デバイス姿勢
Citrix Device Postureサービスは、管理者がCitrix DaaS(仮想アプリおよびデスクトップ)またはCitrix Secure Private Accessリソース(SaaS、Webアプリ、TCP、およびUDPアプリ)にアクセスするためにエンドデバイスが満たす必要のある特定の要件を管理者が適用できるようにするクラウドベースのソリューションです。ゼロトラストベースのアクセスを実装するには、デバイスの状態を確認してデバイスの信頼を確立することが重要です。Device Postureサービスは、エンドユーザーにログインを許可する前に、エンドデバイスのコンプライアンス(Managed/BYODおよびセキュリティポスチャ)をチェックすることで、ネットワークにゼロトラスト原則を適用します。
前提条件
- ライセンス要件:Citrix Device Postureサービスの利用資格は、Citrix DaaSプレミアム、Citrix DaaS Premium Plus、およびCitrix Secure Private Access AdvancedライセンスにバンドルされているCitrix の適応型認証サービスの一部です。他のライセンスをお持ちのお客様は、Adaptive Authentication をアドオンとして購入できます。
-
サポートされるプラットフォームは、以下のとおりです。
- Windows(10および11)
- macOS 13 Ventura
- macOS 12 Monterey
注記:
-
サポートされていないプラットフォームで実行されているデバイスは、デフォルトで非対応としてマークされます。 デバイスポスチャページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。
-
サポートされているプラットフォームで実行されているが、事前に定義されているデバイスポスチャポリシーに一致しないデバイスは、デフォルトで非準拠としてマークされます。 デバイスポスチャページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。
-
Citrix Device Postureクライアント(EPAクライアント):デバイスポスチャスキャンを実行するにはエンドポイントデバイスにインストールする必要がある軽量アプリケーション。このアプリケーションをエンドポイントにダウンロードしてインストールするには、ローカル管理者権限は必要ありません。
-
対応ブラウザ:Chrome、Edge、Firefox。
-
Citrix Workspace アプリのバージョン
- Windows— 2303 以降
- macOS — 2304 およびそれ以降
機能
管理者はデバイスポスチャポリシーを作成して、エンドポイントデバイスのポスチャをチェックし、エンドポイントデバイスのログインを許可するか拒否するかを判断できます。ログインが許可されているデバイスは、さらに準拠または非準拠に分類されます。ユーザーはブラウザまたはCitrix Workspaceアプリからログインできます。
デバイスを「準拠」、「非準拠」、「ログイン拒否」に分類する際に使用される大まかな条件は次のとおりです。
- 準拠デバイス — 事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへのフルアクセスまたは無制限アクセスで会社のネットワークにログインできるデバイス。
- 非準拠デバイス -事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの一部または制限付きアクセスで会社のネットワークにログインできるデバイス。
- ログイン拒否: - ポリシー要件を満たさないデバイスはログインを拒否されます。
デバイスを「コンプライアンス」、「 **非コンプライアンス」、「 **拒否ログイン 」に分類すると、Citrix DaaSとCitrix Secure Private Accessサービスに渡され、Citrix DaaSとCitrix Secure Private Accessサービスはそのデバイス分類を使用してスマートアクセス機能を提供します。
注記:
- デバイスポスチャポリシーは、プラットフォームごとに個別に設定する必要があります。たとえば、macOS の場合、管理者は特定の OS バージョンを搭載したデバイスへのアクセスを許可できます。同様に、Windows の場合、管理者は特定の認証ファイルやレジストリ設定などを含むようにポリシーを設定できます。
- デバイスポスチャスキャンは、事前認証中またはログイン前にのみ実行されます。
- 「準拠」と「非準拠」の定義については、定義を参照してください。
デバイスの姿勢によるスキャンのサポート
Citrix デバイスポスチャサービスでは、次のスキャンがサポートされています。
| Windows | macOS |
|---|---|
| Citrix Workspaceアプリのバージョン | Citrix Workspaceアプリのバージョン |
| ファイル — (存在、ファイル名、パス) | ファイル — (存在、ファイル名、パス) |
| MACアドレス | MACアドレス |
| オペレーティングシステムのバージョン | オペレーティングシステムのバージョン |
