セキュリティとユーザーエクスペリエンス

すべての組織にとってセキュリティは重要ですが、その一方でセキュリティとユーザーエクスペリエンスのバランスをとる必要があります。安全性は高いものの、ユーザーにとって使いにくい環境もあれば、ユーザーにとって使いやすいものの、アクセス制御が厳しくない環境もあります。この仮想ハンドブックの他のセクションでは、セキュリティ機能について詳しく説明します。この記事では、一般的なセキュリティ上の問題と、Endpoint Managementで使用できるセキュリティオプションの概要を説明します。

各ユースケースで留意する重要な考慮事項は次のとおりです:

  • 特定のアプリ、デバイス全体、またはその両方を保護しますか。
  • どのような方法でユーザーのIDが認証されるようにしますか。LDAP、証明書ベースの認証、またはこの2つの組み合わせを使用しますか。
  • ユーザーのセッションがタイムアウトするまでどのくらいの期間を設定しますか。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。
  • ユーザーがデバイスレベルのパスコードやアプリレベルのパスコードを設定するようにしますか。ユーザーに許容されるログオン試行回数は何回ですか。MAMで実装できるアプリごとの追加の認証要件と、ユーザーによってこれがどのように受け止められるかに留意してください。
  • ユーザーに対して、他にどのような制限を加えますか。Siriなどのクラウドサービスへのアクセスをユーザーに許可しますか。使用できるそれぞれのアプリで、ユーザーができること、およびできないことは何ですか。オフィス内にいるときに携帯データ通信プランが消費されるのを防ぐために、企業のWi-Fiポリシーを導入する必要がありますか。

アプリとデバイス

最初に考慮すべき点の1つは、次のどの範囲でセキュリティを確保するかです:

  • 特定のアプリのみ(モバイルアプリ管理、またはMAM)
  • デバイス全体 (モバイルデバイス管理、またはMDM)。
  • MDM + MAM

一般に、デバイスレベルの制御が不要な場合は、モバイルアプリを管理すれば十分です。これは特に、BYOD(Bring Your Own Device)がサポートされている組織に当てはまります。

Endpoint Managementの管理対象外デバイスを持つユーザーは、アプリストアからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。設定した値によっては、ポリシーにより、デバイスはEndpoint Managementを定期的にチェックし、アプリの実行が引き続き許可されていることを確認するように求められます。

MDMを使用すると、デバイス上のすべてのソフトウェアのインベントリを取得する機能など、デバイス全体をセキュリティ保護できます。デバイスがジェイルブレイクされているかRoot化されている場合、安全でないソフトウェアがインストールされている場合に、登録を阻止することができます。ただし、このレベルで制御すると、ユーザーは自分が使用する個人用デバイスに対してこのような権限を許可することに慎重になるため、登録率が低下する可能性があります。

認証

認証は、ユーザーエクスペリエンスの重要な部分を占めています。既にActive Directoryを実行している組織では、Active Directoryを使用することが、ユーザーをシステムにアクセスさせる最も簡単な方法です。

そのほかに、認証におけるユーザーエクスペリエンスで重要な要素となるのがタイムアウトです。環境のセキュリティレベルが高い場合、ユーザーはシステムにアクセスするたびにサインインが必要なことがあります。このオプションは、組織やユースケースによっては理想的ではないことがあります。

ユーザーエントロピー

セキュリティを強化するために、ユーザーエントロピー と呼ばれる機能を有効にすることができます。Citrix Secure Hubや他のアプリでは、パスワード、PIN、および証明書などの共通データを共有することで、すべてが適正に機能するようになっています。この情報は、Secure Hub内の汎用コンテナに保存されます。[シークレットの暗号化] オプションでユーザーエントロピーを有効にすると、Endpoint ManagementはUserEntropyという名前のコンテナを作成し、汎用コンテナからこの新しいコンテナに情報を移動させます。Secure Hubや他のアプリがこのデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。

