簡単なオンボードとセットアップの管理者向けガイドワークフロー
SaaSアプリ、内部Webアプリ、およびTCPアプリへのゼロトラストネットワークアクセスを構成するステップバイステップのプロセスを備えた新しい合理化された管理エクスペリエンスは、Secure Private Accessサービスで利用できます。Adaptive Authentication、ユーザーサブスクリプションを含むアプリケーション、アダプティブアクセスポリシーなど、単一の管理コンソール内での設定が含まれます。
このウィザードは、管理者がオンボーディング中または繰り返し使用中にエラーのない構成を実現するのに役立ちます。また、全体的な使用状況指標やその他の重要な情報を完全に可視化する新しいダッシュボードも利用できます。
大まかな手順には以下が含まれます。
- 利用者がCitrix Workspace にログインするための認証方法を選択します。
- ユーザー用のアプリケーションを追加します。
- 必要なアクセスポリシーを作成して、アプリアクセスの権限を割り当てます。
- アプリの設定を確認します。
Secure Private Access 管理者によるワークフローウィザードにアクセスする
ウィザードにアクセスするには、次の手順を実行します。
- 「 セキュア・プライベート・アクセス 」サービスのタイルで、「 管理」をクリックします。
- [概要] ページで、[ 続行] をクリックします。
ステップ 1: ID と認証を設定する
利用者がCitrix Workspace にログインするための認証方法を選択します。アダプティブ認証は、Citrix Workspaceにログインしている顧客とユーザーに高度な認証を可能にするCitrix Cloudサービスです。アダプティブ認証サービスは、Citrixがホストする、Citrix itrixが管理する、クラウドでホストされるNetScaler ADCであり、次のような高度な認証機能をすべて提供します。
- 多要素認証
- Device Postureスキャン
- 条件付き認証
-
Citrix Virtual Apps and Desktopsへのアダプティブアクセス
- アダプティブ認証を設定するには、[ アダプティブ認証の設定と使用 (テクニカルプレビュー) ] を選択し、構成を完了します。アダプティブ認証について詳しくは、「アダプティブ認証サービス」を参照してください。アダプティブ認証を設定した後、必要に応じて [ 管理 ] をクリックして設定を変更できます。
- 最初に別の認証方法を選択し、アダプティブ認証に切り替える場合は、[選択して設定] をクリックして構成を完了します。
既存の認証方法を変更するか、既存の認証方法を変更するには、[ ワークスペース認証] をクリックします。
ステップ 2: アプリケーションを追加して管理する
認証方法を選択したら、アプリケーションを設定します。初めて使用するユーザーの場合、[ アプリケーション ] ランディングページにはアプリケーションが表示されません。アプリを追加するには、[ アプリを追加] をクリックします。このページから SaaS アプリ、Web アプリ、および TCP/UDP アプリを追加できます。アプリを追加するには、[ アプリを追加] をクリックします。
アプリを追加すると、ここに一覧表示されます。
次の図に示す手順を完了して、アプリを追加します。
- エンタープライズ Web アプリを追加する
- SaaS アプリを追加する
- クライアントサーバーアプリを構成する
- アプリを起動する
- 管理者への読み取り専用アクセスを有効にする
ステップ 3: 複数のルールを使用してアクセスポリシーを設定する
1 つのポリシー内で、複数のアクセスルールを作成し、さまざまなユーザーまたはユーザーグループにさまざまなアクセス条件を設定できます。これらのルールは、HTTP/HTTPS アプリケーションと TCP/UDP アプリケーションの両方に、すべて 1 つのポリシー内で個別に適用できます。
Secure Private Accessのアクセスポリシーにより、ユーザーまたはユーザーのデバイスのコンテキストに基づいてアプリへのアクセスを有効または無効にできます。さらに、次のセキュリティ制限を追加することで、アプリへの制限付きアクセスを有効にできます。
- クリップボードへのアクセスを制限する
- 印刷を制限
- ダウンロードを制限
- アップロードを制限する
- ウォーターマークを表示
- キーロギングを制限する
