Citrix Endpoint Management

システム要件

シトリックスがEndpoint Managementをプロビジョニングしている間、Cloud ConnectorをインストールしてEndpoint Managementの展開を準備してください。Endpoint Managementソリューションはシトリックスがホストしていますが、一部の通信とポートの設定が必要です。これによって、Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。

Cloud Connectorの要件

Citrixでは、Cloud Connectorを使用してEndpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、ポート443を介してEndpoint Managementに次のリソースの場所を安全に統合します:LDAP、PKIサーバー、内部DNSクエリ、およびCitrix Workspaceの列挙。

  • Active Directoryドメインに参加している少なくとも2台の専用Windows Serverマシン。マシンは仮想マシンでも物理マシンでもかまいません。適切なインストールおよび操作のために、Cloud Connectorをインストールするマシンは、UTC時間と同期している必要があります。最新の要件の完全な一覧については、シトリックスアカウントチームが提供する展開資料を参照してください。

    オンボードウィザードでは、これらのマシンにCloud Connectorをインストールする方法について順を追って説明します。

  • プラットフォームのシステム要件について詳しくは、「Citrix Cloud Connector」を参照してください。

サポートされるActive Directoryの機能レベル

Endpoint Managementと合わせて使用することで、Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。

フォレスト機能レベル ドメイン機能レベル サポートされるドメインコントローラー
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

Citrix Gatewayの要件

Endpoint Managementでは、次のシナリオに対応するためにリソースの場所にCitrix Gatewayがインストールされている必要があります:

  • 基幹業務アプリのために内部ネットワークリソースにアクセスするには、マイクロVPNが必要。これらのアプリは、シトリックスのMDXテクノロジでラップされています。マイクロVPNは、内部バックエンドインフラストラクチャに接続するためにCitrix Gatewayが必要です。
  • Citrix業務用モバイルアプリ(Citrix Secure Mailなど)を使用する予定。
  • Endpoint ManagementとMicrosoft Endpoint Managerを統合する予定である。

以下は要件です:

  • ドメイン(LDAP)認証
  • Citrix Gateway 12.1以降。プラットフォームライセンスまたはユニバーサルライセンスが必要

詳しくは、「ライセンス」を参照してください。

  • パブリックSSL証明書。

詳しくは、「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。

Citrix Gatewayの要件については、シトリックスアカウントチームが提供する展開資料を参照してください。

Android Enterpriseの要件について詳しくは、「Android Enterprise」セクションを参照してください。

Citrix Filesの要件

Endpoint Management Premium Serviceオファリングでは、Citrix Filesのファイル同期と共有サービスを利用できます。Storage Zone Controllerを使用すると、Citrix Filesアカウントでプライベートデータストレージを使用できるようになり、Citrix Files SaaS(Software as a Service)のクラウドストレージが拡張されます。

Storage Zone Controllerの要件:

  • 専用の物理マシンまたは仮想マシン
  • Windows Server 2012 R2またはWindows Server 2016
  • 2つのvCPU
  • 4GBのRAM
  • 50GBのハードディスクスペース
  • Webサーバー(IIS)のサーバーの役割:

    • アプリケーション展開:ASP. NET 4.5.2
    • セキュリティ:基本認証
    • セキュリティ:Windows認証

Citrix Filesのプラットフォーム要件:

  • Citrix Filesインストーラーには、Windows Serverの管理者権限が必要です
  • Citrix Files管理ユーザー名

ポート要件

デバイスとアプリがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の図は、Endpoint Managementのトラフィックフローです。

Endpoint Managementのトラフィックフロー

次のセクションに、開く必要があるポートを一覧で示します。業務用モバイルアプリで使用するURLについて詳しくは、「機能フラグ管理」を参照してください。

Citrix Gatewayのポート要件

Citrix Secure HubおよびCitrix WorkspaceからCitrix Gateway経由でユーザーが接続できるようにするポートを開きます:

  • Endpoint Management
  • StoreFront
  • イントラネットWebサイトなどのその他の内部ネットワークリソース

Citrix Gatewayについて詳しくは、Citrix Gatewayドキュメントの「Endpoint Management環境の設定の構成」を参照してください。IPアドレスについては、Citrix Gatewayのドキュメントで「Citrix GatewayがIPアドレスを使用する方法」を参照してください。

TCPポート 説明 接続元 接続先
53 (TCPとUDP) DNS接続に使用されます。 Citrix Gateway SNIP DNS サーバー
80/443 Citrix Gatewayは、2番目のファイアウォールを介してマイクロVPN接続を内部ネットワークリソースに渡します。 Citrix Gateway SNIP イントラネットWebサイト
123 (TCP と UDP) ネットワークタイムプロトコル(Network Time Protocol:NTP)サービスに使用されます。 Citrix Gateway SNIP NTPサーバー
389 セキュリティで保護されないLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはMicrosoft Active Directory
443 Citrix WorkspaceからStoreFrontへの接続、Citrix Virtual Apps and Desktopsへの接続に使用されます。 インターネット Citrix Gateway
443 Web、モバイル、およびSaaSアプリの配信のためのEndpoint Managementへの接続に使用されます。 インターネット Citrix Gateway
443 Cloud Connector通信に使用 - LDAP、DNS、PKI、Citrix Workspaceの列挙 Cloud Connectorサーバー https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 Endpoint Management Self Help Portalが有効な場合に、Webブラウザーからアクセスするために使用されます。 アクセスポイント(ブラウザー) Endpoint Management(https://<sitename>/zdm/shp
636 セキュリティで保護されるLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
1494 内部ネットワーク内のWindowsベースのアプリケーションへのICAコネクションに使用されます。このポートは開いたままにしておくことをお勧めします。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 RADIUS接続に使用されます。 Citrix Gateway NSIP RADIUS認証サーバー
2598 セッション画面の保持を使用した内部ネットワーク内のWindowsベースのアプリケーションへの接続に使用されます。このポートは開いたままにしておくことをお勧めします。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 Microsoft Global Catalogのセキュリティで保護されるLDAP接続に使用されます。 Citrix Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
4443 管理者がブラウザーを使用してEndpoint Managementコンソールにアクセスする場合に使用されます。 アクセスポイント(ブラウザー) Endpoint Management
8443 登録、アプリストア、モバイルアプリケーション管理(MAM)に使用されます。 Citrix Gateway SNIP Endpoint Management
8443 Secure Mail認証トークンに使用されるSecure Ticket Authority(STA)ポート Citrix Gateway SNIP Endpoint Management

