Citrix Virtual Apps and Desktops

Workspaceのコンテキストに基づくアプリ保護

コンテキストに基づくアプリ保護により、ユーザー、ユーザーのデバイス、ネットワークポスチャなど、ユーザーのサブセットを条件にして、アプリ保護ポリシーを詳細かつ柔軟に適用できます。

コンテキストに基づくアプリ保護の実装

ブローカーアクセスポリシールールで定義された接続フィルターを使用して、コンテキストに応じたアプリ保護を実装できます。ブローカーアクセスポリシーは、デスクトップグループへのユーザーアクセスを制御するルールを定義するものです。ポリシーは一連のルールで構成されます。各ルールは1つのデスクトップグループに関連付けられ、一連の接続フィルターとアクセス権制御が含まれます。

ユーザーの接続の詳細が、1つあるいはそれ以上のブローカーアクセスポリシールールの接続フィルターに一致すると、デスクトップグループにアクセスできるようになります。デフォルトでは、ユーザーはサイト内のどのデスクトップグループにもアクセスできません。要件に応じて、追加のブローカーアクセスポリシーを作成できます。複数のルールを同じデスクトップグループに適用できます。詳しくは、「New-BrokerAssignmentPolicyRule」を参照してください。

ブローカーアクセスポリシールールの次のパラメーターにより、ユーザーの接続がアクセスポリシールールで定義された接続フィルターと一致する場合に、状況に応じた柔軟なアプリ保護が可能になります:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

ブローカーアクセスポリシールールで参照されているスマートアクセスポリシーを使用して、接続フィルターをさらに調整します。スマートアクセスポリシーを使用してコンテキストに基づくアプリ保護を設定する方法については、この記事で説明されているシナリオを参照してください。

前提条件

お使いの環境が次の要件を満たしていることを確認してください:

  • Citrix Virtual Apps and Desktopsバージョン2109以降
  • Delivery Controllerバージョン2109以降
  • ネットワークの場所サービス(NLS)(ユーザーのネットワークの場所に基づくシナリオで)
  • ライセンスの要件
    • DaaSのアプリ保護
    • アダプティブ認証の使用権(Smart Accessポリシーを使用するシナリオで)

Workspaceのコンテキストに基づくアプリ保護の構成 - いくつかのシナリオ

シナリオ1:Access Gatewayを経由する外部ユーザーのアプリ保護を有効にする

  1. アダプティブ認証を構成します。

  2. ネットワークの場所に基づいてアダプティブアクセスを構成し、
    1. Citrix Cloudにログインして [ネットワークの場所] に移動します。

      ネットワークの場所

    2. 内部または直接と見なされるネットワークIPアドレスまたはサブネットを追加します。
    3. [場所のタグ]フィールドに「location_internal」と入力します。
    4. [内部]としてのネットワーク接続の種類を選択します。

      ネットワーク接続の種類

      IPアドレスが[内部]として構成されているデバイスからCloudストアにログインすると、接続は内部接続と見なされます。ほかのすべてのネットワーク接続は、[外部]接続またはAccess Gateway経由の接続と見なされます。

  3. ブローカーアクセスポリシールールの構成

    すべてのデリバリーグループに対して、デフォルトで2つのブローカーアクセスポリシーが作成されます。1つのポリシーはAccess Gateway経由の接続用で、もう1つのポリシーは直接接続用です。アプリ保護は、外部接続であるAccess Gateway経由の接続に対してのみ有効にできます。次の手順を使用してブローカーアクセスポリシールールを構成します:

    1. Citrixブログ「Getting started with PowerShell automation for Citrix Cloud」(Citrix CloudのPowerShell自動化を開始する)の説明に従って、Citrix PowerShell SDKをインストールし、クラウドAPIに接続します。

    2. コマンドGet-BrokerAccessPolicyRuleを実行します。

      存在するすべてのデリバリーグループのすべてのブローカーアクセスポリシーの一覧が表示されます。

    3. 変更するデリバリーグループの「DesktopGroupUid」を見つけます。

      デスクトップグループUID

    4. DesktopGroupUidを使用して、デリバリーグループに適用されるポリシーを取得します。2つ以上のポリシーがあり、1つはViaAGAllowedConnections、もう1つはNotViaAGのAllowedConnectionsがあります。

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      ブローカーアクセスの取得ポリシー

      スクリーンショットで、次の2つのポリシーを確認できます:

      • CAP_Desktops_AG - ViaAGAllowedConnections(外部接続またはAccess Gateway経由の接続のポリシーを表す)

      • CAP_Desktops_Direct - NotViaAGAllowedConnections(内部接続または直接接続のポリシーを表す)

  4. 次のコマンドを使用して、外部接続に対してのみアプリ保護ポリシーを有効にし、内部接続を無効にします:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

確認

Citrix Workspaceアプリからログアウトし、再度ログインします。保護されたリソースを外部接続から起動します。アプリ保護ポリシーが適用されていることがわかります。最初の手順で構成したIPアドレス範囲内のデバイスである内部接続から同じリソースを起動します。アプリ保護ポリシーが無効になっていることがわかります。

シナリオ2:信頼できないデバイスのアプリ保護を有効にする

信頼できるデバイスと信頼できないデバイスに対する複数の定義があります。このシナリオでは、エンドポイント分析(EPA)のスキャンが成功した場合の、信頼されているデバイスについて考えてみましょう。他のすべてのデバイスは信頼できないデバイスと見なされます。