- 画面キャプチャを制限する
これらの制限の詳細については、「 利用可能なアクセス制限オプション」を参照してください。
-
ナビゲーションペインで、[ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
初めてのユーザの場合、[ アクセスポリシー(Access Policies)] ランディングページにはポリシーが表示されません。ポリシーを作成すると、ここに一覧表示されます。
- ポリシー名とポリシーの説明を入力します。
- 「 アプリケーション」で、このポリシーを適用する必要があるアプリまたはアプリのセットを選択します。
-
「 Create Rule 」をクリックして、ポリシーのルールを作成します。
-
ルール名とルールの簡単な説明を入力して、[ 次へ] をクリックします。
-
ユーザーの条件を選択します。ユーザー条件は 、ユーザーにアプリケーションへのアクセスを許可するための必須条件です。次のいずれかを選択します:
- いずれかに一致 — フィールドに表示されている名前のいずれかに一致し、選択したドメインに属するユーザーまたはグループのみがアクセスを許可されます。
- いずれにも一致しない -フィールドに表示され、選択したドメインに属するユーザーまたはグループを除くすべてのユーザーまたはグループがアクセスを許可されます。
-
(オプション) コンテキストに基づいて複数の条件を追加するには、「+」をクリックします。
コンテキストに基づいて条件を追加すると、 ユーザーとオプションのコンテキストベースの条件が満たされた場合にのみポリシーが評価される条件に AND 操作が適用されます。状況に応じて次の条件を適用できます。
- **デスクトップまたはモバイルデバイス** — アプリへのアクセスを有効にするデバイスを選択します。
-
位置情報 — ユーザーがアプリにアクセスしている条件と地理的位置を選択します。
- いずれかにマッチ: リストされている地理的場所のいずれかからアプリにアクセスしているユーザーまたはユーザーグループのみがアプリへのアクセスを有効にします。
- いずれにも一致しない: リストされている地域のユーザーまたはユーザーグループ以外のすべてのユーザーまたはユーザーグループがアクセス可能です。
-
ネットワークの場所 — ユーザーがアプリにアクセスする際に使用する条件とネットワークを選択します。
- いずれかにマッチ: リストされているネットワークロケーションのいずれかからアプリにアクセスするユーザーまたはユーザーグループのみが、アプリへのアクセスを有効にします。
- どれにも一致しない: リストされているネットワークロケーション以外のすべてのユーザーまたはユーザーグループがアクセス可能です。
- Device Postureチェック — アプリケーションにアクセスするためにユーザーデバイスが通過しなければならない条件を選択します。
- ユーザーリスクスコア — ユーザーにアプリケーションへのアクセスを提供する必要があるリスクスコアカテゴリを選択します。
-
ワークスペース URL-管理者は、ワークスペースに対応する完全修飾ドメイン名に基づいてフィルターを指定できます 。このオプションは現在プレビュー中です。
- 次のいずれかに一致する -受信ユーザー接続が設定されたワークスペース URL のいずれかに一致する場合にのみアクセスを許可します。
- すべて一致 -受信ユーザー接続が設定されたワークスペース URL のすべてを満たす場合にのみアクセスを許可します。
- [次へ] をクリックします。
-
条件評価に基づいて適用する必要があるアクションを選択します。
- HTTP/HTTPS アプリの場合、以下を選択できます。
- アクセスを許可
- 制限付きでアクセスを許可
- アクセスを拒否
注:
[ 制限付きアクセスを許可] を選択した場合は、アプリに適用する制限を選択する必要があります。制限の詳細については、「 使用可能なアクセス制限オプション」を参照してください。また、アプリをリモートブラウザで開くか、Citrix Secure Browserで開くかを指定することもできます。
- TCP/UDP アクセスでは、以下を選択できます。
- アクセスを許可
- アクセスを拒否
- HTTP/HTTPS アプリの場合、以下を選択できます。
- [次へ] をクリックします。「概要」ページには、ポリシーの詳細が表示されます。
-
詳細を確認して [ 完了] をクリックします。
ポリシー作成後に覚えておくべきポイント
