App Protection
App Protectionは、Citrix Workspaceアプリの機能で、Citrix Virtual Apps and Desktops公開リソースの使用時にセキュリティを強化する機能です。App Protectionは、オンプレミスのCitrix Virtual Apps and Desktops展開と、StoreFrontおよびWorkspaceを使用したCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)でサポートされています。これは、App Protectionがすべてのクラウド環境、オンプレミス環境、およびハイブリッド環境でサポートされていることを意味します。App Protectionは、ADCゲートウェイ経由でStoreFrontまたはWorkspaceに接続している場合にもサポートされます。
2つのポリシーはCitrix HDXセッションでキーロガー対策および画面キャプチャ対策機能を提供します。Windows向けCitrix Workspaceアプリ2203.1 LTSR以降、Mac向けCitrix Workspaceアプリ2001以降、またはLinux向けCitrix Workspaceアプリ2108のこれらのポリシーは、キーロガーやスクリーンスクレーパーからデータを保護するのに役立ちます。
キーロガー対策を有効にした場合:
- キーロガーには暗号化されたキーストロークが表示されます。
- この機能は、保護ウィンドウにフォーカスがある場合にのみアクティブになります。
画面キャプチャ対策が有効な場合:
- Windows OSおよびmacOSでは、画面をキャプチャするときに、保護されたウィンドウのコンテンツのみが空白になります。保護されたウィンドウが最小化されていない場合に、この機能がアクティブになります。Linux OSでは、キャプチャ全体が空白になります。この機能は、保護されたウィンドウが最小化されているかどうかに関係なくアクティブです。
- Windows OSのPrint Screenボタンを使用してスクリーンショットを撮る場合、データはクリップボードにコピーされません。Print Screenボタンを使用してスクリーンショットを撮るには、保護されているアプリを最小化します。
ポリシーはPowerShellおよびWeb Studioで構成できます。詳しくは、「Virtual Apps and DesktopsでのApp Protectionの構成」を参照してください。
この機能の購入後、App Protectionライセンスを有効にしてください。
免責事項:
App Protectionポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。つまり、このApp Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Citrix App Protectionポリシーは、ICAファイルなど、基盤となるオペレーティングシステムのコンポーネントと効果的に連携します。ポリシーの整合性を保つため、基盤となるコンポーネントの意図的な改ざんまたは変更が検出された場合、Citrixはサポートを提供できないことがあります。
App Protectionがインストールされているかの確認
Windows向けCitrix Workspaceアプリ
Citrix Workspaceアプリバージョン2212以降では、App Protectionがデフォルトでインストールされます。ただし、ユーザーが[インストール後にApp Protectionを開始する]チェックボックスをオンにしたかどうかによって、コンポーネントがアクティブまたは休止状態になる場合があります。
-
2311より前のバージョンのCitrix Workspaceアプリの場合:
-
Citrix Workspaceアプリのバージョン2311以降:
2212より前のCitrix Workspaceアプリのバージョンでは、Citrix Workspaceアプリのインストール時に [App Protectionを有効にする] チェックボックスをオンした場合にのみ、App Protectionがインストールされ、アクティブな状態になります。
App Protectionは、STOPPED状態またはRUNNING状態のいずれかになります。 サービスの状態を確認するには、次のいずれかの手順を実行します:
-
Citrix Workspaceアプリのバージョン2206以降の場合は、次のコマンドを実行します。
sc query appprotectionsvc <!--NeedCopy-->
-
Citrix Workspaceアプリのバージョン2206より前の場合は、次のコマンドを実行します:
sc query entryprotectsvc <!--NeedCopy-->
注:
2212より前のCitrix Workspaceアプリのバージョンでは、Citrix Workspaceアプリのインストール時に [App Protectionを有効にする] チェックボックスをオンにせず、前述のコマンドを実行して状態をチェックしなかった場合、次のエラーメッセージが表示されます:
さまざまな環境でのApp Protectionの動作
App Protectionの動作は、App Protectionポリシーで構成されたリソースへのアクセス方法によって異なります。このようなリソースとしては、Virtual Apps and Desktops、内部Webアプリ、SaaSアプリがあります。リソースには、サポートされるネイティブのCitrix WorkspaceアプリクライアントまたはWebブラウザーを使用してアクセスできます。App Protectionは環境によって異なる方法で動作します:
- サポートされていないCitrix ReceiverまたはCitrix Workspaceアプリ - App Protectionポリシーで構成されたリソースは利用できません。
