Device Posture
Citrix Device Postureサービスは、管理者がCitrix DaaS(仮想アプリおよびデスクトップ)またはCitrix Secure Private Accessリソース(SaaS、Webアプリ、TCP、およびUDPアプリ)にアクセスするためにエンドデバイスが満たす必要のある特定の要件を管理者が適用できるようにするクラウドベースのソリューションです。ゼロトラストベースのアクセスを実装するには、デバイスの状態を確認してデバイスの信頼を確立することが重要です。Device Postureサービスは、エンドユーザのログインを許可する前に、エンドデバイスのコンプライアンス(マネージド/BYODとセキュリティ態勢)をチェックすることで、ネットワークにゼロトラストの原則を適用します。
前提条件
-
ライセンス要件:Citrix Device Postureサービスの利用資格は、Citrix DaaSプレミアム、Citrix DaaS Premium Plus、およびCitrix Secure Private Access Advancedライセンスの一部です。他のライセンスをお持ちのお客様は、Device Postureサービスの利用権をアドオンとして購入できます。アドオンの場合、お客様はスタンドアロンの適応型認証 SKU を購入する必要がありますが、Device Postureサービスを使用するために必ずしも導入する必要はありません。
-
サポートされるプラットフォームは、以下のとおりです。
- Windows(10および11)
- macOS 13 Ventura
- macOS 12 Monterey
- iOS
- IGEL
注:
-
サポートされていないプラットフォームで実行されているデバイスは、デフォルトで非対応としてマークされます。Device Postureページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。
-
サポートされているプラットフォームで実行されているが、事前に定義されているDevice Postureポリシーに一致しないデバイスは、デフォルトで非準拠としてマークされます。Device Postureページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。
-
Device PostureサービスでのiOSサポートについては、EPAクライアントがiOS向けCitrix Workspaceアプリの一部として組み込まれています。バージョンについて詳しくは、「iOS向けCitrix Workspaceアプリ」を参照してください。
-
Device Postureサービスでの IGEL OS サポートでは、EPA クライアントが IGEL OS の一部として組み込まれています。IGEL デバイスに EPA クライアントをインストールするには、IGEL サポートチームにお問い合わせください。
-
Citrix Device Postureクライアント(EPAクライアント):Device Postureスキャンを実行するにはエンドポイントデバイスにインストールする必要がある軽量アプリケーション。このアプリケーションをエンドポイントにダウンロードしてインストールするには、ローカル管理者権限は必要ありません。
注:
デバイス証明書チェックを使用している場合は、管理者権限で EPA クライアントをインストールする必要があります。
-
対応ブラウザ:Chrome、Edge、Firefox。
-
ファイアウォール設定: Device Postureサービスがエンドデバイス上のEPAクライアントを更新できるようにするには、ファイアウォール/プロキシを次のドメインを許可するように設定する必要があります。
https://swa-ui-cdn-endpoint-prod.azureedge.nethttps://productioniconstorage.blob.core.windows.net- *.netscalergateway.net
- *.nssvc.net
- *.cloud.com
- *.pendo.io
- *.citrixworkspacesapi.net
プレビュー機能
- IGEL によるDevice Postureサービス。https://podio.com/webforms/29062020/2362942を使用してプレビューにサインアップしてください。
- iOS でのDevice Postureサービス。https://podio.com/webforms/28888524/2338366を使用してプレビューにサインアップしてください。
- 位置情報チェックとネットワークロケーションチェック。https://podio.com/webforms/29051759/2362665を使用してプレビューにサインアップしてください。
- CrowdStrike とDevice Postureサービスの統合。詳細については、「 CrowdStrikeとDevice Postureの統合-プレビュー」を参照してください。
機能
管理者はDevice Postureポリシーを作成して、エンドポイントデバイスのポスチャをチェックし、エンドポイントデバイスのログインを許可するか拒否するかを判断できます。ログインが許可されているデバイスは、さらに準拠または非準拠に分類されます。ユーザーはブラウザまたはCitrix Workspaceアプリからログインできます。
