エンドユーザーがアクセスしたドメインまたはIPアドレスを検出する

アプリケーション検出機能を使用すると、管理者は組織内でアクセスされている外部および内部アプリケーション (HTTP/HTTPS および TCP/UDP アプリ) を可視化できます。 この機能は、公開されているか未公開であるかにかかわらず、すべてのドメイン/IP アドレスを検出して一覧表示します。 したがって、管理者はどのドメイン/IP アドレスが誰によってアクセスされているかを確認し、それらをアプリケーションとして公開してそれらのユーザーにアクセスを提供するかどうかを決定できます。

アプリケーション検出機能は、管理者に次の機能を提供します。

• エンドユーザーがアクセスする内部または外部のドメイン/IP アドレスの両方に対する可視性を提供します。
• アクセスされるすべてのタイプのアプリケーション (HTTP、HTTPS、TCP、UDP) に対する包括的な可視性を提供します。 すべてのアクセス方法、つまり Citrix Enterprise Browser、Secure Access Agent、Direct Access、または Workspace for Web 経由のアクセスがサポートされています。
• エンドユーザーがアクセスした公開済みまたは未公開のドメイン/IP アドレスの両方を表示します。
• Citrix Enterprise Browser 経由でアクセスするアプリケーションを公開する際に関連ドメインとして構成する必要があるメイン ドメインとその基盤となる埋め込みドメインの両方を表示します。
• 埋め込まれたドメインをツリー構造で表示します。 管理者は、メイン ドメインに沿って展開記号 (>) をクリックして、埋め込まれたドメインを表示できます。
• メイン ドメインまたは埋め込みドメイン (HTTP/HTTPS) または宛先 IP アドレス (TCP/UDP) がアプリケーションに関連付けられていない場合、管理者は新しいアプリケーションを作成したり、既存のアプリケーションにそれらのドメインを追加したりできます。

次の図は、 アプリ検出 ページのサンプルを示しています。 アプリ検出 ページでは、プロトコル (HTTP/HTTPS、TCP/UDP) およびドメイン/IP アドレスとポート番号に基づいてドメインをフィルタリングできます。 また、エンドユーザーがアクセスした未公開の（どのアプリにも割り当てられていない）ドメインも表示されます。 メイン ドメインとその下に埋め込まれたドメインのドロップダウン リストが表示されます。 これらのドメインは、アプリケーションを公開するときに関連ドメインとして構成する必要があります。

注意:

• 埋め込みドメインは、Citrix Enterprise Browser 経由でアクセスされる HTTP/HTTPS アプリの場合のみ、メイン ドメインの下にグループ化されます。 TCP/UDP ドメインは 1 つのメイン ドメインにグループ化されません。
• 埋め込みドメインのグループ化は、Citrix Enterprise Browser (v119 以降) からアクセスされるアプリでのみ使用できます。

新しい環境における内部ドメインのアプリケーション検出

新しいセキュア プライベート アクセス環境をセットアップし、構成するアプリケーションを可視化する必要がある場合は、アプリケーション検出機能を使用できます。 この機能は、エンドユーザーがアクセスするすべてのドメイン/IP アドレスを検出して一覧表示し、アプリケーションとして構成できるようにします。 Secure Private Access 環境を設定するときに、アプリケーション検出機能を有効にするには、次の手順に従います。

• 内部 Web アプリケーションを検出するには、Secure Private Access 内でアプリケーションを構成し、検出するアプリケーションのドメイン/サブドメインに属するワイルドカード関連のドメインを指定します。

  たとえば、ドメイン citrix.com を持つすべてのアプリケーションを検出する場合は、関連するワイルドカード ドメインを *.citrix.comとしてアプリケーションを作成します。 アプリケーション構成を完了できるようにするには、メインの Web アプリ URL セクションとして任意のテスト URL を追加します。

  

  Web アプリの URL: https://test.citrix.com/ 関連ドメイン: *.citrix.com

• 内部 TCP/UDP アプリの場合は、Secure Private Access 内でアプリケーションを構成し、TCP/UDP プロトコルとポートの範囲とともにサブネットを指定します (範囲全体を含めるには、 * と入力します)。 これにより、Citrix Secure Access エージェントからすべての TCP および UDP アプリを検出できるようになります。 たとえば、サブネット 10.0.0.0/8 内のすべてのアプリケーションを検出する場合は、次の詳細を使用してアプリを構成します。例: 10.0.0.0/8:

  ポート: (*)

  プロトコル:TCP

  

• アプリケーションを作成したら、構成されたドメインと IP サブネットを使用して、アプリへのアクセスを許可するユーザーも定義する必要があります。 アクセス ポリシーを作成し、作成されたアプリケーションで構成された FQDN/IP アドレスへのアクセスを許可するユーザーを割り当てます。 これらは、テスト ユーザーの初期セット、または最初にアクセス権を付与する限られた数のユーザーになります。

• アプリケーションと対応するアクセス ポリシーを作成した後、ユーザーは Citrix Workspace アプリからアプリケーションにアクセスし、さまざまなドメインに引き続きアクセスできます。 エンドユーザーがアクセスしたすべての FQDN/IP アドレスが、アプリケーション検出ページに表示されるようになります。

注意:

• 数日/数週間かけてほとんどのアプリケーションを検出して特定したら、最初に作成したアプリケーションを削除して、ワイルドカード ドメインと IP サブネット経由で提供される広範なアクセスを閉鎖し、検出された特定のアプリケーション URL と IP アドレスのみに新しいアプリケーション経由でのアクセスを許可することをお勧めします。
• アプリ名にプレフィックス Discover を追加して、これが検出監視とレポートを有効にする特別なアプリ構成であることを示します。 この命名により、ワイルド カード ドメインまたは IP サブネット、あるいはその両方を削除する必要があることがわかり、数週間後または 1 か月後に、全体的なアプリ アクセス ゾーンを特定の FQDN と IP/ポートの組み合わせだけに縮小できるようになります。
• TCP/UDP アプリにアクセスするには、ユーザーは Citrix Secure Access エージェントを使用する必要があります。 さまざまなアクセス方法からのアプリ アクセスは、アプリのドメインとサブネットの構成に基づいて監視され、 アプリ検出 ページ内で報告されます。
• 検出されたアプリケーションを削除した後でも、この機能はユーザーがアクセスしたドメイン/IP アドレスの検出を継続します。 したがって、いつでも App Discovery ページに戻って、アクセスされている内容や、アプリケーションとして構成する必要がある新しいドメイン/IP アドレスが検出されたかどうかを確認できます。

ドメイン、FQDN、または IP アドレスの追加の詳細については、次のトピックを参照してください。

• エンタープライズウェブアプリのサポート
• サービスとしてのソフトウェア アプリのサポート
• クライアントサーバーアプリのサポート

アプリ検出ページからアプリケーションを作成する

アプリ検出 ページから埋め込みドメインまたは未公開ドメインのアプリケーションを作成するには、次の手順を実行します。

1. アプリケーション > アプリの検出に移動します。
2. リストからドメインを選択します。 ドメインに埋め込みドメインがある場合は、メインドメインに沿って展開記号 (>) をクリックし、埋め込みドメインを選択します。

注意:

• 異なるプロトコルに属するドメインを選択してアプリケーションを作成することはできません。 異なるプロトコルに属するドメインを選択すると、エラー メッセージが表示されます。
• ドメインがすでにアプリケーションに関連付けられている場合は、そのドメインを再度選択してアプリケーションを作成することはできません。 そのドメインに対応するチェックボックスはグレー表示され、チェックボックスの上にマウスを置くとツールヒントが表示されます。
• 異なるメイン ドメインの下にグループ化された埋め込みドメインを選択してアプリケーションに追加することはできません。 アプリケーション検出機能では、単一のメイン ドメインの下にグループ化された埋め込みドメインのみをアプリに追加できます。 異なるメイン ドメインからの埋め込みドメインを選択して同じアプリに追加すると、エラー メッセージが表示されます。

1. アプリケーションの作成をクリックします。 アプリケーション作成の詳細については、「 エンタープライズ Web アプリのサポート」、「 Software as a Service アプリのサポート」、および「クライアント サーバー アプリのサポート」 (/en-us/citrix-secure-private-access/service/spa-support-for-client-server-apps) を参照してください。

既存のアプリケーションを更新する

既存のアプリケーションにドメインを追加するには、リストからドメインを選択します。 ドメインに埋め込みドメインがある場合は、メインドメインに沿って展開記号 (>) をクリックし、埋め込みドメインを選択します。

1. アプリケーションに追加する必要がある埋め込みドメインを選択します。
2. 既存のアプリケーションに追加をクリックします。
3. アプリケーションで、これらのドメインを追加するアプリケーションを選択します。
4. アプリの詳細を取得をクリックします。
5. 関連ドメイン フィールドには、先ほど選択したすべての埋め込みドメインが別々の行に表示されます。
6. ［完了］をクリックします。

注意:

• 既存の TCP/UDP アプリケーションにのみ TCP/UDP 宛先 IP アドレスを追加できます。 アプリケーション フィールドには、システムで構成されている TCP/UDP アプリケーションのみがリストされます。
• 既存の HTTP/HTTPS または TCP/UDP アプリを選択して、プロトコルが HTTP/HTTPS であるドメイン (メイン、単一エントリ、または埋め込み) を追加できます。
• すでにアプリケーションに関連付けられているドメインを選択することはできません。

選択した埋め込みドメインをすべて表示

ドメインを選択したら、[ 選択したドメインのみを表示 ] チェックボックスをクリックして、アプリケーションの作成または更新を続行できます。 また、アプリ検出ページの FQDN/IP アドレスのリストが複数のページにまたがる場合は、[ 選択したもののみを表示 ] チェックボックスを使用して、アプリケーションの作成または更新のために選択したすべてのメイン ドメインと埋め込みドメインを表示できます。 このチェックボックスをオンにすると、選択した埋め込みドメインのすべてのメインドメインが表示されます。

既知の制限事項

• アプリケーションの作成 および 既存のアプリケーションへの追加 オプションは Secure Private Access ダッシュボード (合計訪問数による上位の検出されたアプリケーション グラフ) で使用できますが、 アプリの検出 タブ (アプリケーション > アプリの検出) からアプリケーションを作成または更新することをお勧めします。 これは、ダッシュボードからアプリケーションを追加または更新しているときに操作をキャンセルすると、ページが再読み込みされ、結果としてすべての設定がリセットされるためです。

• メイン ドメインに対して展開記号 (>) が表示されることがありますが、その特定の FQDN に対しては埋め込まれたドメインが取得されません。 この問題は、次の場合に発生する可能性があります。

  • ユーザーのアクセス制限により、メイン Web ページの読み込み中にエラーが発生しました。
  • ウェブページの読み込みを妨げるエラーです。
  • Citrix Enterprise Browser によって埋め込みドメイン リソースがキャッシュされるため、埋め込みドメインがソースから取得されません。