オンボードとリソースのセットアップ

Citrixアカウントを新規登録してEndpoint Managementのトライアルをリクエストするには、シトリックスの営業担当者にお問い合わせください。オンボードの準備が整ったら、https://onboarding.cloud.comにアクセスします。

ログイン後、次のような画面が開きます。[Endpoint Management] の横にある [トライアル要求] をクリックします。

クラウド構成画面の画像

ボタンが [トライアルがリクエストされました] に変わります。トライアルをリクエストすると、シトリックスのセールスエンジニアがリクエストをフォローアップして、Podioフォームを完成させます。提供する必要のある情報は、『Onboarding Handbook』(英語)の「Endpoint Management Trial Sales Engineer engagement」に記載されています。トライアルが利用可能になると、メールで通知が届きます。

トライアルの準備中に、「システム要件」を確認してEndpoint Managementの展開を準備してください。Endpoint Managementソリューションはシトリックスがホストしていますが、一部の通信とポートの要件を準備する必要があります。これによって、Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。

トライアルへのアクセスが承認された後、Endpoint Managementのボタンが [管理] に変わり、ウィザードが開きます。ウィザードの各ステップはオプションですが、構成は良い出発点になります。ウィザードのどのステップも構成しない場合は、後でEndpoint Managementコンソールから構成できます。

ウィザードは証明書から始まります。一部の証明書は自動生成されます。iOSデバイスの展開を計画している場合、この時点でアップロードする必要がある証明書はAPNs証明書のみです。証明書について詳しくは、「証明書と認証」を参照してください。

Endpoint Management構成画面の画像

次に、NetScaler Gateway設定を構成します。(NetScaler Gatewayは現在Citrix Gatewayと呼ばれていますが、UIの一部ではNetScaler Gatewayと表示されます)

  • [構成スクリプトのエクスポート] をクリックする前に、[NetScaler Gateway] および [LDAP構成] 設定ページのフィールドを入力し、構成を保存します。両方のページに情報を入力しない限り、エクスポートされたスクリプトは空または不完全です。
  • ウィザードの完了後にスクリプトをエクスポートするには、[設定]>[NetScaler Gateway] に移動します。Citrix GatewayとEndpoint Managementの統合方法について詳しくは、「Citrix GatewayとEndpoint Management」を参照してください。

Endpoint Management構成画面の画像

残りの手順には、LDAPの構成、通知サーバーの設定、およびAndroid Enterpriseアカウントの接続が含まれます。

Endpoint Management構成画面の画像

Endpoint Management構成画面の画像

Endpoint Management構成画面の画像

ウィザードを完了すると、Citrix Cloud OperationsグループはEndpoint ManagementをCitrix Cloudに統合します。

以下のセクションでは、Endpoint Managementコンソールにアクセスできる場合に実行するセットアップの詳細について説明します。

リソースの場所で許可するURLを構成する

リソースの場所で許可するURLを指定するには、[設定]>[Cloud Connectorホワイトリスト] に移動し、[追加] をクリックして [リソースの場所] を選択します。次に、その場所の [許可する/ホワイトリスト登録済みURL] を指定します。

  • 許可する/ホワイトリスト登録済みURL:1行に1つのURLを指定します。ワイルドカード文字として、アスタリスク(*)または疑問符(?)を使用できます。

Cloud Connector構成画面の画像

ユーザーとグループの構成

[ユーザーの種類] 列が、Endpoint Managementコンソールの [管理]>[ユーザー] ページに表示されます。この列は、各ユーザーがローカル、Active Directory、またはクラウドのいずれのユーザーであるかを示します。

ローカルユーザーとADユーザーの場合は、「ユーザーアカウント、役割、および登録」に記載されているすべてのユーザー管理機能を実行できます。

クラウドユーザーは、Citrix CloudがEndpoint Managementサーバー上で作成および管理する特別なユーザーアカウントです。管理者がCitrix Cloud顧客アカウントに追加されると、Citrix Cloudによってクラウドユーザーアカウントが作成されます。クラウドユーザーアカウントは、管理者アカウントと同じユーザー名を使用します。クラウドユーザーアカウントはシングルサインオンを提供し、その他の管理機能を実行します。

クラウドユーザーの場合:

  • クラウドユーザーの役割とユーザープロパティは、Endpoint Managementコンソールから変更できます。
  • Endpoint Managementコンソールからクラウドユーザーのパスワードを変更することはできません。
  • クラウドユーザーのパスワードは、Citrix Cloudの [IDおよびアクセス管理] から変更できます。
  • クラウドユーザーは削除できません。
  • クラウドユーザーにグループのメンバーシップを与えることはできません。

デリバリーグループを構成する

デリバリーグループを作成する時は、Endpoint ManagementまたはCitrix Cloudでユーザー割り当てを管理するかどうかを指定します。この仕様は、デリバリーグループを作成した後は変更できません。

デリバリーグループを使用して他のCitrix Cloudサービスを提供する予定である場合は、ユーザー割り当てがCitrix Cloudで管理されるように指定します。その他のサービスには、Citrix Virtual Apps and Desktops、Citrix Content Collaboration、またはSecure Browser Serviceが含まれます。Active Directoryユーザーは、これらのデリバリーグループにのみ追加できます。

ユーザーやアプリのデリバリーグループのモビリティ管理のみが必要な場合、[ユーザー割り当ての管理][Endpoint Management使用] に設定します。Endpoint Managementで管理されているユーザーを含む配信グループは、Citrix Cloudには表示されません。したがって、Endpoint Managementで管理されるデリバリーグループを使用して他のサービスを配信することはできません。

デバイスポリシーを作成する前に、デリバリーグループを作成することをお勧めします。

リソースの展開」で説明しているように、すべてのEndpoint Managementデリバリーグループ管理機能をEndpoint Managementコンソールから実行できます。

デリバリーグループを追加し、そのユーザー割り当てがどのように管理されるかを指定するには:

  1. コンソールで、[構成]>[デリバリーグループ] の順にクリックします。

  2. [デリバリーグループ]ページで、[追加] をクリックします。[デリバリーグループ情報]ページが開きます。

    デリバリーグループ構成画面の画像

  3. デリバリーグループの名前と説明を入力し、[次へ] をクリックします。

  4. [ユーザー割り当て]ページで、デリバリーグループのユーザー割り当てを管理する方法を指定します。

    • Endpoint Managementの場合。モビリティ管理だけが必要なユーザーとアプリのデリバリーグループを作成する場合は、このオプションを選択します。ユーザー割り当てがEndpoint Managementで管理されているデリバリーグループは、Citrix Cloudでは表示されず、他のサービスの配信には使用できません。
    • Citrix Cloudの場合。デリバリーグループを使用して他のサービスを配信する場合は、このオプションを選択します。これらのサービスには、Citrix Virtual Apps and DesktopsやCitrix Content Collaborationなどが含まれます。

    デリバリーグループ構成画面の画像

    重要:

    ユーザーグループの作成後に [ユーザー割り当ての管理] 設定を変更することはできません。

  5. ユーザーをデリバリーグループに追加して、[次へ]をクリックします。

  6. リソースの展開」の説明に従って、オプションのリソースをデリバリーグループに追加します。

  7. [概要]ページで内容を確認します。

  8. [保存] をクリックして、デリバリーグループを作成します。

PKIエンティティ接続のリソースの場所を構成する

Cloud ConnectorをMicrosoft証明書サービスエンティティの接続に使用するには、[設定]>[PKIエンティティ] に移動します。PKIエンティティを追加または編集する場合、[Cloud Connectorを使用します][オン] に変更します。次に、エンティティの場所について [リソースの場所][許可する相対パス] を指定します。

  • リソースの場所Citrix Cloud Connectorで定義されているリソースの場所から選択します。
  • 許可する相対パス:指定したリソースの場所に対して許可する相対パス。1行に1つのパスを指定します。ワイルドカード文字としてアスタリスク(*)を使用できます。

リソースの場所がhttps://www.ServiceRoot/certsrvである場合。そのパス内のすべてのURLにアクセスできるようにするには、[許可する相対パス]\*と入力します。

PKI構成画面の画像

Citrix Virtual Apps and Desktops接続のリソースの場所を構成する

Virtual Apps and Desktops接続にCloud Connectorを使用するには、[設定]>[XenApp/XenDesktop] に移動します。次に、[Cloud Connectorを使用します][オン] に変更し、これらの場所に次のオプションを指定します。

  • リソースの場所: Citrix Cloud Connectorで定義されているリソースの場所から選択します。
  • 許可する相対パス: 指定したリソースの場所に対して許可する相対パス。1行に1つのパスを指定します。ワイルドカード文字としてアスタリスク(*)を使用できます。

    リソースの場所がhttps://storefront.company.comで、次のURLへのアクセスを提供する場合。

    • https://storefront.company.com/Citrix/PNAgent/Config.xml
    • https://storefront.company.com/Citrix/PNAgent/enum.aspx
    • https://storefront.company.com/Citrix/PNAgent/launch.aspx

