Citrix Secure Hub

Citrix Secure Hubは、業務用モバイルアプリへの入り口です。ユーザーはSecure Hubにデバイスを登録して、アプリストアにアクセスします。アプリストアから、Citrixの業務用モバイルアプリとサードパーティ製アプリを追加できます。

Secure Hubおよびそのほかのコンポーネントは、Citrix Endpoint Managementのダウンロードページからダウンロードできます。

Secure Hubおよび業務用モバイルアプリの他のシステム要件については、「システム要件」を参照してください。

このリリースでの新機能

Secure Hub 19.5.0

このリリースには、バグの修正とパフォーマンスの強化機能が含まれています。

以前のリリースの新機能

Secure Hub 19.4.5および19.3.5

これらのリリースには、バグの修正とパフォーマンスの強化機能が含まれています。

Secure Hub 19.3.0

Samsung Knox Platform for Enterpriseのサポート。Secure Hub for Androidは、Android EnterpriseデバイスでKnox Platform for Enterprise(KPE)をサポートします。

Secure Hub 19.2.0

このリリースには、バグの修正とパフォーマンスの強化機能が含まれています。

Secure Hub 19.1.5

Secure Hub for Android Enterpriseは、次のポリシーをサポートするようになりました:

  • WiFiデバイスポリシー。WiFiデバイスポリシーは、Android Enterpriseをサポートするようになりました。このポリシーについて詳しくは、「[WiFiデバイスポリシー。]」を参照してください。(/ja-jp/citrix-endpoint-management/policies/wifi-policy.html)
  • カスタムXMLデバイスポリシー。カスタムXMLデバイスポリシーは、Android Enterpriseをサポートするようになりました。このポリシーについて詳しくは、「[カスタムXMLデバイスポリシー。]」を参照してください。(/ja-jp/citrix-endpoint-management/policies/custom-xml-policy.html)
  • ファイルデバイスポリシー。Citrix Endpoint Managementにスクリプトファイルを追加して、Android Enterpriseデバイスで機能を実行できます。このポリシーについて詳しくは、「[ファイルデバイスポリシー。]」を参照してください。(/ja-jp/citrix-endpoint-management/policies/files-policy.html)

Secure Hub 19.1.0

Secure Hubのフォント、色、そのほかのUIの要素が刷新されました。この変更は、シトリックスの業務用モバイルアプリ全体により統一感を与え、ユーザーの操作性も向上しています。

Secure Hub 18.12.0

このリリースには、バグの修正とパフォーマンスの強化機能が含まれています。

Secure Hub 18.11.5

  • Android Enterpriseの制限デバイスポリシー設定。制限デバイスポリシーの新しい設定により、ユーザーはAndroid Enterpriseデバイスでステータスバー、ロック画面のKeyguard、アカウント管理、位置情報の共有、デバイス画面の表示を維持する機能にアクセスできます。詳しくは、「制限デバイスポリシー」を参照してください。

Secure Hub 18.10.5~18.11.0には、バグの修正とパフォーマンスの強化機能が含まれています。

Secure Hub 18.10.0

  • Samsung DeXモードのサポート: Samsung DeXを使用すると、ユーザーはKNOX対応デバイスを外部ディスプレイに接続して、PCのようなインターフェイスでアプリを使用したり、ドキュメントを確認したり、ビデオを見ることができます。Samsung DeXのデバイス要件とSamsung DeXの設定については、「Samsung DeXの機能」を参照してください。

    Citrix Endpoint ManagementでSamsung DeXモードの機能を設定するには、Samsung KNOXの制限デバイスポリシーを更新します。詳しくは、「制限デバイスポリシー」の「Samsung KNOXの設定」を参照してください。

  • Android SafetyNetのサポート: Android SafetyNet機能を使用して、Secure HubがインストールされているAndroidデバイスの互換性とセキュリティを評価するようにEndpoint Managementを設定できます。結果は、デバイス上で自動化された操作をトリガーするために使用できます。詳しくは、「Android SafetyNet」を参照してください。

  • Android Enterpriseデバイスのカメラ使用を禁止する: 制限デバイスポリシーの新しい設定である [カメラの使用を許可] を設定することで、ユーザーがAndroid Enterpriseデバイスでカメラを使用できないようにすることができます。詳しくは、「制限デバイスポリシー」を参照してください。

Secure Hub 10.8.60〜18.9.0

バグの修正とパフォーマンスの向上。

Secure Hub 10.8.60

  • ポーランド語のサポート。
  • Android Pのサポート。
  • ワークスペースアプリストアの使用のサポート。 Secure Hubを開いても、Secure Hubストアは表示されません。[アプリを追加] ボタンを押すと、ワークスペースアプリストアに移動します。次のビデオでは、iOSデバイスでCitrix Workspaceアプリを使用して、Citrix Endpoint Managementへの登録を行う様子を示します。

    ビデオアイコン

    重要:

    この機能は新規顧客にのみ提供されます。現在のところ、既存の顧客の移行はサポートされていません。

    この機能を使用するには、以下を設定します:

    重要:

    この機能を有効にすると、Citrix Files SSOはEndpoint Management(旧XenMobile)ではなく、ワークスペースを通して実行されます。ワークスペースの統合を有効にする前に、Endpoint ManagementコンソールでCitrix Filesの統合を無効にすることをお勧めします。

Secure Hub 10.8.55

  • JSON構成を使用して、Googleのゼロタッチ登録とSamsung KNOX Mobile Environment(KME)ポータルにユーザー名とパスワードを渡す機能です。詳しくは、「Samsung KNOXの一括登録」を参照してください。
  • 証明書のピンニングを有効にすると、ユーザーは自己署名証明書を使用してEndpoint Managementに登録することはできません。ユーザーが自己署名証明書を使用してEndpoint Managementに登録しようとすると、証明書が信頼されていないという警告が表示されます。

Secure Hub 10.8.25: Secure Hub for AndroidではAndroid Pデバイスがサポートされています。

注:

Android Pプラットフォームにアップグレードする前に:サーバーインフラストラクチャが、subjectAltName(SAN)拡張で一致するホスト名を持つセキュリティ証明書に準拠していることを確認します。ホスト名を検証するには、サーバーは一致するSANを含む証明書を提示する必要があります。ホスト名に一致するSANを含まない証明書は信頼されません。詳しくは、Android DeveloperサイトのAndroid Pの動作の変更点に関する記事を参照してください。

Secure Hub for iOSの更新(2018年3月19日): Secure Hub for iOSバージョン10.8.6では、VPPアプリポリシーの問題を修正できます。詳しくは、Citrix Knowledge Centerの記事を参照してください。

Secure Hub 10.8.5: Android Work(Android for Work)のCOSUモード対応Secure Hub for Androidでサポート。詳しくは、Citrix Endpoint Managementのドキュメントを参照してください。

Secure Hubの管理

Secure Hubに関連する大部分の管理タスクは、Endpoint Managementの初期構成時に実行します。ユーザーがiOSやAndroidでSecure Hubを利用できるようにするために、Secure HubをiOS App Store、またはGoogle Playストアにアップロードします。

Secure Hubは、Citrix Gatewayを使用した認証後にユーザーのCitrix Gatewayセッションが更新されたときに、インストールされているアプリの、Endpoint Managementに格納されているMDXポリシーのほとんどを更新します。

重要:

これらのポリシーのうちのいずれかを変更する場合は、ユーザーはアプリを削除してから再インストールし、更新されたポリシーを適用する必要があります:セキュリティグループ、暗号化を有効化、Secure MailのExchange Server

Citrix PIN

Citrix PINを使用するように、Secure Hubを構成できます。このセキュリティ機能は、Endpoint Managementコンソールで [設定] > [クライアントプロパティ] を選択して有効にします。この設定では、登録されているモバイルデバイスユーザーがSecure Hubにサインオンし、ラップされたMDXアプリを暗証番号(PIN)の使用によりアクティブ化する必要があります。

Citrix PIN機能で、セキュリティで保護されたラップアプリにログオンするときのユーザー認証が簡単になります。Active Directoryのユーザー名やパスワードなど、別の資格情報を繰り返し入力する必要はありません。

