Citrix Secure Private Access

クライアントサーバーアプリのサポート

Citrix Secure Private Accessを使用すると、マシン上で実行されているCitrix Secure Accessエージェントを介して、ネイティブブラウザまたはネイティブクライアントアプリケーションを使用して、TCP/HTTPSアプリを含むすべてのプライベートアプリにアクセスできるようになりました。

Citrix Secure Private Access内のクライアント/サーバーアプリケーションの追加サポートにより、従来のVPNソリューションへの依存を排除して、リモートユーザーにすべてのプライベートアプリへのアクセスを提供できるようになりました。

機能

エンドユーザーは、Citrix Secure Accessエージェントをクライアントデバイスにインストールするだけで、認可されたすべてのプライベートアプリに簡単にアクセスできます。

このリリースには含まれていません

  • UDP アプリへのアクセスはサポートされていません。

管理者構成 — TCP アプリへの ZTNA エージェントベースのアクセス

前提条件

  • Citrix Cloud のCitrix Secure Private Accessへのアクセス。
  • Citrix Cloud Connector-クラウドコネクタのインストールでキャプチャされたActive Directory ドメイン構成用のCitrix Cloud Connector
  • ID とアクセス管理-設定を完了します。詳しくは、「ID とアクセス管理」を参照してください。
  • コネクタアプライアンス — Citrix では、リソースの場所にある高可用性セットアップに2つのコネクタアプライアンスをインストールすることをお勧めします。コネクタは、オンプレミス、データセンターのハイパーバイザー、またはパブリッククラウドのいずれかにインストールできます。コネクタアプライアンスとそのインストールについて詳しくは、「 クラウドサービス用コネクタアプライアンス」を参照してください。

    注:

    TCP アプリにはコネクタアプライアンスを使用する必要があります。

TCP アプリを設定する手順:

重要:

アプリの完全なエンドツーエンド構成については、「簡単なオンボーディングとセットアップのための管理者向けガイド付きワークフロー」を参照してください。

  1. [Citrix Secure Private Access]タイルで、[ 管理]をクリックします。
  2. [ 続行 ] をクリックし、[ アプリを追加] をクリックします。

    注:

    [ 続行 ] ボタンは、ウィザードを初めて使用する場合にのみ表示されます。その後の使用方法では、[ アプリケーション ] ページに直接移動して、[ アプリの追加] をクリックします。

    アプリは宛先の論理的なグループです。複数の送信先に対してアプリを作成できます。各宛先は、バックエンドで異なるサーバーを意味します。たとえば、1 つのアプリケーションに 1 つの SSH、1 つの RDP、1 つのデータベースサーバー、および 1 つの Web サーバーを含めることができます。宛先ごとに 1 つのアプリを作成する必要はありませんが、1 つのアプリに複数の送信先を含めることができます。

  3. [ テンプレートの選択 ] セクションで [ スキップ ] をクリックし、TCP アプリを手動で構成します。
  4. [ アプリの詳細 ] セクションで、[ 社内ネットワークの内部] を選択し、次の詳細を入力し、[ 次へ] をクリックします。

    TCP アプリ詳細

    • [アプリの種類 ] — [TCP/UDP] を選択します。
    • アプリ名 — アプリケーションの名前。
    • アプリアイコン— アプリアイコンが表示されます。この情報は入力しなくても構いません。
    • [アプリの説明 ] — 追加するアプリの説明。この情報は入力しなくても構いません。
    • 宛先 — リソースの場所に存在するバックエンドマシンの IP アドレスまたは FQDN。次のように、1 つまたは複数の宛先を指定できます。
      • IP アドレス v4
      • IP アドレスの範囲 :例:10.68.90.10-10.68.90.99
      • CIDR — 例:10.106.90.0/24
      • マシンまたはドメイン名の FQDN — 単一またはワイルドカードドメイン。例:ex.destination.domain.com、*.domain.com

        重要:

        管理者が IP ベースの宛先を設定している場合、エンドユーザーは IP アドレスのみでアプリにアクセスすることが期待されます。同様に、アプリケーションが FQDN で構成されている場合、ユーザーは FQDN を介してのみアプリケーションにアクセスすることが期待されます。アプリが IP アドレスに基づいて構成されている場合、FQDN からアプリにアクセスすることはできません。

