複数のルールを含むアクセスポリシー
重要:
1 つのポリシー機能で複数のルールを設定する方法については、「プレビュー」を参照してください。ご利用のインスタンスにこの機能が表示されないのは、Citrix のお客様向けに複数の地域で段階的に展開されているためです。
複数のアクセスルールを作成し、1 つのポリシー内でさまざまなユーザーまたはユーザーグループに対してさまざまなアクセス条件を設定できるようになりました。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。
Secure Private Accessのアクセスポリシーにより、ユーザーまたはユーザーのデバイスのコンテキストに基づいてアプリへのアクセスを有効または無効にできます。さらに、次のセキュリティ制限を追加することで、アプリへの制限付きアクセスを有効にできます。
- クリップボードへのアクセスを制限する
- 印刷を制限
- ダウンロードを制限
- アップロードを制限する
- ウォーターマークを表示
- キーロギングを制限する
- 画面キャプチャを制限する
これらの制限の詳細については、「 利用可能なアクセス制限オプション」を参照してください。
複数のルールを含むアクセスポリシーの設定
アクセスポリシーを設定する前に、次のタスクを完了していることを確認してください。
- 「Secure Private Access 」サービスタイルで、「 管理」をクリックします。
-
ナビゲーションペインで、[ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
初めてのユーザの場合、[ アクセスポリシー(Access Policies)] ランディングページにはポリシーが表示されません。ポリシーを作成すると、ここに一覧表示されます。
- ポリシー名とポリシーの説明を入力します。
- 「 アプリケーション」で、このポリシーを適用する必要があるアプリまたはアプリのセットを選択します。
-
「 Create Rule 」をクリックして、ポリシーのルールを作成します。
-
ルール名とルールの簡単な説明を入力して、[ 次へ] をクリックします。
-
ユーザーの条件を選択します。ユーザー*条件は、ユーザーにアプリケーションへのアクセスを許可するために満たす必要がある必須条件です。次のいずれかを選択します:
- いずれかに一致 — フィールドに表示されている名前のいずれかに一致し、選択したドメインに属するユーザーまたはグループのみがアクセスを許可されます。
- いずれにも一致しない -フィールドに表示され、選択したドメインに属するユーザーまたはグループを除くすべてのユーザーまたはグループがアクセスを許可されます。
-
(オプション) コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。
コンテキストに基づいて条件を追加すると、その条件に AND 演算が適用され、 Users* とオプションのコンテキストベースの条件が満たされた場合にのみポリシーが評価されます。状況に応じて次の条件を適用できます。
- **デスクトップまたはモバイルデバイス** — アプリへのアクセスを有効にするデバイスを選択します。
-
位置情報 — ユーザーがアプリにアクセスしている条件と地理的位置を選択します。
- いずれかにマッチ: リストされている地理的場所のいずれかからアプリにアクセスしているユーザーまたはユーザーグループのみがアプリへのアクセスを有効にします。
- いずれにも一致しない: リストされている地域のユーザーまたはユーザーグループ以外のすべてのユーザーまたはユーザーグループがアクセス可能です。
-
ネットワークの場所 — ユーザーがアプリにアクセスする際に使用する条件とネットワークを選択します。
- いずれかにマッチ: リストされているネットワークロケーションのいずれかからアプリにアクセスするユーザーまたはユーザーグループのみが、アプリへのアクセスを有効にします。
- どれにも一致しない: リストされているネットワークロケーション以外のすべてのユーザーまたはユーザーグループがアクセス可能です。
- デバイスポスチャチェック — アプリケーションにアクセスするためにユーザーデバイスが通過しなければならない条件を選択します。
- ユーザーリスクスコア — ユーザーにアプリケーションへのアクセスを提供する必要があるリスクスコアカテゴリを選択します。
- [次へ] をクリックします。
-
条件評価に基づいて適用する必要があるアクションを選択します。
- HTTP/HTTPS アプリの場合、以下を選択できます。
- アクセスを許可
- 制限付きでアクセスを許可
