Citrix Gateway

認証ポリシーの投稿

認証後ポリシーは、セッションをアクティブに保つためにユーザーデバイスが満たす必要がある汎用ルールのセットです。ポリシーが失敗すると、Citrix Gateway への接続は終了します。認証後ポリシーを構成すると、条件付きに設定できるユーザー接続の設定を構成できます。

注:

この機能は、Citrix Secure Accessエージェントでのみ動作します。ユーザーがCitrix Workspace アプリでログオンした場合、エンドポイント分析スキャンはログオン時にのみ実行されます。

セッションポリシーを使用して、認証後のポリシーを設定します。まず、ポリシーを適用するユーザーを作成します。次に、ユーザーをグループに追加します。次に、セッション、トラフィックポリシー、およびイントラネットアプリケーションをグループにバインドします。

また、グループを承認グループとして指定することもできます。このタイプのグループでは、セッションポリシー内の Client Security 式に基づいてユーザーをグループに割り当てることができます。

また、ユーザーデバイスがポリシーの要件を満たしていない場合にユーザーを検疫グループに入れるように、認証後ポリシーを構成することもできます。単純なポリシーには、クライアントセキュリティ式とクライアントセキュリティメッセージが含まれます。ユーザーが検疫グループに属している場合、ユーザーはCitrix Gateway にログオンできますが、ネットワークリソースへのアクセスは制限されます。

同じセッションプロファイルとポリシーを使用して、認可グループと検疫グループを作成することはできません。認証後ポリシーを作成する手順は同じです。セッションポリシーを作成するときは、承認グループまたは検疫グループを選択します。2 つのセッションポリシーを作成し、各ポリシーをグループにバインドできます。

認証後のポリシーは SmartAccess でも使用されます。SmartAccess 詳細については、「 Citrix Gateway でのSmartAccess 構成」を参照してください。

認証後ポリシーを構成する

セッションポリシーを使用して、認証後ポリシーを設定します。単純なポリシーには、クライアントセキュリティ式とクライアントセキュリティメッセージが含まれます。

GUI を使用して認証後ポリシーを設定するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]の順に展開し、[ セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
  3. [Name] に、ポリシーの名前を入力します。
  4. [ リクエストプロファイル] の横にある [ 新規] をクリックします。
  5. [名前] に、プロファイルの名前を入力します。
  6. [セキュリティ] タブで、[ 詳細設定] をクリックします。
  7. [ クライアントセキュリティ] で、[ グローバルを上書き] をクリックし、 [ 新規] をクリックします。
  8. クライアントセキュリティ式を構成し、[ 作成] をクリックします。
  9. [ クライアントセキュリティ] の [検疫グループ] で、グループを選択します。
  10. [ エラーメッセージ] に、認証後スキャンが失敗した場合にユーザーに受信するメッセージを入力します。
  11. [承認グループ] で、[ グローバルを上書き] をクリックし、グループを選択し、[ 追加]、[ OK]、[ 作成] の順にクリックします。
  12. [ セッションポリシーの作成 ] ダイアログボックスで、[名前付き式] の横にある [ 全般]、[True value]、[式の追加]、[ 作成]、[ 閉じる] の順にクリックします。

認証後スキャンの頻度を構成する

指定した間隔で認証後ポリシーを実行するようにCitrix Gateway を構成できます。たとえば、クライアントセキュリティポリシーを構成し、ユーザーデバイスで 10 分ごとに実行するとします。この頻度は、ポリシー内にカスタム式を作成することで設定できます。

注:

認証後ポリシーの頻度チェック機能は、Citrix Secure Accessエージェントでのみ機能します。ユーザーがCitrix Workspace アプリでログオンした場合、エンドポイント分析スキャンはログオン時にのみ実行されます。

クライアントセキュリティポリシーを構成するときに、 認証後ポリシーの構成の手順に従って、頻度 (分単位) を設定できます。次の図は、「式を追加」( Add Expression ) ダイアログボックスで頻度値を入力できる場所を示しています。

認証後スキャンの頻度を構成するためのダイアログボックスの図を表示します。

検疫グループと承認グループ

ユーザーがCitrix Gateway にログオンするときに、Citrix Gateway またはセキュリティで保護されたネットワーク内の認証サーバーで構成するグループにユーザーを割り当てます。ユーザが認証後スキャンに失敗した場合、ユーザを検疫グループと呼ばれる制限されたグループに割り当てることができます。このグループは、ネットワークリソースへのアクセスを制限します。

また、承認グループを使用して、ネットワークリソースへのユーザーアクセスを制限することもできます。たとえば、メールサーバーとファイル共有にのみアクセスできる契約担当者のグループがあるとします。ユーザーデバイスがCitrix Gateway で定義したセキュリティ要件を満たすと、ユーザーは動的にグループのメンバーになることができます。

