デバイス姿勢ポリシーを構成する
デバイス ポスチャは、デバイスがリソースにアクセスするために満たす必要があるポリシーとルールの組み合わせです。 各ポリシーには、準拠、非準拠、ログイン拒否のいずれかのアクションが添付されています。 さらに、各ポリシーには優先度が関連付けられており、ポリシーが true と評価され、関連付けられたアクションが実行されると、ポリシーの評価は停止します。
- Citrix Cloud にサインインし、ハンバーガー メニューから Identity and Access Management を選択します。
- [デバイスの状態]、 タブをクリックし、 [管理]をクリックします。
注意:
- Secure Private Access サービスのお客様は、管理者ユーザー インターフェイスの左側のナビゲーションで [ デバイス ポスチャ ] を直接クリックできます。
- 初めてのユーザーの場合、デバイス ポスチャ ランディング ページで、デバイス ポスチャ ポリシーを作成するように求められます。 デバイス ポスチャ ポリシーは、プラットフォームごとに個別に構成する必要があります。 デバイス ポスチャ ポリシーを作成すると、適切なプラットフォームの下にリストされます。
- ポリシーは、デバイスのポスチャが有効になった後にのみ有効になります。 デバイスの姿勢を有効にするには、右上隅にある デバイスの姿勢が無効 トグルを オンにスライドします。
- [Create device policy] をクリックします。
-
プラットフォームで、ポリシーを適用するプラットフォームを選択します。 デバイス ポスチャ ホーム ページで選択したタブに関係なく、プラットフォームを Windows から macOS に、またはその逆に変更できます。
- ポリシー ルールで、デバイス ポスチャの一部として実行するチェックを選択し、一致する必要がある条件を選択します。
注意:
- デバイス証明書のチェックでは、発行者証明書がデバイス上に存在することを確認します。 それ以外の場合は、デバイス ポスチャ ポリシーの作成中にデバイス証明書をインポートするか、デバイス ポスチャ ホーム ページの 設定 から証明書をアップロードすることができます。 詳細については、 デバイス証明書の確認をご覧ください。
- デバイス証明書のチェックを行うには、エンド デバイス上の EPA クライアントを管理者権限でインストールする必要があります。
- デバイス ポスチャ サービスによるデバイス証明書チェックでは、証明書失効チェックはサポートされていません。
-
複数のルールを作成するには、[ 別のルールを追加 ] をクリックします。 AND 条件は複数のルールに適用されます。
-
ポリシー結果 で、構成した条件に基づいて、デバイス スキャンがユーザー デバイスを分類する必要があるタイプを選択します。
- 準拠
- 非準拠
- アクセス拒否
- ポリシーの名前を入力します。
-
優先度に、ポリシーを評価する順序を入力します。
- 1 ~ 100 の値を入力できます。 拒否ポリシーを優先度の高い順に構成し、次に非準拠、最後に準拠の順に構成することをお勧めします。
- 値の低い優先度が最も高くなります。
- 有効になっているポリシーのみが優先度に基づいて評価されます。
-
[Create] をクリックします。
重要:
デバイス ポスチャ ポリシーを有効にするには、 作成時に有効にする トグル スイッチを オン に切り替える必要があります。 ポリシーを有効にする前に、ポリシーが正しく構成され、テスト設定でこれらのタスクを実行していることを確認することをお勧めします。
デバイスの姿勢を使用してコンテキスト アクセス (スマート アクセス) を構成する
デバイスの姿勢が検証された後、デバイスはログインが許可され、準拠または非準拠として分類されます。 この情報は、Citrix DaaS サービスおよび Citrix Secure Private Access サービスへのタグとして利用でき、デバイスの状態に基づいてコンテキスト アクセスを提供するために使用されます。 したがって、Citrix DaaS および Citrix Secure Private Access は、デバイス ポスチャ タグを使用してアクセス制御を実施するように構成する必要があります。
デバイス ポスチャを使用した Citrix DaaS 構成
DaaS リソースへのアクセスを制限するには、アクセス制限を適用する配信グループを指定し、デバイス ポスチャ タグを使用してアクセス制御制限を構成できます。