Secure Hubに初めてサインオンするユーザーは、Active Directoryユーザー名とパスワードを入力する必要があります。サインオン時に、Secure HubはActive Directory資格情報またはクライアント証明書をユーザーデバイスに保存し、ユーザーに対してPINを入力するよう要求します。ユーザーは再度のサインオン時にPINを入力することにより、アクティブなユーザーセッションの次回アイドルタイムアウトが終了するまで、CitrixアプリおよびStoreにセキュアにアクセスできます。関連するクライアントのプロパティでは、PINを使用したシークレットの暗号化、PINのパスコードの種類の指定、およびPINの強度と長さの要件の指定を実行できます。詳しくは、「クライアントプロパティ」を参照してください。

指紋認証(Touch ID)が有効な時に、アプリが無効なためにオフライン認証が求められた場合、ユーザーは指紋を使用してサインインできます。ただし、初めてSecure Hubにサインインしたり、デバイスを再起動したりする場合、および無通信タイマーの有効期限が切れた後には、PINを入力する必要があります。指紋認証の有効化について詳しくは、「指紋認証またはTouch ID認証」を参照してください。

証明書ピンニング

Secure Hub for iOSおよびSecure Hub for Androidは、SSL証明書ピンニングをサポートしています。これにより、CitrixクライアントがEndpoint Managementと通信する際に、企業が署名した証明書が使用されます。したがって、デバイス上のルート証明書のインストールによりSSLセッションに危害が及ぶ場合に、クライアントからEndpoint Managementへの接続が阻止されます。Secure Hubがサーバー公開キーに対する何らかの変更を検出すると、接続が拒否されます。

Android N以降、ユーザーが追加した認証機関(CA)はオペレーティングシステムで許可されなくなります。ユーザーが追加したCAの代わりに、パブリックルートCAを使用することをお勧めします。

Android Nにアップグレードするユーザーは、プライベートまたは自己署名CAを使用すると問題が発生する可能性があります。次の状況では、Android Nデバイス上の接続が切断されます:

  • Endpoint Managementオプションのプライベート/自己署名CAと必須の信頼済みCAが [オン] に設定されている。詳しくは、「Endpoint Management AutoDiscoveryサービス」を参照してください。
  • プライベート/自己署名CAとEndpoint Management Auto Discoveryサービス(ADS)は到達可能ではありません。セキュリティ上の問題によりADSに到達できない場合、必須の信頼済みCAは、最初は [オフ] に設定されていた場合でも [オン] になります。

デバイスの登録またはSecure Hubのアップグレード前に、証明書のピンニングを有効にすることを検討してください。デフォルトで、このオプションは [オフ] になっており、ADSによって管理されます。証明書のピンニングを有効にすると、ユーザーは自己署名証明書を使用してEndpoint Managementに登録することはできません。ユーザーが自己署名証明書を使用して登録しようとすると、証明書が信頼されていないという警告が表示されます。ユーザーが証明書を承認しない場合、登録は失敗します。

証明書ピンニングを使用するには、Citrix ADSサーバーへの証明書のアップロードをシトリックスに依頼する必要があります。シトリックスサポートポータルでテクニカルサポートケースを開きます。次に、以下の情報を入力します:

  • ユーザーが登録時に使用するアカウントを含むドメイン。
  • Endpoint Managementの完全修飾ドメイン名(FQDN)。
  • Endpoint Managementのインスタンス名。デフォルトでは、インスタンス名はzdmであり、大文字と小文字が区別されます。
  • ユーザーIDのタイプ。UPNまたはメールのいずれかにできます。デフォルトでは、タイプはUPNです。
  • デフォルトポート8443からポート番号を変更した場合は、iOS登録に使用されるポート。
  • デフォルトポート443からポート番号を変更した場合は、Endpoint Managementが接続を受け入れるポート。
  • Citrix Gatewayの完全なURL。
  • 管理者のメールアドレス(オプション)。
  • ドメインに追加するPEM形式の証明書。
  • 既存のサーバー証明書の制御方法。古いサーバー証明書を(危険にさらされているため)直ちに削除するか、失効するまでサポートを継続するか。

