たとえば、iOSアプリを展開した場合、そのアプリが無料か有料かにかかわらず、AppleによりユーザーにiTunesアカウントへのサインインが求められ、アプリにライセンス要件が適用されます。こうしたアプリは、Apple VPPに登録することで、Endpoint Management経由で配信および管理できます。VPPを利用することで、ユーザーは各自のiTunesアカウントにサインインすることなくアプリをダウンロードできるようになります。さらに、Samsung SAFEやSamsung KNOXなどのツールには、機能を展開する前に履行する必要のある特殊なライセンス要件が備わっています。

ブラックリスト/ホワイトリストの要件: ユーザーにインストールや使用を禁止する必要のあるアプリも存在します。ブラックリストを作成すると、コンプライアンス違反イベントを定義できます。その後、コンプライアンス違反が起きた場合にトリガーされるようにポリシーを設定できます。一方で、使用が容認されるアプリが、なんらかの理由でブラックリストに該当する可能性もあります。このような場合には、ホワイトリストにそのアプリを追加し、アプリは使用してもよいが必須ではないと示すことができます。また、新しいデバイスにあらかじめインストールされているアプリの中には、オペレーティングシステムには含まれていないものの一般的に使用されているアプリもあります。こうしたアプリは、ブラックリスト化の方針に抵触する可能性があります。

アプリの使用例

ある医療機関が、モバイルアプリ向けのMAMソリューションとしてEndpoint Managementを導入する予定を立てました。モバイルアプリは、コーポレートユーザーおよびBYODユーザーに配信されます。IT部門は、次のアプリを配信および管理することを決定しました。

  • 業務用モバイルアプリ: Citrixが提供するiOSアプリおよびAndroidアプリ。
  • Secure Mail: メール、カレンダー、連絡先アプリ。
  • Secure Web: インターネットとイントラネットサイトへのアクセスを提供するセキュアなWebブラウザー。
  • Secure Notes: メールとカレンダーが統合されたセキュアなノート作成アプリ。
  • Citrix Files: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。

パブリックアプリストア

  • Secure Hub: すべてのモバイルデバイスでEndpoint Managementとの通信に使用するクライアント。IT部門では、Secure Hubクライアントを経由してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidデバイスおよびiOSデバイスは、Secure Hub経由でEndpoint Managementに登録されます。
  • Citrix Workspaceアプリ: Citrix Virtual Appsでホストされているモバイルデバイスアプリ上で開くことのできるモバイルアプリ。
  • GoToMeeting: ほかのコンピューターユーザー、顧客、クライアント、同僚とインターネット経由でリアルタイムに話し合うことができる、オンライン会議、デスクトップ共有、ビデオ会議用クライアント。
  • SalesForce1: モバイルデバイスからSalesforceへのアクセスを可能にし、あらゆるSalesforceユーザーが統一されたエクスペリエンスでChatter、CRM、カスタムアプリ、およびビジネスプロセスを利用できるようにするモバイルアプリ。
  • RSA SecurID: 2要素認証用のソフトウェアベーストークン。
  • EpicCareアプリ: 医療従事者がモバイルデバイスで患者のカルテおよびリスト、スケジュールに安全にアクセスし、メッセージを通信できるようにするアプリ。
    • Haiku: iPhoneおよびAndroidスマートフォン向けのモバイルアプリ。
    • Canto: iPad用モバイルアプリ
    • Rover: iPhoneおよびiPad用のモバイルアプリ。

HDX: HDXアプリは、Citrix WorkspaceにCitrix Virtual Apps経由で配信されます。

  • Epic Hyperspace: 電子カルテ管理用のEpicのクライアントアプリケーション。

ISV

  • Vocera: iPhoneやAndroidスマートフォンで時間や場所を問わずVocera音声技術を利用できるようにする、HIPAAに準拠したボイスオーバーIPおよびメッセージ用モバイルアプリ。

社内アプリ

  • HCMail: 暗号化されたメッセージを作成し、内部メールサーバー上のアドレス帳を検索して、暗号化されたメッセージをメールクライアントで連絡先へ送信できるアプリ。

社内Webアプリ

  • PatientRounding: 複数の部署で患者の健康情報の記録に使用するWebアプリケーション。
  • Outlook Web Access: Webブラウザー経由でメールにアクセスできるようになります。
  • SharePoint: 組織全体でのファイルおよびデータの共有に使用します。

