App Protection

App Protectionは、Citrix Workspaceアプリの機能で、Citrix Virtual Apps and Desktops公開リソースの使用時にセキュリティを強化する機能です。App Protectionは、オンプレミスのCitrix Virtual Apps and Desktops展開と、StoreFrontおよびWorkspaceを使用したCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)でサポートされています。これは、App Protectionがすべてのクラウド環境、オンプレミス環境、およびハイブリッド環境でサポートされていることを意味します。App Protectionは、ADCゲートウェイ経由でStorefrontまたはWorkspaceに接続している場合にもサポートされます。

2つのポリシーはCitrix HDXセッションでキーロガー対策および画面キャプチャ対策機能を提供します。Windows向けCitrix Workspaceアプリ2203.1 LTSR以降、Mac向けCitrix Workspaceアプリ2001以降、またはLinux向けCitrix Workspaceアプリ2108のこれらのポリシーは、キーロガーやスクリーンスクレーパーからデータを保護するのに役立ちます。

キーロガー対策を有効にした場合:

  • キーロガーには暗号化されたキーストロークが表示されます。
  • この機能は、保護ウィンドウにフォーカスがある場合にのみアクティブになります。

画面キャプチャ対策が有効な場合:

  • Windows OSおよびmacOSでは、画面をキャプチャするときに、保護されたウィンドウのコンテンツのみが空白になります。保護されたウィンドウが最小化されていない場合に、この機能がアクティブになります。Linux OSでは、キャプチャ全体が空白になります。この機能は、保護されたウィンドウが最小化されているかどうかに関係なくアクティブです。
  • Windows OSおよびmacOSの場合、保護されたウィンドウが表示されている(最小化されていない)ときに、この機能がアクティブになります。Linux OSの場合、保護されたウィンドウが最小化または最大化されたときに、この機能がアクティブになります。
  • Windows OSのPrint Screenボタンを使用してスクリーンショットを撮る場合、データはクリップボードにコピーされません。Print Screenボタンを使用してスクリーンショットを撮るには、保護されているアプリを最小化します。

ポリシーはPowerShellおよびWeb Studioで構成します。

Web StudioでApp Protectionを構成するには、次の手順を実行します:

  1. App ProtectionにはXML信頼が必要です。XML信頼を有効にするには、[設定]>[XML信頼を有効にする] に移動します。

  2. デリバリーグループのApp Protection方法を選択するには、次の手順を実行します:

    • 左側のペインで [デリバリーグループ] を選択します。

    • グループを選択して、操作バーの [編集] を選択します。

    • [App Protection] ページで、[キーロガー対策][画面キャプチャ防止] を有効にできます。

StudioのApp Protection

この機能の購入後、App Protectionライセンスを有効にしてください。

免責事項:

App Protectionポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。つまり、このApp Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てきます。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。

Citrix App Protectionポリシーは、ICAファイルなど、基盤となるオペレーティングシステムのコンポーネントと効果的に連携します。ポリシーの整合性を保つため、基盤となるコンポーネントの意図的な改ざんまたは変更が検出された場合、Citrixはサポートを提供できません。

システム要件

前提条件として、管理者権限を使用してCitrix Workspaceアプリをインストールしてください。

Citrixコンポーネントの最小バージョン

  • Linux向けCitrix Workspaceアプリ2108
  • Windows向けCitrix Workspaceアプリ2203.1 LTSR
  • Windows向けCitrix Workspaceアプリ2002
  • Windows(ストア)向けCitrix Workspaceアプリ2305.1
  • Mac向けCitrix Workspaceアプリ2001
  • StoreFront 1912 LTSR
  • Delivery Controller 1912
  • 有効なCitrixライセンス。詳しくは、Citrixの営業担当者またはCitrixパートナーにお問い合わせください。

注:

ユーザーがApp ProtectionをサポートしていないデバイスまたはWorkspaceアプリのバージョンを使用している場合、保護されたリソースにアクセスできません。保護されたリソースには、Virtual Apps and DesktopsやWebアプリおよびSaaSアプリが含まれます。