ユーザーエントロピーを有効にすると、複数の場所で認証が強化されます。その結果、アプリがUserEntropyコンテナ内の共有データ(パスワード、PIN、証明書)にアクセスするたびに、ユーザーが認証する必要があります。

ユーザーエントロピーについては、「MDX Toolkitについて」を参照してください。ユーザーエントロピーをオンにする場合は、関連する設定項目をクライアントプロパティで見つけることができます。

ポリシー

MDXポリシーとMDMポリシーは、組織に大きな柔軟性をもたらす一方で、ユーザーが制限される場合もあります。状況によってはこの制限が必要な場合もありますが、ポリシーによってシステムが使用できなくなることもあります。たとえば、外部に機密データが送信される可能性のある、SiriやiCloudなどのクラウドアプリケーションへのアクセスを禁止する必要がある場合、これらのサービスへのアクセスを禁止するポリシーを設定できますが、このようなポリシーによって意図しない結果がもたらされる可能性もあることに注意してください。たとえば、iOSキーボードマイクはクラウドへのアクセスが必要なことに注意してください。

アプリ

エンタープライズモビリティ管理(EMM:Enterprise Mobility Management)は、モバイルデバイス管理(MDM:Mobile Device Management)とモバイルアプリケーション管理(MAM:Mobile Application Management)に分けられます。MDMを利用するとモバイルデバイスを保護し、制御できる一方、MAMではアプリケーションの配信と管理を簡単に行えます。BYOD(Bring Your Own Device)の導入率が増加した場合、一般的には、以下の実行に役立つEndpoint ManagementなどのMAMソリューションを実装します:

  • アプリ配信
  • ソフトウェアライセンス
  • 構成
  • アプリのライフサイクル管理

Citrix Endpoint Managementを使用すると、データの漏洩などのセキュリティ上の脅威を防ぐように特定のMAMポリシーとVPN設定を構成し、こうしたアプリの保護をさらに強化できます。Endpoint Managementは柔軟性に優れているため、組織は同一の環境内にMDMとMAMの両方の機能を混在させることができます。

Endpoint Managementは、モバイルデバイスへのアプリ配信機能に加えて、MDXテクノロジによるアプリのコンテナ化機能も備えています。MDXでは、デバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリをワイプまたはロックできます。ポリシーベースで詳細に制御できます。独立系ソフトウェアベンダー(ISV:Independent Software Vendor)では、Mobile Apps SDKを使用してこうした制御を行うことができます。

企業の環境では、ユーザーは職務の助けとしてさまざまなモバイルアプリを利用しています。こうしたアプリには、パブリックアプリストアのアプリや社内アプリ、ネイティブアプリも含まれます。Endpoint Managementでは、これらのアプリを次のように分類しています:

パブリックアプリ: これらのアプリには、Apple App StoreやGoogle Playなど、パブリックアプリストアで無料または有料で提供されているアプリが含まれます。組織外のベンダーの多くは、パブリックアプリストアで自社のアプリを公開しています。こうすることで、ベンダーの顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズによっては、組織内でパブリックアプリが数多く使用される場合があります。こうしたアプリには、GoToMeeting、Salesforce、EpicCareなどがあります。

Citrixでは、パブリックアプリストアからアプリバイナリを直接ダウンロードすることおよび、こうしたバイナリを社内配布用にMDX Toolkitでラップすることはサポートしていません。サードパーティのアプリケーションをラップする必要がある場合は、該当アプリのベンダーに連絡して、MDX Toolkitでラップ可能なアプリのバイナリを入手します。

社内アプリ: 多くの組織には社内開発者がおり、特定の機能を備え、組織内で独自に開発および配布されるアプリを作成しています。組織によっては、ISVから提供されるアプリを導入している場合もあります。こうしたアプリは、ネイティブアプリとして展開するか、Endpoint ManagementなどのMAMソリューションを使用してコンテナ化できます。たとえば、医療機関で、医師が患者の情報をモバイルデバイスで確認できる社内アプリを作成したとします。さらにMDX ServiceまたはMDX Toolkitを使用してこのアプリをラップすることで、患者の情報を保護するとともに、バックエンドの患者データベースサーバーへのVPNアクセスを有効化できます。

WebアプリおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスするアプリ(Webアプリ)やパブリックネットワーク経由でアクセスするアプリ(SaaS)が含まれます。Endpoint Managementでは、さまざまなアプリコネクタを使用して、カスタムのWebアプリおよびSaaSアプリを作成することもできます。これらのアプリコネクタを利用することで、既存のWebアプリへのシングルサインオン(SSO:Single Sign-On)を簡単に行えます。詳しくは、「アプリコネクタの種類」を参照してください。たとえば、Google Apps向けのセキュリティアサーションマークアップランゲージ(SAML:Security Assertion Markup Language)を基にした、SSO用のGoogle Apps SAMLを使用できます。

業務用モバイルアプリ: 業務用モバイルアプリはCitrixが開発したアプリであり、Endpoint Managementライセンスに含まれています。詳しくは、「業務用モバイルアプリについて」を参照してください。また、他のビジネス対応アプリも提供されています。ISVは、Mobile Apps SDKを使用してビジネス対応アプリを開発しています。

HDXアプリ: HDXアプリはStoreFrontで公開される、Windowsでホストされたアプリです。Citrix Virtual Apps and Desktops環境を使用している場合、こうしたアプリをEndpoint Managementに統合し、登録済みユーザーに公開することができます。

基になる構成およびアーキテクチャは、Endpoint Managementで展開および管理するモバイルアプリの種類によって異なります。たとえば、1つのアプリを権限レベルの異なる複数のユーザーグループが使用する場合、別々のデリバリーグループを作成して、このアプリを2つのバージョンで展開する必要があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認します。

iOSアプリケーションのライセンスは、Appleの一括購入で管理することもできます。このオプションでは、Appleの一括購入プログラムに登録する必要があります。また、一括購入設定を構成するには、Endpoint Managementコンソールを使用する必要があります。この構成によって、一括購入ライセンスでアプリを配信できるようになります。ユースケースは多様であるため、Endpoint Management環境を実装する前に、MAM戦略を評価し計画することが重要です。MAM戦略の計画は、次の事柄を定義することから始めることをお勧めします。

アプリの種類: サポートするアプリの種類を一覧にします。次に、パブリックアプリ、ネイティブアプリ、Citrix業務用モバイルアプリ、Webアプリ、社内アプリ、ISVアプリなどに分類します。また、iOSやAndroidなどのデバイスプラットフォームごとにもアプリを分類します。このように分類することで、アプリの種類ごとに必要なEndpoint Management設定を調整しやすくなります。たとえば、一部のアプリはラップの対象から除外することがあります。また、アプリによってはほかのアプリとのやり取りのために、Mobile Apps SDKを使用して特殊なAPIを有効化する必要があります。

ネットワーク要件: アプリには、適切に設定した明確なネットワークアクセス要件を構成します。たとえば、VPN経由で内部ネットワークにアクセスする必要があるアプリもあれば、DMZ経由でアクセスをルーティングするためにインターネットアクセスが必要なアプリもあります。こうしたアプリが必要なネットワークに接続できるようにするには、さまざまな設定を適切に構成しなければなりません。アプリごとのネットワーク要件を定義して、アーキテクチャに関する決定を事前に確定します。この作業により、導入プロセス全体が合理化されます。

セキュリティ要件: 個々またはすべてのアプリに適用されるセキュリティ要件を定義します。MDXポリシーなどの設定は、個々のアプリに適用されます。セッションと認証の設定はすべてのアプリに適用されます。一部のアプリには、特定の暗号化、コンテナ化、ラッピング、暗号化、認証、ジオフェンシング、パスコード、またはデータ共有の要件があります。展開を簡単に行うために、こうした要件の概要を事前に定めます。

展開の要件: 公開したアプリを適合したユーザーのみがダウンロードできるように、ポリシーベースの展開を使用する必要のある場合があります。たとえば、特定のアプリで次の要件を適用できます:

  • デバイスの暗号化が有効になっている
  • デバイスが管理されている
  • デバイスがオペレーティングシステムの最小バージョンに対応している
  • 特定のアプリはコーポレートユーザーのみが使用可能

適切な展開ルールまたはアクションを構成できるように、こうした要件の概要を事前に定めます。

ライセンス要件: アプリ関連のライセンス要件を記録します。こうした記録により、ライセンスの使用状況を効率的に管理できるとともに、Endpoint Managementで特定のライセンス管理支援機能を構成する必要があるかを判断できます。たとえば、無料または有料のiOSアプリを展開した場合、AppleによりユーザーにApple Storeアカウントへのサインインが求められ、アプリにライセンス要件が適用されます。こうしたアプリは、Appleの一括購入に登録することで、Endpoint Management経由で配信および管理できます。一括購入を利用することで、ユーザーは各自のApple Storeアカウントにサインインすることなくアプリをダウンロードできるようになります。さらに、Samsung SAFEやSamsung Knoxなどのツールには、機能を展開する前に履行する必要のある特殊なライセンス要件が備わっています。

許可リストと禁止リストの要件:ユーザーがアプリをインストールまたは使用するのを阻止できます。デバイスがコンプライアンス違反になるアプリの許可リストを作成します。次に、デバイスが非準拠になったときにトリガーするポリシーを設定します。一方で、使用が容認されるアプリが、なんらかの理由で禁止リストに該当する可能性もあります。このような場合には、許可リストにそのアプリを追加し、アプリは使用してもよいが必須ではないと示すことができます。また、新しいデバイスにあらかじめインストールされているアプリの中には、オペレーティングシステムには含まれていないものの一般的に使用されているアプリもあります。こうしたアプリは、禁止リストの方針に抵触する可能性があります。

アプリの使用例

ある医療機関が、モバイルアプリ向けのMAMソリューションとしてEndpoint Managementを導入する予定を立てました。モバイルアプリは、コーポレートユーザーおよびBYODユーザーに配信されます。IT部門は、次のアプリを配信および管理することを決定しました。

  • 業務用モバイルアプリ: Citrixが提供するiOSアプリおよびAndroidアプリ。
  • Citrix Files: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。

パブリックアプリストア

  • Secure Hub: すべてのモバイルデバイスでEndpoint Managementとの通信に使用するクライアント。IT部門では、Secure Hubクライアントを経由してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidデバイスおよびiOSデバイスは、Secure Hub経由でEndpoint Managementに登録されます。
  • Citrix Workspaceアプリ: Citrix Virtual Appsでホストされているモバイルデバイスアプリ上で開くことのできるモバイルアプリ。
  • GoToMeeting: ほかのコンピューターユーザー、顧客、クライアント、同僚とインターネット経由でリアルタイムに話し合うことができる、オンライン会議、デスクトップ共有、ビデオ会議用クライアント。
  • SalesForce1: モバイルデバイスからSalesforceへのアクセスを可能にし、あらゆるSalesforceユーザーが統一されたエクスペリエンスでChatter、CRM、カスタムアプリ、およびビジネスプロセスを利用できるようにするモバイルアプリ。
  • RSA SecurID: 2要素認証用のソフトウェアベーストークン。
  • EpicCareアプリ: 医療従事者がモバイルデバイスで患者のカルテおよびリスト、スケジュールに安全にアクセスし、メッセージを通信できるようにするアプリ。
    • Haiku: iPhoneおよびAndroidスマートフォン向けのモバイルアプリ。
    • Canto: iPad用モバイルアプリ
    • Rover: iPhoneおよびiPad用のモバイルアプリ。

HDX: Citrix Virtual AppsはHDXアプリをCitrix Workspaceに配信します。

  • Epic Hyperspace: 電子カルテ管理用のEpicのクライアントアプリケーション。

ISV

  • Vocera: iPhoneやAndroidスマートフォンで時間や場所を問わずVocera音声技術を利用できるようにする、HIPAAに準拠したボイスオーバーIPおよびメッセージ用モバイルアプリ。

