Citrix GatewayとEndpoint Management

Endpoint Managementと統合すると、Citrix Gatewayを経由して内部ネットワークとリソースにリモートデバイスでアクセスできるようになります。Endpoint Managementにより、デバイス上のアプリからCitrix GatewayへのMicro VPNが作成されます。

Citrix Gatewayサービスか、オンプレミスのCitrix Gateway(NetScaler Gatewayとも呼ばれる)を使用できます。2つのCitrix Gatewayソリューションの概要については、「Endpoint Managementで使用するCitrix Gatewayの構成」を参照してください 。

内部ネットワークへのリモートデバイスアクセスに対する認証の構成

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [Citrix Gateway] をクリックします。[Citrix Gateway] ページが開きます。次の例では、Citrix Gatewayインスタンスが1つ存在しています。

    Citrix Gateway構成画面

  3. 次の設定を構成します。

    • 認証: 認証を有効にするかどうかを選択します。デフォルトは [オン] です。
    • 認証用のユーザー証明書を配信: Endpoint ManagementでSecure Hubと認証証明書を共有するかを選択します。証明書を共有すると、Citrix Gatewayでクライアント証明書認証を処理できるようになります。デフォルトは [オフ] です。
    • 資格情報プロバイダー: ボックスの一覧で、使用する資格情報プロバイダーを選択します。詳しくは、「資格情報プロバイダー」を参照してください。
  4. [保存] をクリックします。

Citrix Gatewayインスタンスの追加

認証設定の保存後、Citrix GatewayインスタンスをEndpoint Managementに追加します。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [Citrix Gateway] をクリックします。[Citrix Gateway] ページが開きます。

  3. Citrix Gatewayサービスか、オンプレミスのCitrix Gatewayを追加できます。オンプレミスのゲートウェイを追加する場合は、次の手順に進みます。Gatewayサービスを追加するには、[追加]をクリックし、[Gatewayサービスを追加する]を選択します。[Citrix Gatewayサービスの追加] ページが表示されます。以下を設定します。

    Citrix Gateway構成画面

    • 外部URL: Citrix Gatewayの、パブリックにアクセスできるURLを入力します。たとえば、https://url.comのようになります。
    • デフォルトとして設定: このCitrix Gatewayをデフォルトとして使用するかどうかを選択します。デフォルトは [オン] です。
    • リソースの場所: Secure Mailを使用する場合は必須です。STAサービスのリソースの場所を指定します。リソースの場所には、構成済みのCitrix Gatewayが含まれている必要があります。Gatewayサービス用に構成されているリソースの場所を後で削除する必要がある場合は、この設定を更新してください。

    これらの設定が完了したら、[保存]をクリックします。新しいCitrix Gatewayが追加され、表に表示されます。インスタンスを編集または削除するには、表で名前をクリックします。

  4. オンプレミスのゲートウェイを追加するには、[追加]をクリックし、[オンプレミスゲートウェイの追加]を選択します。[新しいCitrix Gatewayの追加] ページが開きます。

    Citrix Gateway構成画面

    次の設定を構成します。

    • 名前: Citrix Gatewayインスタンスの名前を入力します。
    • エイリアス: オプションで、Citrix Gatewayのエイリアス名を入力します。
    • 外部URL: Citrix Gatewayの、パブリックにアクセスできるURLを入力します。たとえば、https://receiver.comのようになります。
    • ログオンの種類: ログオンの種類を選択します。種類には、[ドメインおよびセキュリティトークン][証明書およびドメイン][証明書およびセキュリティトークン] があります。[パスワードが必要] フィールドのデフォルト設定は、選択した [ログオンの種類] に基づいて変化します。デフォルトは [ドメインのみ] です。

    ドメインが複数ある場合は、[証明書およびドメイン] を使用します。詳しくは、「複数ドメイン認証の構成」を参照してください。

    Citrix Gatewayでの証明書ベースの認証には追加の構成が必要です。たとえば、ルートCA証明書をCitrix ADCアプライアンスにアップロードする必要があります。Citrix ADCアプライアンスでのSSL証明書の作成と使用を参照してください。

    詳しくは、展開ハンドブックの「認証」を参照してください。

    • パスワードが必要: パスワード認証を必須にするかどうかを選択します。デフォルト値は、選択した [ログオンの種類] に応じて変化します。
    • デフォルトとして設定: このCitrix Gatewayをデフォルトとして使用するかどうかを選択します。デフォルトは [オフ] です。
    • 構成スクリプトのエクスポート: 構成バンドルをエクスポートする場合はこのボタンをクリックします。エクスポートした構成バンドルはCitrix Gatewayにアップロードし、Endpoint Managementの設定を使用して構成します。詳しくは、これらの手順の後で「Endpoint Managementで使用するオンプレミスのCitrix Gatewayの構成」を参照してください。
  5. [保存] をクリックします。

    新しいCitrix Gatewayが追加され、表に表示されます。インスタンスを編集または削除するには、表で名前をクリックします。

Endpoint Managementで使用するオンプレミスのCitrix Gatewayを構成する

Endpoint Managementで使用するオンプレミスのCitrix Gatewayを構成するには、以下で説明する一般的な手順を実行します。

  1. 環境が前提条件を満たしていることを確認します。

  2. Endpoint Managementコンソールからスクリプトバンドルをエクスポートします。

  3. Citrix Gatewayでスクリプトを実行します。最新の手順について詳しくは、スクリプトに付属するreadmeファイルを参照してください。

  4. 構成をテストします。

スクリプトにより、Endpoint Managementに必要なこれらのCitrix Gatewayの設定が構成されます:

  • MDMとMAMに必要なCitrix Gateway仮想サーバー
  • Citrix Gateway仮想サーバー用セッションポリシー
  • Endpoint Managementサーバーの詳細
  • 証明書検証用プロキシロードバランサー
  • NSG仮想サーバーの認証ポリシーとアクション。スクリプトによってLDAPの構成設定が説明されます。
  • プロキシサーバーのトラフィックアクションとポリシー
  • クライアントレスアクセスプロファイル
  • Citrix Gatewayの静的ローカルDNSレコード
  • 他のバインディング:サービスポリシー、CA証明書

このスクリプトは以下の構成には対応していません。

  • Exchange負荷分散
  • Citrix Files負荷分散
  • ICAプロキシ構成
  • SSLオフロード

Citrix Gateway構成スクリプトを使用するための前提条件

Endpoint Managementの要件:

  • スクリプトをエクスポートする前に、Endpoint ManagementでLDAPとCitrix Gatewayの設定を完了します。設定を変更した場合は、スクリプトを再度エクスポートします。

Citrix Gatewayの要件:

  • Citrix Gatewayで証明書ベースの認証を使用する場合は、Citrix ADCアプライアンスでSSL証明書を作成する必要があります。Citrix ADCアプライアンスでのSSL証明書の作成と使用を参照してください。
  • Citrix Gateway(最小バージョン11.0、ビルド70.12)
  • Citrix GatewayのIPアドレスが構成済みであり、LDAPサーバーに接続できる(LDAPが負荷分散されていない場合)
  • Citrix GatewayのサブネットIP(SNIP:Subnet IP)アドレスが構成済みであり、必要なバックエンドサーバーに接続でき、ポート8443/TCP経由でパブリックネットワークにアクセスできる
  • DNSでパブリックドメインを解決できる
  • Citrix Gatewayにプラットフォーム/ユニバーサルライセンスまたはトライアルライセンスが付与されている。詳しくは、「https://support.citrix.com/article/CTX126049」を参照してください。

環境でのスクリプトのインストール

このスクリプトバンドルの内容は次のとおりです:

  • 詳細説明付きのreadmeファイル
  • NetScalerの必須コンポーネントの構成に使用するNetScaler CLIコマンドを含むスクリプト
  • パブリックルートCA証明書と中間CA証明書
  • NetScalerの構成の削除に使用するNetScaler CLIコマンドを含むスクリプト
  1. 証明書ファイル(スクリプトバンドルで提供)をCitrix ADCアプライアンスの/nsconfig/ssl/ディレクトリにアップロードしてインストールします。Citrix ADCアプライアンスでのSSL証明書の作成と使用を参照してください。

