Citrix Endpoint Management 環境の設定の構成

Citrix Endpoint Management 用Citrix ADCウィザードの指示に従って、Citrix Endpoint Management 展開用のCitrix ADC機能の構成を行います。このウィザードを使用すると、次の操作を実行できます。

  • マイクロ VPN を設定します。このシナリオでは、リモートユーザーは内部ネットワークのアプリやデスクトップにアクセスできます。

    • Citrix Endpoint Management MAM専用モードでは、認証にCitrix Gateway を使用する必要があります。

    • MDMの展開では、モバイルデバイスVPNとしてCitrix Gatewayをお勧めします。

    • ENT展開では、ユーザーがMDM登録をオプトアウトすると、デバイスは従来のMAMモードで動作し、Citrix Gateway のFQDNを使用して登録されます。

  • 証明書ベースの認証を構成します。 Citrix Endpoint Management デフォルト構成は、ユーザー名とパスワード認証です。Citrix Endpoint Management 環境への登録とアクセスのセキュリティをさらに強化するには、証明書ベースの認証の使用を検討してください。
  • Citrix Endpoint Management サーバーの負荷を分散します。Citrix ADCの負荷分散は、複数のCitrix Endpoint Management サーバーがある場合、またはCitrix Endpoint Management がDMZまたは内部ネットワーク内にある場合(したがって、デバイスからCitrix ADCにトラフィックが流れる)、すべてのCitrix Endpoint Management デバイスモードに必要です。このシナリオでは、Citrix ADCアプライアンスはユーザーデバイスとCitrix Endpoint Management サーバー間のDMZに存在し、モバイルデバイスからCitrix Endpoint Management サーバーに暗号化された送信データを負荷分散します。
  • メールフィルタリング機能を備えたMicrosoft Exchangeサーバの負荷を分散します。このシナリオでは、Citrix ADCアプライアンスは、ユーザーデバイスとCitrix Endpoint Management Citrix ADCコネクタ(XNC)との間、およびユーザーデバイスとMicrosoft Exchange CASサーバーの間にあります。ユーザーデバイスからの要求はすべてCitrix Gateway アプライアンスに送信され、XNCと通信してデバイスに関する情報を取得します。XNCからの応答に応じて、Citrix ADCアプライアンスはホワイトリストに登録されたデバイスから内部ネットワークのサーバーに要求を転送するか、ブラックリストに登録されたデバイスからの接続を切断します。
  • 要求されたコンテンツの種類に基づいて、ShareFileストレージゾーン・コネクタのロード・バランシングを行います。このシナリオでは、StorageZones Controller 環境に関する基本情報の入力を求められ、次の処理を行う構成が生成されます。
    • ストレージ・ゾーン・コントローラ間でトラフィックのロード・バランシングを行います。
    • ストレージ・ゾーン・コネクタのユーザー認証を提供します。
    • ShareFileアップロードとダウンロードのURI署名を検証します。
    • Citrix ADCアプライアンスでSSL接続を終了します。

ShareFileの構成について詳しくは、「StorageZones Controller 用のCitrix ADC 構成」を参照してください。

重要

Citrix Endpoint Management ウィザードを使用する前に、以下のCitrix Endpoint Managementの展開に関する記事を参照して、設計と展開に関する情報と推奨事項を確認してください。

Citrix Endpoint Management 統合

Citrix GatewayおよびCitrix ADCとの統合

MDXアプリのSSOとプロキシの考慮事項

認証

Citrix Endpoint Management 用Citrix ADCウィザードは、1回だけ使用できます。テスト環境、開発環境、実稼働環境など、複数のCitrix Endpoint Management インスタンスが必要な場合は、追加の環境用にCitrix ADCを手動で構成する必要があります。以下のサポート記事では、ウィザードで実行されるコマンドの一覧と、それらのコマンドを実行して新しいCitrix ADCインスタンスを作成する方法を説明します。

Citrix ADC-SSLブリッジでCitrix Endpoint Management ウィザードによって生成されるコマンド

Citrix ADC-SSLオフロードでCitrix Endpoint Management ウィザードによって生成されるコマンド

Citrix ADC機能のライセンス要件

以下のCitrix ADC機能を有効にするには、ライセンスをインストールする必要があります。

  • Citrix Endpoint Management MDM負荷分散には、Citrix ADC標準ライセンスが必要です。
  • ストレージゾーンを使用したShareFile負荷分散には、Citrix ADC標準ライセンスが必要です。
  • Exchangeの負荷分散には、Citrix ADCライセンスまたは統合キャッシュライセンスを追加したAdvancedライセンスが必要です。

Citrix Endpoint Management ウィザード用Citrix ADCウィザード

このセクションでは、Citrix ADC for Citrix Endpoint Management ウィザードを使用して以下の操作を行う例を示します。

  • 内部ネットワーク内のCitrix Endpoint Managementで管理されるリソースへのリモートユーザー接続用のマイクロVPNアクセスをセットアップする
  • 証明書ベースの認証を構成します。パブリックSSL証明書の取得とインストールについては、「証明書のインストールと管理」を参照してください。
  • Citrix Endpoint Management サーバーの負荷分散を構成します。