次の表に、MAMの構成に必要な基本情報を示します。

         
アプリ名 アプリの種類 MDXによるラップ iOS Android
Secure Mail 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Web 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Notes 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Citrix Files 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Hub パブリックアプリ - はい はい
Citrix Workspaceアプリ パブリックアプリ - はい はい
GoToMeeting パブリックアプリ - はい はい
SalesForce1 パブリックアプリ - はい はい
RSA SecurID パブリックアプリ - はい はい
Epic Haiku パブリックアプリ - はい はい
Epic Canto パブリックアプリ - はい いいえ
Epic Rover パブリックアプリ - はい いいえ
Epic Hyperspace HDXアプリ - はい はい
Vocera ISVアプリ はい はい はい
HCMail 社内アプリ はい はい はい
PatientRounding Webアプリ - はい はい
Outlook Web Access Webアプリ - はい はい
SharePoint Webアプリ - はい はい

次の表に、Endpoint ManagementでのMAMポリシー構成の参考要件を示します。

アプリ名 VPNの要否 相互作用 相互作用 デバイスの暗号化
    (コンテナー外のアプリに対して) (コンテナー外のアプリから)  
Secure Mail はい 選択的に許可 許可 不要
Secure Web はい 許可 許可 不要
Secure Notes はい 許可 許可 不要
Citrix Files はい 許可 許可 不要
Secure Hub はい - - -
Citrix Workspaceアプリ はい - - -
GoToMeeting 未サポート - - -
SalesForce1 未サポート - - -
RSA SecurID 未サポート - - -
Epic Haiku はい - - -
Epic Canto はい - - -
Epic Rover はい - - -
Epic Hyperspace はい - - -
Vocera はい 禁止 禁止 不要
HCMail はい 禁止 禁止 必須
PatientRounding はい - - 必須
Outlook Web Access はい - - 不要
SharePoint はい - - 不要
アプリ名 プロキシのフィルタリング ライセンス ジオフェンシング Mobile Apps SDK オペレーティングシステムの最小バージョン
Secure Mail 必須 - 選択的に必須化 - 適用する
Secure Web 必須 - 不要 - 適用する
Secure Notes 必須 - 不要 - 適用する
Citrix Files 必須 - 不要 - 適用する
Secure Hub 不要 VPP 不要 - 適用しない
Citrix Workspaceアプリ 不要 VPP 不要 - 適用しない
GoToMeeting 不要 VPP 不要 - 適用しない
SalesForce1 不要 VPP 不要 - 適用しない
RSA SecurID 不要 VPP 不要 - 適用しない
Epic Haiku 不要 VPP 不要 - 適用しない
Epic Canto 不要 VPP 不要 - 適用しない
Epic Rover 不要 VPP 不要 - 適用しない
Epic Hyperspace 不要 - 不要 - 適用しない
Vocera 必須 - 必須 必須 適用する
HCMail 必須 - 必須 必須 適用する
PatientRounding 必須 - 不要 - 適用しない
Outlook Web Access 必須 - 不要 - 適用しない
SharePoint 必須 - 不要 - 適用しない

ユーザーコミュニティ

すべての組織は、異なる機能的役割を持つ多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのモバイルデバイスを通して提供されるさまざまなリソースを使用して、さまざまなタスクを実行しオフィス機能を果たします。ユーザーは、支給されたモバイルデバイス、または特定のセキュリティコンプライアンスルールの対象となるツールへのアクセスが許可された個人のモバイルデバイスを使用して、自宅やリモートオフィスで作業することができます。

職務を簡素化したり助けとするためにモバイルデバイスを使用するユーザーコミュニティが増えるにつれ、データ漏洩を防止し、組織のセキュリティ制限を実施するために、エンタープライズモビリティ管理(EMM)が非常に重要になります。効率的で高度なモバイルデバイス管理を実現するために、ユーザーコミュニティを分類することができます。そうすることにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーを適切なユーザーに適用できます。

次の例は、医療機関のユーザーコミュニティにおけるEMM向けの分類方法を示したものです。

ユーザーコミュニティの使用例

この医療機関の例では、ネットワークやアフィリエイトの従業員、ボランティアなどの複数のユーザーに技術リソースやアクセスを提供します。この組織はEMMソリューションを非幹部ユーザーのみに展開することを選択しました。