前提条件:
Adaptive Access 機能が有効になっていることを確認します (Citrix Workspace > Access > Adaptive Access)。 詳しくは、「アダプティブアクセス機能を有効にする」を参照してください。
- Citrix Cloudにサインインします。
- DaaS タイル上で、 管理をクリックします。
- 左側のメニューから、 配信グループ セクションに移動します。
- デバイスの状態に基づいてアクセス制御を構成する配信グループを選択し、 編集をクリックします。
- 配信グループの編集 ページで、 アクセス ポリシーをクリックします。
-
ゲートウェイ接続ポリシーを編集するには、 Citrix Gateway 接続 行の編集アイコンをクリックします。
- ポリシーの編集ページで、次の条件を満たす 接続を選択します。
- いずれかに一致を選択し、 条件を追加をクリックします。
- ネットワークの場所の構成で構成したすべての場所のタグに条件を追加します。 フィルター に ワークスペース と入力し、 値に 準拠 または 非準拠 と入力します。
注意:
デバイス分類タグの構文は、前にキャプチャしたとおりに正確に入力する必要があります。つまり、すべて大文字で入力します (COMPLIANT および NON-COMPLIANT)。 そうしないと、デバイス ポスチャ ポリシーは意図したとおりに機能しません。
デバイス分類タグに加えて、デバイス ポスチャ サービスは、デバイスに関連付けられているオペレーティング システム タグとアクセス ポリシー タグも返します。 オペレーティング システム タグとアクセス ポリシー タグは、大文字のみで入力する必要があります。
- デバイスタイプ_Windows
- デバイスタイプMAC
- 正確なポリシー名(大文字)
デバイスポスチャを使用したCitrix Secure Private Accessの構成
セキュア プライベート アクセス リソースへのアクセスを制限するには、アクセス制限を適用するアプリケーションを選択し、デバイス ポスチャ タグを使用してアクセス制御制限を設定します。
- Citrix Cloudにサインインします。
- 「セキュア プライベート アクセス」タイルで、「 管理」をクリックします。
- 左側のナビゲーションで [ アクセス ポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
- ポリシー名とポリシーの説明を入力します。
- アプリケーションで、このポリシーを適用するアプリまたはアプリのセットを選択します。
- ポリシーのルールを作成するには、[ ルールの作成 ] をクリックします。
- ルール名とルールの簡単な説明を入力し、[ 次へ] をクリックします。
- ユーザーの条件を選択します。 ユーザー 条件は、ユーザーにアプリケーションへのアクセスを許可するために満たす必要がある必須条件です。
- デバイスの姿勢条件を追加するには、 + をクリックします。
- ドロップダウン メニューから デバイス姿勢チェック と論理式を選択します。
-
カスタム タグに次のいずれかの値を入力します。
- 準拠 - 準拠デバイスの場合
- 非準拠 - 非準拠デバイスの場合
注意:
タグは、先頭を大文字にして (準拠 および 非準拠)、先ほどキャプチャしたとおりに正確に入力する必要があります。 そうしないと、デバイス ポスチャ ポリシーは意図したとおりに機能しません。
- [次へ] をクリックします。
-
条件評価に基づいて適用する必要があるアクションを選択し、 次へをクリックします。
概要ページにはポリシーの詳細が表示されます。
-
詳細を確認して、「 完了」をクリックします。
アクセス ポリシーの作成の詳細については、「 複数のルールを含むアクセス ポリシーを構成する」を参照してください。
注意:
アクセス ポリシーで準拠または非準拠としてタグ付けされていない Secure Private Access アプリケーションは、デフォルトのアプリケーションとして扱われ、デバイスのポスチャに関係なく、すべてのエンドポイントでアクセス可能になります。
デバイスポスチャポリシーを編集する
構成されたデバイス ポスチャ ポリシーは、 デバイス スキャン ページの特定のプラットフォームの下にリストされます。 このページから編集したいポリシーを検索できます。 このページからポリシーを有効化、無効化、または削除することもできます。
