StoreFront のSecure Private Accessによるブラウザ制限

Secure Private Accessソリューションを使用して、StoreFront でWebアプリとSaaSアプリを構成できるようになりました。アプリを構成すると、エンドユーザーはセキュリティが強化されたCitrix Enterprise Browserを使用してWebアプリやSaaSアプリを開くことができます。

StoreFront のSecure Private Accessのサポートについて詳しくは、以下を参照してください:

Citrix Enterprise Browserでのエンドユーザーアクセスの制限

管理者は、Secure Private Accessソリューションを使用して、エンドユーザー向けのCitrix Enterprise Browserに次のアクセス制限を適用できます。

クリップボードへのアクセスを制限する

アプリとエンドポイントのクリップボード間の切り取り、コピー、貼り付け操作を無効にします。

クリップボードへのアクセスが制限されています

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 クリップボード 」を参照してください。

印刷を制限

アプリ内から印刷する機能を無効にします。

制限される印刷

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 印刷 」を参照してください。

ダウンロードを制限

Web アプリや SaaS アプリ内からダウンロードしたり、ブラウザーからファイルをコピーしたりする機能を無効にします。

制限されるダウンロード

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 ダウンロード 」を参照してください。

アップロードを制限

ファイルをアップロードする機能を無効にします。

アップロードが制限されています

注:

アップロード制限機能は次の場所で利用できます。

  • Windows 105.1.1.27 およびそれ以降
  • Mac 105.1.1.36 およびそれ以降

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 アップロード 」を参照してください。

ウォーターマークを表示

エンドポイントのユーザー名とパブリックIPアドレスを示す画面ベースのウォーターマークをオーバーレイします。

注:

[ ナビゲーションを制限 ] オプションはサポートされていません。

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 ウォーターマーク 」を参照してください。

アプリ保護ポリシー

キーロギングを制限する

キーロガーからユーザーを保護します。

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 キーロギング保護 」を参照してください。

画面キャプチャを制限する

このポリシーが適用されるアプリのスクリーンショットまたは画面記録のキャプチャを無効にします。このポリシーは、保護されたタブがブラウザーウィンドウに表示されている(最小化されていない)かぎり、適用されます。

詳しくは、Citrix Secure Private Access製品ドキュメントの「 スクリーンキャプチャ 」を参照してください。

個人データのマスキング

管理者は、 個人データマスキング制限を利用して 、クレジットカード番号、社会保障番号、日付など、さまざまな種類の個人識別情報(PII)を隠すことができます。マスクされたコンテンツは、コピーまたは印刷しても保護されるため、機密情報を包括的に保護できます。

個人情報タイプ

個人データのマスキング制限には、情報を完全にまたは部分的に非表示にするオプションがあります。フルマスキングオプションは情報を完全にマスクします部分マスキングオプションを使用すると 、情報の関連領域をマスクできます。

フルマスキング

部分マスキングオプションでは 、管理者は情報からマスクする文字数(最初または最後)を選択できます。それぞれのテキストボックスに文字数を入力できます。

部分マスキング

さらに、管理者は、正規表現を使用して要件に応じてカスタムPII検出ルールを柔軟に定義できます。この機能により、Web ページから特定の情報を検出してマスクすることができます。

注:

この機能は正規表現 2 (RE2) のみをサポートします。詳細については、「WhyRE2」および「RE2構文」を参照してください。

この制限を有効にすると、Citrix Enterprise Browserはマスク対象として選択したPIIを検出してマスクし、エンドユーザーに通知を表示します。

UX

構成

この制限の構成について詳しくは、Citrix Secure Private Accessドキュメントの「 個人データマスキング 」を参照してください。

管理コンソール

注:

  • PII 検出ルールを定義する場合、正規表現を展開する前にテストすることをお勧めします。
  • PII マスキングは、編集可能なコンテンツを含む PDF ファイル、画像、Web ページには適用されません。

詳しくは、Citrix Secure Private Access製品ドキュメントの「 個人データマスキング 」を参照してください。

セキュリティグループのクリップボード制限

管理者は、Global App Configuration Service (GACS) またはSecure Private Access、またはこれら2つの組み合わせを使用して、クリップボードの制限を管理できます。これにより、不正なデータ転送やデータ漏洩のリスクが最小限に抑えられるため、セキュリティ要件が厳しい組織にとって不可欠な機能となります。

