Citrix Workspaceアプリ

シナリオ2

このシナリオでは、信頼できないデバイスに対してApp Protectionを有効にする方法について説明します。

信頼できるデバイスと信頼できないデバイスに対する複数の定義があります。このシナリオでは、エンドポイント分析(EPA)のスキャンが成功した場合の、信頼されているデバイスについて考えてみましょう。他のすべてのデバイスは信頼できないデバイスと見なされます。

  1. アダプティブ認証を構成します。
  2. 以下の手順で、EPAスキャンを使用して認証ポリシーを作成します:

    1. Citrix ADC管理UIにサインインします。[Configuration]タブで、[Security]>[AAA-Application Traffic]>[Virtual Servers]に移動します。使用する仮想サーバー(今回はauth_vs)をクリックします。

      仮想サーバー

    2. [Authentication Policies]>[Add Binding] に移動します。

      認証ポリシー

      バインドの追加

    3. [Add] をクリックしてポリシーを作成します。

      ポリシーのバインド

    4. EPAスキャンに基づいて認証ポリシーを作成します。ポリシーの名前を入力します。[Action Type][EPA] を選択します。[Add] をクリックして操作を作成します。

      認証ポリシーの作成

      [Create Authentication EPA Action] 画面が開きます。

      認証EPAの作成

    5. [Create Authentication EPA Action] 画面で、次の詳細を入力し、[Create] をクリックしてアクションを作成します:
      • Name:EPAアクションの名前。今回は「EPA_Action_FileExists」。
      • デフォルトグループ:デフォルトのグループ名を入力します。EPA式がTrueの場合、ユーザーはデフォルトのグループに追加されます。今回のDefault Groupは「FileExists」です。
      • 検疫グループ:検疫グループ名を入力します。EPA式がFalseの場合、ユーザーは検疫グループに追加されます。
      • :スキャンするEPA式を追加します。次の例は、特定のファイルが存在してEPAスキャンが成功する場合です:sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")

      [Create Authentication Policy] 画面に戻ります。

    6. [Expression]エディターに「true」を入力し、[Create] をクリックします。

      認証EPA - true

      [Policy Binding] 画面に戻ります。

    7. [Policy Binding] 画面で、次の操作を実行します。

      1. [Goto Expression][NEXT] を選択します。

      2. [Select Next Factor] セクションで、アプリケーションデリバリーコントローラー(ADC)の認証用に構成したLDAPポリシーを選択します。

      3. [Bind] をクリックします。

        ポリシーバインドの詳細

  3. 信頼できるデバイスのスマートアクセスポリシーを作成します。

    1. auth_vsサーバーの [Authentication Virtual Server] ページで [Smart Access Policies] を選択します。

      認証仮想サーバー

    2. [Add Binding] をクリックします。

      バインドの追加

    3. [Policy Binding] 画面で、[Select Policy] セクションの [Add] をクリックします。

      ポリシーの選択

      [Create Authentication Smart Access Policy] 画面が表示されます。

      認証スマートアクセス

    4. [Create Authentication Smart Access Policy] 画面で、スマートアクセスポリシーの [Name] を入力し、[Add] をクリックしてスマートアクセスプロファイルを作成します。

      [Create Authentication Smart Access Profile] 画面が開きます。

    5. アクションの [Name] を追加します。[Tags] に「trusted」と入力します。タグは、後で構成の際に、ブローカーアクセスポリシールールで参照されます。[作成] をクリックします。

      認証プロファイルの作成

      [Create Authentication Smart Access Policy] 画面に戻ります。

    6. [Expression]セクションで、タグをプッシュする式を入力します。今回、タグは信頼できるデバイス用にプッシュするため、「AAA.USER.IS_MEMBER_OF("FileExists")」と入力します。[作成] をクリックします。

      信頼できるデバイスのタグ

      [Policy Binding] 画面に戻ります。

    7. [End][Goto Expression]を選択し、[Bind]をクリックします。

      [Goto Expression] を選択

  4. 信頼できないデバイスのスマートアクセスポリシーを作成します:

    1. 前の手順で示した指示に従います(サブ手順のvviを除く)。

    2. サブ手順のvでは、[Create Authentication Smart Access Profile] 画面で、アクションの [Name] を追加します。[Tags] に「untrusted」と入力します。タグは、後で構成の際に、ブローカーアクセスポリシールールで参照されます。[作成] をクリックします。

    3. サブ手順viでは、[Create Authentication Smart Access Policy] 画面の [Expression] セクションに、タグをプッシュする式を入力します。今回、タグは信頼できないデバイス用にプッシュするため、「AAA.USER.IS_MEMBER_OF("FileExists").NOT」と入力します。

  5. ブローカーアクセスポリシールールの構成:

    1. Citrixブログ「Getting started with PowerShell automation for Citrix Cloud」(Citrix CloudのPowerShell自動化を開始する)の説明に従って、Citrix PowerShell SDKをインストールし、クラウドAPIに接続します。

    2. コマンドGet-BrokerAccessPolicyRuleを実行します。

      存在するすべてのデリバリーグループのすべてのブローカーアクセスポリシーの一覧が表示されます。

    3. 変更するデリバリーグループの「DesktopGroupUid」を見つけます。

      デスクトップグループUID

    4. 次のコマンドを使用して、特定のデリバリーグループにのみ適用されるポリシーを取得します:

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

    5. 信頼できるデバイスを使用してユーザーをフィルタリングするには、コマンドを使用して別のブローカーアクセスポリシーを作成します:

      New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true

    6. 信頼できるデバイスのApp Protectionを無効にし、信頼されていないデバイスのApp Protectionを有効にするには、次のコマンドを使用します:

      Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  6. 確認:

    Citrix Workspaceアプリからサインアウトし、再度サインインします。信頼できるデバイス(EPAスキャン条件を満たすデバイス)から、保護されたリソースを起動します。App Protectionポリシーが適用されていないことがわかります。信頼できないデバイスから、同じリソースを起動します。App Protectionポリシーが適用されていることがわかります。

シナリオ2

この記事の概要