Citrix モバイル生産性アプリを使用したモバイルデバイスからのアクセスの許可

Citrix ADC for XenMobile ウィザードでは、サポートされているデバイスからCitrix Gateway 経由で内部ネットワークのモバイルアプリやリソースに接続するために必要な設定を構成します。ユーザーは、Secure Hub(以前はWorx Home)を使用して接続し、Micro VPNトンネルを確立します。ユーザーが接続すると、VPNトンネルがCitrix Gateway に開き、内部ネットワークのXenMobile に渡されます。ユーザーは、XenMobile からWeb、モバイル、およびSaaSアプリケーションにアクセスできます。

複数のデバイスでCitrix Gateway に同時に接続するときに、ユーザーが単一のユニバーサルライセンスを使用できるようにするには、仮想サーバーでセッション転送を有効にします。詳しくは、「仮想サーバでの接続タイプの設定」を参照してください。

Citrix ADC for XenMobile ウィザードを使用した後に構成を変更する必要がある場合は、この記事のセクションを参照してください。設定を変更する前に、変更の影響を理解しておいてください。詳細については、XenMobileの展開記事を参照してください。

Citrix Gateway でのSecure Browse 構成

Secure Browse は、グローバル設定の一部として、またはセッションプロファイルの一部として変更できます。セッション・ポリシーは、ユーザー、グループ、または仮想サーバーにバインドできます。Secure Browse を設定する場合は、クライアントレスアクセスも有効にする必要があります。ただし、クライアントレスアクセスでは、Secure Browse を有効にする必要はありません。クライアントレスアクセスを設定する場合は、 [クライアントレスアクセス URL エンコーディング] を [クリア] に設定します。

Secure Browse をグローバルに構成するには:

  1. 構成ユーティリティの [構成 ]タブのナビゲーションペインで Citrix Gateway を展開し、[ グローバル設定 ]をクリックします。
  2. 詳細ウィンドウで、[ 設定] の [ グローバル設定の変更] をクリックします。
  3. グローバルCitrix Gateway 設定 ]ダイアログボックスの[ セキュリティ]タブで、[セキュリティSecure Browse をクリックし、[ OK] をクリックします。

セッション・ポリシーおよびプロファイルでSecure Browse を構成するには:

  1. 構成ユーティリティーの 構成 タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]の順に展開し、[ セッション ]をクリックします。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • 新しいセッションポリシーを作成する場合は、[ Add] をクリックします。
    • 既存のポリシーを変更する場合は、ポリシーを選択して [ 開く] をクリックします。
  3. ポリシーで、新しいプロファイルを作成するか、既存のプロファイルを変更します。これを行うには、次のいずれかの操作を行います。
    • [ プロファイルの要求] の横にある [ 新規] をクリックします。
    • [ プロファイルの要求] の横にある [ 変更] をクリックします。
  4. [ セキュリティ ] タブの [セキュリティで Secure Browse ] の横にある [ グローバルに上書き ] をクリックし、[ セキュリティで保護された参照 ] を選択します。
  5. 次のいずれかを行います:
    • 新しいプロファイルを作成する場合は、[ Create] をクリックし、ポリシーダイアログボックスで式を設定し、[ Create] をクリックして、[ Close] をクリックします。
    • 既存のプロファイルを修正する場合は、選択後に [ OK ] を 2 回クリックします。

セキュアSecure Browse モードで Secure Web のトラフィックポリシーを設定するには:

次の手順に従って、Secure Web トラフィックをセキュアSecure Browse モードでプロキシサーバー経由でルーティングするトラフィックポリシーを設定します。