社内アプリ

  • HCMail: 暗号化されたメッセージを作成し、内部メールサーバー上のアドレス帳を検索して、暗号化されたメッセージをメールクライアントで連絡先へ送信できるアプリ。

社内Webアプリ

  • PatientRounding: 複数の部署で患者の健康情報の記録に使用するWebアプリケーション。
  • Outlook Web Access: Webブラウザー経由でメールにアクセスできるようになります。
  • SharePoint: 組織全体でのファイルおよびデータの共有に使用します。

次の表に、MAMの構成に必要な基本情報を示します。

注:

Secure NotesおよびSecure Tasksは2018年12月31日に製品終了(EOL)となりました。詳しくは、「EOLと廃止予定のアプリ」を参照してください。

アプリ名 アプリの種類 MDXによるラップ iOS Android
Secure Mail 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Web 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Notes 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Citrix Files 業務用モバイルアプリ バージョン10.4.1以降では× はい はい
Secure Hub パブリックアプリ - はい はい
Citrix Workspaceアプリ パブリックアプリ - はい はい
GoToMeeting パブリックアプリ - はい はい
SalesForce1 パブリックアプリ - はい はい
RSA SecurID パブリックアプリ - はい はい
Epic Haiku パブリックアプリ - はい はい
Epic Canto パブリックアプリ - はい いいえ
Epic Rover パブリックアプリ - はい いいえ
Epic Hyperspace HDXアプリ - はい はい
Vocera ISVアプリ はい はい はい
HCMail 社内アプリ はい はい はい
PatientRounding Webアプリ - はい はい
Outlook Web Access Webアプリ - はい はい
SharePoint Webアプリ - はい はい

次の表に、Endpoint ManagementでのMAMポリシー構成の参考要件を示します。

アプリ名 VPNの要否 通信(コンテナ外のアプリに対して) 通信(コンテナ外のアプリから) デバイスの暗号化
Secure Mail 選択的に許可 許可 不要
Secure Web 許可 許可 不要
Secure Notes 許可 許可 不要
Citrix Files 許可 許可 不要
Secure Hub - - -
Citrix Workspaceアプリ - - -
GoToMeeting × - - -
SalesForce1 × - - -
RSA SecurID × - - -
Epic Haiku - - -
Epic Canto - - -
Epic Rover - - -
Epic Hyperspace - - -
Vocera 禁止 禁止 不要
HCMail 禁止 禁止 必須
PatientRounding - - 必須
Outlook Web Access - - 不要
SharePoint - - 不要
アプリ名 プロキシのフィルタリング ライセンス ジオフェンシング Mobile Apps SDK オペレーティングシステムの最小バージョン
Secure Mail 必須 - 選択的に必須化 - 適用する
Secure Web 必須 - 不要 - 適用する
Secure Notes 必須 - 不要 - 適用する
Citrix Files 必須 - 不要 - 適用する
Secure Hub 不要 一括購入 不要 - 適用しない
Citrix Workspaceアプリ 不要 一括購入 不要 - 適用しない
GoToMeeting 不要 一括購入 不要 - 適用しない
SalesForce1 不要 一括購入 不要 - 適用しない
RSA SecurID 不要 一括購入 不要 - 適用しない
Epic Haiku 不要 一括購入 不要 - 適用しない
Epic Canto 不要 一括購入 不要 - 適用しない
Epic Rover 不要 一括購入 不要 - 適用しない
Epic Hyperspace 不要 - 不要 - 適用しない
Vocera 必須 - 必須 必須 適用する
HCMail 必須 - 必須 必須 適用する
PatientRounding 必須 - 不要 - 適用しない
Outlook Web Access 必須 - 不要 - 適用しない
SharePoint 必須 - 不要 - 適用しない

ユーザーコミュニティ

すべての組織は、異なる機能的役割を持つ多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのデバイスを通して提供されるさまざまなリソースを使用して、さまざまなタスクを実行しオフィス機能を果たします。ユーザーは、提供されたモバイルデバイスを使用して、自宅やリモートオフィスで作業する場合もあります。また、特定のセキュリティコンプライアンスルールの対象となるツールへのアクセスが許可された個人のモバイルデバイスを使用する場合もあります。

