システム要件

CitrixがEndpoint Managementをプロビジョニングしている間、Cloud ConnectorをインストールしてEndpoint Managementの展開を準備してください。Endpoint ManagementソリューションはCitrixがホストしていますが、一部の通信とポートの設定が必要です。これによって、Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。

Cloud Connectorの要件

CitrixはCloud Connectorを使用して、Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、ポート443を介してEndpoint Managementに次のリソースの場所を安全に統合します:LDAP、PKIサーバー、内部DNSクエリ、およびCitrix Workspaceの列挙。

  • Active Directoryドメインに参加している少なくとも2台の専用Windows Server 2012 R2またはWindows Server 2016マシン。マシンは仮想マシンでも物理マシンでもかまいません。適切なインストールおよび操作のために、Cloud Connectorをインストールするマシンは、UTC時間と同期している必要があります。最新の要件の完全な一覧については、シトリックスアカウントチームが提供する展開資料を参照してください。

    オンボードウィザードでは、これらのマシンにCloud Connectorをインストールする方法について順を追って説明します。

  • プラットフォームのシステム要件について詳しくは、「Citrix Cloud Connector」を参照してください。

Citrix Gatewayの要件

Endpoint Managementでは、次のシナリオに対応するためにリソースの場所にCitrix Gatewayがインストールされている必要があります:

  • 基幹業務アプリのために内部ネットワークリソースにアクセスするには、Micro VPNが必要。これらのアプリは、シトリックスのMDXテクノロジでラップされています。Micro VPNは、内部バックエンドインフラストラクチャに接続するためにCitrix Gatewayが必要です。
  • Citrix業務用モバイルアプリ(Citrix Secure Mailなど)を使用する予定。
  • Endpoint ManagementをMicrosoft Intune/EMSと統合する予定。

以下は要件です:

  • ドメイン(LDAP)認証
  • NetScaler 10.5ビルド66.9以降。プラットフォームライセンスまたはユニバーサルライセンスが必要。

    詳しくは、シトリックスサポート記事の「How to License a NetScaler Gateway Appliance」を参照してください。

  • パブリックSSL証明書

詳しくは、シトリックスサポートの記事「How to Add an SSL Certificate Bundle on the NetScaler Appliance」を参照してください。

  • Citrix Gateway仮想サーバーの未使用のパブリックIPアドレス。
  • Citix Gateway仮想サーバーのパブリックに解決可能な完全修飾ドメイン名(FQDN)
  • クラウドでホストされたEndpoint Managementの中間証明書とルート証明書(スクリプトバンドルで提供)
  • プロキシロードバランサーIP用の未使用の内部プライベートIPアドレス
  • ポート要件については、後述の「Citrix Gatewayのポート要件」を参照してください。
  • Endpoint ManagementとMicrosoft Intune/EMSとの統合
  • Microsoft AzureでのCitrix NetScaler VPXの展開

NetScalerの要件については、シトリックスアカウントチームが提供する展開資料を参照してください。

Citrix Filesの要件

Endpoint Management Premium Serviceオファリングでは、Citrix Filesのファイル同期と共有サービスを利用できます。StorageZonesコントローラーを使用すると、Citrix Filesアカウントでプライベートデータストレージを使用できるようになり、Citrix Files SaaS(Software as a Service)のクラウドストレージが拡張されます。

StorageZonesコントローラーの要件:

  • 専用の物理マシンまたは仮想マシン
  • Windows Server 2012 R2またはWindows Server 2016
  • 2つの仮想CPU
  • 4GBのRAM
  • 50GBのハードディスクスペース
  • Webサーバー(IIS)のサーバーの役割:

    • アプリケーション展開:ASP. NET 4.5.2
    • セキュリティ:基本認証
    • セキュリティ:Windows認証

Citrix Filesのプラットフォーム要件:

  • Citrix Filesインストーラーには、Windows Serverの管理者権限が必要です
  • Citrix Files管理ユーザー名

ポート要件

デバイスとアプリがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の図は、Endpoint Managementのトラフィックフローです。

Endpoint Managementのトラフィックフローの図

次のセクションに、開く必要があるポートを一覧で示します。

Citrix Gatewayのポート要件

Citrix Secure HubおよびCitrix WorkspaceからCitrix Gateway経由でユーザーが接続できるようにするポートを開きます:

  • Endpoint Management
  • StoreFront
  • イントラネットWebサイトなどのその他の内部ネットワークリソース

Citrix Gatewayについて詳しくは、Citrix Gatewayドキュメントの「Endpoint Management環境の設定の構成」を参照してください。NetScalerが所有するIPアドレスについて詳しくは、NetScalerドキュメントの「NetScalerアプライアンスとクライアント/サーバーとの通信方法」を参照してください。NetScaler IP(NSIP)、仮想サーバーIP(VIP)、サブネットIP(SNIP)のアドレスの情報は参照先のセクションに記載されています。