  1. アダプティブ認証を構成します。
  2. 以下の手順で、EPAスキャンを使用して認証ポリシーを作成します:

    1. Citrix ADC管理UIにログインします。[Configuration] タブで、[Security]>[AAA-Application Traffic]>[Virtual Servers] に移動します。使用する仮想サーバー(今回はauth_vs)をクリックします。

      仮想サーバー

    2. [Authentication Policies]>[Add Binding] に移動します。

      認証ポリシー

      バインドの追加

    3. [Add] をクリックしてポリシーを作成します。

      ポリシーのバインド

    4. EPAスキャンに基づいて認証ポリシーを作成します。ポリシーの名前を入力します。[Action Type][EPA] を選択します。[Add] をクリックして操作を作成します。

      認証ポリシーの作成

    5. [Create Authentication EPA Action] 画面が開きます。

      認証EPAの作成

      [Create Authentication EPA Action] 画面で、次の詳細を入力し、[Create] をクリックしてアクションを作成します。

      • Name:EPAアクションの名前。今回は「EPA_Action_FileExists」。
      • Default Group:デフォルトのグループ名を入力します。EPA式がTrueの場合、ユーザーはデフォルトのグループに追加されます。今回のDefault Groupは「FileExists」です。
      • Quarantine Group:検疫グループ名を入力します。EPA式がFalseの場合、ユーザーは検疫グループに追加されます。
      • Expression:スキャンするEPA式を追加します。次の例は、特定のファイルが存在してEPAスキャンが成功する場合です:sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. [Create Authentication Policy] 画面に戻ります。[Expression]エディターに「true」を入力し、[Create] をクリックします。

      認証EPA - true

    7. [Policy Binding] 画面に戻ります。以下を実行します:

      • [Goto Expression][NEXT] を選択します。
      • [Select Next Factor] セクションで、アプリケーションデリバリーコントローラー(ADC)の認証用に構成したLDAPポリシーを選択します。
      • [バインド] をクリックします。

        ポリシーバインドの詳細

  3. 次の手順で、信頼できるデバイスのスマートアクセスポリシーを作成します:
    1. auth_vsサーバーの [Authentication Virtual Server] ページで [Smart Access Policies] を選択します。

      認証仮想サーバー

    2. [バインドの追加] をクリックします。

      バインドの追加

    3. [Policy Binding] 画面で、[Select Policy] セクションの [Add] をクリックします。

      ポリシーの選択

    4. [Create Authentication Smart Access Policy] 画面が表示されます。

      認証スマートアクセス

      [Create Authentication Smart Access Policy] 画面で、スマートアクセスポリシーの [Name] を入力し、[Add] をクリックしてスマートアクセスプロファイルを作成します。

    5. [Create Authentication Smart Access Profile] 画面が開きます。アクションの [Name] を追加します。[Tags] に「trusted」と入力します。タグは、後で構成の際に、ブローカーアクセスポリシールールで参照されます。[作成] をクリックします。

      認証プロファイルの作成

    6. [Create Authentication Smart Access Policy] 画面に戻ります。[Expression]セクションで、タグをプッシュする式を入力します。今回、タグは信頼できるデバイス用にプッシュするため、「AAA.USER.IS_MEMBER_OF(“FileExists”)」と入力します。[作成] をクリックします。

      信頼できるデバイスのタグ

    7. [Policy Binding] 画面に戻ります。[End]で [Goto Expression] を選択し、[Bind] をクリックします。

      [Goto Expression] を選択

  4. 信頼できないデバイスのスマートアクセスポリシーを作成します。

    1. 前の手順で示した指示に従います(サブ手順のvviを除く)。
    2. サブ手順のvでは、[Create Authentication Smart Access Profile] 画面で、アクションの [Name] を追加します。[Tags] に「untrusted」と入力します。タグは、後で構成の際に、ブローカーアクセスポリシールールで参照されます。[作成] をクリックします。
    3. サブ手順viでは、[Create Authentication Smart Access Policy] 画面の [Expression] セクションに、タグをプッシュする式を入力します。今回、タグは信頼できないデバイス用にプッシュするため、「AAA.USER.IS_MEMBER_OF(“FileExists”).NOT」と入力します。
  5. ブローカーアクセスポリシールールの構成

    1. Citrixブログ「Getting started with PowerShell automation for Citrix Cloud」(Citrix CloudのPowerShell自動化を開始する)の説明に従って、Citrix PowerShell SDKをインストールし、クラウドAPIに接続します。
    2. コマンドGet-BrokerAccessPolicyRuleを実行します。

      存在するすべてのデリバリーグループのすべてのブローカーアクセスポリシーの一覧が表示されます。

    3. 変更するデリバリーグループの「DesktopGroupUid」を見つけます。

      デスクトップグループUID

    4. 次のコマンドを使用して、特定のデリバリーグループにのみ適用されるポリシーを取得します:Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. 信頼できるデバイスを使用してユーザーをフィルタリングするには、コマンドを使用して別のブローカーアクセスポリシーを作成します:New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. 信頼できるデバイスのアプリ保護を無効にし、信頼されていないデバイスのアプリ保護を有効にするには、次のコマンドを使用します:Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

確認

Citrix Workspaceアプリからログアウトし、再度ログインします。信頼できるデバイス(EPAスキャン条件を満たすデバイス)から、保護されたリソースを起動します。アプリ保護ポリシーが適用されていないことがわかります。信頼できないデバイスから、同じリソースを起動します。アプリ保護ポリシーが適用されていることがわかります。

Workspaceのコンテキストに基づくアプリ保護