デフォルトではアプリへのアクセスが拒否される
アプリへのゼロトラストベースのアクセスを有効にするために、アプリはデフォルトでアクセスを拒否されます。アプリへのアクセスは、アクセスポリシーがアプリケーションに関連付けられている場合にのみ有効になります。
-
公開アプリへのアクセス:
-
エンドユーザーが公開アプリに関連付けられているFQDNにアクセスする場合、アクセスポリシーが「アクセスを許可」アクションで明示的に構成されている場合にのみアクセスが許可されます。
注:
アプリの FQDN に一致するアプリが複数ある場合、一致するアプリのポリシーは、ポリシーの優先度に基づいて評価されます。
-
アクセスポリシーが公開アプリと一致しない場合、またはアプリがアクセスポリシーに関連付けられていない場合、アプリへのアクセスはデフォルトで拒否されます。
アクセスポリシーについて詳しくは、「アクセスポリシー」を参照してください。
-
-
未公開または内部アプリへのアクセス。未公開アプリまたは内部アプリへのアクセスは、アプリの構成時に定義されたルーティングタイプに基づいて有効になります。
- ルーティングタイプが外部として定義されている場合、トラフィックはインターネットに直接流れます。このようなアプリケーションへのアクセスは有効になっています。
- ルーティングタイプが「 内部 」または「 コネクタ経由で外部」として定義されている場合、このようなアプリケーションへのアクセスは拒否されます。
- 未公開のFQDNにルーティングタイプが定義されていない場合、アプリは外部アプリと見なされます。このようなアプリへのアクセスは、認可されていないアプリに対して設定されたルール (有効になっている場合) に基づいて行われます。詳しくは、「 認可されていないWebサイトのルール設定」を参照してください。
ルーティングタイプは、Secure Private Accessユーザーインターフェイスで定義されます。[ 設定] > [アプリケーションドメイン] をクリックします。詳しくは、「 ルートテーブル」を参照してください。
アプリアクセスの問題を引き起こす可能性のある構成が矛盾している
複数のアプリが同じ FQDN またはワイルドカード FQDN のバリエーションで構成されている場合、次の問題が発生する可能性があります。
- Web サイトの読み込みが停止するか、空白のページが表示されることがあります。
- URL にアクセスすると、「ブロックされたアクセス」ページが表示されることがあります。
- ログインページが読み込まれない可能性があります。
推奨事項
上記の問題に対処するには、次のことを推奨します:
-
すべての一般的な FQDN とその関連ドメインを 1 つのアプリで構成します。
たとえば、Azure AD を IdP として使用するアプリがいくつかあり、その他の関連ドメイン (
*.msauth.net)login.microsoftonline.comを設定する必要がある場合は、FQDNlogin.microsoftonline.com*.login.microsoftonline.com*.msauth.netと関連するドメインとして 1 つの共通アプリを作成します。共通アプリをCitrix Workspaceアプリで非表示にする場合は、アプリの構成時に[ ユーザーにアプリケーションアイコンを表示しない ]オプションを選択します。詳細については、「 Web アプリの設定」を参照してください。
- 共通アプリのアクセスポリシーを作成し、すべてのユーザーがアクセスできるようにします。詳細については、「 アクセスポリシーの設定」を参照してください。
- 診断ログを確認して、FQDN がアプリと一致するかどうか、およびポリシーが期待どおりに適用されているかどうかを確認します。