TCPポート 説明 接続元 接続先
53 (TCPとUDP) DNS接続に使用されます。 Citrix Gateway SNIP DNS サーバー
80/443 Citrix Gatewayは、2番目のファイアウォールを介してMicro VPN接続を内部ネットワークリソースに渡します。 Citrix Gateway SNIP イントラネットWebサイト
123 (TCP と UDP) ネットワークタイムプロトコル(Network Time Protocol:NTP)サービスに使用されます。 Citrix Gateway SNIP NTPサーバー
389 セキュリティで保護されないLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはMicrosoft Active Directory
443 Citrix WorkspaceからStoreFrontへの接続、Citrix Virtual Apps and Desktopsへの接続に使用されます。 インターネット Citrix Gateway
443 Web、モバイル、およびSaaSアプリの配信のためのEndpoint Managementへの接続に使用されます。 インターネット Citrix Gateway
443 Cloud Connector通信に使用 - LDAP、DNS、PKI、Citrix Workspaceの列挙 Cloud Connectorサーバー https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 セキュリティで保護されるLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
1494 内部ネットワーク内のWindowsベースのアプリケーションへのICAコネクションに使用されます。このポートは開いたままにしておくことをお勧めします。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 RADIUS接続に使用されます。 Citrix Gateway NSIP RADIUS認証サーバー
2598 セッション画面の保持を使用した内部ネットワーク内のWindowsベースのアプリケーションへの接続に使用されます。このポートは開いたままにしておくことをお勧めします。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 Microsoft Global Catalogのセキュリティで保護されるLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
8443 登録、アプリストア、モバイルアプリケーション管理(MAM)に使用されます。 Citrix Gateway SNIP Endpoint Management
8443 Secure Mail認証トークンに使用されるSecure Ticket Authority(STA)ポート Citrix Gateway SNIP Endpoint Management
4443 管理者がブラウザーを使用してEndpoint Managementコンソールにアクセスする場合に使用されます。 アクセスポイント(ブラウザー) Endpoint Management

ネットワークとファイアウォールの要件

デバイスとアプリがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の表に、これらのポートの一覧を示します。

内部ネットワークからCitrix Cloudへのポートを開く:

TCPポート 接続元IP 説明 接続先 接続先IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理コンソール https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   WebブラウザーからのEndpoind Managementコンソールへのアクセス Endpoint Management  

インターネットからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Endpoint Managementクライアントデバイス   Citrix Gateway IP  
443 Endpoint Managementクライアントデバイス   NetScaler VIP Citrix Files  
443 Citrix FilesパブリックIP CTX208318 NetScaler VIP Citrix Files  

DMZから内部ネットワークへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
389または636 NetScaler NSIP   Active Directory IP  
53(UDP) NetScaler NSIP   DNSサーバーIP  
443 NetScaler SNIP   Exchange(EAS)サーバーIP  
443 NetScaler SNIP   内部Webアプリ/サービス  
443 NetScaler SNIP   StorageZonesコントローラーIP  

内部ネットワークからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 管理クライアント   NetScaler NSIP  

内部ネットワークからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Exchange(EAS)サーバーIP   Endpoint Managementプッシュ通知リスナー(1)  
443 StorageZonesコントローラーIP   Citrix Filesコントロールプレーン CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

企業Wi-Fiからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
5223 Endpoint Managementクライアントデバイス   Apple APNSサーバー 17.0.0.0/8
5228 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
5229 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
5230 Endpoint Managementクライアントデバイス   Google Cloud Messaging android.apis.google.com
443 Endpoint Managementクライアントデバイス   Windowsプッシュ通知サービス *.notify.windows.com
443/80 Endpoint Managementクライアントデバイス   Apple iTunes App Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Endpoint Managementクライアントデバイス   Google Play play.google.com, android.clients.google.com, android.l.google.com
443/80 Endpoint Managementクライアントデバイス   Microsoftアプリストア login.live.com, *.notify.windows.com
443 Endpoint Managementクライアントデバイス   Endpoint Management AutoDiscoveryサービス ads.xm.cloud.com(2019年1月1日時点でサポートされているSecure Hubバージョン)(discovery.mdm.zenprise.com(Secure Hub 10.6.15以前)
8443/443 Endpoint Managementクライアントデバイス   Endpoint Management  
443 StorageZonesコントローラーIP   Citrix Filesコントロールプレーン CTX208318

自動検出サービスの接続のポート要件

このポート構成では、Secure Hub for Androidから接続するAndroidデバイスで内部ネットワークからEndpoint Management AutoDiscoveryサービス(ADS)にアクセスできるようにします。ADSを介して利用可能なセキュリティ更新プログラムをダウンロードするとき、ADSにアクセスする能力は重要です。

ADS接続ではプロキシサーバーがサポートされない可能性があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスすることを可能にします。

証明書ピン留めを有効にする場合は、次の前提条件を完了します。

  • Endpoint ManagementサーバーとNetScalerの証明書を収集します。証明書はPEM形式で、秘密キーではなく公開証明書である必要があります。
  • シトリックスサポートに証明書ピン留めの有効化を依頼します。このプロセスで、証明書の提出を求められます。

証明書ピン留めでは、デバイスを登録前にADSに接続する必要があります。この要件により、最新のセキュリティ情報がSecure Hubで利用できることが保証されます。Secure Hubでデバイスを登録する場合、デバイスがADSにアクセスできる必要があります。したがって、内部ネットワーク内でADSアクセスを可能にすることは、デバイスの登録を有効にするために重要です。

Secure Hub for AndroidにADSへのアクセスを許可するには、以下のFQDNおよびIPアドレスのポート443を開放します:

完全修飾ドメイン名 IP アドレス ポート IPとポートの使用
ads.xm.cloud.com(2019年1月1日時点でサポートされているSecure Hubバージョン)(discovery.mdm.zenprise.com(Secure Hub 10.6.15以前) 52.5.138.94 443 Secure Hub - ADS通信
ads.xm.cloud.com(2019年1月1日時点でサポートされているSecure Hubバージョン)(discovery.mdm.zenprise.com(Secure Hub 10.6.15以前) 52.1.30.122 443 Secure Hub - ADS通信
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS通信
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS通信

システム要件