デバイスを「準拠」、「非準拠」、「ログイン拒否」に分類する際に使用される大まかな条件は次のとおりです。
- 準拠デバイス - 事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへのフルアクセスまたは無制限アクセスで会社のネットワークにログインできるデバイス。 -
- 非準拠デバイス -事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの部分的または制限されたアクセスで会社のネットワークにログインできるデバイス。
- ログイン拒否: - ポリシー要件を満たさないデバイスはログインを拒否されます。
デバイスを準拠、 **非準拠、 **およびログイン拒否として分類すると 、Citrix DaaSおよびCitrix Secure Private Accessサービスに渡され、サービスはそのデバイス分類を使用してスマートアクセス機能を提供します。
注:
- Device Postureポリシーは、プラットフォームごとに個別に設定する必要があります。たとえば、macOS の場合、管理者は特定の OS バージョンを搭載したデバイスへのアクセスを許可できます。同様に、Windows の場合、管理者は特定の認証ファイルやレジストリ設定などを含むようにポリシーを設定できます。
- Device Postureスキャンは、事前認証中またはログイン前にのみ実行されます。
- 「準拠」と「非準拠」の定義については、定義を参照してください。
デバイスの姿勢によるスキャンのサポート
Citrix Device Postureサービスでは、次のスキャンがサポートされています。
|Windows|macOS|iOS|IGEL| |—|—|—|—| |Citrix Workspaceアプリのバージョン|Citrix Workspaceアプリのバージョン |Citrix Workspaceアプリのバージョン|-| |オペレーティングシステムのバージョン |オペレーティングシステムのバージョン|オペレーティングシステムのバージョン|-| |ファイル (存在、ファイル名、パス) |ファイル (存在、ファイル名、パス) |-|ファイル (存在、ファイル名、パス)| |ジオロケーション |ジオロケーション|-|-| |ネットワークロケーション |ネットワークロケーション|-|-| |MACアドレス|MACアドレス |-|-| |プロセス (存在する) |プロセス (存在する) |-|-| |Microsoft Endpoint Manager |Microsoft Endpoint Manager |-|-| |Crowdstrike|Crowdstrike|-|-|-| |デバイス証明書|-|-|-| |ドメイン名|-|-|-| |非数値レジストリ (32ビット)|-|-|-| |非数値レジストリ (64ビット)|-|-|-| |数値レジストリ (32ビット) |-|-|-| |数値レジストリ (64ビット)|-|-|-| |Windows Update インストールタイプ|-|-|-| Windows Update インストール最終更新チェック|-|-|-|
注:
- Device PostureサービスでのiOSサポートについては、EPAクライアントがiOS向けCitrix Workspaceアプリの一部として組み込まれています。バージョンについて詳しくは、「iOS向けCitrix Workspaceアプリ」を参照してください。
デバイス姿勢とのサードパーティ統合
Device Postureサービスが提供するネイティブスキャンに加えて、このサービスはWindowsおよびmacOS上の以下のサードパーティソリューションと統合することもできます。
- Microsoft Intune。詳しくは、「 Microsoft IntuneとDevice Postureの統合」を参照してください。
- クラウドストライク。詳細については、「 CrowdStrikeとDevice Postureの統合-プレビュー」を参照してください。
デバイスの姿勢を設定
Device Postureは、デバイスがリソースにアクセスするために満たさなければならないポリシーとルールを組み合わせたものです。各ポリシーには、[準拠]、[非準拠]、[ログイン拒否] のいずれかのアクションが添付されています。さらに、各ポリシーには優先順位が関連付けられており、ポリシーが true と評価され、関連するアクションが実行されると、ポリシー評価は停止します。
- Citrix Cloudにサインインし、ハンバーガーメニューから[ IDとアクセス管理 ]を選択します。
-
[ Device Posture] タブをクリックし、 [ 管理] をクリックします。
注:
- Secure Private Accessサービスのお客様は、管理ユーザー・インターフェースの左側のナビゲーションにある「 Device Posture 」を直接クリックできます。
- 初めて使用するユーザーには、Device Postureのランディングページに、Device Postureポリシーを作成するように求められます。Device Postureポリシーは、プラットフォームごとに個別に設定する必要があります。Device Postureポリシーを作成すると、適切なプラットフォームに一覧表示されます。