詳細情報および証明書がCitrixサーバーに追加されると、テクニカルサポートケースが更新されます。

証明書+ワンタイムパスワード認証

Citrix ADCを構成して、証明書とセキュリティトークンを使用してSecure Hubで認証を行うようにすることができます。セキュリティトークンはワンタイムパスワードとして機能します。この構成により、Active Directoryのフットプリントをデバイスに残さない強力なセキュリティオプションが提供されます。

Secure Hubでこのタイプの認証を使用できるようにするには、Citrix ADCの書き換えアクションと書き換えポリシーを追加する必要があります。これにより、Citrix Gatewayログオンタイプを示す「X-Citrix-AM-GatewayAuthType: CertAndRSA」形式のカスタム応答ヘッダーが挿入されます。

通常Secure Hubでは、Endpoint Managementコンソールで構成されたCitrix Gatewayログオンタイプが使用されます。ただしこの情報は、Secure Hubが初回のログオンを完了するまで、Secure Hubでは使用できません。そのため、カスタムヘッダーが必要となります。

注:

Endpoint ManagementとCitrix ADCで異なるログオンタイプが設定されている場合は、Citrix ADCの構成で上書きされます。詳しくは、「Citrix GatewayとEndpoint Management」を参照してください。

  1. Citrix ADCで、[構成]>[AppExpert]>[書き換え]>[アクション] の順に選択します。

  2. [追加] をクリックします。

    [書き換えアクションの作成] 画面が開きます。

  3. 以下のとおりに各フィールドを入力して、[作成] をクリックします。

    [書き換えアクションの作成]画面の画像

    メインの [書き換えアクション] 画面に次の結果が表示されます。

    [書き換えアクション]画面の結果の画像

  4. 書き換えアクションを書き換えポリシーとして仮想サーバーにバインドします。[構成]>[NetScaler Gateway]>[仮想サーバー] の順に選択して、仮想サーバーを選択します。

    [仮想サーバー]画面の画像

  5. [編集] をクリックします。

  6. [仮想サーバーの構成] 画面で、[ポリシー] までスクロールします。

  7. + をクリックして、ポリシーを追加します。

    [ポリシーの追加]オプションの画像

  8. [ポリシーの選択] フィールドで [書き換え] を選択します。

  9. [種類の選択] フィールドで [応答] を選択します。

    [応答]オプションの画像

  10. [続行] をクリックします。

    [ポリシーバインディング] セクションが展開されます。

    [ポリシーバインディング]セクションの画像

  11. [ポリシーの選択] をクリックします。

    使用可能なポリシーの画面が表示されます。

    使用可能なポリシーの画像

  12. 作成したポリシーの行をクリックして、[選択] をクリックします。選択したポリシーが入力された [ポリシーバインディング] 画面に戻ります。

    選択したポリシーの画像

  13. [バインド] をクリックします。

    正常にバインドされると、メインの構成画面に戻り、完成した書き換えポリシーが表示されます。

    バインドが成功した画像

  14. ポリシーの詳細を表示するには、[書き換えポリシー] をクリックします。

    書き換えポリシーの詳細の画像

AndroidデバイスのADS接続のためのポート要件

ポート構成により、Secure Hubから接続するAndroidデバイスで社内ネットワークからCitrix ADSにアクセスできることを保証します。ADSを介して利用可能なセキュリティ更新プログラムをダウンロードする時、ADSにアクセスする能力は重要です。ADS接続はプロキシサーバーと互換性がない可能性があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスすることを可能にします。

重要:

Secure Hub for AndroidおよびiOSでは、AndroidデバイスからADSにアクセスできる必要があります。詳しくは、Citrix Endpoint Managementのドキュメントの「ポート要件」を参照してください。この通信は送信ポート443で実行されます。大半の場合で、既存の環境ではこれを許可するよう設計されています。この通信を保証できない場合は、Secure Hub 10.2にアップグレードしないでください。不明の点があれば、シトリックスサポートに問い合わせてください。

前提条件:

  • Endpoint ManagementとCitrix ADCの証明書を収集します。証明書はPEM形式で、秘密キーではなく公開証明書である必要があります。
  • Citrixサポートに証明書ピンニングの有効化を依頼します。このプロセスで、証明書の提出を求められます。

証明書ピンニングに追加された機能向上のため、デバイスは登録前にADSに接続する必要があります。この前提条件により、デバイスを登録する環境の最新のセキュリティ情報がSecure Hubで利用できることが保証されます。デバイスがADSに接続できない場合は、Secure Hubはデバイスの登録を許可しません。したがって、内部ネットワーク内でADSアクセスを可能にすることは、デバイスの登録を有効にするために重要です。

Secure Hub for AndroidにADSへのアクセスを許可するには、以下のIPアドレスおよびFQDNのポート443を開放します:

完全修飾ドメイン名 IPアドレス ポート IPとポートの使用
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS通信
ads.xm.cloud.com:Secure Hubバージョン10.6.15以降ではads.xm.cloud.comが使用されることに注意してください。 34.194.83.188 443 Secure Hub - ADS通信
ads.xm.cloud.com:Secure Hubバージョン10.6.15以降ではads.xm.cloud.comが使用されることに注意してください。 34.193.202.23 443 Secure Hub - ADS通信

証明書ピンニングが有効な場合、次の処理が実行されます:

  • Secure Hubは、デバイス登録時に企業の証明書を固定します。
  • Secure Hubは、アップグレード時に現在固定されている証明書を破棄し、登録済みユーザーに対して最初の接続でサーバー証明書を固定します。

    注:

    アップグレード後に証明書ピンニングを有効にする場合は、再登録する必要があります。

  • 証明書公開キーを変更しなかった場合、証明書の更新時に再登録する必要はありません。

証明書ピンニングではリーフ証明書がサポートされますが、中間証明書および発行者証明書はサポートされません。証明書ピンニングは、Endpoint Management、Citrix GatewayなどのCitrixサーバーには適用されますが、サードパーティ製のサーバーには適用されません。

Secure Hubの使用

ユーザーは、最初にAppleまたはAndroidのストアから自分のデバイス上にSecure Hubをダウンロードします。

Secure Hubを起動すると、勤務先や組織から提供された資格情報を入力してデバイスを登録するための画面が開きます。デバイス登録について詳しくは、「ユーザーアカウント、役割、および登録」を参照してください。

Secure Hub for Androidでは、初期インストールおよび登録時に、次のメッセージが表示されます。「Secure Hubがデバイス上の写真、メディア、ファイルにアクセスできるようにしますか?」

このメッセージは、Androidオペレーティングシステムによるものであり、シトリックスからのものではありません。[許可] をタップしても、シトリックスと、Secure Hubを管理する管理者には、個人データは表示されません。ただし、管理者とのリモートサポートセッションを行っている場合、管理者はセッション内で個人ファイルを表示できます。

登録が完了すると、ユーザーの [マイアプリ] タブに指定したアプリとデスクトップが表示されます。ユーザーはStoreからアプリを追加できます。スマートフォン上の左上隅のハンバーガーアイコンの [設定] の下にStoreへのリンクがあります。

ストアリンクの画像

タブレットでは、Storeは別のタブとなります。

タブレット上のストアの画像

iOS 9以降のiPhoneを使用するユーザーがストアから業務用モバイルアプリをインストールすると、メッセージが表示されます。そのメッセージでは、エンタープライズデベロッパーであるCitrixがそのiPhoneで信頼されていないことが示されます。このメッセージは、デベロッパーが信頼できる状態になるまで、アプリを使用できないことを説明しています。このメッセージが表示された場合、Secure Hubはユーザーに、iPhoneでCitrixエンタープライズアプリが信頼されるようにする手順を示すガイドを表示するよう求めます。

Secure Mailでの自動登録

MAM-only展開の場合、Endpoint Managementを、AndroidまたはiOSデバイスを持ち、メール資格情報でSecure Hubに登録したユーザーがSecure Mailに自動的に登録されるように構成できます。これは、ユーザーが追加情報を入力する必要がないか、Secure Mailに登録する追加手順を実行する必要がないことを意味します。