この医療機関のユーザー役割と機能は、医療、医療以外、契約社員などのサブグループに分けられます。指定されたグループのユーザーが企業のモバイルデバイスを受け取ります。その他のユーザーは個人のデバイスから限られた企業リソースにアクセスできます。適切なレベルのセキュリティ制限を実施し、データ漏洩を防止するために、この組織では、登録された各デバイス(企業所有のデバイスとBYOD(Bring Your Own Device))を企業のIT部門が管理することに決定しました。また、ユーザーが登録できるデバイスは1台のみです。

以下のセクションでは、各サブグループの役割と機能の概要について説明します。

医療

  • 看護師
  • 医師(医師、外科医など)
  • スペシャリスト(栄養士、採血師、麻酔医、放射線科医、心臓病専門医、がん専門医など)
  • 外部の医師(外来の医師とリモートオフィスで作業するオフィスワーカー)
  • 在宅医療サービス(患者の往診で医療サービスを行うオフィスワーカーとモバイルワーカー)
  • 研究スペシャリスト(医薬における問題解決のための臨床研究を行う6つの研究機関のナレッジワーカーとパワーユーザー)
  • 教育と訓練(教育と訓練に従事する看護師、医師、スペシャリスト)

医療以外

  • 共通サービス(人事、給与、財務、サプライチェーンサービスなどのさまざまなバックオフィス機能を果たすオフィスワーカー)
  • 医療サービス(管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、総合的健康管理、患者アクセスソリューション、収益サイクルソリューションなどの、さまざまな医療管理、管理サービス、ビジネスプロセスソリューションをプロバイダーに提供するオフィスワーカー)
  • サポートサービス(福利厚生管理、医療の統合、コミュニケーション、報酬および業績管理、施設および土地サービス、ヒューマンリソーステックシステム、情報サービス、内部監査およびプロセス改善など、医療以外のさまざまな機能を果たすオフィスワーカー)
  • 慈善プログラム(慈善プログラムを支援するさまざまな機能を果たすオフィスワーカーとモバイルワーカー)

契約社員

  • メーカーやベンダーのパートナー(オンサイト、またはサイト間VPN経由でリモート接続された、医療以外のさまざまなサポート機能を提供する人々)

上記の情報に基づいて、この医療機関では以下のエンティティを作成しました。Endpoint Managementのデリバリーグループについて詳しくは、「リソースの展開」を参照してください。

Active Directory組織単位(OU)とグループ

OU = Endpoint Managementリソースの場合:

  • OU =医療; グループ=
    • XM-看護師
    • XM-医師
    • XM-スペシャリスト
    • XM-外部の医師
    • XM-在宅医療サービス
    • XM-研究スペシャリスト
    • XM-教育と訓練
  • OU =医療以外; グループ=
    • XM-共通サービス
    • XM-医療サービス
    • XM-サポートサービス
    • XM-慈善プログラム

Endpoint Managementのローカルユーザーとグループ

グループ=契約社員、ユーザー=

  • ベンダー1
  • ベンダー2
  • ベンダー3
  • …ベンダー10

Endpoint Managementのデリバリーグループ

  • 医療-看護師
  • 医療-医師
  • 医療-スペシャリスト
  • 医療-外部の医師
  • 医療-在宅医療サービス
  • 医療-研究スペシャリスト
  • 医療-教育と訓練
  • 医療以外-共通サービス
  • 医療以外-医療サービス
  • 医療以外-サポートサービス
  • 医療以外-慈善プログラム

デリバリーグループとユーザーグループのマッピング

   
Active Directoryグループ Endpoint Managementのデリバリーグループ
XM-看護師 医療-看護師
XM-医師 医療-医師
XM-スペシャリスト 医療-スペシャリスト
XM-外部の医師 医療-外部の医師
XM-在宅医療サービス 医療-在宅医療サービス
XM-研究スペシャリスト 医療-研究スペシャリスト
XM-教育と訓練 医療-教育と訓練
XM-共通サービス 医療以外-共通サービス
XM-医療サービス 医療以外-医療サービス
XM-サポートサービス 医療以外-サポートサービス
XM-慈善プログラム 医療以外-慈善プログラム

デリバリーグループとリソースのマッピング

次の表は、この使用例で各デリバリーグループに割り当てられたリソースを示しています。最初の表はモバイルアプリの割り当てを示しています。 2番目の表はパブリックアプリ、HDXアプリ、デバイス管理リソースを示しています。