ネットワークとファイアウォールの要件

デバイスとアプリがEndpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の表に、これらのポートの一覧を示します。

内部ネットワークからCitrix Cloudへのポートを開く:

TCPポート 接続元IP 説明 接続先 接続先IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理コンソール https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   Webブラウザー経由のEndpoint Management Self Help Portalアクセス(ポータルが有効な場合) Endpoint Management  
4443   WebブラウザーからのEndpoint Managementコンソールへのアクセス Endpoint Management  

インターネットからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Endpoint Managementクライアントデバイス   Citrix Gateway IP  
443 Endpoint Managementクライアントデバイス   Citrix Gateway VIP  
443 Citrix FilesパブリックIP CTX208318 Citrix Gateway VIP  

DMZから内部ネットワークへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
389または636 Citrix Gateway NSIP   Active Directory IP  
53(UDP) Citrix Gateway NSIP   DNSサーバーIP  
443 Citrix Gateway SNIP   Exchange(EAS)サーバーIP  
443 Citrix Gateway SNIP   内部Webアプリ/サービス  
443 Citrix Gateway SNIP   Storage Zone Controller IP  

内部ネットワークからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 管理クライアント   Citrix Gateway NSIP  

内部ネットワークからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Exchange(EAS)サーバーIP   Endpoint Managementプッシュ通知リスナー(1)  
443 Storage Zone Controller IP   Citrix Filesコントロールプレーン CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

企業Wi-Fiからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
8443/443 Endpoint Managementクライアントデバイス   Endpoint Management  
5223 Endpoint Managementクライアントデバイス   Apple APNSサーバー 17.0.0.0/8
5228 Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5229 Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5230 Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
443 Endpoint Managementクライアントデバイス   Firebase Cloud Messaging fcm.googleapis.com
443 Endpoint Managementクライアントデバイス   Windowsプッシュ通知サービス *.notify.windows.com
443/80 Endpoint Managementクライアントデバイス   Apple iTunes App Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Endpoint Managementクライアントデバイス   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443/80 Endpoint Managementクライアントデバイス   Microsoftアプリストア login.live.com, *.notify.windows.com
443 Endpoint Managementクライアントデバイス   iOSおよびAndroid向けEndpoint Management AutoDiscoveryサービス discovery.cem.cloud.us
443 Endpoint Managementクライアントデバイス   Windows向けEndpoint Management AutoDiscoveryサービス enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
443 Storage Zone Controller IP   Citrix Filesコントロールプレーン CTX208318
443 Endpoint Managementクライアントデバイス   Google Mobile Management、Google API、Google PlayストアAPI *.googleapis.com
443 Endpoint Managementクライアントデバイス   CloudDPC v470より前の接続性チェック。N MR1以降のAndroid接続性チェックでは、https://www.google.com/generate_204にアクセスできるか、指定されたWi-Fiネットワークでアクセス可能なPACファイルが指定されている必要があります。 connectivitycheck.android.com, www.google.com

AutoDiscoveryサービスの接続のポート要件

このポート構成では、Secure Hub for Androidから接続するAndroidデバイスで内部ネットワークからEndpoint Management AutoDiscoveryサービス(ADS)にアクセスできるようにします。ADSを介して利用可能なセキュリティ更新プログラムをダウンロードするとき、ADSにアクセスする能力は重要です。

注:

ADS接続ではプロキシサーバーがサポートされない可能性があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスすることを可能にします。

証明書ピン留めを有効にする場合は、次の前提条件を完了します。

  • Endpoint ManagementサーバーとCitrix Gatewayの証明書を収集する: 証明書はPEM形式で、秘密キーではなく公開証明書である必要があります。
  • シトリックスサポートに証明書ピン留めの有効化を依頼する: このプロセスで、証明書の提出を求められます。

証明書ピン留めでは、デバイスを登録前にADSに接続する必要があります。この要件により、最新のセキュリティ情報がSecure Hubで利用できることが保証されます。Secure Hubでデバイスを登録する場合、デバイスがADSにアクセスできる必要があります。したがって、内部ネットワーク内でADSアクセスを可能にすることは、デバイスの登録を有効にするために重要です。

Secure Hub for Android/iOSにADSへのアクセスを許可するには、以下のFQDNのポート443を開放します:

完全修飾ドメイン名 ポート IPとポートの使用
discovery.cem.cloud.us 443 Secure Hub - CloudFront経由のADS通信

サポートされているIPアドレスについては、AWSのクラウドベースのストレージセンターを参照してください。

Android Enterpriseのネットワーク要件

Android Enterpriseのネットワーク環境設定時に考慮すべき発信接続について詳しくは、Googleのサポート記事Android Enterprise Network Requirementsを参照してください。

システム要件