  1. 構成ユーティリティの [ 構成 ] タブで、[ Citrix Gateway] > [ポリシー ] を展開し、[ トラフィック ] をクリックします。
  2. 右ペインで、[ Traffic Profiles ] タブをクリックし、[ Add ] をクリックします。
  3. [ 名前] にプロファイルの名前を入力し、[ プロトコル] として [ TCP] を選択し、残りの設定はそのままにします。
  4. [作成] をクリックします。
  5. [ トラフィックプロファイル ] タブをクリックし、[ 追加 ] をクリックします。
  6. [ 名前]にプロファイルの名前を入力し、[ プロトコル] として [ HTTP] を選択します。 このトラフィックプロファイルは、HTTP と SSL の両方用です。CVPN トラフィックは、宛先ポートまたはサービスタイプに関係なく、設計上 HTTP トラフィックです。したがって、トラフィックプロファイルで SSL トラフィックと HTTP トラフィックの両方を HTTP として指定します。
  7. プロキシ」に、プロキシ・サーバーのIPアドレスを入力します。「 ポート」に、プロキシ・サーバーのポート番号を入力します。
  8. [作成] をクリックします。
  9. [ トラフィックプロファイル ] タブをクリックし、[ 追加 ] をクリックします。
  10. トラフィックポリシーの 名前 を入力し、[ Request Profile ] で、ステップ 3 で作成したトラフィックプロファイルを選択します。次の を入力し、[ 作成 ] をクリックします。

    REQ.HTTP.HEADER HOSTにActiveSyncServerが含まれています   REQ.HTTP.HEADER User-Agent CONTAINS WorxMail   REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise   REQ.HTTP.HEADER User-Agent CONTAINS WorxHome   REQ.HTTP.URL CONTAINS AGServices   REQ.HTTP.URL CONTAINS StoreWeb

    このルールは、ホストヘッダーに基づいてチェックを実行します。プロキシからのアクティブ同期トラフィックをバイパスするには、 ActiveSyncServerを適切なActiveSync c サーバー名に置き換えます。

  11. [ トラフィックプロファイル ] タブをクリックし、[ 追加 ] をクリックします。トラフィックポリシーの 名前 を入力し、[ Request Profile ] で、ステップ 6 で作成したトラフィックプロファイルを選択します。次の を入力し、[ 作成 ] をクリックします。

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 80
  12. [ トラフィックプロファイル ] タブをクリックし、[ 追加 ] をクリックします。トラフィックポリシーの 名前 を入力し、[ Request Profile ] で、ステップ 6 で作成したトラフィックプロファイルを選択します。次の を入力し、[ 作成 ] をクリックします。

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 443
  13. [Citrix Gateway]>[仮想サーバー]に移動し、右側のペインで仮想サーバーを選択し、[ 編集]をクリックします。
  14. [ ポリシー ] 行で、[ + ] をクリックします。
  15. [ ポリシーの選択 ] メニューから、[ トラフィック ] を選択します。
  16. [続行] をクリックします。
  17. [ ポリシーのバインド] の [ ポリシーの選択] で、[ >] をクリックします。
  18. 手順 10 で作成したポリシーを選択し、[ OK] をクリックします。
  19. [バインド] をクリックします。
  20. [ ポリシー] で、[ トラフィックポリシー] をクリックします。
  21. [ VPN 仮想サーバートラフィックポリシーバインディング] で、[ バインドの追加] をクリックします。
  22. [ ポリシーのバインド] で、[ ポリシーの選択] メニューの横にある [ >] をクリックしてポリシーのリストを表示します。
  23. 手順 17 で作成したポリシーを選択し、[ OK] をクリックします。
  24. [バインド] をクリックします。
  25. [ ポリシー] で、[ トラフィックポリシー] をクリックします。
  26. [ VPN 仮想サーバートラフィックポリシーバインディング] で、[ バインドの追加] をクリックします。
  27. [ ポリシーのバインド] で、[ ポリシーの選択] メニューの横にある [ >] をクリックしてポリシーのリストを表示します。
  28. 手順 18 で作成したポリシーを選択し、[ OK] をクリックします。
  29. [バインド] をクリックします。
  30. [閉じる] をクリックします。
  31. [完了] をクリックします。

XenMobile コンソールでSecure Web(WorxWeb)アプリを構成してください。[ 設定] > [アプリ] に移動し、[Secure Web アプリ] を選択し、[ 編集] をクリックして、次の変更を行います。

  • [ アプリの情報 ] ページで、[ 初期 VPN モード][Secure Browse に変更します。
  • [ iOS ] ページで、[ 初期VPNモード] を [ Secure Browse] に変更します。
  • [ Android ] ページで、[ 優先VPNモード] を [ Secure Browse] に変更します。

アプリケーションおよびMDXトークンのタイムアウトの構成

ユーザーが iOS または Android デバイスからログオンすると、アプリケーショントークンまたは MDX トークンが発行されます。トークンは、Secure Ticket Authority(STA)に似ています。

トークンがアクティブになる秒数または分数を設定できます。トークンの有効期限が切れた場合、ユーザーはアプリケーションや Web ページなどの要求されたリソースにアクセスできません。

トークンのタイムアウトはグローバル設定です。この設定を構成すると、Citrix Gateway にログオンするすべてのユーザーに適用されます。

  1. 構成ユーティリティの [構成 ]タブのナビゲーションペインで Citrix Gateway を展開し、[ グローバル設定 ]をクリックします。
  2. 詳細ウィンドウで、[ 設定] の [ グローバル設定の変更] をクリックします。
  3. グローバルCitrix Gateway 設定 ]ダイアログボックスの[ クライアントエクスペリエンス] タブで、[ 詳細設定] をクリックします。
  4. [ 全般 ] タブの [ アプリケーショントークンのタイムアウト (秒) ] に、トークンの有効期限が切れるまでの秒数を入力します。デフォルトは 100 秒です。
  5. [ MDXトークンのタイムアウト (分)] に、トークンの有効期限が切れるまでの分数を入力し、[ OK] をクリックします。デフォルトは 10 分です。

モバイルデバイスのエンドポイント分析の無効化

エンドポイント分析を設定する場合は、エンドポイント分析スキャンが Android または iOS モバイルデバイスで実行されないように、ポリシー式を設定する必要があります。エンドポイント分析スキャンは、モバイルデバイスではサポートされていません。

エンドポイント分析ポリシーを仮想サーバーにバインドする場合は、モバイルデバイス用のセカンダリ仮想サーバーを作成する必要があります。事前認証または認証後のポリシーは、モバイルデバイスの仮想サーバーにバインドしないでください。

事前認証ポリシーでポリシー式を設定する場合は、ユーザーエージェント文字列を追加して Android または iOS を除外します。ユーザーがこれらのデバイスのいずれかからログオンし、デバイスタイプを除外すると、エンドポイント分析は実行されません。

たとえば、ユーザーエージェントに Android が含まれているかどうか、アプリケーション virus.exe が存在しない場合、および事前認証プロファイルを使用して実行されている場合 keylogger.exe プロセスを終了するには、次のポリシー式を作成します。ポリシー表現は次のようになります。

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) に含まれる   CLIENT.APPLICATION.PROCESS (virus.exe) に含まれる

事前認証ポリシーとプロファイルを作成したら、ポリシーを仮想サーバーにバインドします。ユーザーが Android または iOS デバイスからログオンすると、スキャンは実行されません。ユーザーが Windows ベースのデバイスからログオンすると、スキャンが実行されます。

事前認証ポリシーの構成について詳しくは、「エンドポイントポリシーの設定」を参照してください。

AndroidデバイスでDNSサフィックスを使用したDNSクエリのサポート

ユーザーがAndroidデバイスからMicro VPN接続を確立すると、Citrix Gateway はスプリットDNS設定をユーザーデバイスに送信します。Citrix Gateway では、構成したスプリットDNS設定に基づいて、スプリットDNSクエリがサポートされます。Citrix Gateway では、アプライアンス上で構成したDNSサフィックスに基づいたスプリットDNSクエリもサポートできます。ユーザーがAndroidデバイスから接続する場合は、Citrix Gateway でDNS設定を構成する必要があります。

スプリット DNS は次のように動作します。

  • スプリット DNS を [ローカル]に設定すると、Android デバイスはすべての DNS 要求をローカル DNS サーバーに送信します。
  • スプリットDNSを リモートに設定すると、すべてのDNS要求がCitrix Gateway(リモートDNSサーバー)で構成されたDNSサーバーに送信され、解決されます。
  • スプリット DNS を [ 両方] に設定すると、Android デバイスは DNS 要求の種類をチェックします。
    • DNS 要求の種類が「A」でない場合は、DNS 要求パケットをローカルおよびリモートの DNS サーバーに送信します。
    • DNSリクエストタイプが「A」の場合、AndroidプラグインはクエリFQDNを抽出し、そのFQDNをCitrix ADCで設定されたDNSサフィックスリストと照合します。DNS 要求の FQDN が一致すると、DNS 要求がリモート DNS サーバーに送信されます。FQDN が一致しない場合、DNS 要求はローカル DNS サーバーに送信されます。

次の表は、タイプ A のレコードとサフィックス一覧に基づく分割 DNS の動作をまとめたものです。

スプリット DNS 設定 それはタイプAレコードですか? 接尾辞リストに載っていますか? DNS 要求が送信される場所
Local [はい] または [いいえ] の両方 [はい] または [いいえ] の両方 Local
Remote [はい] または [いいえ] の両方 [はい] または [いいえ] の両方 Remote
Both いいえ - Both
Both はい はい Remote
Both はい いいえ Local

DNS サフィックスを構成するには、次の手順を実行します。

  1. 構成ユーティリティーの 構成 タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]の順に展開し、[ セッション ]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブでセッションポリシーを選択し、[ 開く ] をクリックします。
  3. [ プロファイルの要求] の横にある [ 変更] をクリックします。
  4. [ ネットワーク構成 ] タブで、[ 詳細設定 ] をクリックします。
  5. [ イントラネット IP DNS サフィックス] の横の [ グローバル上書き] をクリックし、DNS サフィックスを入力して [ OK] を 3 回クリックします。

Citrix Gateway でスプリットDNSをグローバルに設定するには:

  1. 構成ユーティリティの [構成 ]タブのナビゲーションペインで Citrix Gateway を展開し、[ グローバル設定 ]をクリックします。
  2. 詳細ウィンドウで、[ 設定] の [ グローバル設定の変更] をクリックします。
  3. [ クライアントエクスペリエンス ] タブで、[ 詳細設定 ] をクリックします。
  4. [ 全般 ] タブの [ スプリット DNS ] で、[ 両方 ]、[ リモート ]、または [ ローカル ] を選択し、[ OK ] をクリックします。

Citrix Gateway のセッションポリシーでスプリットDNSを構成するには:

  1. 構成ユーティリティーの 構成 タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]の順に展開し、[ セッション ]をクリックします。
  2. 詳細ウィンドウの [ ポリシー ] タブで、[ 追加 ] をクリックします。
  3. [ 名前]に、ポリシーの名前を入力します。
  4. [ プロファイルの要求] の横にある [ 新規] をクリックします。
  5. [ 名前]に、プロファイルの名前を入力します。
  6. [ クライアントエクスペリエンス ] タブで、[ 詳細設定 ] をクリックします。
  7. [ 全般 ] タブの [ スプリット DNS ] の横にある [ グローバル上書き ] をクリックし、[ 両方 ]、[ リモート ]、または [ ローカル ] を選択して、[ OK ] をクリックします。
  8. [ セッションポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある [ **全般 ]、[ True ]、[式の追加** ]、[ 作成 ]、[ 閉じる ] の順にクリックします。