クライアントサーバーアプリのサポート

Citrix Secure Private Accessを使用すると、TCP/UDPアプリやHTTPSアプリを含むすべてのプライベートアプリに、ネイティブブラウザまたはマシン上で実行されているCitrix Secure Accessクライアント経由でネイティブクライアントアプリケーションにアクセスできるようになりました。

Citrix Secure Private Access内のクライアント/サーバーアプリケーションの追加サポートにより、従来のVPNソリューションへの依存を排除して、リモートユーザーにすべてのプライベートアプリへのアクセスを提供できるようになりました。

プレビュー機能

FQDN を IP アドレスに変換するための DNS サフィックスのサポート。

機能

エンドユーザーは、Citrix Secure Accessクライアントをクライアントデバイスにインストールするだけで、認可されたすべてのプライベートアプリに簡単にアクセスできます。

• Windows の場合、クライアントバージョン (22.3.1.5 以降) はhttps://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.htmlからダウンロードできます。

• macOS の場合、クライアントバージョン (22.02.3 以降) は App Store からダウンロードできます。

管理者構成 — TCP/UDPアプリへのCitrix Secure Access クライアントベースのアクセス

前提条件

TCP/UDP アプリにアクセスするには、次の要件が満たされていることを確認してください。

• Citrix Cloud のCitrix Secure Private Accessへのアクセス。
• Citrix Cloud Connector-クラウドコネクタのインストールでキャプチャされたActive Directory ドメイン構成用のCitrix Cloud Connector
• ID とアクセス管理-設定を完了します。詳しくは、「ID とアクセス管理」を参照してください。
• Connector Appliance — Citrix では、リソースの場所にある高可用性セットアップに2つのConnector Applianceをインストールすることをお勧めします。コネクタは、オンプレミス、データセンターのハイパーバイザー、またはパブリッククラウドのいずれかにインストールできます。Connector Applianceとそのインストールについて詳しくは、「 クラウドサービス用Connector Appliance」を参照してください。
• TCP/UDP アプリにはConnector Appliance 使用する必要があります。

重要:

アプリの完全なエンドツーエンド構成については、「簡単なオンボーディングとセットアップのための管理者向けガイド付きワークフロー」を参照してください。

1. Citrix のSecure Private Accessタイルで、「 管理」をクリックします。

2. [続行] をクリックし、[アプリを追加] をクリックします。

   注:

   [ 続行 ] ボタンは、ウィザードを初めて使用する場合にのみ表示されます。以降の使用では、「アプリケーション」ページに直接移動して、[アプリを追加] をクリックします。

   アプリは宛先の論理的なグループです。複数の送信先に対してアプリを作成できます。各宛先は、バックエンドで異なるサーバーを意味します。たとえば、1 つのアプリケーションに 1 つの SSH、1 つの RDP、1 つのデータベースサーバー、および 1 つの Web サーバーを含めることができます。宛先ごとに 1 つのアプリを作成する必要はありませんが、1 つのアプリに複数の送信先を含めることができます。

3. [ テンプレートの選択 ] セクションで、[ スキップ ] をクリックして TCP/UDP アプリを手動で構成します。

4. [ アプリの詳細 ] セクションで、[ 社内ネットワークの内部] を選択し、次の詳細を入力し、[ 次へ] をクリックします。

   

   • [アプリの種類 ] — [TCP/UDP] を選択します。
   • アプリ名 — アプリケーションの名前。
   • アプリアイコン— アプリアイコンが表示されます。この情報は入力しなくても構いません。
   • [アプリの説明 ] — 追加するアプリの説明。この情報は入力しなくても構いません。
   • 宛先 — リソースの場所に存在するバックエンドマシンの IP アドレスまたは FQDN。次のように、1 つまたは複数の宛先を指定できます。
     • IP アドレス v4
     • IP アドレスの範囲 ：例:10.68.90.10-10.68.90.99
     • CIDR — 例:10.106.90.0/24