グローバル設定またはセッションポリシーを使用して、ユーザー、グループ、または仮想サーバーにバインドされた検疫および承認グループを構成します。セッションポリシー内のクライアントセキュリティ式に基づいて、ユーザーをグループに割り当てることができます。ユーザーがグループのメンバーである場合、Citrix Gateway はグループメンバーシップに基づいてセッションポリシーを適用します。

権限付与グループの設定

Endpoint Analysis スキャンを設定すると、ユーザーデバイスがスキャンに合格したときに、ユーザーを承認グループに動的に追加できます。たとえば、ユーザーデバイスのドメインメンバーシップをチェックする Endpoint Analysis スキャンを作成するとします。Citrix Gateway で、ドメインに参加しているコンピューターというローカルグループを作成し、スキャンに合格したすべてのユーザーの承認グループとして追加します。ユーザーがグループに参加すると、ユーザーはグループに関連付けられたポリシーを継承します。

認可ポリシーは、グローバルにバインドすることも、仮想サーバにバインドすることもできません。ユーザーがCitrix Gateway の別のグループのメンバーになるように構成されていない場合、承認グループを使用して、承認ポリシーのデフォルトセットを提供できます。

セッションポリシーを使用して認可グループを構成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[Citrix Gateway]>[ポリシー]の順に展開し、[セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
  3. [Name] に、ポリシーの名前を入力します。
  4. [ リクエストプロファイル] の横にある [ 新規] をクリックします。
  5. [名前] に、プロファイルの名前を入力します。
  6. [セキュリティ] タブで、[詳細設定] をクリックします。
  7. [承認グループ] で、[グローバルを上書き] をクリックし、ドロップダウンリストからグループを選択し、[追加]、[OK]、[作成] の順にクリックします。
  8. [セッションポリシーの作成] ダイアログボックスで、[名前付き式] の横にある [全般]、[True value]、[式の追加]、[作成]、[閉じる] の順にクリックします。

セッションポリシーを作成したら、ユーザー、グループ、または仮想サーバーにバインドできます。

グローバル権限グループを構成するには

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ウィンドウの [設定] で、[グローバル設定の変更] をクリックします。
  3. [セキュリティ] タブで、[詳細設定] をクリックします。
  4. [承認グループ]で、ドロップダウンリストからグループを選択し、[追加]をクリックし、[OK]を 2 回クリックします。

承認グループをグローバルに、またはセッションポリシーから削除する場合は、[セキュリティの設定-詳細設定] ダイアログボックスで、一覧から承認グループを選択し、[削除] をクリックします。

検疫グループの設定

検疫グループを構成するときは、セッションプロファイル内の [セキュリティ設定-詳細設定] ダイアログボックスを使用して、クライアントセキュリティ式を構成します。

検疫グループのクライアントセキュリティ式を構成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[Citrix Gateway]>[ポリシー]の順に展開し、[セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
  3. [Name] に、ポリシーの名前を入力します。
  4. [ リクエストプロファイル] の横にある [ 新規] をクリックします。
  5. [名前] に、プロファイルの名前を入力します。
  6. [セキュリティ] タブで、[詳細設定] をクリックします。
  7. [クライアントセキュリティ] で、[グローバルを上書き] をクリックし、[新規] をクリックします。
  8. [クライアント式] ダイアログボックスで、クライアントセキュリティ式を構成し、[作成] をクリックします。
  9. [検疫グループ] で、グループを選択します。
  10. [エラーメッセージ] に、ユーザーの問題を説明するメッセージを入力し、[作成] をクリックします。
  11. [セッションポリシーの作成] ダイアログボックスで、[名前付き式] の横にある [全般]、[True value]、[式の追加]、[作成]、[閉じる] の順にクリックします。

セッションポリシーを作成したら、ユーザー、グループ、または仮想サーバーにバインドします。

Endpoint Analysis スキャンが失敗し、ユーザーが検疫グループに配置された場合、検疫グループにバインドされたポリシーは、検疫グループにバインドされたポリシーと同等またはそれ以下の優先度番号を持つユーザーに直接バインドされたポリシーがない場合にのみ有効です。

グローバル検疫グループを設定するには

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[Citrix Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ウィンドウの [設定] で、[グローバル設定の変更] をクリックします。
  3. [セキュリティ] タブで、[詳細設定] をクリックします。
  4. [クライアントセキュリティ] で、クライアントセキュリティ式を構成します。
  5. [検疫グループ] で、グループを選択します。
  6. 「エラーメッセージ」に、ユーザーの問題を説明するメッセージを入力し、「OK」をクリックします。
認証ポリシーの投稿