       
Endpoint Managementのデリバリーグループ Citrixモバイルアプリ パブリックモバイルアプリ HDXモバイルアプリ
医療-看護師    
医療-医師      
医療-スペシャリスト      
医療-外部の医師    
医療-在宅医療サービス    
医療-研究スペシャリスト    
医療-教育と訓練  
医療以外-共通サービス  
医療以外-医療サービス  
医療以外-サポートサービス
医療以外-慈善プログラム
契約社員
               
Endpoint Managementのデリバリーグループ パブリックアプリ:RSA SecurID パブリックアプリ:EpicCare Haiku HDXアプリ:Epic Hyperspace パスコードポリシー デバイスの制限 自動化された操作 Wi-Fiポリシー
医療-看護師            
医療-医師            
医療-スペシャリスト              
医療-外部の医師              
医療-在宅医療サービス              
医療-研究スペシャリスト              
医療-教育と訓練          
医療以外-共通サービス          
医療以外-医療サービス          
医療以外-サポートサービス          

注意事項と考慮事項

  • Endpoint Managementは、初期構成時に「すべてのユーザー」というデフォルトのデリバリーグループを作成します。このデリバリーグループを無効にしないと、すべてのActive DirectoryユーザーにEndpoint Managementへの登録権限が付与されます。
  • Endpoint Managementは、LDAPサーバーとの動的接続によりActive Directoryのユーザーとグループをオンデマンドで同期します。
  • ユーザーがEndpoint Managementにマップされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、Endpoint Managementは、ユーザーをEndpoint Managementにマップされているグループにのみ分類します。
  • MDMの登録を必須にするには、Endpoint Managementコンソールで [サーバープロパティ] の [登録が必要] オプションを [はい] に設定する必要があります。詳しくは、「サーバープロパティ」を参照してください。
  • Endpoint Managementデリバリーグループからユーザーグループを削除するには、dbo.userlistgrps内にあるSQL Serverデータベースのエントリを削除します。 注意: この操作を実行する前に、Endpoint Managementとデータベースのバックアップを作成してください。

Endpoint Managementのデバイス所有権について

ユーザーデバイスの所有者に応じてユーザーをグループ化できます。デバイスの所有権には、企業所有のデバイスと、BYOD(Bring Your Own Device)とも呼ばれるユーザー所有のデバイスがあります。Endpoint Managementコンソールの2つの場所([展開規則]と、[設定]ページのEndpoint Managementサーバープロパティ)で、BYODデバイスがネットワークに接続する方法を制御できます。展開規則について詳しくは、「展開規則の構成」を参照してください。サーバープロパティの詳細については、「Server Properties(サーバープロパティ)」を参照してください。

サーバープロパティを設定することで、すべてのBYODユーザーに対して企業によるデバイス管理を受け入れてからアプリにアクセスするように要求したり、ユーザーのデバイスを管理せずに、ユーザーに企業アプリへのアクセス権を付与したりすることができます。

サーバー設定 wsapi.mdm.required.flagtrueに設定すると、Endpoint ManagementがすべてのBYODデバイスを管理し、登録を拒否したユーザーはアプリへのアクセスが拒否されます。社内ITチームから、Endpoint Managementへのユーザーデバイスの登録により、高いセキュリティと優れたユーザーエクスペリエンスの両立を求められている環境では、wsapi.mdm.required.flagtrueに設定することを検討してください。

wsapi.mdm.required.flag をデフォルト設定のfalseのままにした場合、ユーザーは登録を拒否できますが、引き続きアプリストアを通じてデバイス上のアプリにアクセスできます。プライバシー、法律、または規制上の制約によりデバイスの管理が不要で、エンタープライズアプリの管理のみが必要な環境では、wsapi.mdm.required.flagfalse に設定することを検討してください。

Endpoint Managementの管理対象外デバイスを持つユーザーは、アプリストアからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。設定した値によっては、ポリシーにより、デバイスはEndpoint Managementを定期的にチェックし、アプリの実行が引き続き許可されていることを確認するように求められます。

セキュリティ要件

Endpoint Management環境を展開する場合、セキュリティ上のさまざまな点を考慮する必要が生じてきます。さまざまな部分や設定が連動しているため、許容できる保護レベルを確保するためにどこから始めたらいいのか、または何を選択すべきかがわからない場合があります。これらの選択を簡単にするために、次の表では、「高」、「より高い」、および「最高」のセキュリティの推奨事項を示しています。

セキュリティの問題だけでは、選択する展開モードが決まらないことに注意してください。展開モードを選択する前に、ユースケースの要件を確認して、セキュリティの問題を軽減できるかどうかを判断することが重要です。