オペレーティングシステムプラットフォーム

App Protectionポリシーランタイムは、接続のエンドポイントにインストールされ、接続のVDAにはインストールされません。そのため、重要になるのはエンドポイントのオペレーティングシステムのバージョンだけです。(App Protectionは、「Citrix Virtual Apps and Desktopsのシステム要件」記載のサポートされるオペレーティングシステム上にホストされているVDAに接続できます。)

App Protection機能は、次のオペレーティングシステムを実行しているエンドポイントでサポートされています:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • macOS High Sierra(10.13)以降
  • 64ビットUbuntu 18.04およびUbuntu 20.04
  • 64ビットDebian 9およびDebian 10
  • 64ビットCentOS 7
  • 64ビットRHEL 7
  • ARMHF 32ビットRaspberry Pi OS(Debian 10(buster)ベース)
  • ARM64 Raspberry Pi OS(Debian 11(bullseye)ベース)

注:

App Protectionを使用するには、Linux向けCitrix Workspaceアプリに、サポートされているオペレーティングシステムのほかにGnome Display Managerが必要です。

App Protectionがインストールされているかの確認

Windows向けCitrix Workspaceアプリ

Citrix Workspaceアプリバージョン2212以降では、App Protectionがデフォルトでインストールされます。ただし、ユーザーが[インストール後にApp Protectionを開始する]チェックボックスをオンにしたかどうかによって、コンポーネントがアクティブまたは休止状態になる場合があります。

インストール後にApp Protectionを開始する

2212より前のCitrix Workspaceアプリのバージョンでは、Citrix Workspaceアプリのインストール時に [App Protectionを有効にする] チェックボックスをオンした場合にのみ、App Protectionがインストールされ、アクティブな状態になります。

インストール後にApp Protectionを有効にする

App Protectionは、STOPPED状態またはRUNNING状態のいずれかになります。 サービスの状態を確認するには、次のいずれかの手順を実行します:

  • Citrix Workspaceアプリのバージョン2206以降の場合は、次のコマンドを実行します。

     sc query appprotectionsvc
     <!--NeedCopy-->
    

    App Protection 2206以降の状態

  • Citrix Workspaceアプリのバージョン2206より前の場合は、次のコマンドを実行します:

     sc query entryprotectsvc
     <!--NeedCopy-->
    

    2206より前のApp Protectionの状態

注:

2212より前のCitrix Workspaceアプリのバージョンでは、Citrix Workspaceアプリのインストール時に [App Protectionを有効にする] チェックボックスをオンにせず、前述のコマンドを実行して状態をチェックしなかった場合、次のエラーメッセージが表示されます。

App Protectionの状態チェックのエラーメッセージ

さまざまな環境でのApp Protectionの動作

App Protectionの動作は、App Protectionポリシーで構成されたリソースへのアクセス方法によって異なります。このようなリソースとしては、Virtual Apps and Desktops、内部Webアプリ、SaaSアプリがあります。リソースには、サポートされるネイティブのCitrix WorkspaceアプリクライアントまたはWebブラウザーを使用してアクセスできます。App Protectionは環境によって異なる方法で動作します。

  • サポートされていないCitrix ReceiverまたはCitrix Workspaceアプリ - App Protectionポリシーで構成されたリソースは利用できません。
  • サポートされているCitrix Workspaceアプリのバージョン - App Protectionポリシーで構成されたリソースが利用可能であり、適切に起動します。
  • WorkspaceストアURLを使用したハイブリッド起動 - App Protectionポリシーで構成されたリソースは常に利用可能です。WorkspaceストアURLを使用してWebブラウザーでリソースを正常に起動するには、「Workspaceのハイブリッド起動のApp Protection」を参照してください。
  • StoreFrontストアURLを使用したハイブリッド起動 - StoreFrontカスタマイズが展開されていない場合、App Protectionポリシーで構成されたリソースは使用できません。StorefrontストアURLを使用してWebブラウザーでリソースを正常に起動するには、「StoreFrontのハイブリッド起動によるApp Protection;」を参照してください。

以下の条件下で保護が適用されます:

  • 画面キャプチャ対策 - WindowsおよびMacでは、保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを最小化します。Linuxでは、保護されたウィンドウがアクティブな場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを閉じます。
  • キーロガー対策 - 保護されたウィンドウにフォーカスがある場合に有効になります。保護を無効にする場合は、フォーカスを別のウィンドウに移動します。