    Citrix Gateway構成画面

    次の例は、ルート証明書をインストールする方法を示しています。

    Citrix Gateway構成画面

    Citrix Gateway構成画面

    Citrix Gateway構成画面

    Citrix Gateway構成画面

    ルート証明書と中間証明書の両方をインストールしてください。

  2. スクリプト(OfflineNSGConfigtBundle_CREATESCRIPT)を編集して、すべてのプレースホルダーをユーザー環境の詳細情報と置き換えます。

    Citrix Gateway構成画面

  3. スクリプトバンドルに含まれるreadmeファイルの説明に従って、編集済みのスクリプトをNetScalerのbashシェルで実行します。次に例を示します:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    Citrix Gateway構成画面

    スクリプトが完了すると、次の行が表示されます。

    Citrix Gateway成功画面

構成のテスト

構成を検証するには:

  1. Citrix Gateway仮想サーバーの状態表示が [UP] であることを確認します。

    Citrix Gateway状態画面

  2. Proxy負荷分散仮想サーバーの状態表示が [UP] であることを確認します。

    Citrix Gateway状態画面

  3. Webブラウザーを開いてCitrix GatewayのURLに接続し、認証を試みます。認証が成功すれば、HTTPステータス404の「見つかりません」メッセージにリダイレクトされます。

  4. デバイスを登録して、MDMとMAMの両方に登録されたことを確認します。

複数ドメイン認証の構成

テスト環境、開発環境、および実稼働環境などの複数のEndpoint Managementインスタンスがある場合は、追加の環境用に手動でCitrix Gatewayを構成します(NetScaler for XenMobileウィザードは1回のみ使用できます)。

Citrix Gateway構成

複数ドメイン環境でCitrix Gateway認証ポリシーとセッションポリシーを構成するには:

  1. Citrix Gateway構成ユーティリティの [構成] タブで [Citrix Gateway]>[ポリシー]>[認証] を展開します。
  2. ナビゲーションペインで [LADP] をクリックします。
  3. クリックしてLDAPプロファイルを編集します。[サーバーログオン名の属性]userPrincipalName、または検索に使用する属性に変更します。指定した属性を記録します。この属性は、Endpoint ManagementコンソールでLDAP設定を構成するときに使用します。

    Citrix Gateway構成画面

  4. 各LDAPポリシーに対してこれらの手順を繰り返します。ドメインごとに個別のLDAPポリシーが必要です。
  5. Citrix Gateway仮想サーバーにバインドされたセッションポリシーで、[Edit session profile]>[Published Applications] に移動します。[Single Sign-On Domain] は空白にしてください。

Endpoint Management構成

Endpoint ManagementのLDAPを複数ドメイン環境に構成するには:

  1. Endpoint Managementコンソールで、[設定]>[LDAP] に移動し、ディレクトリを追加または編集します。

    Endpoint ManagementのLDAP設定画面

  2. 情報を指定します。

    • [ドメインエイリアス] でユーザー認証に使用する各ドメインを指定します。ドメインはコンマで区切り、ドメイン間にはスペースを入れないでください。例:domain1.com,domain2.com,domain3.com

    • [ユーザー検索基準] フィールドがCitrix Gateway LDAPポリシーで指定された[サーバーログオン名の属性] と一致するようにしてください。

    Endpoint ManagementのLDAP設定画面

特定のURLへの受信接続要求を破棄

ご使用の環境のCitrix GatewayがSSLオフロード用に構成されている場合は、ゲートウェイで特定のURLへの受信接続要求が破棄されるようにすることができます。この方法でセキュリティを強化する必要がある場合は、Citrix Cloud Operationsに連絡し、使用しているIPアドレスをオンプレミスデータセンターのホワイトリストに登録するよう依頼してください。