職務でモバイルデバイスを使用するユーザーコミュニティが増えるにつれ、データ漏洩を防止するために、エンタープライズモビリティ管理(EMM)が非常に重要になります。EMMは、組織のセキュリティ制限を実施するためにも重要です。効率的で高度なモバイルデバイス管理を実現するために、ユーザーコミュニティを分類することができます。そうすることにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーを適切なユーザーに適用できます。

次の例は、医療機関のユーザーコミュニティにおけるEMM向けの分類方法を示したものです。

ユーザーコミュニティの使用例

この医療機関の例では、ネットワークやアフィリエイトの従業員、ボランティアなどの複数のユーザーに技術リソースやアクセスを提供します。この組織はEMMソリューションを非幹部ユーザーのみに展開することを選択しました。

この医療機関のユーザー役割と機能は、医療、医療以外、契約社員などのサブグループに分けられます。指定されたユーザーが企業のモバイルデバイスを受け取ります。その他のユーザーは個人のデバイスから限られた企業リソースにアクセスできます。適切なレベルのセキュリティ制限を実施し、データ漏洩を防止するために、この組織では、登録された各デバイスを企業のIT部門が管理することに決定しました。これらのデバイスには、企業所有のデバイスまたはユーザー所有のデバイス(BYOD)の両方があります。また、ユーザーが登録できるデバイスは1台のみです。

以下のセクションでは、各サブグループの役割と機能の概要について説明します。

医療

  • 看護師
  • 医師(医師、外科医など)
  • スペシャリスト(栄養士、麻酔医、放射線科医、心臓病専門医、がん専門医など)
  • 外部の医師(外来の医師とリモートオフィスで作業するオフィスワーカー)
  • 在宅医療サービス(患者の往診で医療サービスを行うオフィスワーカーとモバイルワーカー)
  • 研究スペシャリスト(医薬における問題解決のための臨床研究を行う6つの研究機関のナレッジワーカーとパワーユーザー)
  • 教育と訓練(教育と訓練に従事する看護師、医師、スペシャリスト)

医療以外

  • 共通サービス(人事、給与、財務、サプライチェーンサービスなどのさまざまなバックオフィス機能を果たすオフィスワーカー)
  • 医療サービス(管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、総合的健康管理、患者アクセスソリューション、収益サイクルソリューションなどの、さまざまな医療管理、管理サービス、ビジネスプロセスソリューションをプロバイダーに提供するオフィスワーカー)
  • サポートサービス(福利厚生管理、医療の統合、コミュニケーション、報酬および業績管理、施設および土地サービス、ヒューマンリソーステックシステム、情報サービス、内部監査およびプロセス改善など、医療以外のさまざまな機能を果たすオフィスワーカー)
  • 慈善プログラム(慈善プログラムを支援するさまざまな機能を果たすオフィスワーカーとモバイルワーカー)

契約社員

  • メーカーやベンダーのパートナー(オンサイト、またはサイト間VPN経由でリモート接続された、医療以外のさまざまなサポート機能を提供する人々)

上記の情報に基づいて、この医療機関では以下のエンティティを作成しました。Endpoint Managementのデリバリーグループについて詳しくは、「リソースの展開」を参照してください。

Active Directory組織単位(OU)とグループ

OU = Endpoint Managementリソースの場合:

  • OU =医療; グループ=
    • XM-看護師
    • XM-医師
    • XM-スペシャリスト
    • XM-外部の医師
    • XM-在宅医療サービス
    • XM-研究スペシャリスト
    • XM-教育と訓練
  • OU =医療以外; グループ=
    • XM-共通サービス
    • XM-医療サービス
    • XM-サポートサービス
    • XM-慈善プログラム