        次の表に、さまざまな宛先の例と、これらの宛先を使用してアプリにアクセスする方法を示します。

        デスティネーション入力 アプリへのアクセス方法
        10.10.10.1-10.10.10.100 エンドユーザーは、この範囲の IP アドレスを介してのみアプリにアクセスすることが期待されます。
        10.10.10.0/24 エンドユーザーは、IP CIDRで構成されたIPアドレスを介してのみアプリにアクセスすることが期待されます。
        10.10.10.101 エンドユーザーは 10.10.10.101 からのみアプリにアクセスすることが期待されます
        *.info.citrix.com エンドユーザーは、 info.citrix.com および info.citrix.com (親ドメイン) のサブドメインにもアクセスすることが期待されます。たとえば、 info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com 注: ワイルドカードは常にドメインの開始文字である必要があり、*. は 1 つだけ使用できます。
        info.citrix.com エンドユーザーは、 info.citrix.com サブドメインにはアクセスしないことが期待されます。たとえば、 sub1.info.citrix.com はアクセスできません。
    • Port — アプリが実行されているポート。管理者は宛先ごとに複数のポートまたはポート範囲を設定できます。

      次の表に、宛先に設定できるポートの例を示します。

      ポート入力 説明
      * デフォルトでは、ポートフィールドは “*” (任意のポート) に設定されています。宛先では、1 ~ 65535 のポート番号がサポートされています。
      1300–2400 宛先では、1300から2400までのポート番号がサポートされています。
      38389 宛先ではポート番号 38389 だけがサポートされます。
      22,345,5678 ポート22、345、5678は宛先でサポートされています。
      1300–2400, 42000-43000,22,443 ポート番号の範囲は 1300 ~ 2400、42000 ~ 43000 で、ポート 22 と 443 は宛先でサポートされます。

      注:

      ワイルドカードポート (*) は、ポート番号または範囲と共存できません。

    • プロトコル — TCP
  5. [ App Connectivity ] セクションでは、ルーティングを決定するために、 アプリケーションドメインテーブルのミニバージョンを使用できます 。宛先ごとに、異なるリソースの場所または同じリソースの場所を選択できます。前の手順で設定した送信先は、DESTINATION 列に入力されます。 ここに追加された宛先は、 メインのアプリケーションドメインテーブルにも追加されますApplication Domains テーブルは、接続の確立とトラフィックを正しいリソースロケーションに誘導するためのルーティング決定を行うための信頼できる情報源です。アプリケーションドメインテーブルおよび考えられるIP競合シナリオについて詳しくは、「アプリケーションドメイン-IPアドレスの競合解決」セクションを参照してください。
  6. 次のフィールドでは、ドロップダウンメニューから入力を選択し、[ 次へ] をクリックします。

    注:

    内部ルートタイプのみがサポートされています。

    • リソースの場所 — ドロップダウンメニューから、少なくとも 1 つの Connector Appliance がインストールされたリソースの場所に接続する必要があります。

      注:

      コネクタアプライアンスのインストールは、[アプリケーション接続] セクションからサポートされます。Citrix Cloud ポータルの[リソースの場所]セクションにもインストールできます。リソースロケーションの作成について詳しくは、「 リソースロケーションの設定」を参照してください。

    アプリ接続性

  7. [ アプリ利用者 ] セクションで、ユーザーまたはグループをアプリに割り当てます。

    • [ ドメインの選択] で、アプリに適用可能なドメインを選択し、[グループまたはユーザーの選択] で、このアプリにサブスクライブするグループまたはユーザーを選択します。名前とアルファベット U または G の外観に基づいて、ユーザーとグループを区別できます。

    • [ 保存] をクリックします。利用者の詳細が自動的に読み込まれます。

    [ ステータス] の横にある削除アイコンをクリックすると、サブスクライブしているユーザーまたはグループのサブスクライブを解除できます。

    利用者の管理

  8. [完了] をクリックします。アプリケーションが [アプリケーション] ページに追加されます。アプリケーションを構成したら、[アプリケーション] ページからアプリを削除、管理、または編集できます。そのためには、アプリの省略記号ボタンをクリックし、それに応じてアクションを選択します。

    • 利用者を管理
    • [アプリケーションを編集]
    • 削除
  • ユーザーに必要な認証方法を構成するには、「 ID と認証の設定」を参照してください。

  • ユーザーと共有するワークスペースURLを取得するには、Citrix Cloud メニューから[ ワークスペース構成]をクリックし、[ アクセス ]タブを選択します。

    ID アクセス管理

管理者構成 — HTTP (S) アプリへの ZTNA エージェントベースのアクセス

注:

Citrix Secure Accessエージェントを使用して既存または新規のHTTP/HTTPSアプリにアクセスするには、ゲートウェイコネクタに加えて、リソースの場所に少なくとも1つ(高可用性のために推奨される2つ)のコネクタアプライアンスをインストールする必要があります。コネクタは、オンプレミス、データセンターのハイパーバイザー、またはパブリッククラウドにインストールできます。コネクタアプライアンスとそのインストールの詳細については、 クラウドサービス用コネクタアプライアンスを参照してください