     • マシンまたはドメイン名の FQDN — 単一またはワイルドカードドメイン。例:ex.destination.domain.com、*.domain.com

       重要:

       管理者がIPアドレスを使用してアプリを設定した場合でも、エンドユーザーはFQDNを使用してアプリにアクセスできます。これが可能なのは、Citrix Secure AccessクライアントがFQDNを実際のIPアドレスに解決できるためです。 次の表に、さまざまな宛先の例と、これらの宛先を使用してアプリにアクセスする方法を示します。

       デスティネーション入力	アプリへのアクセス方法
       10.10.10.1-10.10.10.100	エンドユーザーは、この範囲の IP アドレスを介してのみアプリにアクセスすることが期待されます。
       10.10.10.0/24	エンドユーザーは、IP CIDRで構成されたIPアドレスを介してのみアプリにアクセスすることが期待されます。
       10.10.10.101	エンドユーザーは 10.10.10.101 からのみアプリにアクセスすることが期待されます
       *.info.citrix.com	エンドユーザーは、 info.citrix.com および info.citrix.com (親ドメイン) のサブドメインにもアクセスすることが期待されます。たとえば、 info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com 注: ワイルドカードは常にドメインの開始文字である必要があり、*. は 1 つだけ使用できます。
       info.citrix.com	エンドユーザーは、 info.citrix.com サブドメインにはアクセスしないことが期待されます。たとえば、 sub1.info.citrix.com はアクセスできません。

   • Port — アプリが実行されているポート。管理者は宛先ごとに複数のポートまたはポート範囲を設定できます。

     次の表に、宛先に設定できるポートの例を示します。

     ポート入力	説明
     *	デフォルトでは、ポートフィールドは “*” (任意のポート) に設定されています。宛先では、1 ～ 65535 のポート番号がサポートされています。
     1300–2400	宛先では、1300から2400までのポート番号がサポートされています。
     38389	宛先ではポート番号 38389 だけがサポートされます。
     22,345,5678	ポート22、345、5678は宛先でサポートされています。
     1300–2400, 42000-43000,22,443	ポート番号の範囲は 1300 ～ 2400、42000 ～ 43000 で、ポート 22 と 443 は宛先でサポートされます。

     注:

     ワイルドカードポート (*) は、ポート番号または範囲と共存できません。

   • プロトコル — TCP/UDP
5. アプリケーション接続セクションでは 、 アプリケーションドメインテーブルのミニバージョンを使用してルーティングを決定できます 。宛先ごとに、異なるリソースの場所または同じリソースの場所を選択できます。前の手順で設定した送信先は、DESTINATION 列に入力されます。 ここに追加された宛先は、 メインのアプリケーションドメインテーブルにも追加されます 。Application Domains テーブルは、接続の確立とトラフィックを正しいリソースロケーションに誘導するためのルーティング決定を行うための信頼できる情報源です。アプリケーションドメインテーブルおよび考えられるIP競合シナリオについて詳しくは、「アプリケーションドメイン-IPアドレスの競合解決」セクションを参照してください。

6. 次のフィールドでは、ドロップダウンメニューから入力を選択し、[ 次へ] をクリックします。

   注:

   内部ルートタイプのみがサポートされています。

   • リソースの場所 — ドロップダウンメニューから、少なくとも1つのConnector Applianceがインストールされたリソースの場所に接続する必要があります。

     注:

     Connector Applianceのインストールは、[アプリケーション接続] セクションからサポートされます。Citrix Cloud ポータルの［リソースの場所］セクションにもインストールできます。リソースロケーションの作成について詳しくは、「 リソースロケーションの設定」を参照してください。

   

7. ［完了］ をクリックします。アプリが [ アプリケーション ] ページに追加されます。アプリケーションを構成した後で、 アプリケーションページからアプリケーションを編集または削除できます 。そのためには、アプリの省略記号ボタンをクリックし、それに応じてアクションを選択します。

