オンボードとリソースのセットアップ
Citrix、Citrix Cloud、またはEndpoint Managementを初めて使用する場合は、この記事でオンボードについて説明します。開始に必要なワークフローとその詳細について説明します。
-
最初のステップ
- Endpoint Managementサブスクリプションを購入していない場合は、「初めてシトリックス製品を利用する場合」を参照してください。
- Endpoint Managementサブスクリプションを購入済みの場合は、「[管理]ボタンが使用可能な場合」に進みます。
- Endpoint Managementサイトがプロビジョニング済みの場合は、「認証の構成」を参照してください。
-
構成の順序は重要ですか?ここでは、推奨される構成手順を記載しています。手順は入れ替えることもできます。Endpoint Managementコンソールの「プロビジョニング後にセットアップする」などのメッセージで、前提条件があればお知らせします。
- オンボード後にどうすればよいですか?ここで説明したオンボードとリソースの構成が完了したら、Endpoint Managementコンソールで構成を続行します。次の手順については、「デバイス登録とリソース配信の準備」を参照してください。
Citrix Endpoint Managementコンソールのフィードバックリンクを使用して、Endpoint Managementの新しいコンソールに関するエクスペリエンスをフィードバックできます。
初めてCitrix製品を利用する場合
Endpoint Managementを初めて利用するCitrix Cloudのお客様:
Endpoint Managementサブスクリプションを購入済みの場合は、「[管理]ボタンが使用可能な場合」に進みます。
Citrix Cloudアカウントを設定していない場合は、「Citrix Cloudへの登録」を参照してください。
Citrix Cloudアカウントをセットアップ済みで、Endpoint Managementを購入していない場合は、サービスデモをリクエストしてください。
-
Citrix Cloud管理者の資格情報を使用してCitrix Cloudアカウントにサインインします。[Citrix Cloud]のホームページが開きます。
すべてのCitrix Cloud管理者アカウントが、以下のように作成されます:
- デフォルトでは、Citrix Cloudの管理者がEndpoint Managementの管理者になります。
- 顧客アクセスで作成されたCitrix Cloud管理者がEndpoint Managementを管理するには、「Endpoint Management」を選択する必要があります。
-
Citrix Cloudのホームページで、Endpoint Managementサービスのタイルを探し、[Request Demo] をクリックします。
-
デモのリクエストフォームに記入して送信します。Endpoint Managementサービスタイルのボタンが[Demo Requested] に変化します。
リクエストが処理される前にEndpoint Managementサービスタイルをクリックすると、担当者またはパートナーに連絡するように勧める画面が表示されます。Citrixの営業担当者は、サービスに関する情報と詳細を提供できます。
トライアルの準備中に、「システム要件」を確認してEndpoint Managementの展開を準備してください。Endpoint ManagementソリューションはCitrixがホストしていますが、一部の通信とポートの要件を準備する必要があります。
次のセクションに進みます。
[管理]ボタンが使用可能な場合
このビデオでは、オンボードについて説明します:
Endpoint Managementサービスが利用可能な場合、Endpoint Managementサービスタイトルのボタンが[管理] に変化します。
セットアップを開始するには、次の手順を実行します:
- Citrix Cloud管理者の資格情報を使用してCitrix Cloudアカウントにサインインします。
- [Endpoint Management] タイルの [管理] をクリックして、Endpoint Managementコンソールにアクセスします。
- サイト名を入力し、地域を選択します。次に、[保存して続行] を選択します。
注:
IPの許可を要求する場合、シトリックスのサポート担当者に連絡してください。
次に、Endpoint Managementコンソールが開き、スイートをプロビジョニングしていること、およびプロビジョニング中に一部のEndpoint Management機能がロックされたことを示すメッセージが表示されます。
- [ようこそ] 画面で[セットアップの開始] をクリックします。
- 管理するエンドポイントを選択し、[保存]をクリックします。エンドポイントはいつでも追加または削除して、コンソールで表示または非表示にすることができます。エンドポイントの表示や非表示によって構成が影響を受けることはありません。
プロビジョニングが完了すると、Citrixからのメールを受信します。
リソースセンター
リソースセンターアイコンをクリックすると、コンソールを離れることなくハウツービデオを視聴できます。
プロビジョニング中
Endpoint Managementをプロビジョニングしている間に、構成を開始できます。
リソースの場所の構成
Endpoint Managementでライトウェイトディレクトリアクセスプロトコル(LDAP)接続を構成する前に、リソースの場所が必要です。リソースの場所には、利用者にクラウドサービスを提供するために必要なリソースが含まれます。ドメインごとに1つのリソースの場所が必要です。不明な点がある場合は、Citrix Cloudの記事「リソースの場所」を参照してください。
トライアルの準備中に、「システム要件」を確認してEndpoint Managementの展開を準備してください。Endpoint ManagementソリューションはCitrixがホストしていますが、一部の通信とポートの要件を準備する必要があります。これによって、Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。提供する必要のある情報は、『Onboarding Handbook』(英語)の「Endpoint Management Trial Sales Engineer engagement」に記載されています。
トライアルへのアクセスが承認された後、Endpoint Managementのボタンが [管理] に変化します。[管理] をクリックしてCitrix Endpoint Managementコンソールを開きます。
認証の構成
サイトのプロビジョニングを完了後、構成を続行できます。グループ、ユーザーアカウント、および関連するプロパティをインポートするには、クラウドでホストされるIDプロバイダー(IdP)、またはライトウェイトディレクトリアクセスプロトコル(LDAP)を設定することをお勧めします。
IDプロバイダーを構成するには
Endpoint Managementは、Azure Active Directory、Okta、オンプレミスのCitrix GatewayなどのIDプロバイダーによる認証をサポートしています。
Citrix CloudでIDプロバイダーを構成し、Endpoint Management用に設定するには:
- Citrix Cloudを介したAzure Active Directoryでの認証
- Citrix Cloudを介したOktaでの認証
- Citrix Cloudを介したオンプレミスのCitrix Gatewayでの認証(プレビュー)
Citrix Cloudを介してAzure ADやOktaなどのIDプロバイダー(IdP)を構成し、Cloud Connectorを使用しないでCitrix Secure Hubを介してMDMに登録するデバイスを管理できます。LDAP、PKI(公開キー基盤)サーバー、内部DNSクエリ、Citrix Virtual Apps、Citrix Gateway、Citrix Workspace、およびMicrosoft Endpoint Managerを使用するには、Endpoint ManagementにCloud Connectorが必要です。詳しくは、「Cloud Connectorを使用しないIDプロバイダー認証(プレビュー)」を参照してください。
LDAPを構成するには
ドメインベースの認証のために、Endpoint Managementで1つまたは複数のLDAP準拠ディレクトリへの接続を構成できます。Endpoint Managementは、LDAPにネストされたグループをサポートします。ネストされたグループは、ローカル時間の午前12時に毎日同期します。
LDAPの構成の一部として、1つ以上のCloud Connectorをインストールする必要があります。
概要については、このビデオをご覧ください。
LDAPをセットアップするには、次の手順に従います:
- [設定] ページでLDAP タイルまでスクロールして [セットアップ] をクリックします。
- 画面に表示されるガイダンスに従って、Cloud Connectorをダウンロードしてインストールします。Cloud Connectorは、Citrix Cloudとリソースの間で通信するために必要です。不明な点がある場合は、「Citrix Cloud Connector」を参照してください。
LDAPを設定し、IDプロバイダーとしてAzure ADやOktaを追加すると、Endpoint ManagementはIDプロバイダー固有の情報をEndpoint ManagementデータベースのActive Directoryグループに同期します。この構成は、既存のデリバリーグループとユーザー登録には影響しません。ただし、後でEndpoint ManagementにLDAP設定を追加することはできません。詳しくは、「Cloud Connectorを使用しないIDプロバイダー認証(プレビュー)」を参照してください。
登録後に [ドメインエイリアス] または [ユーザー検索基準] を変更すると、ユーザーは再登録する必要があります。LDAP構成について詳しくは、「ドメインまたはドメイン+セキュリティトークン認証」を参照してください。
LDAPのセットアップ後、認証構成を続行するか特定のプラットフォームをセットアップできます。
Citrix Gatewayを構成します
Endpoint Managementと統合すると、Citrix Gatewayを経由して内部ネットワークとリソースにリモートデバイスでアクセスできるようになります。
Endpoint Managementでは、次のシナリオに対応するためにCitrix Gatewayが必要です:
- 基幹業務アプリのために内部ネットワークリソースにアクセスするには、マイクロVPNが必要。これらのアプリは、シトリックスのMDXテクノロジでラップされています。マイクロVPNは、内部バックエンドインフラストラクチャに接続するためにCitrix Gatewayが必要です。
- Endpoint Managementを使用してアプリを管理する予定である(MAMまたはMDM+MAM)。デバイスのみを管理する場合(MDM)、Citrix Gatewayは必要ありません。
- Endpoint ManagementとMicrosoft Endpoint Managerを統合する予定である。(オンプレミスのCitrix Gatewayが必要です)
シトリックスは、クラウドベースとオンプレミスの両方のCitrix Gatewayソリューションを提供しています。ただし、クラウドベースのサービスを構成できるのは、Citrix Gatewayサービスの使用権を持つユーザーのみです。
概要については、このビデオをご覧ください。
重要:
Citrix Gatewayソリューションを構成した後、別のソリューションに切り替えるには、デバイスを再登録する必要があります。オンプレミスのCitrix Gatewayを現在使用しており、Citrix Gatewayサービスに切り替えたい場合は、シトリックスの販売担当者に問い合わせてください。前提条件については、この記事の「Citrix Gatewayサービスを使用するには」を参照してください。
次の表では、クラウドベースおよびオンプレミスのCitrix Gatewayソリューションでサポートされている機能がまとめられています。
| サポートされる機能 | Citrix Gatewayサービス | Citrix Gatewayオンプレミス |
|---|---|---|
| Secure Mail(STA)* | はい | はい |
| トンネル - Web SSO(Webシングルサインオン) | はい | はい |
| 完全VPN(iOS向けCitrix業務用モバイルアプリでは使用できません) | いいえ | はい |
| Per-App VPN | いいえ | はい |
| モバイルシングルサインオン(アクセス制御) | はい | いいえ |
| 高可用性 | はい | はい** |
| マルチPOP展開 | はい | はい*** |
| プロキシサポート | はい | はい |
| 分割トンネリング | いいえ | はい |
| 分割DNS | いいえ | はい |
* Citrix Cloud Secure Ticket Authority(STA)サービスの構成
**オンプレミスの構成
***グローバルサーバー負荷分散の構成
Citrix Gatewayサービスのユースケース
以下の場合は、クラウドベースのCitrix GatewayサービスとEndpoint Managementを使用します:
- Citrix Cloudが提供する、統一された認証環境の使用を希望している。Citrix GatewayサービスはCitrix IDプロバイダーを使用して、Citrix CloudアカウントのすべてのユーザーのID情報を管理します。
- Citrix業務用モバイルアプリ(Citrix Secure Mail、Secure Webなど)を使用する予定である。Citrix Gatewayは、オンデマンドのアプリケーションVPN接続を提供し、この接続によりモバイルデバイスが社内ネットワークのサイトまたはリソースにアクセスできるようになります。
この種のクライアントレスVPNは、トンネル - Webシングルサインオン(SSO)とも呼ばれます。内部ネットワークにトンネリングされるWebトラフィックなどの接続は、トンネル-Webシングルサインオン(SSO)を使用します。シングルサインオンを必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
Citrix Gatewayサービスのしくみ
MDMおよびMAM制御トラフィックは、Citrix Gatewayサービスを経由せずに、Citrix Endpoint Managementに直接送信されます。Citrix Gatewayに送信されるすべてのトラフィックは、オンプレミスのGateway Connectorに転送されます。
Citrix Gatewayサービスは、Endpoint Managementでのデバイス登録中には使用されません。Citrix業務用モバイルアプリの場合:
-
Secure MailはCitrix Cloud Secure Ticket Authority(STA)サービスを使用します。
注:
Citrix Gatewayサービスは、プライマリリソースの場所を使用します。
-
Citrix Gatewayは、オンデマンドのアプリケーションVPN接続を提供します。
Citrix Gatewayサービスは、Endpoint Managementでのデバイス登録中には使用されません。登録後、MDM制御トラフィックは、Citrix Gatewayサービスを経由せずに、Citrix Endpoint Managementに直接送信されます。MAM制御トラフィックは、Citrix Gatewayサービスを経由します。Citrix Gatewayに送信されるすべてのトラフィックは、オンプレミスのGateway Connectorに転送されます。
トラフィックフローの詳細な図については、「Citrix Endpoint Managementのサポート」を参照してください。Gateway Connectorポートの要件については、「Gateway Connector」を参照してください。
次の認証の種類は、Citrix GatewayサービスとEndpoint Managementとの統合でサポートされています:
- ベーシック、ダイジェスト、NTLM
- Kerberosの制約付き委任(KCD)シングルサインオン
- フォームベースのシングルサインオン
- SAMLシングルサインオン
前提条件
-
Citrix Workspace環境が有効である
- Androidデバイスのユーザーは、Citrix Workspaceアプリからのみ登録できます。
- 他のプラットフォームの場合、ユーザー登録によってWorkspaceアプリが起動します。Workspaceの使用権が検出されると、Secure Hubは登録を完了します。その後、Secure HubがCitrix Workspaceを開き、ユーザーはアプリやその他のリソースにアクセスできます。AndroidでのCitrix Workspaceの使用について詳しくは、「Android for Workspace」を参照してください。
-
Citrix Gatewayサービスサブスクリプション
- オンプレミスのCitrix Gatewayを現在使用しており、Citrix Gatewayサービスに切り替えたい場合は、シトリックスの販売担当者に問い合わせてください。オンプレミスのCitrix GatewayからCitrix Gatewayサービスに切り替えるには、デバイスを再登録する必要があります。
- Endpoint Managementの新規のお客様:Endpoint Managementのオンボーディング中にCitrix Gatewayサービスを選択します。
-
リソースの場所に、オンプレミスのGateway Connectorがインストールされている
- Endpoint Managementでは、Secure MailのSTAチケットに対してのみ、Gateway Connectorのリソースの場所が使用されます。Citrix Gatewayは、リソースの場所にあるGateway ConnectorにSTAトラフィックを送信します。
- 1つのリソースの場所に1つまたは複数のGateway Connectorをインストールできます。Endpoint Managementでは、複数のリソースの場所にインストールされたGateway Connectorはサポートされません。
- Gateway Connectorは、Active Directoryと同じまたは異なるリソースの場所にインストールできます。Active Directoryの唯一の役割は、Citrix Cloud認証を使用してCitrix Gatewayサービスに対してユーザーを認証することです。Citrix Gatewayサービスは、認証されたユーザーのGateway Connectorへのセッション接続を作成します。複数のActive Directoryを持つことができます。
- Citrix Endpoint Managementのオンボード中にコネクタが使用できない場合は、オンボード後にインストールできます。
詳しくは、「Citrix Gateway Connector」および「システム要件」を参照してください。
Endpoint Managementの新規のお客様は、オンプレミスのCitrix Gatewayではなく、Citrix Gatewayサービスを構成することをお勧めします。
Citrix Gatewayサービスのセットアップ
- [設定] ページで Citrix Gatewayタイルまでスクロールして [セットアップ] をクリックします。
- 種類としてCitrix Gatewayサービス(クラウド)を選択します。この設定を表示できるのは、Citrix Gatewayサービスの使用権を持つユーザーのみです。
- 画面上のガイダンスに従います。詳しくは、「Endpoint Managementで使用するオンプレミスのCitrix Gatewayを構成する」を参照してください。
オンプレミスのCitrix Gatewayのユースケース
以下の場合には、1つまたは複数のオンプレミスのCitrix Gatewayアプライアンスを、Endpoint Managementと組み合わせて使用します:
- Per-App VPNの機能が必要である。
- 完全トンネリング、分割トンネリング、リバース分割トンネリング、または分割DNSが必要である。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続には、[完全VPNトンネル]を推奨します。
- Citrix Endpoint ManagementとMicrosoft Endpoint Managerとの統合を使用する。
オンプレミスのCitrix Gatewayを使用するには、大掛かりな構成とメンテナンスが必要です。Endpoint ManagementコンソールでLDAPとCitrix Gatewayを構成後、そのコンソールからスクリプトをエクスポートします。次に、Citrix Gatewayでスクリプトを実行します。
- [設定] ページで [Citrix Gateway] タイルまでスクロールして [セットアップの開始] をクリックします。
- 種類として [Citrix Gateway(オンプレミス)] を選択します。
- 画面上のガイダンスに従います。詳しくは、「Endpoint Managementで使用するオンプレミスのCitrix Gatewayを構成する」を参照してください。
通知サーバーの構成
通知を送信するには、ゲートウェイおよび通知サーバーを構成する必要があります。通知サーバーは接続性と、エンドユーザーおよび管理者間の通信の可能性を確保します。Endpoint Managementで通知サーバーをセットアップするには、「通知」を参照してください。
Appleデバイス用のAppleプッシュ通知サービス(APNs)証明書の構成
Endpoint ManagementでAppleデバイスを登録して管理するには、Appleプッシュ通知サービス(APNs)証明書が必要です。Secure Mail for Appleでプッシュ通知を使用する場合も、Endpoint ManagementでAPNs証明書が必要です。Endpoint ManagementとAPNsについて詳しくは、「Secure Mail for iOSのプッシュ通知」を参照してください。
Appleから証明書を取得するには、Apple IDと開発者アカウントが必要です。詳しくは、Apple Developer ProgramのWebサイトを参照してください。
概要については、このビデオをご覧ください。
APNsでCitrix証明書署名要求を構成するには:
- [設定] ページでAppleタイルを展開します。
- APNs証明書タイルで [セットアップ] をクリックして画面上のガイダンスに従います。
詳しくは、「証明書および認証」を参照してください。
Android Enterpriseの構成
デリバリーグループを作成してユーザーをクラウドライブラリでデリバリーグループに割り当てると、Endpoint Managementは完全に構成されます。この時点から、Endpoint Managementの管理はCitrix Cloud内で行われます。インターフェイスが統合されているため、Citrix CloudとEndpoint Managementの間の切り替えが簡単になります。
Google PlayまたはGoogle Workspaceを使用して、Endpoint Management用にAndroid Enterpriseをセットアップできます。
-
組織がGoogle Workspaceを使用しない場合: 管理対象Google Playを使用してCitrixをEMMプロバイダーとして登録できます。ビジネス向けGoogle Playを使用する場合、デバイスおよびエンドユーザーにビジネス向けGoogle Playアカウントをプロビジョニングします。ビジネス向けGoogle Playアカウントは、ビジネス向けGoogle Playへのアクセスを提供し、管理者が利用可能にしたワークアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。
この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録できます。このセットアップにより、デバイスおよびアプリをさまざまなエンタープライズの個別セットとして管理できます。
-
組織が既にGoogle Workspaceを使用してユーザーにGoogleアプリのアクセスを提供している場合: Google Workspaceを使用してCitrixをEMMとして使用できます。組織がGoogle Workspaceを使用している場合、既存のエンタープライズIDおよび既存のユーザー用Googleアカウントが存在します。Endpoint ManagementでGoogle Workspaceを使用するには、使用しているLDAPディレクトリと同期し、Google Directory APIを使用してGoogleアカウント情報をGoogleから取得します。
この種類のエンタープライズは、既存のドメインに関連付けられています。したがって、各ドメインで作成できるエンタープライズは1つだけです。Endpoint Managementにデバイスを登録するには、各ユーザーが既存のGoogleアカウントで手動でサインインする必要があります。このアカウントでは、Google Workspaceプランで管理対象Google Playおよび他のGoogleサービスにアクセスできるようになります。
概要については、このビデオをご覧ください。
開始するには、次の手順を実行します:
- [設定] ページでAndroidタイルを展開します。
- Android Enterpriseタイルで [セットアップ] をクリックします。
- Googleアプリケーションへのユーザーアクセス方法によってGoogle PlayまたはG Suiteを選択します。 Android Enterpriseプラットフォームで既にGoogle Playが構成されている場合、Google Playストアに移動するUIが表示され再登録できます。[再登録] をクリックしてCEMコンソールに戻り、ページを更新します。
- 画面上のガイダンスに従います。
以下の情報も参照してください:
Firebase Cloud Messagingの構成
Firebase Cloud Messaging(FCM)を使用してAndroidデバイスがEndpoint Managementに接続するタイミングと方法を制御することをCitrixではお勧めします。Endpoint Managementは、FCMを有効にしたAndroidデバイスへの接続通知を送信します。セキュリティ操作や展開コマンドによって、ユーザーにEndpoint Managementサーバーへの再接続を求めるプッシュ通知が送信されます。詳しくは、「Firebase Cloud Messaging」を参照してください。
Microsoft Endpoint Managerとの統合
Endpoint ManagementとMicrosoft Endpoint Managerとの統合により、Endpoint ManagementマイクロVPNの価値がMicrosoft EdgeブラウザーなどのMicrosoft Intune対応アプリに追加されます。
また、Endpoint ManagementとMEMとの統合により、企業ではIntuneとCitrixの組み合わせで独自のLOBアプリをラップすることが可能になり、Intuneのモバイルアプリ管理(MAM:Mobile Application Management)コンテナ内でマイクロVPN機能を利用することができます。Endpoint ManagementでマイクロVPNを利用すると、ご利用のアプリでオンプレミスリソースにアクセスできるようになります。Office 365アプリ、基幹業務アプリ、Citrix Secure Mailを1つのコンテナで管理し配信できます。単一のコンテナにより、究極のセキュリティと生産性が実現します。
- デフォルトでは、Citrix Cloudの管理者がEndpoint Managementの管理者になります。
- 顧客アクセスで作成されたCitrix Cloud管理者がEndpoint Managementを管理するには、「Endpoint Management」を選択する必要があります。
Endpoint Managementコンソールでは、ユーザーの役割とメンバーシップのみを変更できます。必要な時に役割を変更するには、Citrix CloudダッシュボードからEndpoint Managementコンソールにアクセスします。[管理] タブに移動して [ユーザー] をクリックします。特定のユーザーを選択し、[編集] をクリックして役割を変更します。詳しくは、「RBACを使用した役割の構成」を参照してください。
MEMとの統合については、「Citrix Endpoint ManagementとMicrosoft Endpoint Managerとの統合」を参照してください。
Citrix Cloudでの構成の完了後、次の手順でEndpoint Managementコンソールに戻ります:Citrix Cloudの [ホーム] ページに移動して Endpoint Managementタイルで [管理] をクリックします。これによって、Azure Active DirectoryアカウントでEndpoint Managementにサインインした場合に検証できます。
- [設定] ページで Microsoft EMS/Intuneとの統合タイルまでスクロールします。
- [詳細を表示] をクリックします。UIに、接続が正常に有効になったかが示されます。
Citrix Cloudコンソールで、ユーザー名やパスワードの変更、およびローカルユーザーの削除や編集を実行することもできます。「IDおよびアクセス管理」を参照してください。
既存のCitrix Content CollaborationアカウントをCitrix Cloudにリンクする
Citrix Cloudにサインアップする前に既にCitrix Content Collaborationアカウントをお持ちの場合は、そのアカウントをCitrix Cloudにリンクする必要があります。アカウントをリンクするには、Citrix Content Collaborationアカウントの管理者のメールアドレスを使用する必要があります。準備が整ったら、https://onboarding.cloud.comにアクセスします。
-
ログイン後、次のような画面が開きます。
-
[Citrix Content Collaboration] タイルで、[アカウントをリンクする]を選択します。
-
Citrix Content Collaborationアカウントを確認すると、次のページが開きます:
-
[アカウントをリンクする] タブをクリックして処理を完了します。Citrix CloudからCitrix Content Collaborationアカウントをすぐに管理できます。
設定の確認
すべてが正しく設定されていることを確認するため、Endpoint Managementアナライザーを使用できます。[トラブルシューティングとサポート]ページで、[Endpoint Managementアナライザー] をクリックしてこのツールにアクセスします。Endpoint Management Analyzerの使用方法について詳しくは、「Endpoint Managementアナライザー」を参照してください。