注:

Global App Configuration Service (GACS) によるクリップボード制限の管理の詳細については、「クリップボード制限」を参照してください。

Secure Private Accessを通じてクリップボードへのアクセスを制限する

Secure Private Access を使用してクリップボードの制限を管理する場合、制限は制限対象として追加されたアプリの URL にのみ適用されます。

セキュリティグループを使用したクリップボード制限

クリップボードへのアクセスを、Citrix Secure Private Accessで構成され、Citrix Enterprise Browserで開いている特定のアプリに制限するには、管理者はセキュリティグループを作成し、それらの特定のアプリをそのグループに追加する必要があります。これにより、エンドユーザーは、そのセキュリティグループ内のアプリ間でのみコンテンツをコピーして貼り付けることができます。たとえば、Wikipedia、Pinterest、Dribble のアプリを追加してセキュリティグループを作成するとします。そのため、ユーザーがCitrix Workspaceからこれらのアプリを開くと、これら3つのアプリ間でのみコンテンツをコピーして貼り付けることができます。

セキュリティグループを作成し、指定したアプリグループを追加するには、Citrix Secure Private Access製品ドキュメントの「 セキュリティグループの作成 」を参照してください。

管理者がセキュリティグループのアプリと、自分のマシン上の他のローカルアプリまたは未公開アプリ間でのコンテンツのコピーアンドペーストを有効にする必要がある場合は、「 セキュリティグループと他の未公開アプリ間のコピーアンドペーストを有効にする」を参照してください。

注:

セキュリティグループ内の特定のアプリのコピーアンドペースト機能を有効または無効にするなど、管理者がセキュリティグループ内の特定のアプリに対してより厳しい制限を課したい場合は、その特定のアプリのアクセスポリシーを作成して管理できます。アクセスポリシールールのセキュリティ設定には、 **コピーと貼り付けの**2 つのアクセス設定オプションがあります。この機能について詳しくは、Citrix Secure Private Access製品ドキュメントの「 詳細なレベルのコピーまたは貼り付けを有効にする 」を参照してください。

セキュリティグループと他の未公開アプリ間のコピーアンドペーストを有効にする

管理者は、セキュリティグループのアプリと Enterprise ブラウザで開いている他の未公開アプリとの間、またはシステム内に存在する他のネイティブアプリとの間で、エンドユーザーがコピーアンドペースト機能を実行できるようにすることもできます。これを管理するには、セキュリティグループの [ クリップボードの詳細設定] オプションを使用できます。次のオプションのいずれかを選択して、要件に応じて設定を管理できます。

セキュリティグループから未公開ドメインへのデータのコピーを許可:セキュリティグループのアプリから 、Secure Private Access で公開されていないウェブサイトへのデータのコピーを有効にします。

セキュリティグループからネイティブアプリへのデータのコピーを許可: セキュリティグループのアプリからマシン上のローカルアプリへのデータのコピーを有効にします。

未公開ドメインからセキュリティグループへのデータのコピーを許可: Secure Private Access で公開されていないアプリから、セキュリティグループのウェブサイトへのデータのコピーを有効にします。

セキュリティグループのオペレーティングシステムであるネイティブアプリからのデータのコピーを許可: マシン上のローカルアプリからセキュリティグループのアプリへのデータのコピーを有効にします。

詳しくは、Citrix Secure Private Access製品ドキュメントの「 高度なクリップボード設定 」を参照してください。

注:

  • GACS とSecure Private Accessの両方を使用してクリップボード制限を適用する場合、Secure Private Accessを通じて適用された制限が GACS よりも優先されます。
  • コピー貼り付け、クリップボードなどの個別の制限は、 **セキュリティグループのクリップボード制限よりも優先されます**。

詳しくは、Citrix Secure Private Access製品ドキュメントの「セキュリティグループのクリップボード制限 」を参照してください。

エンドユーザーエクスペリエンス

任意の Web ページでクリップボード制限が有効になっている場合、制限された Web ページにユーザーがコンテンツを貼り付けようとすると、次の通知が表示されます。