Secure Mailを初めて使用する場合、Secure MailはSecure Hubからユーザーの電子メールアドレス、ドメインおよびユーザーIDを取得します。Secure Mailは、電子メールアドレスを使用して自動検出します。ドメインとユーザーIDを使用してExchange Serverが識別されます。Exchange Serverによって、Secure Mailのユーザー自動認証が行われます。パスワードをパススルーしないようにポリシーが設定されている場合、ユーザーはパスワードの入力を求められます。ただし、ユーザーはさらに情報を入力する必要はありません。

この機能を有効にするには、3つのプロパティを作成する必要があります:

  • サーバープロパティMAM_MACRO_SUPPORT。手順については、「サーバープロパティ」を参照してください。
  • クライアントプロパティENABLE_CREDENTIAL_STOREおよびSEND_LDAP_ATTRIBUTES。手順については、「クライアントプロパティ」を参照してください。

カスタマイズされたストア

ストアをカスタマイズする場合は、[設定]>[クライアントのブランド設定] の順に選択して、名前を変更し、ロゴを追加して、アプリの外観を指定します。

[クライアントのブランド設定]画面の画像

Endpoint Managementコンソールでアプリの説明を編集できます。[構成] をクリックして、[アプリ] を選択します。表からアプリを選択して [編集] をクリックします。編集する説明があるアプリのプラットフォームを選択し、[説明] ボックスに文字列を入力します。

[説明]ボックスの画像

Storeでは、ユーザーはEndpoint Managementで構成および保護されたアプリおよびデスクトップのみを参照できます。アプリを追加するには、[詳細] をタップしてから、[追加] をタップします。

構成済みのヘルプオプション

また、Secure Hubでは、ユーザーがヘルプを得られるさまざまな方法も提供しています。タブレットでは、右上隅にあるクエスチョンマークをタップするとヘルプオプションが表示されます。スマートフォンで、左上隅にあるハンバーガーメニューアイコンをタップしてから、[ヘルプ] をタップします。

ヘルプ画面の画像

[IT部門] には会社のヘルプデスクの電話番号とメールアドレスが表示され、ユーザーがアプリから直接アクセスできます。Endpoint Managementコンソールで電話番号とメールアドレスを入力します。右上隅にある歯車のアイコンをクリックします。[設定] ページが開きます。[詳細] をクリックして [クライアントサポート] をクリックします。情報を入力する画面が表示されます。

クライアントサポート画面の画像

[問題の報告] にユーザーのアプリの一覧が表示されます。ユーザーは、問題のあるアプリを選択します。Secure Hubで自動的にログが生成され、Secure Mailに、zipファイルとしてログが添付されたメッセージが開かれます。ユーザーは、件名の行と問題の説明を追加します。スクリーンショットを添付することもできます。

[Citrixへのフィードバックの送信] をクリックすると、シトリックスサポートのアドレスが入力されたSecure Mailのメッセージが開きます。メッセージの本文で、Secure Mailの改善点についてのメッセージを入力することができます。デバイスにSecure Mailがインストールされていない場合は、ネイティブのメールプログラムが開きます。

またユーザーは [シトリックスサポート] をタップして、Citrix Knowledge Centerを開くこともできます。ここでは、すべてのシトリックス製品のサポート文書を検索できます。

[環境設定] で、ユーザーのアカウントとデバイスに関する情報を確認できます。

位置情報ポリシー

また、Secure Hubは位置情報ポリシーや地理追跡ポリシーを提供します。これにより、たとえば、会社所有のデバイスが特定の地理的境界の外側に出ていないかどうかを確認できます。詳しくは、「位置情報デバイスポリシー」を参照してください。

クラッシュ発生時の情報収集と分析

Secure Hubでは障害の原因を確認できるように、障害の情報を自動的に収集し分析します。Crashylticsソフトウェアがこの機能をサポートします。

iOSおよびAndroidで利用できる機能については、Citrix Secure Hubのプラットフォームごとの機能を参照してください。