Citrix Gateway

エンドポイントポリシー

エンドポイント分析は、ユーザーデバイスをスキャンし、オペレーティングシステムの存在やバージョンレベル、ウイルス対策、ファイアウォール、Web ブラウザソフトウェアなどの情報を検出するプロセスです。Endpoint Analysis を使用して、ユーザーデバイスが要件を満たしていることを確認してから、ユーザーのネットワークへの接続を許可したり、ユーザーのログオン後も接続を維持したりできます。ユーザーセッション中にユーザーデバイス上のファイル、プロセス、およびレジストリエントリを監視して、デバイスが要件を満たしていることを確認できます。

エンドポイントポリシーの仕組み

ユーザーがログオンする前に、ユーザーデバイスが特定のセキュリティ要件を満たしているかどうかを確認するようにCitrix Gateway を構成できます。これは、事前認証ポリシーと呼ばれます。ポリシー内で指定したウイルス対策、ファイアウォール、スパム対策、プロセス、ファイル、レジストリエントリ、インターネットセキュリティ、またはオペレーティングシステムについて、ユーザーデバイスをチェックするようにCitrix Gateway を構成できます。ユーザーデバイスが事前認証スキャンに失敗すると、ユーザーはログオンできなくなります。

事前認証ポリシーで使用されない他のセキュリティ要件を構成する必要がある場合は、セッションポリシーを構成し、それをユーザーまたはグループにバインドします。このタイプのポリシーは、認証後ポリシーと呼ばれ、ユーザーセッション中に実行され、ウイルス対策ソフトウェアやプロセスなどの必須項目が引き続き有効であることを確認します。

事前認証ポリシーまたは認証後ポリシーを構成すると、Citrix Gateway によってエンドポイント分析プラグインがダウンロードされ、スキャンが実行されます。ユーザーがログオンするたびに、Endpoint Analysis プラグインが自動的に実行されます。

エンドポイントポリシーを設定するには、次の 3 種類のポリシーを使用します。

  • yes または no パラメータを使用する事前認証ポリシー。このスキャンでは、ユーザーデバイスが指定された要件を満たしているかどうかが判断されます。スキャンが失敗した場合、ユーザーはログオンページで資格情報を入力できません。
  • 条件付きで、SmartAccess に使用できるセッションポリシー。
  • セッションポリシー内のクライアントセキュリティ式。ユーザーデバイスが Client Security 式の要件を満たさない場合、ユーザーを検疫グループに配置するように構成できます。ユーザーデバイスがスキャンに合格すると、ユーザーは別のグループに配置され、他のチェックが必要になる場合があります。

検出された情報をポリシーに組み込むことで、ユーザーデバイスに基づいて異なるレベルのアクセスを許可できます。たとえば、最新のウイルス対策ソフトウェアおよびファイアウォールソフトウェア要件を持つユーザーデバイスからリモート接続するユーザーに、ダウンロード権限を持つフルアクセスを提供できます。信頼できないコンピュータから接続するユーザーには、リモートサーバー上のドキュメントをダウンロードせずに編集できる、より制限されたアクセスレベルを提供できます。

エンドポイント分析は、次の基本手順を実行します。

  • ユーザーデバイスに関する情報の初期セットを調べ、適用するスキャンを決定します。
  • 該当するすべてのスキャンを実行します。ユーザーが接続を試みると、Endpoint Analysis プラグインは、事前認証またはセッションポリシーで指定された要件についてユーザーデバイスを確認します。ユーザーデバイスがスキャンに合格すると、ユーザーはログオンできます。ユーザーデバイスがスキャンに失敗すると、ユーザーはログオンできなくなります。 注:Endpoint Analysis スキャンは、ユーザーセッションがライセンスを使用する前に完了します。
  • ユーザーデバイスで検出されたプロパティ値と、構成したスキャンでリストされている目的のプロパティ値を比較します。
  • 目的のプロパティ値が見つかったかどうかを確認する出力を生成します。

    重要:

    エンドポイント分析ポリシーの作成手順は、一般的なガイドラインです。1 つのセッションポリシー内に多数の設定を適用できます。セッションポリシーを構成する具体的な手順には、特定の設定を構成するための指示が含まれている場合があります。ただし、この設定は、セッションプロファイルとポリシーに含まれる多くの設定の 1 つになる場合があります。