App Protectionによって保護される内容

Citrix Workspaceアプリ以外のウィンドウのスクリーンショットをキャプチャするには、最初に保護されたウィンドウを最小化する必要があります。Linuxの場合、ユーザーは保護されているすべてのウィンドウを閉じる必要があります。

App Protectionは次のCitrixのウィンドウを保護します:

  • Citrixログオンウィンドウ - Citrix Workspaceの認証ダイアログボックスは、Windowsオペレーティングシステムでのみ保護されます。Linuxの場合、AuthManConfig.xmlファイルでApp Protection機能を構成して、認証マネージャーに対して有効にする必要があります。

Citrixログオン画面 - 保護されています

  • Citrix WorkspaceアプリのHDXセッションウィンドウ(管理されたデスクトップの例)

Citrix Virtual Apps and Desktops Standard for Azureウィンドウ - 保護されています

  • セルフサービス(ストア)ウィンドウ - Citrix Workspaceセルフサービスウィンドウは、Windowsオペレーティングシステムでのみ保護されます。Linuxの場合、AuthManConfig.xmlファイルでApp Protection機能を構成して、セルフサービスウィンドウに対して有効にする必要があります。

Citrixセルフサービス(ストア)ウィンドウ - 保護されています

  • WebアプリおよびSaaSアプリ - WindowsおよびMacのCitrix WorkspaceアプリのCitrix Enterprise Browserで、WebアプリとSaaSアプリが開きます。Secure Private AccessによりアプリにApp Protectionポリシーが構成されている場合、App Protectionはタブごとに適用されます。

    WebアプリおよびSaaSアプリのApp Protection

App Protectionによって保護されない内容

  • ナビゲーションバーのCitrix Workspaceアプリアイコンの以下の項目:

    • コネクションセンター
    • 高度な設定のすべてのリンク
    • 個人設定
    • 更新プログラムのチェック
    • サインアウト
  • 画面キャプチャ対策で仮想デスクトップを保護することを選択した場合でも、ユーザーは仮想デスクトップ内のアプリから画面を共有できます。ただし、仮想デスクトップの外部にあるアプリについては、スクリーンショットを撮ったり、仮想デスクトップを記録したりすることはできません。

制限事項

以下の制限は設計段階で存在します:

  • RDPセッション内でアクセスすると、App Protectionが有効になっているVirtual Apps and Desktopsの起動がブロックされます。
  • App Protectionは、ダブルホップおよびマルチホップのシナリオではサポートされません。
  • Citrix WorkspaceアプリまたはCitrix Receiverのサポートされていないバージョンを使用する場合、App Protectionはサポートされません。この場合、リソースは非表示になります。
  • App Protection機能がVirtual Apps and Desktopsに適用されている場合、最適化を使用すると発信画面共有が影響を受ける可能性があります。
  • App Protection機能を備えたCitrix Workspaceアプリは、同様の基盤となる技術を使用する他のセキュリティソリューションまたはアプリと互換性がない場合があります。
  • Citrix Secure Browser内からリソースを起動する場合、またはRemote Browser Isolationを使用してリソースを起動する場合、App Protectionはサポートされません。
  • Linux向けCitrix Workspaceアプリでは、App Protectionがインストールされている場合、スナップアプリケーションを使用できません。

コンテキストに基づくApp Protection

コンテキストに基づくApp Protectionにより、ユーザー、ユーザーのデバイス、ネットワークポスチャなど、ユーザーのサブセットを条件にして、App Protectionポリシーを詳細かつ柔軟に適用できます。詳しくは、次の記事を参照してください:

ハイブリッド起動のApp Protection

Citrix Virtual Apps and Desktopsのハイブリッド起動は、ブラウザー(Citrix Workspace for Web)からCitrix Workspaceアプリにログインし、ネイティブのCitrix Workspaceアプリでアプリケーションを使用する場合の起動です。ハイブリッドという用語は、ユーザーがCitrix Workspace for WebアプリとネイティブのCitrix Workspaceアプリの組み合わせでリソースに接続して使用することを意味します。App Protectionは、WorkspaceとStoreFrontでのハイブリッド起動をサポートしています。詳しくは、次の記事を参照してください:

App Protection