| プロセス (存在する) | プロセス (存在する) |
| Microsoft Endpoint Manager | Microsoft Endpoint Manager |
| ドメイン名 | - |
| 非数値レジストリ (32 ビット) | - |
| 非数値レジストリ (64 ビット) | - |
| 数値レジストリ (32 ビット) | - |
| 数値レジストリ (64 ビット) | - |
| Windows 更新プログラムのインストールタイプ | - |
| Windows Update のインストール最終更新プログラムの確認 | - |
デバイス姿勢とのサードパーティ統合
Device Postureサービスが提供するネイティブスキャンに加えて、このサービスは他のサードパーティソリューションと統合することもできます。デバイスポスチャは Windows および macOS 上のMicrosoftエンドポイントマネージャ (MEM) と統合されています。MEM 統合構成の詳細については、「 Microsoft Endpoint Manager とデバイスポスチャの統合-プレビュー」を参照してください。
デバイスの姿勢を設定
デバイスポスチャは、デバイスがリソースにアクセスするために満たさなければならないポリシーとルールを組み合わせたものです。各ポリシーには、[準拠]、[非準拠]、[ログイン拒否] のいずれかのアクションが添付されています。さらに、各ポリシーには優先順位が関連付けられており、ポリシーが true と評価され、関連するアクションが実行されると、ポリシー評価は停止します。
- Citrix Cloudにサインインし、ハンバーガーメニューから[ IDとアクセス管理 ]を選択します。
-
[ デバイスポスチャ] タブをクリックし、 [ 管理] をクリックします。
注記:
- Secure Private Accessサービスのお客様は、管理ユーザー・インターフェースの左側のナビゲーションにある「 デバイスポスチャ 」を直接クリックできます。
- 初めて使用するユーザーには、デバイスポスチャのランディングページに、デバイスポスチャポリシーを作成するように求められます。デバイスポスチャポリシーは、プラットフォームごとに個別に設定する必要があります。デバイスポスチャポリシーを作成すると、適切なプラットフォームに一覧表示されます。
- ポリシーは、デバイスポスチャが有効になった後にのみ有効になります。 デバイスの姿勢を有効にするには、右上隅にある[デバイスの姿勢を無効]にスライドさせて[オン]に切り替えます。
- [ デバイスポリシーの作成] をクリックします。
-
「 プラットフォーム」で、ポリシーを適用するプラットフォームを選択します。デバイスポスチャのホームページで選択したタブに関係なく、プラットフォームを Windows から macOS に、またはその逆に変更できます。
- 「Select Rule」で、デバイスポスチャーの一部として実行したいチェックを選択し、一致する必要がある条件を選択します。
-
複数のルールを作成するには、[別のルールを追加 ] をクリックします。AND 条件は複数のルールに適用されます。
-
設定した条件に基づくポリシー結果で 、デバイススキャンでユーザーデバイスを分類する必要があるタイプを選択します。
- 準拠
- 非準拠
- アクセス拒否
- ポリシーの名前を入力します。
-
[ 優先度] に、ポリシーを評価する順序を入力します。
- 1 から 100 までの値を入力できます。拒否ポリシーの優先度を高く設定し、その後に非準拠、最後に準拠ポリシーを設定することをお勧めします。
- 値が小さい優先度が最も高くなります。
- 有効になっているポリシーのみが優先度に基づいて評価されます。
-
[作成] をクリックします。
重要:
デバイスポスチャポリシーを有効にするには、「作成時に有効にする 」トグルスイッチを「 オン 」に切り替える必要があります。ポリシーを有効にする前に、ポリシーが正しく構成され、テストセットアップでこれらのタスクを実行していることを確認することをお勧めします。
デバイスポスチャポリシーを編集する
設定されたデバイスポスチャポリシーは、Device Scansページの特定のプラットフォームの下に一覧表示されます 。このページから、編集するポリシーを検索できます。このページからポリシーを有効化、無効化、または削除することもできます。
デバイスポスチャを使用してコンテキストアクセス (スマートアクセス) を設定
デバイスのポスチャ検証後にデバイスのログインが許可されると、そのデバイスはコンプライアンスに準拠することも、非準拠にすることもできます。この情報は、Citrix DaaSサービスおよびCitrix Secure Private Accessサービスにタグとして提供され、デバイスの状態に基づいてコンテキストアクセスを提供するために使用されます。そのため、Citrix DaaSとCitrix Secure Private Accessサービスは、デバイスポスチャタグを使用してアクセス制御を実施するように構成する必要があります。
デバイスポスチャによるCitrix DaaS 構成
- Citrix Cloud にサインインします。