Endpoint Managementのローカルユーザーとグループ

グループ=契約社員、ユーザー=

  • ベンダー1
  • ベンダー2
  • ベンダー3
  • …ベンダー10

Endpoint Managementのデリバリーグループ

  • 医療-看護師
  • 医療-医師
  • 医療-スペシャリスト
  • 医療-外部の医師
  • 医療-在宅医療サービス
  • 医療-研究スペシャリスト
  • 医療-教育と訓練
  • 医療以外-共通サービス
  • 医療以外-医療サービス
  • 医療以外-サポートサービス
  • 医療以外-慈善プログラム

デリバリーグループとユーザーグループのマッピング

Active Directoryグループ Endpoint Managementのデリバリーグループ
XM-看護師 医療-看護師
XM-医師 医療-医師
XM-スペシャリスト 医療-スペシャリスト
XM-外部の医師 医療-外部の医師
XM-在宅医療サービス 医療-在宅医療サービス
XM-研究スペシャリスト 医療-研究スペシャリスト
XM-教育と訓練 医療-教育と訓練
XM-共通サービス 医療以外-共通サービス
XM-医療サービス 医療以外-医療サービス
XM-サポートサービス 医療以外-サポートサービス
XM-慈善プログラム 医療以外-慈善プログラム

デリバリーグループとリソースのマッピング

次の表は、この使用例で各デリバリーグループに割り当てられたリソースを示しています。最初の表は、モバイルアプリの割り当てを示しています。2番目の表はパブリックアプリ、HDXアプリ、デバイス管理リソースを示しています。

Endpoint Managementのデリバリーグループ Citrixモバイルアプリ パブリックモバイルアプリ HDXモバイルアプリ
医療-看護師    
医療-医師      
医療-スペシャリスト      
医療-外部の医師    
医療-在宅医療サービス    
医療-研究スペシャリスト    
医療-教育と訓練  
医療以外-共通サービス  
医療以外-医療サービス  
医療以外-サポートサービス
医療以外-慈善プログラム
契約社員
Endpoint Managementのデリバリーグループ パブリックアプリ:RSA SecurID パブリックアプリ:EpicCare Haiku HDXアプリ:Epic Hyperspace パスコードポリシー デバイスの制限 自動化された操作 Wi-Fiポリシー
医療-看護師            
医療-医師            
医療-スペシャリスト              
医療-外部の医師              
医療-在宅医療サービス              
医療-研究スペシャリスト              
医療-教育と訓練          
医療以外-共通サービス          
医療以外-医療サービス          
医療以外-サポートサービス          

注意事項と考慮事項

  • Endpoint Managementは、初期構成時に「すべてのユーザー」というデフォルトのデリバリーグループを作成します。このデリバリーグループを無効にしないと、すべてのActive DirectoryユーザーにEndpoint Managementへの登録権限が付与されます。
  • Endpoint Managementは、LDAPサーバーとの動的接続によりActive Directoryのユーザーとグループをオンデマンドで同期します。
  • ユーザーがEndpoint Managementにマップされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、Endpoint Managementは、ユーザーをEndpoint Managementにマップされているグループにのみ分類します。

セキュリティ要件

Endpoint Management環境を展開する場合、セキュリティ上のさまざまな点を考慮する必要が生じてきます。さまざまな部分や設定が連動しています。このため、許容できる保護レベルを確保するためにどこから始めたらいいのか、または何を選択すべきかがわからない場合があります。これらの選択を簡単にするために、次の表では、「高」、「より高い」、および「最高」のセキュリティの推奨事項を示しています。

セキュリティの問題だけでは、MAM、MDM+MAMとオプションのMDM、またはMDM+MAMと必須のMDMのいずれのモードでデバイスを登録するかを決定することはできません。管理モードを選択する前に、ユースケースの要件を確認して、セキュリティの問題を軽減できるかどうかを判断することが重要です。

高: この設定を使用すると、ほとんどの組織で許容可能な基本レベルのセキュリティを維持しながら、最適なユーザーエクスペリエンスを実現できます。

より高い: この設定では、セキュリティとユーザービリティ間でよりバランスがとれています。

最高: この推奨事項に従うと、高いレベルのセキュリティが実現しますが、ユーザービリティとユーザーへの導入が犠牲になります。

管理モードのセキュリティに関する考慮事項

次の表は、各セキュリティレベルでの管理モードを示しています。

高セキュリティ より高いセキュリティ 最高のセキュリティ
MAM、MDM+MAM MDM + MAM MDM + MAM

注:

  • 使用例によっては、MAMのみの展開でセキュリティ要件を満たし、優れたユーザーエクスペリエンスを提供できる場合もあります。
  • アプリのコンテナ化のみでビジネスとセキュリティ上のすべての要件が満たされるBYODのような使用例では、MAMのみモードをお勧めします。
  • 高セキュリティ環境(および企業がデバイスを支給)の場合、利用可能なすべてのセキュリティ機能を利用するためにMDM + MAMをお勧めします。

Citrix ADCとCitrix Gatewayのセキュリティに関する考慮事項

次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。

高セキュリティ より高いセキュリティ 最高のセキュリティ
Citrix ADCは推奨。Citrix GatewayはMAMとMDM+MAMに必須 Endpoint ManagementがDMZ内にある場合は、SSLブリッジを使用した標準のNetScaler for XenMobileウィザード構成。 エンドツーエンド暗号化によるSSLオフロード

注:

  • Endpoint ManagementサーバーをNATや既存のサードパーティ製プロキシ、またはロードバランサー経由でインターネットに公開することは、MDMのオプションになります。ただしこの場合、SSLトラフィックはEndpoint Managementサーバー上で終端するため、セキュリティ上のリスクが発生する可能性があります。
  • 高度なセキュリティ環境を実現するには、通常Citrix GatewayとデフォルトのEndpoint Management構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。
  • 最高水準のセキュリティが求められるMDM登録を実現するには、SSLの終端をCitrix Gatewayにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。
  • SSL/TLS暗号を定義するオプション。
  • 詳しくは、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。

登録のセキュリティに関する考慮事項

次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。

高セキュリティ より高いセキュリティ 最高のセキュリティ
Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 招待のみの登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 デバイスIDに関連付けられた登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。

注:

  • 事前定義されたActive Directoryグループ内のユーザーのみに登録を制限することをお勧めします。そのためには、組み込みのすべてのユーザーデリバリーグループを無効にする必要があります。
  • 登録招待状を使用すると、招待状を持つユーザーだけが登録できるように制限できます。
  • 2要素認証ソリューションとしてワンタイムPIN(OTP)による登録招待状を使用し、ユーザーが登録できるデバイス数を制御できます。
  • 環境のセキュリティ要件が非常に厳しい場合は、SN、UD、またはEMEIを使用して登録招待状とデバイスを関連付けることができます。Active DirectoryのパスワードとOTPを求める2要素認証オプションも用意されています(OTPは現在Windowsデバイスのオプションではありません)。

デバイスのPINのセキュリティに関する注意事項

次の表は、各セキュリティレベルでのデバイスのPINの推奨事項を示しています。

高セキュリティ より高いセキュリティ 最高のセキュリティ
推奨。デバイスレベルの暗号化には高いセキュリティが必要です。MDMで適用できます。MDXポリシーを使用して、MAMのみで必要な設定にできます。 MDM、MAM、またはMDM+MAMポリシーを使用して適用されます。 MDMおよびMDXポリシーを使用して適用されます。MDMの複雑なパスコードポリシー。

注:

  • デバイスのPINを使用することをお勧めします。
  • MDMポリシーを使用してデバイスのPINを適用できます。
  • MDXポリシーを使用して、管理対象アプリの使用にデバイスのPINを必須にすることができます(BYODの使用例など)。
  • MDM+MAM登録では、セキュリティを強化するためにMDMとMDXのポリシーオプションを組み合わせることをお勧めします。
  • セキュリティ要件が最も高い環境では、複雑なパスコードポリシーを構成し、MDMでこのポリシーを適用できます。デバイスがパスコードポリシーに準拠していない場合は、管理者に通知したり、デバイスの選択的またはフルワイプを発行したりする自動アクションを構成できます。