ウィザードを使用するには、次の手順に従います。

  1. 構成ユーティリティで、[ 構成 ]タブをクリックし、 [Citrix Endpoint Management] をクリックします。

    ローカライズされた画像

  2. Citrix Endpoint Management のバージョンを選択し、[ 開始]をクリックします。
  3. 設定する機能のチェックボックスをオンにします。このウィザードは 1 回だけ使用できるため、以降の構成を手動で実行する必要があります。これらの手順は、次の設定を選択することを前提としています。 Citrix Gateway 経由のアクセス (ENTモードまたはMAMモードで実行されているCitrix Endpoint Management 用) 負荷分散Citrix Endpoint Management サーバー

    ローカライズされた画像

  4. Citrix Gateway 設定 ページで、外部のCitrix GatewayのIPアドレスポート仮想サーバー名 の値を入力します。

    ローカライズされた画像

  5. Citrix Gateway のサーバー証明書 ]ページの[ 証明書ファイル ]ドロップダウンメニューから、[ ローカル ]または[ アプライアンス ]から証明書ファイルを選択します。証明書がローカルマシン上にある場合:

    ローカライズされた画像

    証明書がアプライアンス上にある場合:

    ローカライズされた画像

  6. [ 認証設定] ページの [プライマリ認証方法 ] フィールドで、[ クライアント証明書 ] を選択します。

    これによって、次の2つのフィールドで自動的に[Use existing certificate policy]および[Cert Auth]を選択します。次の手順では、証明書ポリシーがすでにあることを前提しています。

    証明書を作成する必要がある場合、[Create certificate policy]をクリックして、設定を完了します。[ Citrix Endpoint Management 証明書 ]画面で、既存のサーバー証明書を選択するか、新しい証明書をインストールします。複数のCitrix Endpoint Management サーバーを実行している場合は、それぞれに証明書を追加します。[ サーバーログオン名の属性]で、要件に応じて、 ユーザープリンシパル名または samAccountNameを指定します。

    ローカライズされた画像

    • a.[ ここをクリックして CA 証明書を変更してください] を選択し、[ 参照] ボックスの一覧で目的の CA 証明書に移動します。

      ローカライズされた画像

    • b. プライマリ認証タイプとしてクライアント証明書を使用する場合、セカンダリ認証タイプとして LDPA(または RADIUS)を設定できます。

      クライアント証明書認証のみを使用するには、[ 2 番目の認証方法 ] を [ なし ] のままにして、[ 続行 ] をクリックします。

      クライアント証明書+ドメイン (LDAP) 認証を使用するには、[ 2 番目の認証方法 ] を [ LDAP ] に変更し、認証サーバーの設定を構成します。

    • c. [ デバイス証明書 ]画面で、証明書がまだインストールされていない場合は、Citrix Endpoint Management コンソールからこの証明書をエクスポートする必要があります。コンソールで、右上隅にある歯車アイコンをクリックして [設定] 画面を開きます。

    • d. [ 証明書 ] をクリックし、一覧から CA 証明書を選択します。

    • e.[エクスポート] をクリックします。

    • f. Citrix ADCウィザードに戻り、エクスポートした(ダウンロードした)証明書を選択してインストールします。

    • g.[続行] をクリックします。

    設定したCitrix Endpoint Management IPアドレスが表示されます。

  7. Citrix Endpoint Management アプリケーションの管理設定を構成します。

    ローカライズされた画像

    • Citrix Endpoint Management の FQDNを入力します。これは MAM のロードバランシング FQDN です。
    • Citrix Endpoint Management サーバーの 負荷分散を行う仮想サーバーの、MAM専用内部負荷分散IPアドレスを 入力します。Citrix Gateway は、このMAM負荷分散仮想IPを介してCitrix Endpoint Management と通信します。
    • これはSSLオフロード展開であるため、 [Citrix Endpoint Management サーバーとの通信 ]で[ HTTP ]を選択します。
    • MicroVPN フィールドのスプリット DNS モード は自動的に 両方 に設定されます。

    展開で分割トンネリングが必要な場合は、[ 分割トンネリングを有効にする] を選択します。次に、分割トンネリングを有効にする場合は、イントラネットアプリケーションバインディングを設定する必要があります。

    デフォルトでは、Secure Webアクセスは内部ネットワークにトンネリングされます。つまり、Secure Webはすべてのネットワークアクセスに対してアプリケーションごとのVPNトンネルを内部ネットワークに戻し、Citrix ADCアプライアンスは分割トンネル設定を使用します。

    ローカライズされた画像

  8. Citrix Gateway でユーザー接続の傍受ルールを構成するには、 イントラネットアプリケーションのバインドを構成する必要があります。バインドを追加するには、[ + ] をクリックします。

    ローカライズされた画像

  9. ネットワークアクセスを許可するためのパラメータを入力し、[ Create] をクリックします。

    ローカライズされた画像

  10. Citrix Endpoint Management 証明書を追加します。これは、MAM 負荷分散仮想サーバーに使用されます。

    ローカライズされた画像

  11. Citrix Endpoint Management サーバー]で[ サーバーの追加]をクリックして、負荷分散仮想 IPにバインドするCitrix Endpoint ManagementIPアドレスを追加します。

    ローカライズされた画像

  12. Citrix ADC ダッシュボードで、Citrix Gateway とCitrix Endpoint Management 負荷分散が次のように構成されていることを確認します。

    ローカライズされた画像

    ユーザープリンシパル名 (UPN) の代わりとしてユーザー証明書で sAMAccount 属性を使用する場合は、の説明に従って証明書プロファイルを構成クライアント証明書認証のためのCitrix Gateway の手動構成します。