高: この設定を使用すると、ほとんどの組織で許容可能な基本レベルのセキュリティを維持しながら、最適なユーザーエクスペリエンスを実現できます。

より高い: この設定では、セキュリティとユーザービリティ間でよりバランスがとれています。

最高: この推奨事項に従うと、非常に高いレベルのセキュリティが実現しますが、ユーザービリティとユーザーへの導入が犠牲になります。

展開モードのセキュリティに関する考慮事項

次の表は、各セキュリティレベルでの展開モードを示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
MAMおよび/またはMDM MDM + MAM MDM + MAM

注:

  • 使用例によっては、MDM-onlyまたはMAM-onlyの展開でセキュリティ要件を満たし、優れたユーザーエクスペリエンスを提供できる場合もあります。
  • アプリのコンテナー化、マイクロVPN、またはアプリ固有のポリシーが不要な場合は、デバイスの管理と保護にMDMを使用すれば十分です。
  • アプリのコンテナー化のみでビジネスとセキュリティ上のすべての要件が満たされるBYODのような使用例では、MAM-onlyモードをお勧めします。
  • 高セキュリティ環境(および企業がデバイスを支給)の場合、利用可能なすべてのセキュリティ機能を利用するためにMDM + MAMをお勧めします。Endpoint Managementコンソールのサーバープロパティを使用してMDM登録を適用する必要があります。

Citrix ADCとCitrix Gatewayのセキュリティに関する考慮事項

次の表は、各セキュリティレベルでのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
Citrix ADCは推奨。Citrix GatewayはMAMとENTに必須、MDMに推奨。 Endpoint ManagementがDMZ内にある場合は、SSLブリッジを使用した標準のNetScaler for XenMobileウィザード構成。 Endpoint Managementサーバーが内部ネットワークに配置されている場合のセキュリティ基準を満たす上で必要な場合は、SSLオフロード。 エンドツーエンド暗号化によるSSLオフロード

注:

  • Endpoint ManagementサーバーをNATや既存のサードパーティ製プロキシ、またはロードバランサー経由で公開することは、SSLトラフィックがEndpoint Managementサーバー上で終端する限りはMDMのオプションとなります。ただしこの選択には潜在的なセキュリティリスクがあります。
  • 高度なセキュリティ環境を実現するには、Citrix GatewayとデフォルトのEndpoint Management構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。
  • 最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をCitrix Gatewayにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。
  • SSL/TLS暗号を定義するオプション。
  • 詳しくは、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。

登録のセキュリティに関する考慮事項

次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 招待のみの登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 デバイスIDに関連付けられた登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。

注:

  • 事前定義されたActive Directoryグループ内のユーザーのみに登録を制限することをお勧めします。そのためには、組み込みのすべてのユーザーデリバリーグループを無効にする必要があります。
  • 登録招待状を使用すると、招待状を持つユーザーだけが登録できるように制限できます。
  • 2段階認証としてワンタイムPIN(OTP)による登録招待状を使用し、ユーザーが登録できるデバイス数を制御できます。
  • 環境のセキュリティ要件が非常に厳しい場合は、SN、UD、またはEMEIを使用して登録招待状とデバイスを関連付けることができます。Active DirectoryのパスワードとOTPを求める2段階オプションも用意されています(OTPは現在Windowsデバイスのオプションではないことに注意してください)。

デバイスのPINのセキュリティに関する注意事項

次の表は、各セキュリティレベルでのデバイスのPINの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
推奨。デバイスレベルの暗号化には高いセキュリティが必要です。MDMで適用できます。MDXポリシーを使用して、MAM-onlyで必要な設定にできます。 MDMおよび/またはMDXポリシーを使用して適用されます。 MDMおよびMDXポリシーを使用して適用されます。MDMの複雑なパスコードポリシー。

注:

  • デバイスのPINを使用することをお勧めします。
  • MDMポリシーを使用してデバイスのPINを適用できます。
  • MDXポリシーを使用して、管理対象アプリの使用にデバイスのPINを必須にすることができます(BYODの使用例など)。
  • MDM + MAM環境では、セキュリティを強化するためにMDMとMDXのポリシーオプションを組み合わせることをお勧めします。
  • セキュリティ要件が最も高い環境では、複雑なパスコードポリシーを構成し、MDMでこのポリシーを適用できます。デバイスがパスコードポリシーに準拠していない場合は、管理者に通知したり、デバイスの選択的またはフルワイプを発行したりする自動アクションを構成できます。