貼り付けがブロックされました

クリップボード制限を有効にすると、右クリックメニューリストで [ 切り取り]、[ コピー ]、[ 貼り付け ] 機能が無効になります。または、キーボードショートカットを使用するか、[ その他() ] > [ **検索と編集** ] から [ 切り取り ]、[ コピー]、[貼り付け] オプションにアクセスする必要があります。

右クリックメニューリスト

ファイルタイプによるアップロード制限

管理者は、MIME(multi-purpose internet mail extensions)タイプに基づいてファイルのアップロードを制限できます。すべてのファイルのアップロードを有効または無効にできるアップロードポリシーとは異なりファイルタイプ別のアップロード制限ポリシーでは、特定の MIME タイプのファイルアップロードを有効または無効にできます

エンドユーザーが制限されたファイルタイプをアップロードしようとすると、Citrix Enterprise Browserは警告メッセージを表示します。

ファイル形式の制限付きアップロード

この制限の構成について詳しくは、Citrix Secure Private Accessドキュメントの「 ファイルタイプ別のアップロード制限 」を参照してください。

ファイルタイプによるダウンロード制限

管理者は、MIME(multi-purpose internet mail extensions)タイプに基づいてファイルのダウンロードを制限できます。すべてのファイルダウンロードを有効または無効にできるダウンロードポリシーとは異なりファイルタイプ別のダウンロード制限ポリシーでは特定の MIME タイプのファイルダウンロードを有効または無効にできます

ファイル形式の制限付きダウンロード

この制限の構成について詳しくは、Citrix Secure Private Accessドキュメントの「 ファイルタイプ別のダウンロード制限 」を参照してください。

注:

ポリシーで [ アップロード ] と [ファイルタイプ制限によるアップロード制限] の両方が有効になっている場合は、 アップロード制限がもう一方の制限よりも優先されます 。同様に、 **あるポリシーでダウンロード制限とファイルタイプ制限によるダウンロード制限の両方が有効になっている場合** 、 ダウンロード制限が他の制限よりも優先されます

プリンター管理

企業は機密文書の印刷や不正なデータ共有を防止できるようになりました。管理者は、Secure Private Access経由でこのポリシーを構成できます。管理者は、[Save as PDF] オプションを使用して、ネットワークプリンター、ローカルプリンター、印刷の動作を構成できます。

Windowsの場合:

Image

Macの場合:

Image

エンドユーザーのプリンターへのアクセスを制御するために、次のオプションを使用できます:

  • Network printers: ネットワークプリンターは、ネットワークに接続され、複数のユーザーが使用できるプリンターです。
    • Disabled: ネットワーク内のすべてのネットワークプリンターからの印刷が無効になります。
    • Enabled: すべてのネットワークプリンターからの印刷が有効になります。プリンターのホスト名が指定されている場合、指定されたプリンター以外のすべてのネットワークプリンターがブロックされます。

注:

プリンターはホスト名によって識別されます。

  • Local printers: ローカルプリンターは、個々のコンピューターに直接接続されたデバイスです。この接続は通常、Bluetooth、USB、パラレルポート、またはその他の直接インターフェイス経由で実行されます。
    • Disabled: すべてのローカルプリンターからの印刷が無効になります。
    • Enabled: すべてのローカルプリンターからの印刷が有効になります。
  • Print using Save as PDF
    • Disabled: コンテンツをPDF形式で保存するための[Save as PDF]オプションは無効になっています。
    • Enabled: コンテンツをPDF形式で保存するための[Save as PDF]オプションは有効になっています。

注:

  • 管理者が特定の印刷オプションを無効にしている場合、それらのオプションはエンドユーザーに対して灰色表示されます。
  • エンドユーザーは、デバイス上でネットワークプリンターの名前が変更されると、そのネットワークプリンターを使用できなくなります。

詳しくは、Citrix Secure Private Access 製品ドキュメントの「 プリンター管理 」を参照してください。

StoreFront のSecure Private Accessによるブラウザ制限