   • [アプリケーションを編集]
   • 削除

注：

• ユーザーにアプリへのアクセスを許可するには、管理者がアクセスポリシーを作成する必要があります。アクセスポリシーでは、管理者がアプリの利用者を追加し、セキュリティコントロールを設定します。詳細については、「 アクセスポリシーの作成」を参照してください。

• ユーザーに必要な認証方法を設定するには、「 ID と認証の設定」を参照してください。

• ユーザーと共有するワークスペースURLを取得するには、Citrix Cloud メニューから［ ワークスペース構成］をクリックし、［ アクセス ］タブを選択します。

管理者構成 — HTTP/HTTPSアプリへのCitrix Secure Access クライアントベースのアクセス

注：

Citrix Secure Accessクライアントを使用して既存または新規のHTTP/HTTPSアプリにアクセスするには、リソースの場所に少なくとも1つ（高可用性のためには2つを推奨）のConnector Appliance インストールする必要があります。コネクタアプライアンスは、オンプレミス、データセンターのハイパーバイザー、またはパブリッククラウドにインストールできます。Connector Applianceとそのインストールの詳細については、 クラウドサービス用Connector Applianceを参照してください。

前提条件

• Citrix Cloud のCitrix Secure Private Accessへのアクセス。

注意事項

• セキュリティ制御が強化された内部Webアプリには、Citrix Secure Accessクライアントからはアクセスできません。

• 拡張セキュリティ制御が有効になっている HTTP (S) アプリケーションにアクセスしようとすると、次のポップアップメッセージが表示されます。<”app name”(FQDN) > アプリでは追加のセキュリティコントロールが有効になっています。Citrix Workspace からアクセスしてください。

  

• SSOエクスペリエンスを有効にする場合は、Citrix Workspace アプリまたはWebポータルを使用してWebアプリにアクセスします。

HTTP (S) アプリを構成する手順は、「 エンタープライズ Web アプリのサポート」で説明されている既存の機能と同じです。

TCP/UDP および HTTP (S) アプリへのアダプティブアクセス

アダプティブアクセスにより、管理者は、デバイスのポスチャチェック、ユーザーの位置情報、ユーザーの役割、Citrix Analytics サービスが提供するリスクスコアなど、複数のコンテキスト要因に基づいて、ビジネスクリティカルなアプリへのアクセスを管理できます。

注：

• TCP/UDPアプリケーションへのアクセスを拒否できます。管理者は、ユーザー、ユーザーグループ、ユーザーがアプリケーションにアクセスするデバイス、およびアプリケーションにアクセスする場所（国）に基づいてポリシーを作成します。アプリケーションへのアクセスはデフォルトで許可されています。

• アプリ用に作成されたユーザーサブスクリプションは、ZTNA アプリケーション用に設定されているすべての TCP/UDP アプリ宛先に適用されます。

アダプティブアクセスポリシーを作成するには

管理者は、管理者ガイド付きのワークフローウィザードを使用して、Secure Private Access サービス内の SaaS アプリ、内部 Web アプリ、TCP/UDP アプリへのゼロトラストネットワークアクセスを設定できます。

注：

• アダプティブアクセスポリシーの作成について詳しくは、「アクセスポリシーの作成」を参照してください。
• Secure Private Access サービスのSaaSアプリ、社内Webアプリ、TCP/UDPアプリへのゼロトラストネットワークアクセスのエンドツーエンド構成については、 簡単なオンボーディングとセットアップのための管理者ガイド付きワークフローをご覧ください。

注意事項

• セキュリティ強化が有効になっている既存のWebアプリへのアクセスは、Secure Accessクライアント経由で拒否されます。Citrix Workspace アプリを使用したログインを促すエラーメッセージが表示されます。
• Citrix Workspaceアプリを介したユーザーリスクスコアやデバイスポスチャチェックなどに基づくWebアプリのポリシー構成は、Secure Accessクライアント経由でアプリにアクセスする際に適用されます。
• アプリケーションにバインドされたポリシーは、アプリケーション内のすべての宛先に適用できます。