- DaaS タイルで [ 管理] をクリックします。
- 左側のメニューから「 デリバリーグループ 」セクションに移動します。
- デバイスの状態に基づいてアクセス制御を構成するデリバリーグループを選択し、[ 編集] をクリックします。
- 「 デリバリーグループの編集 」ページで、「 アクセスポリシー」をクリックします。
- アクセスポリシーページで「 追加 」をクリックし、「 **ファーム内のワークスペース 」**という値を入力します。
-
「 フィルタ」に、次のいずれかの値を入力します。
- 準拠-準拠デバイス用
-
非準拠-非準拠のデバイス用
注記:
デバイス分類タグの構文は、先ほどキャプチャしたのと同じ方法、つまり頭が大文字(COMPLIANT および NON COMPLIANT)で入力する必要があります。そうしないと、デバイスのセキュリティ態勢ポリシーが意図したとおりに機能しません。
- [ 保存] をクリックします。
注:
DaaSアクセスポリシーで準拠または非準拠としてタグ付けされていないDaaSデリバリーグループはすべてデフォルトのデリバリーグループとして扱われ、デバイスの状態に関係なくすべてのエンドポイントからアクセスできます。
デバイスポスチャによるCitrix Secure Private Access 構成
- Citrix Cloud にサインインします。
- 「Secure Private Access」タイルで、「 管理」をクリックします。
- 左側のナビゲーションで [ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
- アクセスポリシーを適用したいアプリケーションを追加します。
- アクセスポリシーを適用するユーザー/ユーザーグループを定義し、[条件の追加] をクリックします。
- ドロップダウンメニューから [ デバイス姿勢チェックと論理表現 ] を選択します。
-
カスタムタグに次のいずれかの値を入力します。
- 準拠-準拠デバイス用
- 非準拠-非準拠デバイスの場合
注:
デバイス分類タグの構文は、先ほど説明したのと同じ方法、つまり頭文字を大文字 (Compliant)、**非準拠 (Compliant**) で入力する必要があります。そうしないと、デバイスのセキュリティ態勢ポリシーが意図したとおりに機能しません。
-
「 次に、次の操作を行います。」で、次のいずれかを選択します。
- アクセスを許可 (フルアクセスが許可されます)
- 制限付きアクセスを許可 (セキュリティ制限付きのアプリケーションアクセス)
- アクセス拒否
- ポリシーの名前を入力します。
- [ 保存] をクリックします。
注:
アクセスポリシーで準拠または非準拠としてタグ付けされていないSecure Private Accessアプリケーションはデフォルトアプリケーションとして扱われ、デバイスの状態に関係なくすべてのエンドポイントからアクセスできます。
エンドユーザーフロー
デバイスポスチャポリシーを設定してデバイスポスチャを有効にすると、エンドユーザーのCitrix Workspaceへのログイン方法に基づくエンドユーザーフローが次のようになります。
ブラウザアクセスによるエンドユーザーフロー
注:
説明のため、macOS クライアントと Chrome ブラウザを例として使用しています。画面と通知は、Citrix Workspace URLへのアクセスに使用するクライアントとブラウザによって異なります。
-
エンドユーザーがブラウザを介してCitrix Workspace URL
https://<your-workspace-URLにログオンすると、エンドユーザーはCitrix EndpointAnalysisアプリケーションを実行するように求められます。
-
エンドユーザーが「 Open Citrix End Point Analysis」をクリックすると、デバイスポスチャクライアントが実行され、デバイスポスチャポリシー要件に基づいてエンドポイントパラメータがスキャンされます。
-
最新のデバイスポスチャクライアントがエンドポイントにインストールされていない場合、ユーザーは [ 再確認 ] と [ クライアントのダウンロード] というオプションを表示するページにリダイレクトされます。ユーザーは [ クライアントをダウンロード] をクリックする必要があります。
-
最新のデバイスポスチャクライアントがエンドポイントにすでにインストールされている場合、 ユーザーは再度 [確認] をクリックする必要があります。
Citrix Workspace アプリケーション経由のエンドユーザーフロー
- エンドユーザーがCitrix Workspaceアプリケーションを介してCitrix Workspace URL
https://your-workspace-urlにログオンすると、エンドポイントにインストールされたデバイスポスチャクライアントが実行され、デバイスポスチャーポリシー要件に基づいてエンドポイントパラメータがスキャンされます。 - 最新のデバイスポスチャクライアントがエンドポイントにインストールされていない場合、ユーザーは [ 再確認 ] と [ クライアントのダウンロード] というオプションを表示するページにリダイレクトされます。ユーザーは [ クライアントをダウンロード] をクリックする必要があります。