- ポリシーは、Device Postureが有効になった後にのみ有効になります。 デバイスの姿勢を有効にするには、右上隅にある[デバイスの姿勢を無効]にスライドさせて[オン]に切り替えます。
- [ デバイスポリシーの作成] をクリックします。
-
「 プラットフォーム」で、ポリシーを適用するプラットフォームを選択します。Device Postureのホームページで選択したタブに関係なく、プラットフォームを Windows から macOS に、またはその逆に変更できます。
-
ポリシールールで、Device Postureの一部として実行するチェックを選択し、一致させる必要がある条件を選択します。
注:
- デバイス証明書をチェックするには、発行者証明書がデバイスに存在することを確認してください。それ以外の場合は、Device Postureポリシーの作成時にデバイス証明書をインポートするか、Device Postureホームページの [設定] から証明書をアップロードできます。詳しくは、「デバイス証明書のポリシー作成時のデバイス証明書のインポート」と「デバイス証明書のアップロード」を参照してください。
- デバイス証明書をチェックするには、エンドデバイスに EPA クライアントが管理者権限でインストールされている必要があります。
- Device Postureサービスによるデバイス証明書チェックは、証明書失効チェックをサポートしていません。
-
複数のルールを作成するには、[別のルールを追加 ] をクリックします。AND 条件は複数のルールに適用されます。
-
設定した条件に基づくポリシー結果で 、デバイススキャンでユーザーデバイスを分類するタイプを選択します。
- 準拠
- 非準拠
- アクセス拒否
- ポリシーの名前を入力します。
-
[ 優先度] に、ポリシーを評価する順序を入力します。
- 1 から 100 までの値を入力できます。拒否ポリシーを優先度が高く、その後に非準拠、最後に準拠するように構成することをお勧めします。
- 値が小さい優先度が最も高くなります。
- 有効になっているポリシーのみが優先度に基づいて評価されます。
-
[作成]をクリックします。
重要:
Device Postureポリシーを有効にするには、「作成時に有効にする 」トグルスイッチを「 オン 」に切り替える必要があります。ポリシーを有効にする前に、ポリシーが正しく構成され、テスト設定でこれらのタスクを実行していることを確認することをお勧めします。
Device Postureポリシーを編集する
設定されたDevice Postureポリシーは、Device Scansページの特定のプラットフォームの下に一覧表示されます 。このページから、編集するポリシーを検索できます。このページからポリシーを有効化、無効化、または削除することもできます。
Device Postureを使用してコンテキストアクセス (スマートアクセス) を設定
デバイスのポスチャの検証後、デバイスのログインが許可され、準拠または非準拠として分類できます。この情報は、Citrix DaaSサービスおよびCitrix Secure Private Accessサービスにタグとして提供され、デバイスの状態に基づいてコンテキストアクセスを提供するために使用されます。そのため、Citrix DaaSとCitrix Secure Private Accessは、Device Postureタグを使用してアクセス制御を実施するように構成する必要があります。
Device PostureによるCitrix DaaS 構成
- Citrix Cloud にサインインします。
- DaaS タイルで [ 管理] をクリックします。
- 左側のメニューから「 デリバリーグループ 」セクションに移動します。
- デバイスの状態に基づいてアクセス制御を構成するデリバリーグループを選択し、[ 編集] をクリックします。
- 「 デリバリーグループの編集 」ページで、「 アクセスポリシー」をクリックします。
- アクセスポリシーページで [追加] をクリックし、「ファーム内のワークスペース」という値を入力します。
-
「 フィルタ」に、次のいずれかの値を入力します。
- 準拠-準拠デバイス用
- 非準拠-非準拠のデバイス用
注:
デバイス分類タグの構文は、先ほど説明したのと同じ方法で入力する必要があります。つまり、すべて大文字 (COMPLIANT と NON COMPLIANT) です。そうしないと、デバイスのセキュリティ態勢ポリシーが意図したとおりに機能しません。
デバイス分類タグに加えて、Device Postureサービスはデバイスに関連するオペレーティングシステムタグとアクセスポリシータグも返します。オペレーティングシステムタグとアクセスポリシータグは大文字のみで入力する必要があります。
- DEVICE_TYPE_WINDOWS
- DEVICE_TYPE_MAC
- 正確なポリシー名 (大文字)
- [保存]をクリックします。
注:
DaaSアクセスポリシーで準拠または非準拠のタグが付けられていないDaaSデリバリーグループはデフォルトのデリバリーグループとして扱われ、デバイスの状態に関係なくすべてのエンドポイントからアクセスできます。
Device PostureによるCitrix Secure Private Access 構成
- Citrix Cloud にサインインします。
- 「Secure Private Access」タイルで、[管理] をクリックします。
