エンドポイントポリシーのしくみ

ユーザーがログオンする前に、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認するようにCitrix Gateway を構成できます。これを事前認証ポリシーと呼びます。ポリシー内で指定したウイルス対策、ファイアウォール、スパム対策、プロセス、ファイル、レジストリエントリ、インターネットセキュリティ、またはオペレーティングシステムについて、ユーザーデバイスをチェックするようにCitrix Gateway を構成できます。ユーザーデバイスが事前認証スキャンに失敗した場合、ユーザーはログオンできません。

事前認証ポリシーで使用されない追加のセキュリティ要件を構成する必要がある場合は、セッションポリシーを構成し、ユーザーまたはグループにバインドします。このタイプのポリシーは、認証後ポリシーと呼ばれ、ウイルス対策ソフトウェアやプロセスなどの必要な項目が確実に当てはまるように、ユーザーセッション中に実行されます。

事前認証または認証後のポリシーを構成すると、Citrix Gateway はエンドポイント分析プラグインをダウンロードし、スキャンを実行します。ユーザーがログオンするたびに、エンドポイント分析プラグインが自動的に実行されます。

エンドポイントポリシーを設定するには、次の 3 種類のポリシーを使用します。

  • yes または no パラメータを使用する事前認証ポリシー。スキャンによって、ユーザーデバイスが指定した要件を満たしているかどうかが判断されます。スキャンが失敗した場合、ユーザーはログオンページで資格情報を入力できません。
  • 条件付きで、SmartAccess で使用できるセッションポリシー。
  • セッションポリシー内のクライアントセキュリティ式。ユーザーデバイスがクライアントセキュリティ式の要件を満たさない場合は、ユーザーを検疫グループに配置するように設定できます。ユーザーデバイスがスキャンにパスした場合、ユーザーは別のグループに所属し、追加のチェックが必要になる場合があります。

検出された情報をポリシーに組み込んで、ユーザーデバイスに基づいて異なるレベルのアクセスを許可できます。たとえば、最新のウイルス対策ソフトウェアおよびファイアウォールソフトウェア要件を持つユーザーデバイスからリモートで接続するユーザーに、ダウンロード権限を持つフルアクセスを提供できます。信頼されていないコンピュータから接続しているユーザーには、より制限されたレベルのアクセスを提供して、ユーザーがリモートサーバー上のドキュメントをダウンロードせずに編集することができます。

エンドポイント分析では、次の基本的な手順が実行されます。

  • ユーザーデバイスに関する情報の初期セットを調べ、適用するスキャンを決定します。
  • 適用可能なすべてのスキャンを実行します。ユーザーが接続を試みると、Endpoint Analysis プラグインは、事前認証またはセッションポリシーで指定された要件をユーザーデバイス上でチェックします。ユーザーデバイスがスキャンにパスすると、ユーザーはログオンできます。ユーザーデバイスがスキャンに失敗した場合、ユーザーはログオンできません。 注:エンドポイント分析のスキャンは、ユーザーセッションがライセンスを使用する前に完了します。
  • ユーザーデバイス上で検出されたプロパティ値と、設定したスキャンでリストされた必要なプロパティ値を比較します。
  • 必要なプロパティ値が見つかったかどうかを検証する出力を生成します。

    注意: エンドポイント分析ポリシーの作成手順は一般的なガイドラインです。1 つのセッションポリシー内に多数の設定を使用できます。セッションポリシーを構成する具体的な手順には、特定の設定を構成するための指示が含まれている場合があります。ただし、その設定は、セッションプロファイルとポリシーに含まれる多くの設定の 1 つになる場合があります。

エンドポイントポリシーのしくみ