- 最新のデバイスポスチャクライアントがエンドポイントにすでにインストールされている場合、 ユーザーは再度 [確認] をクリックする必要があります。
エンドユーザーフロー-デバイスポスチャー結果
デバイスポスチャポリシーの条件によっては、3 つの可能性が考えられます。
エンドポイントがポリシー条件を満たしている場合、そのデバイスは次のように分類されます。
- 準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースに無制限にアクセスしてログインできます。
-
非準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースへのアクセスを制限してログインできます。
エンドポイントがポリシー条件を満たし、 デバイスがアクセス拒否に分類される場合、「アクセス拒否** 」メッセージが表示されます。
デバイス姿勢ログ
現在のリリースでは、デバイスポスチャイベントログをSecure Private Accessダッシュボードで表示できます。Device Postureサービスのイベントログを表示するには、次の手順を実行します。
- Citrix Cloud にサインインします。
- 「Secure Private Access」タイルで「 管理」をクリックし、
- 左側のメニューから [ダッシュボード] セクションに移動します。
- 診断ログチャートの「さらに表示 」リンクをクリックすると、デバイスポスチャイベントログが表示されます。
-
管理者は、 診断ログチャートのトランザクション ID に基づいてログをフィルタリングできます 。トランザクションIDは、アクセスが拒否されるたびにエンドユーザーにも表示されます。
-
エラーまたはスキャンが失敗した場合、Device PostureサービスはトランザクションIDを表示します。このトランザクション ID は、Secure Private Accessサービスのダッシュボードで確認できます。ログが問題の解決に役立たない場合、エンドユーザーはトランザクションIDをCitrix サポートと共有して問題を解決できます。
-
Windows クライアントログは次の場所にあります。
- %localappdata%\Citrix\EPA\dpaCitrix.txt
- %localappdata%\Citrix\EPA\epalib.txt
-
macOS クライアントログは次の場所にあります。
- ~/ライブラリ/アプリケーション Support/Citrix/EPAPlugin/EpaCloud.log
- ~/ライブラリ/アプリケーション Support/Citrix/EPAPlugin/epaplugin.log
既知の制限事項
- カスタムワークスペース URL は Device Posture サービスではサポートされていません。
- デバイスの姿勢切り替えボタンがオンまたはオフになってからデバイスの姿勢機能が有効または無効になるまでにかかる時間は、数分から 1 時間かかる場合があります。
- デバイスポスチャ設定を変更しても、すぐには有効になりません。変更が反映されるまでに約 10 分かかる場合があります。
- Citrix Workspaceでサービス継続性オプションを有効にしていて、デバイスポスチャサービスが停止していると、ユーザーがWorkspaceにサインインできないことがあります。これは、Citrix Workspaceがユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙するためです。
- Citrix Workspaceで有効期限の長いトークンとパスワードを設定した場合、この構成ではデバイスポスチャスキャンは機能しません。デバイスは、ユーザーがCitrix Workspaceにログインしたときにのみスキャンされます。
- 各プラットフォームには最大10個のポリシーを設定でき、各ポリシーには最大10個のルールを設定できます。
- Device Postureサービスでは、ロールベースのアクセスはサポートされていません。
サービス品質
- パフォーマンス:理想的な条件下では、Device Postureサービスによりログイン中にさらに2秒の遅延が発生します。この遅延は、Microsoft Endpoint Manager (MEM) などのサードパーティ統合などの追加構成によっては増加する可能性があります。デバイスポスチャと MEM の統合はプレビュー中です。
- 耐障害性:デバイスポスチャサービスは、複数の POP により高い耐障害性を備えているため、ダウンタイムが発生しません。
定義
Device Postureサービスに関連する「準拠」と「非準拠」という用語は、次のように定義されています。
- 準拠デバイス — 事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへのフルアクセスまたは無制限アクセスで会社のネットワークにログインできるデバイス。
- 非準拠デバイス -事前に設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの一部または制限付きアクセスで会社のネットワークにログインできるデバイス。