システム要件

CitrixがEndpoint Managementをプロビジョニングしている間、Cloud ConnectorをインストールしてEndpoint Managementの展開を準備してください。Endpoint ManagementソリューションはCitrixがホストしていますが、一部の通信とポートの設定が必要です。これによって、Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。

Cloud Connectorの要件

CitrixはCloud Connectorを使用して、Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、ポート443を介してEndpoint Managementに次のリソースの場所を安全に統合します:LDAP、PKIサーバー、内部DNSクエリ、およびCitrix Workspaceの列挙。

  • Active Directoryドメインに参加している少なくとも2台の専用Windows Server 2012 R2またはWindows Server 2016マシン。マシンは仮想マシンでも物理マシンでもかまいません。適切なインストールおよび操作のために、Cloud Connectorをインストールするマシンは、UTC時間と同期している必要があります。最新の要件の完全な一覧については、シトリックスアカウントチームが提供する展開資料を参照してください。

    登録ウィザードでは、これらのマシンにCloud Connectorをインストールする方法について順を追って説明します。

  • プラットフォームのシステム要件について詳しくは、「Citrix Cloud Connector」を参照してください。

NetScaler Gatewayの要件

Endpoint Managementでは、次のシナリオに対応するためにリソースの場所にNetScaler Gatewayがインストールされている必要があります:

  • 基幹業務アプリケーションのために内部ネットワークリソースにアクセスするには、Micro VPNが必要。これらのアプリケーションは、シトリックスのMDXテクノロジでラップされています。Micro VPNは、内部バックエンドインフラストラクチャに接続するためにNetScaler Gatewayが必要です。
  • Citrix業務用モバイルアプリ(Citrix Secure Mailなど)を使用する予定。
  • Endpoint ManagementをMicrosoft Intune/EMSと統合する予定。

以下は要件です。

  • ドメイン(LDAP)認証
  • NetScaler 10.5ビルド66.9以降。プラットフォームライセンスまたはユニバーサルライセンスが必要。

    詳しくは、シトリックスサポート記事の「How to License a NetScaler Gateway Appliance」を参照してください。

  • パブリックSSL証明書

詳しくは、シトリックスサポートの記事「How to Add an SSL Certificate Bundle on the NetScaler Appliance」を参照してください。

  • NetScaler Gateway仮想サーバーの未使用のパブリックIPアドレス。
  • NetScaler Gateway仮想サーバーのパブリックに解決可能な完全修飾ドメイン名(FQDN)
  • クラウドでホストされたEndpoint Managementの中間証明書とルート証明書(スクリプトバンドルで提供)
  • プロキシロードバランサーIP用の未使用の内部プライベートIPアドレス。
  • ポート要件については、後述の「NetScaler Gatewayのポート要件」を参照してください。
  • Endpoint ManagementとMicrosoft Intune/EMSとの統合
  • Microsoft AzureでのCitrix NetScaler VPXの展開

NetScalerの要件については、シトリックスアカウントチームが提供する展開資料を参照してください。

ShareFileの要件

Endpoint Management Premium Serviceオファリングでは、ShareFileのファイル同期と共有サービスを利用できます。ShareFile StorageZonesコントローラーを使用すると、ShareFileアカウントでプライベートデータストレージを使用できるようになり、ShareFile SaaS(Software as a Service)のクラウドストレージが拡張されます。

ShareFile StorageZonesコントローラーの要件:

  • 専用の物理マシンまたは仮想マシン
  • Windows Server 2012 R2またはWindows Server 2016
  • 2つの仮想CPU
  • 4GBのRAM
  • 50GBのハードディスクスペース
  • Webサーバー(IIS)のサーバーの役割:

    • アプリケーション展開:ASP. NET 4.5.2
    • セキュリティ:基本認証
    • セキュリティ:Windows認証

ShareFileプラットフォームの要件:

  • ShareFileインストーラーには、Windows Serverの管理者権限が必要です
  • ShareFile管理ユーザー名

ポート要件

デバイスとアプリケーションがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の図は、Endpoint Managementのトラフィックフローです。

Endpoint Managementのトラフィックフローの図

次のセクションに、開く必要があるポートを一覧で示します。

NetScaler Gatewayのポート要件

Citrix Secure HubおよびCitrix WorkspaceからNetScaler Gateway経由でユーザーが接続できるようにするポートを開きます:

  • Endpoint Management
  • StoreFront
  • イントラネットWebサイトなどのその他の内部ネットワークリソース

NetScaler Gatewayについて詳しくは、NetScaler Gatewayドキュメントの「Endpoint Management環境の設定の構成」を参照してください。NetScalerが所有するIPアドレスについて詳しくは、NetScalerドキュメントの「NetScalerとクライアント/サーバーとの通信方法」を参照してください。NetScaler IP(NSIP)、仮想サーバーIP(VIP)、サブネットIP(SNIP)のアドレスの情報は参照先のセクションに記載されています。