- アクセスを拒否
注:
[ 制限付きアクセスを許可] を選択した場合は、アプリに適用する制限を選択する必要があります。制限の詳細については、「利用可能なアクセス制限オプション」を参照してください。また、アプリをリモートブラウザで開くか、Citrix Secure Browserで開くかを指定することもできます。
- TCP/UDP アクセスでは、以下を選択できます。
- アクセスを許可
- アクセスを拒否
- HTTP/HTTPS アプリの場合、以下を選択できます。
- [次へ] をクリックします。「概要」ページには、ポリシーの詳細が表示されます。
-
詳細を確認して [ 完了] をクリックします。
ポリシー作成後に覚えておくべきポイント
-
作成したポリシーは [ポリシールール] セクションに表示され、デフォルトで有効になっています。必要に応じてルールを無効にできます。ただし、ポリシーをアクティブにするには、少なくとも 1 つのルールが有効になっていることを確認してください。
-
デフォルトでは、ポリシーには優先順位が割り当てられます。値が小さい優先度が最も高くなります。優先順位が最も低いルールが最初に評価されます。ルール (n) が定義された条件と一致しない場合、次のルール (n+1) が評価され、以降も同様です。
優先順位の例によるルールの評価:
ルール 1 とルール 2 の 2 つのルールを作成したと仮定します。 ルール1はユーザーAに割り当てられ、ルール2はユーザーBに割り当てられ、両方のルールが評価されます。 ルール1とルール2の両方がユーザーAに割り当てられていると仮定します。この場合、ルール1の方が優先度が高くなります。ルール 1 の条件が満たされると、ルール 1 が適用され、ルール 2 はスキップされます。それ以外の場合、ルール 1 の条件が満たされない場合、ルール 2 がユーザー A に適用されます。
注:
どのルールも評価されない場合、アプリはユーザーに列挙されません。
システムですでに利用可能な既存のポリシーについて:
マルチルールポリシー設定の変更前に作成された既存のポリシーには、次の変更が適用されます。
- ポリシーごとに、デフォルト名「default access rule」 のアクセスルールが 1 つ作成されます。ルール名は変更できます。
- 適用された条件は、デフォルトのアクセスルールにそのまま移行されます。
-
TCP/UDP アプリではなく HTTP/HTTPS アプリのみを選択した場合、TCP/UDP アプリがない場合でも、HTTP/HTTPS アプリ用に選択した条件は [ 条件 ] ページの TCP/UDP アプリにも適用されます。これは、あとで TCP/UDP アプリをポリシーに追加する場合に備えて、設定を簡略化するためです。ポリシーを再度編集する必要はありません。
これは、TCP/UDP アプリのみを対象とし、HTTP/HTTPS アプリにはポリシーを作成していない場合にも当てはまります。
利用可能なアクセス制限オプション
[制限付きアクセスを許可する] アクションを選択するときは、セキュリティ制限を少なくとも 1 つ選択する必要があります。これらのセキュリティ制限は、システムであらかじめ定義されています。管理者は、他の組み合わせを変更したり追加したりすることはできません。次のセキュリティ制限をアプリケーションに対して有効にできます。
- クリップボードへのアクセスを制限する: アプリとシステムクリップボード間の切り取り、コピー、貼り付け操作を無効にします。
- 印刷の制限: Citrix Enterprise Browser内からの印刷機能を無効にします。
- ダウンロードを制限する: ユーザーがアプリ内からダウンロードできないようにします。
- アップロードを制限する: ユーザーがアプリ内でアップロードできないようにします。
- ウォーターマークを表示: ユーザーの画面に、ユーザーのマシンのユーザー名とIPアドレスを示すウォーターマークを表示します。
- キーロギングを制限する: キーロガーから保護します。ユーザーがユーザー名とパスワードを使用してアプリにログオンしようとすると、すべてのキーがキーロガーで暗号化されます。また、ユーザーがアプリで実行するすべてのアクティビティは、キーロギングから保護されます。たとえば、Office 365 でアプリ保護ポリシーが有効になっていて、ユーザーが Office365 Word 文書を編集すると、キーロガーですべてのキーストロークが暗号化されます。
- 画面キャプチャを制限: いずれかのスクリーンキャプチャプログラムまたはアプリを使用して画面をキャプチャする機能を無効にします。ユーザーが画面をキャプチャしようとすると、空白の画面がキャプチャされます。