DNS 解決

Connector Applianceには、DNS 解決のための DNS サーバー構成が必要です。

Citrix Secure Access クライアントをWindowsマシンにインストールする手順

サポートされている OS バージョン:

Windows-Windows11、Windows10、Windows Server 2016、およびWindows Server 2019。

Citrix Secure Access クライアントをWindowsマシンにインストールする手順は次のとおりです。

1. Citrix Secure Accessクライアントをhttps://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.htmlからダウンロードします。
2. [ インストール ] をクリックして、Windows マシンにクライアントをインストールします。既存のCitrix Gateway クライアントがある場合は、同じクライアントがアップグレードされます。
3. ［完了］をクリックして、インストールを完了します。

注:

Windows のマルチユーザーセッションはサポートされていません。

Microsoft Edge ランタイムのインストール手順

Secure Access クライアントの認証 UI には Microsoft Edge ランタイムが必要になりました。 これは、最新の Windows 10 および Windows 11 マシンにデフォルトでインストールされます。それ以前のバージョンのマシンでは、次の手順を実行します。

1. 次のリンクに移動します https://go.microsoft.com/fwlink/p/?LinkId=2124703。
2. Microsoft Edge をダウンロードしてインストールします。ユーザーシステムにMicrosoft Edge ランタイムがインストールされていない場合、ワークスペースURLに接続しようとすると、Citrix Secure Accessクライアントからインストールを求めるメッセージが表示されます。

注：

SCCMソフトウェアやグループポリシーなどの自動化ソリューションを使用して、Citrix Secure AccessクライアントまたはMicrosoft Edge Runtimeをクライアントマシンにプッシュできます。

Citrix Secure Access クライアントをmacOSマシンにインストールする手順

前提条件：

• macOS向けCitrix Secure AccessアプリをApp Storeからダウンロードします。このアプリは macOS 10.15 (Catalina) 以降から利用できます。
• プレビュービルドは、macOS モントレー (12.x) の TestFlight アプリでのみ使用できます。
• App StoreアプリとTestFlightプレビューアプリを切り替える場合は、Citrix Secure Accessアプリで使用するプロファイルを再作成する必要があります。たとえば、で接続プロファイルを使用していた場合は blr.abc.company.com、VPN プロファイルを削除し、同じプロファイルをもう一度作成します。

サポートされている OS バージョン:

• macOS: 12.x (Monterey)、11.x (Big Sur)、10.15 (Catalina) がサポートされています。

• モバイルデバイス:iOS と Android はサポートされていません。

設定済みアプリの起動-エンドユーザーフロー

1. クライアントデバイス上でCitrix Secure Accessクライアントを起動します。
2. Citrix Secure Accessクライアントの［URL］フィールドに、顧客管理者から提供されたワークスペースURLを入力し、［ 接続］をクリックします。これは 1 回限りのアクティビティで、URL は後で使用できるように保存されます。
3. Citrix Cloud で構成された認証方法に基づいて、ユーザーに認証を求められます。 認証に成功すると、ユーザーは構成済みのプライベートアプリにアクセスできます。

ユーザー通知メッセージ

次のシナリオでは、ポップアップ通知メッセージが表示されます。

• このアプリは、管理者によってユーザーに対して承認されていません。

  原因: アクセスされた宛先 IP アドレスまたは FQDN 用に構成されたアプリケーションが、ログインしているユーザーに対してサブスクライブされていません。

  

• アクセスポリシーを評価すると、アクセスが拒否されます。

  原因: アプリケーションにバインドされたポリシーが、ログインしているユーザーに対して「Deny Access」と評価されたため、宛先 IP アドレスまたは FQDN へのアクセスが拒否されました。

  

• 拡張セキュリティ制御がアプリに対して有効になっている。

  原因: アクセス先のアプリケーションに対して、強化されたセキュリティ制御が有効になっています。このアプリケーションは、Citrix Workspace アプリを使用して起動できます。