    URL https://storefront.company.com/Citrix/PNAgent/*ですべてのリクエストを許可するには、次のパスを入力します。/Citrix/PNAgent/*

    Endpoint Managementは他のすべてのパスをブロックします。

Citrix XenAppおよびXenDesktopの構成画面の画像

Endpoint Managementで使用するCitrix Gatewayの構成

Endpoint Managementと統合すると、Citrix Gatewayを経由して内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。Endpoint Managementでは、次のシナリオに対応するためにCitrix Gatewayが必要です:

  • 基幹業務アプリのために内部ネットワークリソースにアクセスするには、Micro VPNが必要。これらのアプリは、シトリックスのMDXテクノロジでラップされています。Micro VPNは、内部バックエンドインフラストラクチャに接続するためにCitrix Gatewayが必要です。

  • Endpoint Managementを使用してアプリを管理する予定である(MAMまたはMDM+MAM)。デバイスのみを管理する場合(MDM)、Citrix Gatewayは必要ありません。
  • Endpoint ManagementをMicrosoft Intune/EMSと統合する予定。

シトリックスは、クラウドベースとオンプレミスの両方のCitrix Gatewayソリューションを提供しています。

重要:

Citrix Gatewayソリューションを構成した後、他のソリューションに切り替えるには、デバイスを再登録する必要があります。オンプレミスのCitrix Gatewayを現在使用しており、Citrix Gatewayサービスに切り替えたい場合は、シトリックスのサポート担当者に問い合わせてください。前提条件については、「Citrix Gatewayサービスを使用するには」を参照してください。

次の表では、クラウドベースおよびオンプレミスのCitrix Gatewayソリューションでサポートされている機能がまとめられています。

サポートされる機能 Citrix Gatewayサービス Citrix Gatewayオンプレミス
Secure Mail(STA)* はい はい
Secure Browse(Webシングルサインオン) はい はい
完全VPN no はい
Per-App VPN no はい
モバイルシングルサインオン(アクセス制御) はい no
高可用性 はい はい**
マルチPOP展開 はい はい***
プロキシサポート はい はい
分割トンネリング no はい
分割DNS no はい

* Citrix Cloud Secure Ticket Authority(STA)サービスの構成

**オンプレミスの構成

***グローバルサーバー負荷分散の構成

Citrix Gatewayサービスのユースケース(プレビュー)

Citrix Gatewayサービスは現在プレビュー中です。プレビュー中のサポートについては、「CGSとモバイルSSOのテクニカルプレビューのフィードバック」を参照してください。

以下の場合は、クラウドベースのCitrix GatewayサービスとEndpoint Managementを使用します:

  • 社内ネットワークの構成前にネットワーク、セキュリティ、およびコンプライアンスチームとの交渉を必要としない、メンテナンス不要のサービスを希望している。

  • Citrix Cloudが提供する、統一された認証環境の使用を希望している。Citrix GatewayサービスはCitrix IDプロバイダーを使用して、Citrix CloudアカウントのすべてのユーザーのID情報を管理します。

  • Citrix業務用モバイルアプリ(Citrix Secure Mail、Secure Webなど)を使用する予定である。Citrix Gatewayは、Secure Hubがモバイルデバイスで開始するオンデマンドのアプリケーションVPN接続を提供し、社内ネットワークのサイトまたはリソースにアクセスします。

    この種のクライアントレスVPNは、Secure Browseとも呼ばれます。内部ネットワークにトンネリングされるWebトラフィックなどの接続は、Secure Browseを使用します。シングルサインオン(SSO)を必要とする接続には、Secure Browseを推奨します。

Citrix Gatewayサービスのしくみ

MDMおよびMAM制御トラフィックは、Citrix Gatewayサービスを経由せずに、Citrix Endpoint Managementに直接送信されます。Citrix Gatewayに送信されるすべてのトラフィックは、オンプレミスのGateway Connectorに転送されます。

Citrix Gatewayサービスは、Endpoint Managementでのデバイス登録中には使用されません。

Citrix業務用モバイルアプリの場合:

  • Secure HubはMAM制御トラフィックの証明書を使用します。
  • Secure MailはCitrix Cloud Secure Ticket Authority(STA)サービスを使用します。

    注:

    Citrix Gatewayサービスは、プライマリリソースの場所を使用します。

  • Secure WebはSecure Browseを使用します。

次の図は、Citrix Gatewayのサービスアーキテクチャの概要を示しています。

Citrix Gatewayサービスアーキテクチャの概要図

オンプレミスのGateway ConnectorはDMZの外に配置できます。すべてのGateway Connector接続はSSLポート443で送信されます。詳しくは、Gateway Connectorを参照してください。

