デバイスポスチャサービス用Citrix Endpoint Analysisクライアントの管理
Citrix デバイスポスチャサービスは、管理者がCitrix DaaS(仮想アプリおよびデスクトップ)またはCitrix Secure Private Accessリソース(SaaS、Webアプリ、TCP、およびUDPアプリ)にアクセスするためにエンドデバイスが満たす必要のある特定の要件を管理者が適用できるようにするクラウドベースのソリューションです。
エンドデバイスでデバイスポスチャスキャンを実行するには、軽量アプリケーションであるCitrix EndPoint Analysis (EPA) クライアントをそのデバイスにインストールする必要があります。デバイスポスチャサービスは、常にCitrixがリリースした最新バージョンのEPAクライアントで実行されます。
EPA クライアントのインストール
実行中、デバイスポスチャサービスはエンドユーザに対し、実行時にEPAクライアントをダウンロードしてインストールするように求めます。詳しくは、「 エンドユーザーフロー」を参照してください。 通常、EPAクライアントをエンドポイントにダウンロードしてインストールするためにローカル管理者権限は必要ありません。ただし、エンドデバイス上でデバイス証明書チェックスキャンを実行するには、管理者アクセス権でEPAクライアントをインストールする必要があります。管理者アクセス権で EPA クライアントをインストールする方法の詳細については、「 エンドデバイスへのデバイス証明書のインストール」を参照してください。
Windows 用 EPA クライアントのアップグレード
EPA クライアントの新しいバージョンがリリースされると、Windows 用 EPA クライアントは最初のインストール後にデフォルトでアップグレードされます。自動アップグレードにより、エンドユーザーデバイスは常に デバイスポスチャ サービスと互換性のある EPA クライアントの最新バージョンで動作するようになります。自動アップグレードを行うには、EPA クライアントが管理者権限でインストールされている必要があります。
注:
自動アップグレードはプレビュー段階です。https://podio.com/webforms/29214695/2384946を使用してプレビューにサインアップしてください。
EPAクライアントの配布
EPAクライアントは、グローバルアプリ構成サービス(GACS)またはCitrix Workspaceアプリインストーラーと統合されたEPA、またはソフトウェア展開ツールを使用して配布できます。
-
Citrix Workspaceアプリと統合されたEPAクライアントインストーラー: EPAクライアントインストーラーは、Windows向けCitrix Workspaceアプリ2402 LTSRと統合されています。この統合により、エンドユーザーはCitrix Workspaceアプリをインストールした後にEPAクライアントを個別にインストールする必要がなくなります。
EPAクライアントをCitrix Workspaceアプリの一部としてインストールするには、 コマンドラインオプション
InstallEPAClient
を使用します。例:./CitrixworkspaceApp.exe InstallEPAClient
。注記:
- Citrix Workspaceアプリの一部としてのEPAクライアントのインストールは、デフォルトで無効になっています。コマンドラインオプション
InstallEPAClient
を使用して明示的に有効にする必要があります。 - エンドデバイスにすでにEPAクライアントがインストールされていて、エンドユーザーがCitrix Workspaceアプリをインストールすると、既存のEPAクライアントがアップグレードされます。
- エンドユーザーがCitrix Workspaceアプリをアンインストールすると、統合されたEPAクライアントもデフォルトでデバイスから削除されます。ただし、EPAクライアントが統合されたCitrix Workspaceアプリのインストールの一部としてインストールされていない場合は、既存のEPAクライアントはデバイスに保持されます。
- Citrix Workspaceアプリと統合されているEPAクライアントインストーラーは、NetScalerでも使用できます。詳しくは、「 NetScalerと併用した場合のEPAクライアントの管理」および「デバイスポスチャ」を参照してください。
- Citrix Workspaceアプリの一部としてのEPAクライアントのインストールは、デフォルトで無効になっています。コマンドラインオプション
-
GACSを使用してクライアントを配布:GACSは、クライアント側のエージェント(プラグイン)の配布を管理するためのCitrix 提供のソリューションです。GACSで利用可能な自動更新サービスにより、エンドユーザーの介入なしにエンドデバイスが最新のEPAバージョンになります。GACSの詳細については、「 グローバルアプリ構成サービスの使用方法」を参照してください。
注記:
- GACSは、EPAクライアントを配布する目的でのみWindowsデバイスでサポートされます。
- GACSを使用してEPAクライアントを管理するには、エンドデバイスにCitrix Workspaceアプリケーション (CWA) をインストールします。
- CWAがエンドユーザーデバイスの管理者権限でインストールされている場合、GACSは同じ管理者権限でEPAクライアントをインストールします。
- CWAがエンドユーザーデバイスのユーザー権限でインストールされている場合、GACSは同じユーザー権限でEPAクライアントをインストールします。
ソフトウェア展開ツールを使用してクライアントを配布: 最新のEPAクライアントは、管理者がMicrosoft SCCMなどのソフトウェア展開ツールを使用して配布できます。
NetScalerおよびデバイスポスチャと併用する場合のEPAクライアントの管理
EPAクライアントは、次の展開でNetScalerおよびデバイスポスチャと併用できます。
- EPAによるNetScalerベースのアダプティブ認証
- EPAによるNetScalerベースのオンプレミスゲートウェイ
デバイスポスチャサービスは、最新バージョンのEPAクライアントをエンドデバイスにプッシュします。ただし、NetScalerでは、管理者はゲートウェイ仮想サーバーでのEPAスキャンに対して次のバージョン管理を構成できます。
- 常に: エンドデバイス上のEPAクライアントとNetScalerは同じバージョンである必要があります。
- 必須: エンドデバイスのEPAクライアントバージョンは、NetScalerで設定されている範囲内である必要があります。
- なし: エンドデバイスには、どのバージョンのEPAクライアントでもかまいません。
詳しくは、「 プラグインの動作」を参照してください。
EPAクライアントをNetScalerおよびデバイスポスチャと併用する場合の考慮事項
EPAクライアントをデバイスポスチャサービスおよびNetScalerと併用する場合、エンドデバイスでは最新のEPAクライアントバージョンが実行されているのに対し、NetScalerでは異なるバージョンのEPAクライアントが実行されている場合があります。これにより、NetScalerとエンドデバイスのEPAクライアントのバージョンが一致しなくなる可能性があります。その結果、NetScalerは、NetScalerに存在するEPAクライアントバージョンをインストールするようにエンドユーザーに求める場合があります。この競合を避けるため、以下の構成変更をお勧めします。
- EPAをアダプティブ認証、オンプレミス認証、またはゲートウェイ仮想サーバーで構成している場合は、NetScalerでのEPAクライアントのバージョン管理を無効にすることをお勧めします。これは、GACSまたはデバイスポスチャサービスが最新バージョンのEPAクライアントをエンドデバイスにプッシュしないようにするためです。
-
EPAバージョン管理はCLIまたはGUIを使用して [なし] に設定できます。これらの構成変更は、NetScaler 13.x以降のバージョンでサポートされます。
- CLI: アダプティブ認証およびオンプレミス認証仮想サーバーにCLIコマンドを使用します。
- GUI: オンプレミスのゲートウェイ仮想サーバーにGUIを使用します。詳しくは、「Citrix Secure Accessクライアントのアップグレードを制御」を参照してください。
CLIコマンドの例:
add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade ""epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;""
add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS("pluginlist.xml")" <rewrite_action_name>
bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->