-
作成したポリシーは [ポリシールール] セクションに表示され、デフォルトで有効になっています。必要に応じてルールを無効にできます。ただし、ポリシーをアクティブにするには、少なくとも 1 つのルールが有効になっていることを確認してください。
-
デフォルトでは、ポリシーには優先順位が割り当てられます。値が小さい優先度が最も高くなります。優先順位が最も低いルールが最初に評価されます。ルール (n) が定義された条件と一致しない場合、次のルール (n+1) が評価され、以降も同様です。
優先順位の例によるルールの評価:
ルール 1 とルール 2 の 2 つのルールを作成したとします。 ルール1はユーザーAに割り当てられ、ルール2はユーザーBに割り当てられます。その後、両方のルールが評価されます。 ルール 1 とルール 2 の両方がユーザー A に割り当てられているとします。この場合、ルール 1 の優先順位が高くなります。ルール 1 の条件が満たされると、ルール 1 が適用され、ルール 2 はスキップされます。それ以外の場合、ルール 1 の条件が満たされない場合、ルール 2 がユーザー A に適用されます。
注:
どのルールも評価されない場合、アプリはユーザーに列挙されません。
利用可能なアクセス制限オプション
「 制限付きアクセスを許可する」アクションを選択するときは、セキュリティ制限を少なくとも1 つ選択する必要があります。これらのセキュリティ制限は、システムであらかじめ定義されています。管理者は、他の組み合わせを変更したり追加したりすることはできません。次のセキュリティ制限をアプリケーションに対して有効にできます。
- クリップボードへのアクセスを制限:アプリとシステムクリップボード間の切り取り/コピー/貼り付け操作を無効にします 。
- 印刷の制限:Citrix Enterprise Browser内からの印刷機能を無効にします。
- ダウンロードを制限する:ユーザーがアプリ内からダウンロードできないようにします。
- アップロードを制限する:ユーザーがアプリ内でアップロードできないようにします。
- ウォーターマークを表示:ユーザーの画面にウォーターマークを表示し、ユーザーのマシンのユーザー名と IP アドレスを表示します。
- キーロギングの制限:キーロガーから保護します。ユーザーがユーザー名とパスワードを使用してアプリにログオンしようとすると、すべてのキーがキーロガーで暗号化されます。また、ユーザーがアプリで実行するすべてのアクティビティは、キーロギングから保護されます。たとえば、Office 365のアプリ保護ポリシーが有効になっていて、ユーザーがOffice 365のWord文書を編集した場合、すべてのキーストロークはキーロガーで暗号化されます。
-
画面キャプチャを制限する:画面キャプチャプログラムまたはアプリのいずれかを使用して画面をキャプチャする機能を無効にします。ユーザーが画面をキャプチャしようとすると、空白の画面がキャプチャされます。
-
リモートブラウザーで開く:Citrix リモートブラウザーでアプリを開きます。
-
[ リモートブラウザで開く ] を選択し、Secure Private Access のリモートブラウザカタログが見つからない場合は、次のメッセージが表示されます:
このアプリケーションをホストできる公開リモート隔離カタログはありません。Remote Browser Isolationコンソールに移動して、カタログを公開します。
-
また、Web アプリや SaaS アプリを起動しようとしたときに、RBI カタログが欠落していて次のメッセージが表示されると、アプリの起動が失敗します。
このリクエストを処理するカタログは作成されていません。管理者に連絡してください。
Citrix Remote Browser Isolationについて詳しくは、「 Remote Browser Isolation」を参照してください。
-
ステップ 4: 各構成の概要を確認する
[Review] ページから、完全なアプリ構成を表示し、[ 閉じる] をクリックできます。
次の図は、4 ステップ構成を完了した後のページを示しています。
重要:
- ウィザードを使用して構成を完了したら、そのセクションに直接移動してセクションの設定を変更できます。シーケンスに従う必要はありません。
- 構成済みのアプリまたはポリシーをすべて削除した場合は、それらを再度追加する必要があります。この場合、すべてのポリシーを削除すると、次の画面が表示されます。