次の認証の種類は、Citrix GatewayサービスとEndpoint Managementとの統合でサポートされています:

  • ベーシック、ダイジェスト、NTLM
  • Kerberosの制約付き委任(KCD)シングルサインオン
  • フォームベースのシングルサインオン
  • SAMLシングルサインオン

Citrix Gatewayサービスを使用するには

前提条件:

  • Citrix Workspace環境が有効である

    オンプレミスのCitrix Gatewayを現在使用しており、Citrix Gatewayサービスに切り替えたい場合は、シトリックスのサポート担当者に問い合わせてください。

  • Citrix Gatewayサービスサブスクリプション

  • リソースの場所に、オンプレミスのGateway Connectorがインストールされている(詳しくは「Gateway Connector」を参照)

    Citrix Endpoint Managementのオンボード中にコネクタが使用できない場合は、オンボード後にインストールできます。

Endpoint Managementの新規のお客様は、Citrix Gatewayサービスを構成できます:

  • オンボード中は初期構成ウィザードから。
  • オンボード後は [設定]>[NetScaler Gateway]>[Citrix Gatewayサービスの追加] から。

いずれの場合も、[種類]として [Citrix Gatewayサービスの使用] を選択してください。

Citrix Gateway構成画面の画像

オンプレミスのCitrix Gatewayのユースケース

以下の場合には、1つまたは複数のオンプレミスのCitrix Gatewayアプライアンスを、Endpoint Managementと組み合わせて使用します:

  • Per-App VPNの機能が必要である。
  • 完全トンネリング、分割トンネリング、リバース分割トンネリング、または分割DNSが必要である。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続には、[完全VPNトンネル]を推奨します。
  • Citrix Endpoint ManagementとMicrosoft Intune/EMSとの統合を使用している。

オンプレミスのCitrix Gatewayを使用するには、大掛かりな構成とメンテナンスが必要です。詳しくは、Endpoint Managementで使用するオンプレミスのCitrix Gatewayを構成するを参照してください。

Endpoint Managementの管理

デリバリーグループを作成してユーザーをクラウドライブラリでデリバリーグループに割り当てると、Endpoint Managementは完全に構成されます。この時点から、Endpoint Managementの管理はCitrix Cloud内で行われます。インターフェイスが統合されているため、Citrix CloudとEndpoint Managementの間の切り替えが簡単になります。

すべてのCitrix Cloud管理者アカウントも、以下のように作成されます:

  • デフォルトでは、Citrix Cloudの管理者がEndpoint Managementの管理者になります。
  • ただし、Endpoint Managementを含まないカスタムアクセスで作成されたCitrix Cloud管理者は、Endpoint Management管理者として作成されません。

必要な時に役割を変更するには、Citrix CloudダッシュボードからEndpoint Managementコンソールにアクセスします。管理者の追加と編集について詳しくは、以下を参照してください:

Endpoint Managementダッシュボード画面の画像

既存のCitrix Content CollaborationアカウントをCitrix Cloudにリンクする

Citrix Cloudにサインアップする前に既にCitrix Content Collaborationアカウントをお持ちの場合は、そのアカウントをCitrix Cloudにリンクする必要があります。アカウントをリンクするには、Citrix Content Collaborationアカウントの管理者のメールアドレスを使用する必要があります。オンボードの準備が整ったら、https://onboarding.cloud.comにアクセスします。

  1. ログイン後、次のような画面が開きます。

    クラウド構成画面の画像

  2. [Citrix Content Collaboration] タイルで、[アカウントをリンクする]を選択します。

    Content Collaborationアカウントのリンクメニューの画像

    Citrix Content Collaborationアカウントを確認すると、次のページが開きます:

    Content Collaborationアカウントの追加画面の画像

  3. [アカウントをリンクする] タブをクリックして処理を完了します。Citrix Cloud内からCitrix Contents Collaborationアカウントをすぐに管理できます。

次の手順

すべてが正しく設定されていることを確認するため、Endpoint Managementアナライザーを使用できます。[トラブルシューティングとサポート]ページで、[Endpoint Managementアナライザー] をクリックしてこのツールにアクセスします。Endpoint Management Analyzerの使用方法について詳しくは、「Endpoint Managementアナライザー」を参照してください。

ここで説明したオンボードとリソースの構成が完了したら、Endpoint Managementコンソールで構成を続行します。後続の手順について詳しくは、「デバイス登録とリソース配信の準備」を参照してください。