前提条件

  • Citrix Cloud のCitrix Secure Private Accessへのアクセス。

注意事項

  • セキュリティ制御が強化された内部Webアプリには、Citrix Secure Accessエージェントからはアクセスできません。
  • 拡張セキュリティ制御が有効になっている HTTP (S) アプリケーションにアクセスしようとすると、次のポップアップメッセージが表示されます。<”app name”(FQDN) > アプリでは追加のセキュリティコントロールが有効になっています。Citrix Workspace からアクセスしてください。

    エラーメッセージ

  • SSOエクスペリエンスを有効にする場合は、Citrix Workspace アプリまたはWebポータルを使用してWebアプリにアクセスします。

HTTP (S) アプリを構成する手順は、「 エンタープライズ Web アプリのサポート」で説明されている既存の機能と同じです。

TCP および HTTP (S) アプリへのアダプティブアクセス

アダプティブアクセスにより、管理者は、デバイスのポスチャチェック、ユーザーの位置情報、ユーザーの役割、Citrix Analytics サービスが提供するリスクスコアなど、複数のコンテキスト要因に基づいて、ビジネスクリティカルなアプリへのアクセスを管理できます。

注:

  • TCP アプリケーションへのアクセスを拒否できます。管理者は、ユーザー、ユーザーグループ、ユーザーがアプリケーションにアクセスするデバイス、およびアプリケーションにアクセスする場所 (国) に基づいてポリシーを作成します。アプリケーションへのアクセスはデフォルトで許可されています。

  • アプリに対して行われたユーザーサブスクリプションは、ZTNA アプリケーション用に構成されたすべての TCP アプリ宛先に適用されます。

アダプティブアクセスポリシーを作成するには

管理者は、管理者ガイドによるワークフローウィザードを使用して、Secure Private Access サービスの SaaS アプリ、内部 Web アプリ、TCP アプリへのゼロトラストネットワークアクセスを構成できます。

注:

注意事項

  • セキュリティ強化が有効になっている既存の Web アプリへのアクセスは、Secure Access エージェントを介して拒否されます。Citrix Workspace アプリを使用したログインを促すエラーメッセージが表示されます。
  • Citrix Workspace アプリを介したユーザーリスクスコアやデバイスポスチャチェックなどに基づくWebアプリのポリシー構成は、Secure Accessエージェントを介してアプリにアクセスしている間は正常に保持されます。
  • アプリケーションにバインドされたポリシーは、アプリケーション内のすべての宛先に適用できます。

DNS 解決

コネクタアプライアンスには、DNS 解決のための DNS サーバー構成が必要です。

WindowsマシンにCitrix Secure Accessエージェントをインストールする手順

サポートされている OS バージョン:

Windows-Windows11、Windows10、Windows Server 2016、およびWindows Server 2019。

WindowsマシンにCitrix Secure Accessエージェントをインストールする手順は次のとおりです。

  1. Citrix Secure Access エージェントをhttps://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.htmlからダウンロードします。
  2. [ インストール ] をクリックして、Windows マシンにエージェントをインストールします。既存のCitrix Gateway エージェントがある場合は、同じエージェントがアップグレードされます。 エージェントのインストール
  3. [完了]をクリックして、インストールを完了します。 agent2 をインストールする

注:

Windows のマルチユーザーセッションはサポートされていません。

Microsoft Edge ランタイムのインストール手順

セキュアアクセスエージェントの認証 UI に Microsoft Edge ランタイムが必要になりました。 これは、最新の Windows 10 および Windows 11 マシンにデフォルトでインストールされます。それ以前のバージョンのマシンでは、次の手順を実行します。

  1. 次のリンクに移動します https://go.microsoft.com/fwlink/p/?LinkId=2124703
  2. Microsoft Edge をダウンロードしてインストールします。ユーザーシステムにMicrosoft Edgeランタイムがインストールされていない場合、ワークスペースURLに接続しようとすると、Citrix Secure Accessエージェントクライアントからインストールを促すメッセージが表示されます。

注:

SCCMソフトウェアやグループポリシーなどの自動化ソリューションを使用して、Citrix Secure AccessエージェントまたはMicrosoft Edge Runtimeをクライアントマシンにプッシュできます。

macOSマシンにCitrix Secure Accessエージェントをインストールする手順

前提条件:

  • macOS向けCitrix Secure AccessアプリをApp Storeからダウンロードします。このアプリは macOS 10.15 (Catalina) 以降から利用できます。
  • プレビュービルドは、macOS モントレー (12.x) の TestFlight アプリでのみ使用できます。
  • App StoreアプリとTestFlightプレビューアプリを切り替える場合は、Citrix Secure Accessアプリで使用するプロファイルを再作成する必要があります。たとえば、で接続プロファイルを使用していた場合は blr.abc.company.com、VPN プロファイルを削除し、同じプロファイルをもう一度作成します。

サポートされている OS バージョン:

macOS — 12.x (モントレー)。11.x (ビッグサー) と 10.15 (カタリナ) がサポートされています。

注:

モバイルデバイス-iOS と Android はサポートされていません。

設定済みアプリの起動-エンドユーザーフロー

  1. クライアントデバイスでCitrix Secure Accessエージェントを起動します。
  2. Citrix Secure Accessエージェントの[URL]フィールドに顧客管理者から提供されたワークスペースURLを入力し、[ 接続]をクリックします。これは 1 回限りのアクティビティで、URL は後で使用できるように保存されます。 アプリを起動する
  3. Citrix Cloud で構成された認証方法に基づいて、ユーザーに認証を求められます。 認証に成功すると、ユーザーは構成済みのプライベートアプリにアクセスできます。

ユーザー通知メッセージ

次のシナリオでは、ポップアップ通知メッセージが表示されます。

  • このアプリは、管理者によってユーザーに対して承認されていません。

    原因: アクセスされた宛先 IP アドレスまたは FQDN 用に構成されたアプリケーションが、ログインしているユーザーに対してサブスクライブされていません。

    ポップアップメッセージ1

  • アクセスポリシーを評価すると、アクセスが拒否されます。

    原因: アプリケーションにバインドされたポリシーが、ログインしているユーザーに対して「Deny Access」と評価されたため、宛先 IP アドレスまたは FQDN へのアクセスが拒否されました。

    ポップアップメッセージ2

  • 拡張セキュリティ制御がアプリに対して有効になっている。

    原因: アクセス先のアプリケーションに対して、強化されたセキュリティ制御が有効になっています。このアプリケーションは、Citrix Workspace アプリを使用して起動できます。

    ポップアップメッセージ3

追加情報

アプリケーションドメイン-IP アドレスの競合解決

アプリの作成中に追加された宛先は、メインのルーティングテーブルに追加されます。 ルーティングテーブルは、接続の確立とトラフィックを正しいリソースロケーションに誘導するためのルーティング決定を行うための信頼できるソースです。

  • 宛先 IP アドレスは、リソースの場所全体で一意である必要があります。
  • ルーティングテーブル内のIPアドレスまたはドメインが重複しないようにすることをCitrixではお勧めします。オーバーラップが発生した場合は、解決する必要があります。

競合シナリオの種類は次のとおりです。完全重複は 、競合が解決されるまで管理者構成を制限する唯一のエラーシナリオです。

競合シナリオ 既存のアプリケーションドメインエントリ アプリ追加からの新規エントリー 動作
サブセットオーバーラップ 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 許可; 警告情報-IP ドメインと既存のエントリのサブセットオーバーラップ
サブセットオーバーラップ 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 許可; 警告情報-IP ドメインと既存のエントリのサブセットオーバーラップ
部分オーバーラップ 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 許可; 警告情報-IP ドメインと既存のエントリが部分的に重複しています
部分オーバーラップ 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 許可; 警告情報-IP ドメインと既存のエントリが部分的に重複しています
完全オーバーラップ 10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 エラー。 <Completely overlapping IP domain's value> IP ドメインが既存のエントリと完全に重複しています。既存のルーティング IP エントリを変更するか、別の宛先を設定してください
完全オーバーラップ 10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 エラー。 <Completely overlapping IP domain's value> IP ドメインが既存のエントリと完全に重複しています。既存のルーティング IP エントリを変更するか、別の宛先を設定してください
完全一致 20.20.0/29 RL1 20.20.0/29 許可。ドメインはドメインルーティングテーブルに既に存在します。加えられた変更により、ドメインルーティングテーブルが更新されます。

注:

  • 追加された宛先が完全に重複する場合は、[App Details ] セクションにアプリの構成中にエラーが表示されます。管理者は、[ App Connectivity ] セクションで宛先を変更して、このエラーを解決する必要があります。

    [ アプリの詳細 ] セクションにエラーがない場合、管理者はアプリの詳細の保存に進むことができます。ただし、[ App Connectivity ] セクションでは、宛先にサブセットがあり、相互に部分的に重複している場合や、メインルーティングテーブル内の既存のエントリが重複している場合は、警告メッセージが表示されます。この場合、管理者はエラーを解決するか、設定を続行するかを選択できます。

  • アプリケーションドメインテーブルはクリーンな状態に保つことをお勧めします 。IP アドレスドメインが重複することなく適切なチャンクに分割されると、新しいルーティングエントリを簡単に設定できます。

ログインとログアウトのスクリプト構成レジストリ

Citrix Secure Accessクライアントは、Citrix Secure AccessクライアントがCitrix Secure Private Accessクラウドサービスに接続するときに、次のレジストリからログインおよびログアウトスクリプト構成にアクセスします。

Registry: HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • ログインスクリプトパス:SecureAccessLoginScript タイプ REG_SZ
  • ログアウトスクリプトパス:SecureAccessLogoutScript タイプ REG_SZ

リリースノートリファレンス