ユーザーログオンオプションの評価

ユーザーがログオンするときに、エンドポイント分析のスキャンをスキップするように選択できます。ユーザーがスキャンをスキップすると、Citrix Gateway はこのアクションを失敗したエンドポイント分析として処理します。ユーザがスキャンに失敗すると、Web Interface またはクライアントレスアクセスのみにアクセスできます。

たとえば、Citrix Secure Accessエージェントを使用してユーザーにアクセスを提供するとします。プラグインを使用してCitrix Gateway にログオンするには、ユーザーがノートンアンチウイルスなどのウイルス対策アプリケーションを実行している必要があります。ユーザーデバイスでアプリケーションが実行されていない場合、ユーザーはReceiverのみでログオンし、公開アプリケーションを使用できます。また、Outlook Web Access などの特定のアプリケーションへのアクセスを制限するクライアントレスアクセスを構成することもできます。

このログオンシナリオを実現するようにCitrix Gateway を構成するには、制限付きセッションポリシーをデフォルトポリシーとして割り当てます。次に、ユーザーデバイスがEndpoint Analysisスキャンに合格したときに、ユーザーを特権セッションポリシーにアップグレードするように設定を構成します。この時点で、ユーザーはネットワークレイヤーにアクセスでき、Citrix Secure Accessエージェントでログオンできます。

制限付きセッションポリシーを最初に強制するようにCitrix Gateway を構成するには、次の手順に従います。

  • ICAプロキシを有効にしてグローバル設定を構成し、指定したアプリケーションがユーザーデバイス上で実行されていない場合は、他のすべての必要な設定を構成します。

  • Citrix Secure Accessエージェントを有効にするセッションポリシーとプロファイルを作成します。

  • セッションポリシーのルール部分内に式を作成し、次のようなアプリケーションを指定します。

    (client.application.process (symantec.exe) が存在する)

ユーザーがログオンすると、最初にセッションポリシーが適用されます。エンドポイント分析が失敗した場合、またはユーザーがスキャンをスキップした場合、Citrix Gateway はセッションポリシーの設定を無視します(セッションポリシーの式は偽と見なされます)。その結果、ユーザは Web インターフェイスまたはクライアントレスアクセスを使用したアクセスが制限されます。エンドポイント分析に合格すると、Citrix Gateway はセッションポリシーを適用し、ユーザーはCitrix Secure Accessエージェントに対するフルアクセス権を持ちます。

EPA スキャンをスキップする

EPA スキャンをスキップできるのは、認証後および事前認証のみです。Skip EPA は、サポートされているすべてのオペレーティングシステムのブラウザで利用できます。 ユーザーは、ゲートウェイにアクセスするときに表示される [ Skip EPA ] ボタンをクリックする必要があります。ユーザーがスキャンをスキップすると、Citrix Gateway はこのアクションを失敗したエンドポイント分析として処理します。ユーザがスキャンに失敗すると、Web Interface またはクライアントレスアクセスのみにアクセスできます。

https://support.citrix.com/article/CTX200748」も参照してください。

Ubuntu でサポートされるエンドポイント分析スキャン

次のエンドポイント分析 (EPA) スキャンは、Ubuntu オペレーティングシステム用にインストールされた EPA プラグインでサポートされています。各スキャンを設定するサンプル式は、EPA スキャンとともにリストされています。これらの式は、認証ポリシーで設定できます。

  • ファイル
    • Existence - CLIENT.FILE(/home/user/test.txt) EXISTS
    • MD5 Checksum - CLIENT.FILE(/home/user/test.txt).MD5 == ce780e271debcc29f551546e8db3368f
    • ファイル内のテキスト (正規表現のサポート) - CLIENT.FILE (/home/user/test.txt) .SEARCH == citrix
  • プロセス
    • Existence - CLIENT.APPLICATION.PROCESS(perl) EXISTS
    • MD5 Checksum - CLIENT.APPLICATION.PROCESS(perl).MD5 == c060d3a5f97e27066cef8c116785567a
    • パス - CLIENT.APPLICATION.PROCESS (perl) .PATH == /usr/bin/perl
  • ファイル・システム・デバイスまたはマウントポイント名 -CLIENT.MOUNTPOINT(/sys) EXISTS

高度なポリシーを使用している場合、各スキャンの式は GUI から生成できます([セキュリティ] > [AAA] > [ポリシー] > [認証] > [高度なポリシー] > [EPA])。

注: Linux クライアントの [式エディタ] ページで、[ 共通] を選択し、[プロセス]、[ファイル]、 または [ マウントポイント] を選択できます。

EPA スキャンポリシー

エンドポイントポリシー