TCPポート 説明 接続元 接続先
53 (TCPとUDP) DNS接続に使用されます。 NetScaler Gateway SNIP DNS サーバー
80/443 NetScaler Gatewayは、2番目のファイアウォールを介してMicro VPN接続を内部ネットワークリソースに渡します。 NetScaler Gateway SNIP イントラネットWebサイト
123 (TCP と UDP) ネットワークタイムプロトコル(Network Time Protocol:NTP)サービスに使用されます。 NetScaler Gateway SNIP NTPサーバー
389 セキュリティで保護されないLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはMicrosoft Active Directory
443 Citrix WorkspaceからStoreFrontへの接続、XenAppおよびXenDesktopへの接続に使用されます。 インターネット NetScaler Gateway
443 Web、モバイル、およびSaaSアプリケーションの配信のためのEndpoint Managementへの接続に使用されます。 インターネット NetScaler Gateway
443 Cloud Connector通信に使用 - LDAP、DNS、PKI、Citrix Workspaceの列挙 Cloud Connectorサーバー https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 セキュリティで保護されるLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
1494 内部ネットワーク内のWindowsベースのアプリケーションへのICAコネクションに使用されます。このポートは開いたままにしておくことをお勧めします。 NetScaler Gateway SNIP XenAppおよびXenDesktop
1812 RADIUS接続に使用されます。 NetScaler Gateway NSIP RADIUS認証サーバー
2598 セッション画面の保持を使用した内部ネットワーク内のWindowsベースのアプリケーションへの接続に使用されます。このポートは開いたままにしておくことをお勧めします。 NetScaler Gateway SNIP XenAppおよびXenDesktop
3269 Microsoft Global Catalogのセキュリティで保護されるLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
8443 登録、アプリストア、モバイルアプリケーション管理(MAM)に使用されます。 NetScaler Gateway SNIP Endpoint Management
8443 Secure Mail認証トークンに使用されるSecure Ticket Authority(STA)ポート NetScaler Gateway SNIP Endpoint Management
4443 管理者がブラウザーを使用してEndpoint Managementコンソールにアクセスする場合に使用されます。 アクセスポイント(ブラウザー) Endpoint Management

ネットワークとファイアウォールの要件

デバイスとアプリケーションがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の表に、これらのポートの一覧を示します。

内部ネットワークからCitrix Cloudへのポートを開く:

TCPポート 接続元IP 説明 接続先 接続先IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理コンソール https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   WebブラウザーからのEndpoind Managementコンソールへのアクセス Endpoint Management  

インターネットからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Endpoint Managementクライアントデバイス   NetScaler Gateway IP  
443 Endpoint Managementクライアントデバイス   NetScaler VIP ShareFile  
443 ShareFileパブリックIP CTX208318 NetScaler VIP ShareFile  

DMZから内部ネットワークへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
389または636 NetScaler NSIP   Active Directory IP  
53(UDP) NetScaler NSIP   DNSサーバーIP  
443 NetScaler SNIP   Exchange(EAS)サーバーIP  
443 NetScaler SNIP   内部Webアプリケーション/サービス  
443 NetScaler SNIP   ShareFile StorageZonesコントローラーIP  

内部ネットワークからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 管理クライアント   NetScaler NSIP  

内部ネットワークからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Exchange(EAS)サーバーIP   Endpoint Managementプッシュ通知リスナー(1)  
443 ShareFile StorageZonesコントローラーIP   ShareFileコントロールプレーン CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

企業Wi-Fiからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
5223 Endpoint Managementクライアントデバイス   Apple APNSサーバー 17.0.0.0/8
5228 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
5229 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
5230 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
443 Endpoint Managementクライアントデバイス   Windowsプッシュ通知サービス *.notify.windows.com
443/80 Endpoint Managementクライアントデバイス   Apple iTunes App Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Endpoint Managementクライアントデバイス   Google Play play.google.com, android.clients.google.com, android.l.google.com
443/80 Endpoint Managementクライアントデバイス   Microsoftアプリストア login.live.com, *.notify.windows.com
443 Endpoint Managementクライアントデバイス   Endpoint Management自動検出サービス discovery.mdm.zenprise.com
8443/443 Endpoint Managementクライアントデバイス   Endpoint Management  
443 ShareFile StorageZonesコントローラーIP   ShareFileコントロールプレーン CTX208318

自動検出サービスの接続のポート要件

このポート構成では、Secure Hub for Androidから接続するAndroidデバイスで内部ネットワークからCitrix ADS(Auto Discovery Service:自動検出サービス)にアクセスできるようにします。ADSを介して利用可能なセキュリティ更新プログラムをダウンロードするとき、ADSにアクセスする能力は重要です。

ADS接続ではプロキシサーバーがサポートされない可能性があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスすることを可能にします。

証明書ピン留めを有効にする場合は、次の前提条件を完了します。

  • Endpoint ManagementサーバーとNetScalerの証明書を収集します。証明書はPEM形式で、秘密キーではなく公開証明書である必要があります。
  • シトリックスサポートに証明書ピン留めの有効化を依頼します。このプロセスで、証明書の提出を求められます。

証明書ピン留めでは、デバイスを登録前にADSに接続する必要があります。この要件により、最新のセキュリティ情報がSecure Hubで利用できることが保証されます。Secure Hubでデバイスを登録する場合、デバイスがADSにアクセスできる必要があります。したがって、内部ネットワーク内でADSアクセスを可能にすることは、デバイスの登録を有効にするために重要です。

Secure Hub for AndroidにADSへのアクセスを許可するには、以下のFQDNおよびIPアドレスのポート443を開放します。

完全修飾ドメイン名 IP アドレス ポート IPとポートの使用
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS通信
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS通信
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS通信

システム要件