  

追加情報

アプリケーションドメイン-IP アドレスの競合解決

アプリの作成中に追加された宛先は、メインのルーティングテーブルに追加されます。 ルーティングテーブルは、接続の確立とトラフィックを正しいリソースロケーションに誘導するためのルーティング決定を行うための信頼できるソースです。

• 宛先 IP アドレスは、リソースの場所全体で一意である必要があります。
• ルーティングテーブル内のIPアドレスまたはドメインが重複しないようにすることをCitrixではお勧めします。オーバーラップが発生した場合は、解決する必要があります。

競合シナリオの種類は次のとおりです。完全重複は 、競合が解決されるまで管理者構成を制限する唯一のエラーシナリオです。

競合シナリオ	既存のアプリケーションドメインエントリ	アプリ追加からの新規エントリー	動作
サブセットオーバーラップ	10.10.10.0-10.10.10.255 RL1	10.10.10.50-10.10.10.60 RL1	許可; 警告情報-IP ドメインと既存のエントリのサブセットオーバーラップ
サブセットオーバーラップ	10.10.10.0-10.10.10.255 RL1	10.10.10.50-10.10.10.60 RL2	許可; 警告情報-IP ドメインと既存のエントリのサブセットオーバーラップ
部分オーバーラップ	10.10.10.0-10.10.10.100 RL1	10.10.10.50-10.10.10.200 RL1	許可; 警告情報-IP ドメインと既存のエントリが部分的に重複しています
部分オーバーラップ	10.10.10.0-10.10.10.100 RL1	10.10.10.50-10.10.10.200 RL2	許可; 警告情報-IP ドメインと既存のエントリが部分的に重複しています
完全オーバーラップ	10.10.0/24 RL1	10.10.10.0-10.10.10.255 RL1	エラー。 <Completely overlapping IP domain's value> IP ドメインが既存のエントリと完全に重複しています。既存のルーティング IP エントリを変更するか、別の宛先を設定してください
完全オーバーラップ	10.10.0/24 RL1	10.10.10.0-10.10.10.255 RL2	エラー。 <Completely overlapping IP domain's value> IP ドメインが既存のエントリと完全に重複しています。既存のルーティング IP エントリを変更するか、別の宛先を設定してください
完全一致	20.20.0/29 RL1	20.20.0/29	許可。ドメインはドメインルーティングテーブルに既に存在します。加えられた変更により、ドメインルーティングテーブルが更新されます。

注：

• 追加された宛先が完全に重複する場合は、[App Details ] セクションにアプリの構成中にエラーが表示されます。管理者は、[ App Connectivity ] セクションで宛先を変更して、このエラーを解決する必要があります。

  アプリの詳細セクションにエラーがなければ 、管理者はアプリの詳細を保存できます。ただし、[ App Connectivity ] セクションでは、宛先にサブセットがあり、相互に部分的に重複している場合や、メインルーティングテーブル内の既存のエントリが重複している場合は、警告メッセージが表示されます。この場合、管理者はエラーを解決するか、設定を続行するかを選択できます。

• アプリケーションドメインテーブルはクリーンな状態に保つことをお勧めします 。IP アドレスドメインが重複することなく適切なチャンクに分割されると、新しいルーティングエントリを簡単に設定できます。

ログインとログアウトのスクリプト構成レジストリ

Citrix Secure Accessクライアントは、Citrix Secure AccessクライアントがCitrix Secure Private Accessクラウドサービスに接続するときに、次のレジストリからログインおよびログアウトスクリプト構成にアクセスします。

Registry: HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

• ログインスクリプトパス:SecureAccessLoginScript タイプ REG_SZ
• ログアウトスクリプトパス:SecureAccessLogoutScript タイプ REG_SZ

リリースノートリファレンス

• Windows向けCitrix Secure Accessプラグインのリリースノート

• macOS向けCitrix Secure Accessリリースノート

• Citrix Secure Private Access リリースノート