エンドユーザーがアクセスしたドメインまたはIPアドレスを検出する
アプリケーション検出機能を使用すると、管理者は組織内でアクセスされている外部および内部アプリケーション (HTTP/HTTPS および TCP/UDP アプリ) を可視化できます。 この機能は、公開されているか未公開であるかにかかわらず、すべてのドメイン/IP アドレスを検出して一覧表示します。 したがって、管理者はどのドメイン/IP アドレスが誰によってアクセスされているかを確認し、それらをアプリケーションとして公開してそれらのユーザーにアクセスを提供するかどうかを決定できます。
アプリケーション検出機能は、管理者に次の機能を提供します。
- エンドユーザーがアクセスする内部または外部のドメイン/IP アドレスの両方に対する可視性を提供します。
- アクセスされるすべてのタイプのアプリケーション (HTTP、HTTPS、TCP、UDP) に対する包括的な可視性を提供します。 Access Citrix Enterprise Browser および Citrix Secure Access エージェントがサポートされています。
- エンドユーザーがアクセスした公開済みまたは未公開のドメイン/IP アドレスの両方を表示します。
次の図は、 アプリ検出 ページのサンプルを示しています。 アプリ検出 ページでは、プロトコル (HTTP/HTTPS、TCP/UDP) およびドメイン/IP アドレスとポート番号に基づいてドメインをフィルタリングできます。 また、エンドユーザーがアクセスした未公開の(どのアプリにも割り当てられていない)ドメインも表示されます。
新しい環境における内部ドメインのアプリケーション検出
新しいセキュア プライベート アクセス環境をセットアップし、構成するアプリケーションを可視化する必要がある場合は、アプリケーション検出機能を使用できます。 この機能は、エンドユーザーがアクセスするすべてのドメイン/IP アドレスを検出して一覧表示し、アプリケーションとして構成できるようにします。 Secure Private Access 環境を設定するときに、アプリケーション検出機能を有効にするには、次の手順に従います。
-
内部 Web アプリケーションを検出するには、Secure Private Access 内でアプリケーションを構成し、検出するアプリケーションのドメイン/サブドメインに属するワイルドカード関連のドメインを指定します。
たとえば、ドメイン citrix.com を持つすべてのアプリケーションを検出する場合は、関連するワイルドカード ドメインを
*.citrix.comとしてアプリケーションを作成します。 アプリケーション構成を完了できるようにするには、メインの Web アプリ URL セクションとして任意のテスト URL を追加します。
Web アプリの URL:
https://test.citrix.com/関連ドメイン:*.citrix.com -
内部 TCP/UDP アプリの場合は、Secure Private Access 内でアプリケーションを構成し、TCP/UDP プロトコルとポートの範囲とともにサブネットを指定します (範囲全体を含めるには、
*と入力します)。 これにより、Citrix Secure Access エージェントからすべての TCP および UDP アプリを検出できるようになります。 たとえば、サブネット 10.0.0.0/8 内のすべてのアプリケーションを検出する場合は、次の詳細を使用してアプリを構成します。例: 10.0.0.0/8:ポート: (*)
プロトコル:TCP
-
アプリケーションを作成したら、構成されたドメインと IP サブネットを使用して、アプリへのアクセスを許可するユーザーも定義する必要があります。 アクセス ポリシーを作成し、作成されたアプリケーションで構成された FQDN/IP アドレスへのアクセスを許可するユーザーを割り当てます。 これらは、テスト ユーザーの初期セット、または最初にアクセス権を付与する限られた数のユーザーになります。
-
アプリケーションと対応するアクセス ポリシーを作成した後、ユーザーは Citrix Workspace アプリからアプリケーションにアクセスし、さまざまなドメインに引き続きアクセスできます。 エンドユーザーがアクセスしたすべての FQDN/IP アドレスが、アプリケーション検出ページに表示されるようになります。
注意:
- 数日/数週間かけてほとんどのアプリケーションを検出して特定したら、最初に作成したアプリケーションを削除して、ワイルドカード ドメインと IP サブネット経由で提供される広範なアクセスを閉鎖し、検出された特定のアプリケーション URL と IP アドレスのみに新しいアプリケーション経由でのアクセスを許可することをお勧めします。
- アプリ名にプレフィックス
Discoverを追加して、これが検出監視とレポートを有効にする特別なアプリ構成であることを示します。 この命名により、ワイルド カード ドメインまたは IP サブネット、あるいはその両方を削除する必要があることがわかり、数週間後または 1 か月後に、全体的なアプリ アクセス ゾーンを特定の FQDN と IP/ポートの組み合わせだけに縮小できるようになります。- TCP/UDP アプリにアクセスするには、ユーザーは Citrix Secure Access エージェントを使用する必要があります。 さまざまなアクセス方法からのアプリ アクセスは、アプリのドメインとサブネットの構成に基づいて監視され、 アプリ検出 ページ内で報告されます。
- 検出されたアプリケーションを削除した後でも、この機能はユーザーがアクセスしたドメイン/IP アドレスの検出を継続します。 したがって、いつでも App Discovery ページに戻って、アクセスされている内容や、アプリケーションとして構成する必要がある新しいドメイン/IP アドレスが検出されたかどうかを確認できます。
ドメイン、FQDN、または IP アドレスの追加の詳細については、次のトピックを参照してください。
アプリ検出ページからアプリケーションを作成する
アプリ検出 ページからメイン ドメインと未公開ドメインのアプリケーションを作成するには、次の手順を実行します。
- アプリケーション > アプリの検出に移動します。
- リストからドメインを選択します。
注意:
- 異なるプロトコルに属するドメインを選択してアプリケーションを作成することはできません。 異なるプロトコルに属するドメインを選択すると、エラー メッセージが表示されます。
- ドメインがすでにアプリケーションに関連付けられている場合は、そのドメインを再度選択してアプリケーションを作成することはできません。 そのドメインに対応するチェックボックスはグレー表示され、チェックボックスの上にマウスを置くとツールヒントが表示されます。
- アプリケーションの作成をクリックします。 アプリケーション作成の詳細については、「 HTTP/HTTPS アプリケーションを構成する 」および「 TCP/UDP アプリケーションを構成する」を参照してください。
既存のアプリケーションを更新する
既存のアプリケーションにドメインを追加するには、次の手順を実行します。
- アプリケーションに追加する必要があるドメインを選択します。
- 既存のアプリケーションに追加をクリックします。
- アプリケーションで、これらのドメインを追加するアプリケーションを選択します。
- アプリの詳細を取得をクリックします。
- 関連ドメイン フィールドには、先ほど選択したすべてのドメインが別々の行に表示されます。
- [完了]をクリックします。
注意:
- 既存の TCP/UDP アプリケーションにのみ TCP/UDP 宛先 IP アドレスを追加できます。 アプリケーション フィールドには、システムで構成されている TCP/UDP アプリケーションのみがリストされます。
- 既存の HTTP/HTTPS または TCP/UDP アプリを選択して、プロトコルが HTTP/HTTPS であるドメイン (メインまたは単一エントリ) を追加できます。
- すでにアプリケーションに関連付けられているドメインを選択することはできません。