- 左側のナビゲーションで [ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
- ポリシー名とポリシーの説明を入力します。
- 「 アプリケーション」で、このポリシーを適用する必要があるアプリまたはアプリのセットを選択します。
- 「 Create Rule 」をクリックして、ポリシーのルールを作成します。
- ルール名とルールの簡単な説明を入力して、[ 次へ] をクリックします。
- ユーザーの条件を選択します。 ユーザー条件は 、ユーザーにアプリケーションへのアクセスを許可するための必須条件です。
- + をクリックして、デバイスの姿勢条件を追加します。
- ドロップダウンメニューから [ デバイス姿勢チェック ] と [論理式] を選択します。
-
カスタムタグに次のいずれかの値を入力します。
- 準拠-準拠デバイス用
- 非準拠-非準拠デバイスの場合
- [次へ] をクリックします。
-
条件評価に基づいて適用する必要があるアクションを選択し、「 次へ」をクリックします。
「概要」ページには、ポリシーの詳細が表示されます。
-
詳細を確認して [ 完了] をクリックします。
アクセスポリシーの作成の詳細については、「 複数のルールを含むアクセスポリシーの設定」を参照してください。
注:
アクセスポリシーで準拠または非準拠のタグが付いていない Secure Private Access アプリケーションはデフォルトアプリケーションとして扱われ、デバイスの状態に関係なくすべてのエンドポイントからアクセスできます。
エンドユーザーフロー
Device Postureポリシーを設定してDevice Postureを有効にすると、エンドユーザーのCitrix Workspaceへのログイン方法に基づくエンドユーザーフローが次のようになります。
ブラウザアクセスによるエンドユーザーフロー
注:
説明のため、macOS クライアントと Chrome ブラウザを例として使用しています。画面と通知は、Citrix Workspace URLへのアクセスに使用するクライアントとブラウザによって異なります。
-
エンドユーザーがブラウザを介してCitrix Workspace URL
https://<your-workspace-URLにログオンすると、エンドユーザーはCitrix EndpointAnalysisアプリケーションを実行するように求められます。
-
エンドユーザーが「 Open Citrix End Point Analysis」をクリックすると、Device Postureクライアントが実行され、Device Postureポリシー要件に基づいてエンドポイントパラメータがスキャンされます。
-
最新のDevice Postureクライアントがエンドポイントにインストールされていない場合、ユーザーは [ 再確認 ]、[ クライアントのダウンロード] のオプションを表示するページにリダイレクトされます。ユーザーは [ クライアントをダウンロード] をクリックする必要があります。
-
最新のDevice Postureクライアントがエンドポイントにすでにインストールされている場合、 ユーザーは再度 [確認] をクリックする必要があります。
Citrix Workspace アプリケーション経由のエンドユーザーフロー
- エンドユーザーがCitrix Workspaceアプリケーションを介してCitrix Workspace URL
https://your-workspace-urlにログオンすると、エンドポイントにインストールされたDevice Postureクライアントが実行され、Device Postureーポリシー要件に基づいてエンドポイントパラメータがスキャンされます。 - 最新のDevice Postureクライアントがエンドポイントにインストールされていない場合、ユーザーは [ 再確認 ]、[ クライアントのダウンロード] のオプションを表示するページにリダイレクトされます。ユーザーは [ クライアントをダウンロード] をクリックする必要があります。
- 最新のDevice Postureクライアントがエンドポイントにすでにインストールされている場合、 ユーザーは再度 [確認] をクリックする必要があります。
エンドユーザーフロー-Device Postureー結果
Device Postureポリシーの条件によっては、3 つの可能性が考えられます。
エンドポイントがポリシー条件を満たしている場合、そのデバイスは次のように分類されます。
- 準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースに無制限にアクセスしてログインできます。
-
非準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースへのアクセスを制限してログインできます。
エンドポイントがポリシー条件を満たし、 デバイスがアクセス拒否に分類される場合、「アクセス拒否** 」メッセージが表示されます。
Device Postureイベントの監視とトラブルシューティング
Device Postureイベントログは、次の 2 つの場所で表示できます。
- Citrix DaaSモニター
- Citrix Secure Private Accessダッシュボード
Citrix DaaSモニターのDevice Postureイベント
