Citrix Gateway

常時オン

Citrix Gateway の常時接続機能により、ユーザーは常にエンタープライズネットワークに接続できます。この永続的な VPN 接続は、VPN トンネルの自動確立によって実現されます。

常時オン機能は、Citrix ADC 12.0ビルド51.24以降のキャプティブポータルをサポートします。

Always On をいつ使用するのか

ユーザーの位置情報に基づいてシームレスな VPN 接続を提供し、VPN に接続していないユーザーによるネットワークアクセスを防止する必要がある場合は、Always On を使用します。  

次のシナリオは、Always On の使用方法を示しています。  

  • 従業員がエンタープライズネットワークの外部でノートパソコンを起動し、VPN 接続を確立するための支援を必要としています。 解決方法: ラップトップが企業ネットワークの外部で起動されると、Always On はシームレスにトンネルを確立し、VPN 接続を提供します。
  • VPN 接続を使用している従業員は、エンタープライズネットワークに移動します。従業員は企業ネットワークに切り替えられますが、VPN トンネルへの接続は維持されますが、これは望ましい状態ではありません。 解決方法: 従業員が企業ネットワークに移動すると、Always On は VPN トンネルを切断し、従業員をエンタープライズネットワークにシームレスに切り替えます。
  • 従業員が企業ネットワークの外に移動して、ラップトップを閉じる(シャットダウンしない)。従業員は、ノートパソコンでの作業を再開する際に VPN 接続を確立するための支援を必要としています。
    ソリューション:従業員が企業ネットワークの外に移動すると、Always On はシームレスにトンネルを確立し、VPN 接続を提供します。
  • 企業は、VPN トンネルに接続していないときにユーザに提供されるネットワークアクセスを規制したいと考えています。 解決方法: 構成に応じて、Always On はアクセスを制限し、ユーザーはゲートウェイネットワークにのみアクセスできるようにします。

Always On フレームワークを理解する

Always On は、クライアントが以前に確立した VPN トンネルにユーザを自動的に接続します。ユーザーがVPNトンネルを初めて必要とするときは、ユーザーはCitrix Gateway URLに接続してトンネルを確立する必要があります。Always On 設定がクライアントにダウンロードされた後、この設定によって後続のトンネルの確立が推進されます。

Citrix Secure Accessエージェントの実行可能ファイルは、常にクライアントマシン上で実行されています。ユーザーがログオンするか、ネットワークが変更されると、Citrix Secure Accessエージェントは、ユーザーのラップトップが企業ネットワーク上にあるかどうかを判断します。Citrix Secure Accessエージェントは、場所と構成に応じて、トンネルを確立するか、既存のトンネルを切断します。

トンネルの確立は、ユーザーがコンピュータにログオンした後にのみ開始されます。Citrix Secure Accessエージェントは、クライアントマシンの資格情報を使用してゲートウェイサーバーで認証し、トンネルの確立を試みます。

トンネルの自動再確立

トンネルの自動再確立は、Citrix Gateway によってVPNトンネルが切断されたときにトリガーされます。

エンドポイント分析が失敗すると、Citrix Gateway クライアントはトンネルの確立を再試行しませんが、エラーメッセージを表示します。認証に失敗した場合、Citrix Gateway クライアントはユーザーに資格情報の入力を求めます。

シームレストンネル確立でサポートされるユーザ認証方式

サポートされているユーザー認証方法は次のとおりです。

  • ユーザー名+ ADパスワード:Windowsのユーザー名とパスワードが認証に使用される場合、Citrix Secure Accessエージェントはこれらの資格情報を使用してシームレスにトンネルを確立します。
  • ユーザー証明書:ユーザー証明書が認証に使用され、マシン上に証明書が1つしかない場合、Citrix Secure Accessエージェントはこの証明書を使用してシームレスにトンネルを確立します。複数のクライアント証明書がインストールされている場合は、ユーザが優先証明書を選択した後にトンネルが確立されます。Citrix Secure Accessエージェントは、後で確立されるトンネルに対してこの設定を使用します。
  • ユーザー証明書とユーザー名+AD パスワード:この認証方法は、前述の認証方法を組み合わせたものです。

他のすべての認証メカニズムはサポートされますが、トンネルの確立は他の認証方式に対してシームレスではありません。

常時オンの構成要件

エンタープライズ管理者は、管理対象デバイスに対して次のことを強制する必要があります。

  • ユーザーは、特定の構成のプロセス/サービスを終了できないようにする必要があります。
  • 特定の構成では、ユーザーがパッケージをアンインストールできないようにする必要があります。
  • ユーザーは特定のレジストリエントリを変更できないようにする

管理対象外のデバイスの場合のように、ユーザに管理特権がある場合、この機能が期待どおりに動作しない可能性があります。

常時オン機能を有効にする際の考慮事項

Always On 機能を有効にする前に、次のセクションを確認してください。

プライマリネットワークアクセス:トンネルが確立されると、企業ネットワークへのトラフィックはスプリットトンネル設定に基づいて決定されます。この動作を上書きするための他の設定は提供されていません。

クライアントマシンのプロキシ設定:クライアントマシンのプロキシ設定は、ゲートウェイサーバーへの接続時に無視されます。

注:

Citrix ADCアプライアンスのプロキシ構成は無視されません。クライアントマシンのプロキシ設定のみが無視されます。システムでプロキシが設定されているユーザには、VPN プラグインがプロキシ設定を無視したことが通知されます。

常時オンの設定

常時接続を構成するには、Citrix Gateway アプライアンスで常時接続プロファイルを作成し、プロファイルを適用します。

Always On プロファイルを作成するには:

  1. Citrix ADC GUIで、[ 構成]>[Citrix Gateway >[ポリシー]>[AlwaysOn]に移動します
  2. [ AlwaysOn プロファイル ] ページで、[ 追加] をクリックします。
  3. [AlwaysOn プロファイルの作成 ] ページで、次の詳細を入力します。 -名前— プロフィールの名前。 -ロケーションベースの VPN (クライアント側のレジストリ名:LocationDetection) — 次のいずれかの設定を選択します。 - **Remote :クライアントがエンタープライズネットワークにあるかどうかを検出し、エンタープライズネットワーク内にない場合はトンネルを確立できるようにします。リモートはデフォルト設定です。 - クライアントの場所に関係なく、クライアントが位置検出をスキップしてトンネルを確立できるようにするあらゆる場所

    • クライアント制御 」— 次の設定のいずれかを選択します。
      • [拒否] は、ユーザーがログオフして別のゲートウェイに接続できないようにします。[拒否] は既定の設定です。
    • VPN 障害時のネットワークアクセス (クライアント側のレジストリ名:alwaysOn) — 次のいずれかの設定を選択します。
      • [Full Access ] は、トンネルが確立されていないときに、クライアントとの間でネットワークトラフィックが流れるようにします。[フルアクセス] が既定の設定です。
      • [ゲートウェイのみ(Only Tto Gateway )] は、トンネルが確立されていないときにネットワークトラフィックがクライアントとの間で流れるのを防ぎます。ただし、ゲートウェイ IP アドレスとの間のトラフィックは許可されます。

        注: [ ゲートウェイへのみ ] モードでは、仮想サーバ、DNS、および DHCP トラフィックのみがブロック解除されます。他の Web サイト、IP アドレス範囲、または IP アドレスのブロックを解除するには、 AlwaysOnAllowList レジストリに、FQDN、IP アドレス範囲、または IP アドレスのセミコロン区切りのリストを設定する必要があります。 例えば、mycompany.com、mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. [ 作成 ] をクリックして、プロファイルの作成を終了します。

Always On プロファイルを適用するには:

  1. Citrix ADCインターフェイスで、[ 構成]>[Citrix Gateway]>[グローバル設定]を選択します。
  2. [グローバル設定] ページで、[ グローバル設定の変更 ] リンクをクリックし、[ クライアントエクスペリエンス ] タブを選択します。
  3. AlwaysOn プロファイル名ドロップダウンメニューから 、新しく作成したプロファイルを選択し、 OKをクリックします。

注: セッションプロファイルでも同様の設定を行い、グループレベル、サーバレバー、またはユーザレベルでポリシーを適用できます。

IIP に関する注意事項

マシンレベルトンネルでは証明書ベースの認証が使用され、作成されるセッションには証明書の共通名がユーザー名として使用されます。そのため、デバイス証明書に一意の共通名がある場合、マシンのセッションごとにユーザー名が異なり、IIP も異なります。一意の名前を持つデバイス証明書を生成するようにしてください。デバイス証明書の共通名としてマシン名を使用するのが理想的です。

管理者ユーザーと管理者以外のユーザーの異なる設定の動作の概要

次の表は、さまざまな設定の動作をまとめたものです。また、Always On 機能に影響する可能性がある特定のユーザーアクションの可能性についても詳しく説明します。

VPN でのネットワークアクセスの失敗 クライアントコントロール 管理者以外のユーザー 管理者ユーザー
fullaccess 許可 トンネルは自動的に確立されます。ユーザーはログオフし、ネットワークからオフにできます。ユーザーは別のCitrix Gateway をポイントすることもできます。 トンネルは自動的に確立されます。ユーザはログオフし、エンタープライズネットワークから離れることができます。ユーザーは別のCitrix Gateway をポイントすることもできます。
fullaccess 拒否 トンネルは自動的に確立されます。ユーザーがログオフしたり、別のCitrix Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーは、Citrix Secure Accessエージェントをアンインストールしたり、別のCitrix Gateway に移動したりできます。
onlyToGateway 許可 トンネルは自動的に確立されます。ユーザーはログオフできます (ネットワークアクセスなし)。ユーザーは別のCitrix Gateway をポイントすることもできます。この場合、アクセスは新しくポイントされたCitrix Gateway にのみ与えられます。 トンネルは自動的に確立されます。ユーザーは、Citrix Secure Accessエージェントをアンインストールしたり、別のCitrix Gateway に移動したりできます。
onlyToGateway 拒否 トンネルは自動的に確立されます。ユーザーがログオフしたり、別のCitrix Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーは、Citrix Secure Accessエージェントをアンインストールしたり、別のCitrix Gateway に移動したりできます。

「常時オン」がダウンしているときに選択した URL を許可する

Always On がダウンしていてネットワークがロックされている場合でも、ユーザはいくつかの Web サイトにアクセスできます。管理者は AlwaysOnAllowList レジストリを使用して、AlwaysOn がダウンしているときにアクセスを有効にする Web サイトを追加できます。

注:

  • AlwaysOnAllowList レジストリは、リリース 13.0 ビルド 47.x 以降でサポートされています。
  • AlwaysOnAllowListレジストリの場所は、Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Clientです。
  • ワイルドカード URL/FQDN は、 AlwaysOnAllowList レジストリではサポートされていません。

AlwaysOnAllowList レジストリを設定するには

AlwaysOnAllowList レジストリに、アクセスを許可する FQDN、IP アドレス範囲、または IP アドレスのセミコロン区切りのリストを設定します。

例: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

次の図に、 AlwaysOnAllowList レジストリの例を示します。

![Alwaysonwhitelist-registry] (/en-us/citrix-gateway/media/alwaysonwhitelist.png)

常時オン