Device Postureサービス用Citrixエンドポイント分析クライアントの管理
Citrix Device Postureサービスは、管理者がCitrix DaaS(仮想アプリおよびデスクトップ)またはCitrix Secure Private Accessリソース(SaaS、Webアプリ、TCP、およびUDPアプリ)にアクセスするためにエンドデバイスが満たす必要のある特定の要件を管理者が適用できるようにするクラウドベースのソリューションです。
エンドデバイスでDevice Postureスキャンを実行するには、軽量アプリケーションであるCitrix EndPoint Analysis (EPA) クライアントをそのデバイスにインストールする必要があります。Device Postureサービスは、常にCitrixがリリースした最新バージョンのEPAクライアントで実行されます。
EPA クライアントのインストール
実行中、Device Postureサービスはエンドユーザに対し、実行時にEPAクライアントをダウンロードしてインストールするように求めます。詳しくは、「 エンドユーザーフロー」を参照してください。 通常、EPAクライアントをエンドポイントにダウンロードしてインストールするためにローカル管理者権限は必要ありません。ただし、エンドデバイス上でデバイス証明書チェックスキャンを実行するには、管理者アクセス権でEPAクライアントをインストールする必要があります。管理者アクセスで EPA クライアントをインストールする方法の詳細については、「 エンドデバイスへのデバイス証明書のインストール」を参照してください。
Windows 用 EPA クライアントのアップグレード
EPA クライアントの新しいバージョンがリリースされると、Windows 用 EPA クライアントは最初のインストール後にデフォルトでアップグレードされます。自動アップグレードにより、エンドユーザーデバイスは常に Device Posture サービスと互換性のある EPA クライアントの最新バージョンで動作するようになります。自動アップグレードを行うには、EPA クライアントが管理者権限でインストールされている必要があります。
注:
自動アップグレードは現在プレビュー中です。https://podio.com/webforms/29214695/2384946を使用してプレビューにサインアップしてください。
EPAクライアントの配布
EPAクライアントは、グローバルアプリ構成サービス(GACS)またはCitrix Workspaceアプリインストーラーと統合されたEPA、またはソフトウェア展開ツールを使用して配布できます。
-
Citrix Workspaceアプリと統合されたEPAクライアント(プレビュー):EPAクライアントはCitrix Workspaceアプリとも統合されています。この統合により、エンドユーザーはCitrix Workspaceアプリをインストールした後にEPAクライアントをインストールする必要がなくなります。
-
エンドデバイスにすでにEPAクライアントがインストールされていて、エンドユーザーがCitrix Workspaceアプリをインストールした場合、統合されたEPAクライアントはそのデバイスにインストールされません。既存の EPA クライアントはデバイスのポスチャチェックに使用されます。
-
同様に、エンドユーザーがCitrix Workspaceアプリをアンインストールすると、統合されたEPAクライアントもデフォルトでデバイスから削除されます。ただし、EPAクライアントが統合されたCitrix Workspaceアプリのインストールの一部としてインストールされていない場合は、既存のEPAクライアントはデバイスに保持されます。
-
注:
- EPAクライアントとCitrix Workspaceアプリの統合はWindowsプラットフォームでのみサポートされており、プレビュー段階です。https://podio.com/webforms/29219973/2385708を使用してプレビューにサインアップしてください。
- GACSを使用してクライアントを配布:GACSは、クライアント側のエージェント(プラグイン)の配布を管理するためのCitrix 提供のソリューションです。GACSで利用可能な自動更新サービスにより、エンドユーザーの介入なしにエンドデバイスが最新のEPAバージョンになります。GACSについて詳しくは、「 グローバルアプリ構成サービスの使用方法」を参照してください。
注:
- GACSは、EPAクライアントを配布する目的でのみWindowsデバイスでサポートされます。
- GACSを使用してEPAクライアントを管理するには、エンドデバイスにCitrix Workspaceアプリケーション (CWA) をインストールします。
- CWAがエンドユーザーデバイスの管理者権限でインストールされている場合、GACSは同じ管理者権限でEPAクライアントをインストールします。
- CWAがエンドユーザーデバイスのユーザー権限でインストールされている場合、GACSは同じユーザー権限でEPAクライアントをインストールします。
ソフトウェア展開ツールを使用してクライアントを配布: 最新のEPAクライアントは、管理者がMicrosoft SCCMなどのソフトウェア展開ツールを使用して配布できます。
NetScalerおよびDevice Postureと併用する場合のEPAクライアントの管理
EPAクライアントは、次の展開でNetScalerおよびDevice Postureと併用できます。
- EPAによるNetScalerベースのアダプティブ認証
- EPAによるNetScalerベースのオンプレミスゲートウェイ
Device Postureサービスは、最新バージョンのEPAクライアントをエンドデバイスにプッシュします。ただし、NetScalerでは、管理者はゲートウェイ仮想サーバーでのEPAスキャンに対して次のバージョン管理を構成できます。
- 常に: エンドデバイス上のEPAクライアントとNetScalerは同じバージョンである必要があります。
- 必須: エンドデバイスのEPAクライアントバージョンは、NetScalerで設定されている範囲内である必要があります。
- なし: エンドデバイスには、どのバージョンのEPAクライアントでもかまいません。
詳しくは、「 プラグインの動作」を参照してください。
EPAクライアントをNetScalerおよびDevice Postureと併用する場合の考慮事項
EPAクライアントをDevice PostureサービスおよびNetScalerと併用する場合、エンドデバイスでは最新のEPAクライアントバージョンが実行されているのに対し、NetScalerでは異なるバージョンのEPAクライアントが実行されている場合があります。これにより、NetScalerとエンドデバイスのEPAクライアントのバージョンが一致しなくなる可能性があります。その結果、NetScalerは、NetScalerに存在するEPAクライアントバージョンをインストールするようにエンドユーザーに求める場合があります。この競合を避けるため、以下の構成変更をお勧めします。
- EPAをアダプティブ認証、オンプレミス認証、またはゲートウェイ仮想サーバーで構成している場合は、NetScalerでのEPAクライアントのバージョン管理を無効にすることをお勧めします。これは、GACSまたはDevice Postureサービスが最新バージョンのEPAクライアントをエンドデバイスにプッシュしないようにするためです。
-
EPAバージョン管理はCLIまたはGUIを使用して [なし] に設定できます。これらの構成変更は、NetScaler 13.x以降のバージョンでサポートされます。
- CLI: アダプティブ認証およびオンプレミス認証仮想サーバーにCLIコマンドを使用します。
- GUI: オンプレミスのゲートウェイ仮想サーバーにGUIを使用します。詳しくは、「Citrix Secure Accessクライアントのアップグレードを制御」を参照してください。
CLIコマンドの例:
add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade ""epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;""
add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS("pluginlist.xml")" <rewrite_action_name>
bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->