Device Postureサービスのイベントログを表示するには、次の手順を実行します。
- 失敗したセッションまたはアクセス拒否されたセッションのトランザクションIDをエンドユーザーデバイスからコピーします。
- Citrix Cloud にサインインします。
- DaaSタイルで [管理] をクリックし、[監視] タブをクリックします。
- Monitor UIで、32桁のトランザクションIDを検索し、[詳細] をクリックします。
Secure Private AccessダッシュボードのDevice Postureイベント
Device Postureサービスのイベントログを表示するには、次の手順を実行します。
- Citrix Cloud にサインインします。
- 「Secure Private Access」タイルで、[管理] をクリックします。
- 左側のメニューから [ダッシュボード] セクションに移動します。
-
診断ログチャートの「さらに表示 」リンクをクリックすると、Device Postureイベントログが表示されます。
-
管理者は、 診断ログチャートのトランザクション ID に基づいてログをフィルタリングできます 。トランザクションIDは、アクセスが拒否されるたびにエンドユーザーにも表示されます。
-
エラーまたはスキャンが失敗した場合、Device Posture サービスはトランザクション ID を表示します。このトランザクション ID は、Secure Private Accessサービスのダッシュボードで確認できます。ログが問題の解決に役立たない場合、エンドユーザーはトランザクションIDをCitrix サポートと共有して問題を解決できます。
-
Windows クライアントログは次の場所にあります。
- %localappdata%\Citrix\EPA\dpaCitrix.txt
- %localappdata%\Citrix\EPA\epalib.txt
-
macOS クライアントログは次の場所にあります。
- ~/ライブラリ/アプリケーション Support/Citrix/EPAPlugin/EpaCloud.log
- ~/ライブラリ/アプリケーション Support/Citrix/EPAPlugin/epaplugin.log
Device Postureのエラーログ
Device Postureサービスに関連する以下のログは、Citrix MonitorとSecure Private Accessダッシュボードで表示できます。これらすべてのログについては、Citrix サポートに連絡して解決してもらうことをお勧めします。
- 設定済みのポリシーの読み取りに失敗しました
- エンドポイントスキャンの評価に失敗しました
- ポリシー/式を処理できませんでした
- エンドポイントの詳細を保存できませんでした
- エンドポイントからのスキャン結果を処理できませんでした
既知の制限事項
- カスタムワークスペース URL はDevice Postureサービスではサポートされていません。
- Device Posture切り替えボタンがオンまたはオフになってからDevice Postureが有効または無効になるまで、数分から 1 時間かかる場合があります。
- Device Posture設定を変更しても、すぐには有効になりません。変更が反映されるまでに約 10 分かかる場合があります。
- Citrix Workspaceでサービス継続性オプションを有効にしていて、Device Postureサービスが停止していると、ユーザーがWorkspaceにサインインできないことがあります。これは、Citrix Workspaceがユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙するためです。
- Citrix Workspaceで有効期限の長いトークンとパスワードを設定した場合、この構成ではDevice Postureスキャンは機能しません。デバイスは、ユーザーがCitrix Workspaceにログインしたときにのみスキャンされます。
- 各プラットフォームには最大10個のポリシーを設定でき、各ポリシーには最大10個のルールを設定できます。
- ロールベースのアクセスは、Device Postureサービスではサポートされていません。
サービス品質
- パフォーマンス:理想的な条件下では、Device Postureサービスによりログイン中にさらに2秒の遅延が発生します。この遅延は、Microsoft Intune などのサードパーティ統合などの追加構成によっては増加する可能性があります。
- 耐障害性:Device Posture サービスは複数の POP による高い耐障害性を備えているため、ダウンタイムが発生しません。
定義
Device Postureサービスに関連する「準拠」と「非準拠」という用語は、次のように定義されています。
- 準拠デバイス - 事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへのフルアクセスまたは無制限アクセスで会社のネットワークにログインできるデバイス。 -
- 非準拠デバイス -事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの部分的または制限されたアクセスで会社のネットワークにログインできるデバイス。