認証を求められるシナリオ

Secure Hubでは、ユーザーの認証が必要になり、デバイスで資格情報の入力が求められるさまざまなシナリオがあります。

シナリオは次の要因によって異なります。

  • Endpoint Managementコンソール設定でのMDXアプリポリシーおよびクライアントプロパティの設定。
  • 認証がオフラインで行われるか、またはオンラインでの認証が必要か(デバイスはEndpoint Managementへのネットワーク接続が必要)。

また、ユーザーが入力する資格情報の種類(Active Directoryパスワード、Citrix PINやパスコード、ワンタイムパスワード、指紋認証(iOSではTouch ID)も、必要とされる認証の種類や頻度によって異なります。

最初に、認証を求められる結果となるシナリオについて説明します。

  • デバイスの再起動: ユーザーは、デバイスを再起動する場合、Secure Hubで再認証する必要があります。

  • 非アクティブなオフライン(タイムアウト): デフォルトでアプリパスコードのMDXポリシーが有効になっていると、Endpoint Managementのクライアントプロパティ「Inactivity Timer」が機能します。Inactivity Timerは、セキュアコンテナを使用するすべてのアプリにおいて、ユーザーアクティビティのない状態で経過する最大時間を制限します。

指定された時間内にユーザーアクティビティがないと、ユーザーはデバイスのセキュアコンテナに資格情報を再入力しなければなりません。Inactivity Timerの有効期限が切れている場合は、ユーザーがデバイスを置いてその場を離れても、ほかのユーザーがそのデバイスを使ってコンテナ内の機密情報にアクセスすることはできません。無通信タイマーの設定はEndpoint Managementコンソールで行います。デフォルトは15分です。[On] に設定されたアプリパスコードとInactivity Timerの組み合わせは、認証を求められるシナリオの多くに影響します。

  • Secure Hubからのサインオフ:。Secure Hubからサインオフすると、Secure HubやMDXアプリの次回アクセス時に、アプリパスコードのMDXポリシーとInactivity Timerの状態で定められた通りに、パスコード入力を求めるメッセージが表示されるため、ユーザーは再入力の必要があります。

  • 最大オフライン期間:。このシナリオはアプリ単位のMDXポリシーによって引き起こされるので、個別のアプリにのみ当てはまります。MDXポリシーの最大オフライン期間は、デフォルトで3日です。Secure Hubでアプリをオフラインで実行できる最大期間が経過すると、アプリ使用権の確認とポリシー更新のために、Endpoint Managementからのチェックインが必要になります。チェックインが行われると、Secure Hubでアプリのオンライン認証が求められます。MDXアプリを使用する前に、パスコードを再入力する必要があります。

最大オフライン期間とアクティブなポーリング周期の関係に注意してください。

  • アクティブなポーリング周期とは、アプリがEndpoint Managementからチェックインして、アプリのロックやワイプなどのセキュリティアクションを実行する周期のことです。またアプリは、アプリのポリシー更新もチェックします。
  • アクティブなポーリング周期のポリシー経由で、ポリシーのチェックが正常に行われると、最大オフライン期間のタイマーがリセットされ、再びカウントダウンが始まります。

アクティブなポーリング周期、および最大オフライン期間の経過後のいずれについても、Endpoint Managementからのチェックインには、デバイスに有効なNetScaler Gatewayトークンがあることが必要です。デバイスに有効なNetScaler Gatewayトークンがある場合、アプリは一切の中断なく、Endpoint Managementから新しいポリシーを取得します。アプリでNetScaler Gatewayトークンが必要な場合は、Secure Hubに切り替わり、認証を求めるメッセージが表示されます。

Androidデバイスでは、Secure Hubのアクティビティ画面が、現在使用中のアプリ画面の上部に直接表示されます。iOSデバイスでは、Secure Hubが最前面に表示されて、現在使用中のアプリが一時的に隠れます。

ユーザーが資格情報を入力すると、Secure Hubが元のアプリに戻ります。この場合に、キャッシュされたActive Directory資格情報を許可するか、設定済みのクライアント資格情報があれば、ユーザーはPIN、パスワード、または指紋認証を入力できます。そうでない場合は、Active Directoryの資格情報をすべて入力する必要があります。

次のNetScaler Gatewayポリシーで説明するように、非アクティブなNetScaler Gatewayセッション、または強制的なセッションタイムアウトポリシーにより、NetScalerトークンが無効になることがあります。Secure Hubに再度サインインすると、アプリの実行を続けることができます。

  • NetScaler Gatewayセッションポリシー: NetScaler Gatewayの2つのポリシーも、ユーザーが認証を求められるシナリオに影響します。このような場合、NetScaler Gatewayポリシーが、Endpoint Managementに接続するための、NetScalerとのオンラインセッションを確立する認証を行います。

    • セッションのタイムアウト: 設定された期間内にネットワークアクティビティが発生しない場合、Endpoint ManagementのNetScalerセッションが切断されます。デフォルトは30分です。ただし、NetScaler Gatewayウィザードを使用してポリシーを設定すると、デフォルトは1440分になります。社内ネットワークへの再接続に、資格情報の入力を求めるメッセージが表示されます。
    • 強制的なタイムアウト: この設定が [On] の場合は、強制的なタイムアウト期間の経過後に、Endpoint ManagementのNetScalerセッションが切断されます。強制的なタイムアウトでは、設定された期間後に、資格情報の再入力が必須です。次の使用時に、社内ネットワークへの再接続に、資格情報の入力を求めるメッセージが表示されます。デフォルトは、[Off]です。ただし、NetScaler Gatewayウィザードを使用してポリシーを設定すると、デフォルトは1440分になります。

資格情報の種類

前のセクションでは、どのような場合にユーザーが認証を求められるかについて説明しました。このセクションでは、ユーザーの入力が必要な資格情報の種類について説明します。デバイス上の暗号化されたデータにアクセスするには、さまざまな認証方法での認証が必要です。最初にデバイスのロックを解除するには、プライマリコンテナのロックを解除します。これが発生してコンテナが再び保護されると、再度アクセスするために、セカンダリコンテナのロックを解除します。

注:

この記事の管理対象アプリは、MDX Toolkitでラップしたアプリを指します。この場合のMDX Toolkitは、アプリパスコードのMDXポリシーがデフォルトで有効のままで、Inactivity Timerが活用されています。

資格情報の種類を決定する状況は次の通りです。

  • プライマリコンテナのロック解除: Active Directoryパスワード、Citrix PINまたはパスコード、ワンタイムパスワード、Touch IDまたはフィンガープリントIDは、プライマリコンテナをロック解除するために必要です。
    • iOSで、デバイスに管理対象アプリをインストールした後に、Secure Hubまたは管理対象アプリを最初に開く場合。
    • iOSで、デバイスを再起動してからSecure Hubを開く場合。
    • Androidで、Secure Hubが実行されていないときに管理対象アプリを開く場合。
    • Androidで、デバイスの再起動を含む何らかの理由で、Secure Hubを再起動する場合。
  • セカンダリコンテナのロック解除: セカンダリコンテナのロック解除には、指紋認証(設定されている場合)、Citrix PINまたはパスコード、Active Directory資格情報のいずれかが必要です。
    • Inactivity Timerの有効期限が切れた後に、管理対象アプリを開く場合。
    • Secure Hubのサインオフ後に管理対象アプリを開く場合。

次の状況が当てはまる場合は、いずれのコンテナのロック解除にもActive Directory資格情報が必要です。

  • ユーザーがコーポレートアカウントと関連付けられたパスコードを変更する場合。
  • Citrix PIN:「ENABLE_PASSCODE_AUTH」および「ENABLE_PASSWORD_CACHING」を有効化するためのクライアントプロパティをEndpoint Managementコンソールで設定していない場合。
  • 次の状況でNetScaler Gatewayセッションが終了した場合:セッションタイムアウトまたは強制的なタイムアウトポリシーのタイマーが有効期限切れとなり、デバイスで資格情報がキャッシュされていないか、デバイスにクライアント証明書がない。

指紋認証が有効な時に、アプリが無効なためにオフライン認証が求められた場合、ユーザーは指紋を使用してサインインできます。ただし、初めてSecure Hubにサインインしたり、デバイスを再起動したりする場合には、PINを入力する必要があります。指紋認証は、iOS 9とiOS 10.3のデバイス、および一部のAndroidデバイスでサポートされています。指紋認証の有効化について詳しくは、「クライアントプロパティ」のENABLE_TOUCH_ID_AUTH設定を参照してください。

次のフローチャートは、認証情報の入力を求められたとき、どの資格情報を入力するか判断するためのフローです。

ユーザー資格情報フローチャートのイメージ

Secure Hubの画面切り替えについて

このほかに注意すべき状況としては、アプリからSecure Hubへの切り替えと、元のアプリへの切り替えが必要な場合が挙げられます。画面が切り替わると、ユーザーの確認が必要な通知が表示されます。このとき、認証は必要ありません。この状況が生じるのは、最大オフライン期間とアクティブなポーリング周期で指定されたEndpoint Managementからのチェックイン後に、Endpoint Managementが、Secure Hubによるデバイスへのプッシュ通知が必要な、ポリシーの更新を検出した場合です。

認証を求められるシナリオ