- サポートされているCitrix Workspaceアプリのバージョン - App Protectionポリシーで構成されたリソースが利用可能であり、適切に起動します。
- WorkspaceストアURLを使用したハイブリッド起動 - App Protectionポリシーで構成されたリソースは常に利用可能です。WorkspaceストアURLを使用してWebブラウザーでリソースを正常に起動するには、「Workspaceのハイブリッド起動のApp Protection」を参照してください。
- StoreFrontストアURLを使用したハイブリッド起動 - StoreFrontカスタマイズが展開されていない場合、App Protectionポリシーで構成されたリソースは使用できません。StoreFrontストアURLを使用してWebブラウザーでリソースを正常に起動するには、「StoreFrontのハイブリッド起動によるApp Protection」を参照してください。
以下の条件下で保護が適用されます:
- 画面キャプチャ対策 - Windows向けCitrix WorkspaceアプリおよびMac向けCitrix Workspaceアプリでは、保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを最小化します。Linux向けCitrix Workspaceアプリでは、保護されたウィンドウがアクティブな場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを閉じます。
- キーロガー対策 - 保護されたウィンドウにフォーカスがある場合に有効になります。保護を無効にする場合は、フォーカスを別のウィンドウに移動します。
App Protectionによって保護される内容
App Protectionは次のCitrixのウィンドウを保護します:
-
Citrixサインインウィンドウ
-
Citrix WorkspaceアプリのHDXセッションウィンドウ(管理対象デスクトップなど)
-
セルフサービスストアウィンドウ
-
WebおよびSaaSアプリ
-
Windows向けCitrix WorkspaceアプリおよびMac向けCitrix Workspaceアプリ - Citrix Enterprise Browserで、WebアプリとSaaSアプリを開きます。Citrix Secure Private AccessによりアプリにApp Protectionポリシーが構成されている場合、App Protectionはタブごとに適用されます。
-
Linux向けCitrix Workspaceアプリ - Citrix Enterprise Browserはサポートされていません。
-
App Protectionによって保護されない内容
-
ナビゲーションバーのCitrix Workspaceアプリアイコンの以下の項目:
- コネクションセンター
- 高度な設定のすべてのリンク
- 個人設定
- 更新プログラムのチェック
- サインアウト
-
画面キャプチャ対策で仮想デスクトップを保護することを選択した場合でも、ユーザーは仮想デスクトップ内のアプリから画面を共有できます。ただし、仮想デスクトップの外部にあるアプリについては、スクリーンショットを撮ったり、仮想デスクトップを記録したりすることはできません。
制限事項
以下の制限は設計段階で存在します:
- RDPセッション内でアクセスすると、App Protectionが有効になっているVirtual Apps and Desktopsの起動がブロックされます。
- App Protectionは、ダブルホップおよびマルチホップのシナリオではサポートされません。
- Citrix WorkspaceアプリまたはCitrix Receiverのサポートされていないバージョンを使用する場合、App Protectionはサポートされません。この場合、リソースは非表示になります。
- App Protection機能がVirtual Apps and Desktopsに適用されている場合、最適化を使用すると発信画面共有が影響を受ける可能性があります。
- App Protection機能を備えたCitrix Workspaceアプリは、同様の基盤となる技術を使用する他のセキュリティソリューションまたはアプリと互換性がない場合があります。
- Citrix Secure Browser内からリソースを起動する場合、またはRemote Browser Isolationを使用してリソースを起動する場合、App Protectionはサポートされません。
- Linux向けCitrix Workspaceアプリでは、App Protectionがインストールされている場合、スナップアプリケーションを使用できません。
コンテキストに基づくApp Protection
コンテキストに基づくApp Protectionにより、ユーザー、ユーザーのデバイス、ネットワークポスチャなど、ユーザーのサブセットを条件にして、App Protectionポリシーを詳細かつ柔軟に適用できます。詳しくは、次の記事を参照してください:
ハイブリッド起動のApp Protection
Citrix Virtual Apps and Desktopsのハイブリッド起動は、ブラウザー(Citrix Workspace for Web)からCitrix Workspaceアプリにログインし、ネイティブのCitrix Workspaceアプリでアプリケーションを使用する場合の起動です。ハイブリッドという用語は、ユーザーがCitrix Workspace for WebアプリとネイティブのCitrix Workspaceアプリの組み合わせでリソースに接続して使用することを意味します。App Protectionは、WorkspaceとStoreFrontでのハイブリッド起動をサポートしています。詳しくは、次の記事を参照してください: