デバイスポスチャ

Citrix デバイスポスチャサービスは、管理者がCitrix DaaS(仮想アプリおよびデスクトップ)またはCitrix Secure Private Accessリソース(SaaS、Webアプリ、TCP、およびUDPアプリ)にアクセスするためにエンドデバイスが満たす必要のある特定の要件を管理者が適用できるようにするクラウドベースのソリューションです。ゼロトラストベースのアクセスを実装するには、デバイスの姿勢を確認してデバイスの信頼を確立することが重要です。デバイスポスチャサービスは、エンドデバイスのコンプライアンス(管理対象/BYOD、およびセキュリティ態勢)をチェックすることで、エンドユーザーがログインする前にネットワークにゼロトラストの原則を適用します。

前提条件

  • ライセンス要件:Citrix デバイスポスチャサービスの利用資格は、Citrix DaaSプレミアム、Citrix DaaS Premium Plus、およびCitrix Secure Private Access Advancedライセンスの一部です。他のライセンスをお持ちのお客様は、デバイスポスチャサービスの利用権をアドオンとして購入できます。アドオンの場合、お客様はスタンドアロンのアダプティブ認証 SKU を購入する必要がありますが、デバイスポスチャサービスを使用するために必ずしも導入する必要はありません。

  • サポートされるプラットフォームは、以下のとおりです。

    • Windows(10および11)
    • macOS 13 Ventura
    • macOS 12 Monterey
    • iOS
    • IGEL

    注:

    • サポートされていないプラットフォームで実行されているデバイスは、デフォルトで非対応としてマークされます。デバイスポスチャページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。

    • サポートされているプラットフォームで実行されているが、事前に定義されているデバイスポスチャポリシーに一致しないデバイスは、デフォルトで非準拠としてマークされます。デバイスポスチャページの [ **設定 ] タブで、分類を [ 非対応 ] から [拒否** ] に変更できます。

    • デバイスポスチャサービスでのiOSサポートについては、EPAクライアントがiOS向けCitrix Workspaceアプリの一部として組み込まれています。バージョンについて詳しくは、「iOS向けCitrix Workspaceアプリ」を参照してください。

    • デバイスポスチャサービスでの IGEL OS サポートのため、EPA クライアントは IGEL OS の一部として組み込まれています。IGEL デバイスに EPA クライアントをインストールするには、IGEL サポートチームにお問い合わせください。

  • Citrix デバイスポスチャクライアント(EPAクライアント):デバイスポスチャスキャンを実行するにはエンドポイントデバイスにインストールする必要がある軽量アプリケーション。このアプリケーションをエンドポイントにダウンロードしてインストールするには、ローカル管理者権限は必要ありません。

    注:

    デバイス証明書チェックを使用している場合は、管理者権限で EPA クライアントをインストールする必要があります。

  • 対応ブラウザ:Chrome、Edge、Firefox。

  • ファイアウォール設定: デバイスポスチャサービスがエンドデバイス上のEPAクライアントを更新できるようにするには、ファイアウォール/プロキシを次のドメインを許可するように設定する必要があります。

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

Preview機能

機能

管理者はデバイスポスチャポリシーを作成して、エンドポイントデバイスポスチャをチェックし、エンドポイントデバイスのログインを許可するか拒否するかを判断できます。ログインが許可されているデバイスは、さらに準拠または非準拠に分類されます。ユーザーはブラウザまたはCitrix Workspaceアプリからログインできます。

デバイスを「準拠」、「非準拠」、「ログイン拒否」に分類する際に使用される大まかな条件は次のとおりです。

  • 準拠デバイス — 事前設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの完全または無制限のアクセスで会社のネットワークにログインできるデバイス。
  • 非準拠デバイス -事前設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの部分的または制限付きアクセスで会社のネットワークにログインすることが許可されているデバイス。
  • ログイン拒否: - ポリシー要件を満たさないデバイスはログインを拒否されます。

デバイスを準拠、 **非準拠、 **およびログイン拒否として分類すると 、Citrix DaaSおよびCitrix Secure Private Accessサービスに渡され、サービスはそのデバイス分類を使用してスマートアクセス機能を提供します。

デバイスポスチャのユースケース

注:

  • デバイスポスチャポリシーは、プラットフォームごとに個別に設定する必要があります。たとえば、macOS の場合、管理者は特定の OS バージョンを搭載したデバイスへのアクセスを許可できます。同様に、Windows の場合、管理者は特定の認証ファイルやレジストリ設定などを含むようにポリシーを設定できます。
  • デバイスポスチャスキャンは、事前認証中またはログイン前にのみ実行されます。
  • 「準拠」と「非準拠」の定義については、定義を参照してください。

デバイスポスチャによるスキャンのサポート

Citrix デバイスポスチャサービスでは、次のスキャンがサポートされています。

Windows macOS iOS IGEL
Citrix Workspaceアプリのバージョン Citrix Workspaceアプリのバージョン Citrix Workspaceアプリのバージョン -
オペレーティングシステムのバージョン オペレーティングシステムのバージョン オペレーティングシステムのバージョン -
ファイル (存在、ファイル名、パス) ファイル (存在、ファイル名、パス) - ファイル (存在、ファイル名、パス)
ジオロケーション ジオロケーション - -
ネットワークロケーション ネットワークロケーション - -
MACアドレス MACアドレス - -
プロセス (存在する) プロセス (存在する) - -
Microsoft Endpoint Manager Microsoft Endpoint Manager - -
CrowdStrike CrowdStrike - -
デバイス証明書 デバイス証明書 - -
ブラウザー ブラウザー - -
アンチウイルス アンチウイルス - -
非数値レジストリ (32 ビット) - - -
非数値レジストリ (64 ビット) - - -
数値レジストリ (32 ビット) - - -
数値レジストリ (64 ビット) - - -
Windows 更新プログラムのインストールタイプ - - -
Windows Update のインストール最終更新プログラムの確認 - - -

注:

デバイスポスチャサービスでのiOSサポートのため、EPAクライアントはiOS向けCitrix Workspaceアプリの一部として組み込まれています。バージョンについて詳しくは、「iOS向けCitrix Workspaceアプリ」を参照してください。

デバイスポスチャとのサードパーティ統合

デバイスポスチャサービスが提供するネイティブスキャンに加えて、このサービスはWindowsおよびmacOS上の以下のサードパーティソリューションと統合することもできます。

デバイスポスチャを設定

デバイスポスチャは、デバイスがリソースにアクセスするために満たさなければならないポリシーとルールを組み合わせたものです。各ポリシーには、[準拠]、[非準拠]、[ログイン拒否] のいずれかのアクションが添付されています。さらに、各ポリシーには優先順位が関連付けられており、ポリシーが true と評価され、関連するアクションが実行されると、ポリシー評価は停止します。

  1. Citrix Cloudにサインインし、ハンバーガーメニューから[ IDとアクセス管理 ]を選択します。
  2. [ デバイスポスチャ] タブをクリックし、 [ 管理] をクリックします。

    注:

    • Secure Private Accessサービスのお客様は、管理ユーザー・インターフェースの左側のナビゲーションにある「 デバイスポスチャ 」を直接クリックできます。
    • 初めて使用するユーザーには、デバイスポスチャのランディングページに、デバイスポスチャポリシーを作成するように求められます。デバイスポスチャポリシーは、プラットフォームごとに個別に設定する必要があります。デバイスポスチャポリシーを作成すると、適切なプラットフォームに一覧表示されます。
    • ポリシーは、デバイスポスチャが有効になった後にのみ有効になります。 デバイスポスチャを有効にするには、右上隅にある[デバイスポスチャを無効]にスライドさせて[オン]に切り替えます。
  3. [ デバイスポリシーの作成] をクリックします。
  4. プラットフォーム」で、ポリシーを適用するプラットフォームを選択します。デバイスポスチャのホームページで選択したタブに関係なく、プラットフォームを Windows から macOS に、またはその逆に変更できます。

  5. ポリシールールで、デバイスポスチャの一部として実行するチェックを選択し、一致させる必要がある条件を選択します。

    注:

    • デバイス証明書をチェックするには、発行者証明書がデバイスに存在することを確認してください。それ以外の場合は、デバイスポスチャポリシーの作成時にデバイス証明書をインポートするか、デバイスポスチャホームページの [設定] から証明書をアップロードできます。詳しくは、「デバイス証明書のポリシー作成時のデバイス証明書のインポート」と「デバイス証明書のアップロード」を参照してください。
    • デバイス証明書をチェックするには、エンドデバイスに EPA クライアントが管理者権限でインストールされている必要があります。
    • デバイスポスチャ サービスによるデバイス証明書チェックは、証明書失効チェックをサポートしていません。
  6. 複数のルールを作成するには、[別のルールを追加 ] をクリックします。AND 条件は複数のルールに適用されます。

    デバイスポスチャを設定

  7. 設定した条件に基づくポリシー結果 」で、デバイススキャンでユーザーデバイスを分類する必要があるタイプを選択します。

    • 準拠
    • 非準拠
    • アクセス拒否
  8. ポリシーの名前を入力します。
  9. [ 優先度] に、ポリシーを評価する順序を入力します。

    • 1 から 100 までの値を入力できます。拒否ポリシーをより高い優先度に設定し、その後に非準拠ポリシー、最後に準拠ポリシーを設定することをお勧めします。
    • 値が小さい優先度が最も高くなります。
    • 有効になっているポリシーのみが優先度に基づいて評価されます。
  10. [作成] をクリックします。

    デバイスポスチャを設定

重要:

デバイスポスチャポリシーを有効にするには、「作成時に有効にする 」トグルスイッチを「 オン 」に切り替える必要があります。ポリシーを有効にする前に、ポリシーが正しく設定されていることと、テスト設定でこれらのタスクを実行していることを確認することをお勧めします。

デバイスの定期スキャン-プレビュー

Windows デバイスの定期スキャンを有効にして、設定済みのチェックを 30 分ごとに実行できます。定期スキャンを有効にするには、次の操作を行います:

  1. [ デバイスポスチャ] > [デバイススキャン ] に移動し、[設定] をクリックします。
  2. 定期的なデバイスポスチャスキャンセクションで 、トグルスイッチをオンにすると、デバイスの定期的なスキャンが有効になります。

定期スキャン

注:

  • デバイスを定期的にスキャンするには、エンドデバイスに EPA クライアントを管理権限でインストールする必要があります。
  • 定期的なスキャン中に、デバイスのステータスが「準拠」から「非準拠」または「アクセス拒否」に変わると、新しいアプリケーションの起動はブロックされます。

デバイスポスチャポリシーを編集する

設定されたデバイスポスチャポリシーは、Device Scansページの特定のプラットフォームの下に一覧表示されます 。このページから、編集するポリシーを検索できます。このページからポリシーを有効化、無効化、または削除することもできます。

デバイスポスチャポリシーの編集 1

デバイスポスチャを使用してコンテキストアクセス (スマートアクセス) を設定

デバイスポスチャの検証後、デバイスのログインが許可され、準拠または非準拠として分類できます。この情報は、Citrix DaaSサービスおよびCitrix Secure Private Accessサービスにタグとして提供され、デバイスの状態に基づいてコンテキストアクセスを提供するために使用されます。そのため、Citrix DaaSとCitrix Secure Private Accessは、デバイスポスチャタグを使用してアクセス制御を実施するように構成する必要があります。

デバイスポスチャを使用したCitrix DaaS構成

前提条件:

アダプティブアクセス機能が有効になっていることを確認します(Citrix Workspace > アクセス > アダプティブアクセス)。詳しくは、「アダプティブアクセス機能を有効にする」を参照してください。

  1. Citrix Cloudにサインインします。
  2. DaaS タイルで [ 管理] をクリックします。
  3. 左側のメニューから「 デリバリーグループ 」セクションに移動します。
  4. デバイスの状態に基づいてアクセス制御を構成するデリバリーグループを選択し、[ 編集] をクリックします。
  5. デリバリーグループの編集 」ページで、「 アクセスポリシー」をクリックします。
  6. Citrix Gateway 接続行の編集アイコンをクリックして 、ゲートウェイ接続ポリシーを編集します。

    アクセスポリシー 1 の編集

    1. [ポリシーの編集] ページで、 次の条件を満たす接続を選択します。
    2. [ 任意に一致] 選択し、[ 条件を追加] をクリックします。
    3. 「ネットワークロケーションの設定」で設定したすべてのロケーションタグに条件を追加します。「 フィルター 」には「 ワークスペース 」、「」には「 準拠 」または「 非準拠 」と入力します。

    アクセスポリシー 2 の編集

    注:

    デバイス分類タグの構文は、前にキャプチャしたとおりに、すべて大文字 (COMPLIANTおよびNON-COMPLIANT) で入力する必要があります。そうしないと、デバイスポスチャポリシーが意図したとおりに機能しません。

    デバイス分類タグに加えて、デバイスポスチャサービスはデバイスに関連するオペレーティングシステムタグとアクセスポリシータグも返します。オペレーティングシステムタグとアクセスポリシータグは大文字のみで入力する必要があります。

    • DEVICE_TYPE_WINDOWS
    • DEVICE_TYPE_MAC
    • 正確なポリシー名 (大文字)

デバイスポスチャによるCitrix Secure Private Access 構成

  1. Citrix Cloudにサインインします。
  2. 「Secure Private Access」タイルで、「 管理」をクリックします。
  3. 左側のナビゲーションで [ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
  4. ポリシー名とポリシーの説明を入力します。
  5. アプリケーション」で、このポリシーを適用する必要があるアプリまたはアプリのセットを選択します。
  6. Create Rule 」をクリックして、ポリシーのルールを作成します。
  7. ルール名とルールの簡単な説明を入力して、[ 次へ] をクリックします。
  8. ユーザーの条件を選択します。ユーザー条件は 、ユーザーにアプリケーションへのアクセスを許可するための必須条件です。
  9. + をクリックして、デバイスポスチャ条件を追加します。
  10. ドロップダウンメニューから [ デバイスポスチャチェック ] と [論理式] を選択します。
  11. カスタムタグに次の値のいずれかを入力します:

    • 準拠-準拠デバイス用
    • 非準拠-非準拠デバイス用

    注:

    タグは、先ほどキャプチャしたとおりに、先ほど入力したとおりに、先ほど入力したとおりに入力する必要があります (「準拠 」と「 非準拠」)。そうしないと、デバイスポスチャポリシーが意図したとおりに機能しません。

  12. [次へ] をクリックします。
  13. 条件評価に基づいて適用する必要があるアクションを選択し、「 次へ」をクリックします。

    「概要」ページには、ポリシーの詳細が表示されます。

  14. 詳細を確認して [ 完了] をクリックします。

    アクセスポリシーの作成の詳細については、「 複数のルールを含むアクセスポリシーの設定」を参照してください。

注:

アクセスポリシーで準拠または非準拠としてタグ付けされていない Secure Private Access アプリケーションはデフォルトアプリケーションとして扱われ、デバイスの状態に関係なくすべてのエンドポイントでアクセスできます。

デバイスポスチャ SPA タグ

デバイスポスチャによるSession Recording設定

Session Recordingにより、組織は仮想セッションでの画面上のユーザーアクティビティを録画できます。カスタムセッション記録ポリシー、イベント検出ポリシー、またはイベントレスポンスポリシーを作成するときに、タグを指定できます。例に関しては、「カスタム録画ポリシーの作成」を参照してください。

エンドユーザーフロー

デバイスポスチャポリシーを設定してデバイスポスチャを有効にすると、エンドユーザーのCitrix Workspaceへのログイン方法に基づくエンドユーザーフローが次のようになります。

ブラウザアクセスによるエンドユーザーフロー

注:

macOS クライアントと Chrome ブラウザを例として使用しています。画面と通知は、Citrix Workspace URLへのアクセスに使用するクライアントとブラウザによって異なります。

  • エンドユーザーがブラウザを介してCitrix Workspace URLhttps://<your-workspace-URLにログオンすると、エンドユーザーはCitrix EndpointAnalysisアプリケーションを実行するように求められます。

    アプリケーションをインストールする

  • エンドユーザーが「 Open Citrix End Point Analysis」をクリックすると、デバイスポスチャクライアントが実行され、デバイスポスチャポリシー要件に基づいてエンドポイントパラメータがスキャンされます。

  • デバイスポスチャクライアントがデバイスにインストールされていない場合、ユーザは [ プラグインのダウンロード (Download plugin)] オプションを表示するページにリダイレクトされます。最新のデバイスポスチャクライアントがすでにエンドポイントにインストールされている場合、ユーザは [ デバイスを確認 ] をクリックして確認する必要があります。同様に、デバイスにインストールされている EPA が最新バージョンでない場合、ユーザーは「 プラグインの更新 」オプションを表示するページにリダイレクトされます。EPA クライアントがすでに更新されている場合、ユーザーは [ デバイスの確認 ] をクリックして更新を確認する必要があります。

クライアントバージョンの確認

どちらのシナリオでも、スキップチェック機能が有効になっている場合は、「 代わりに、アクセスが制限された状態でCitrix Workspaceに進むことができます」というメッセージが表示されます。 は [ プラグインのダウンロード] ページまたは [プラグインの更新] ページに表示されます。

チェックメッセージをスキップ

Citrix Workspace アプリケーション経由のエンドユーザーフロー

  • エンドユーザーがCitrix Workspaceアプリケーションを介してCitrix Workspace URLhttps://your-workspace-urlにログオンすると、エンドポイントにインストールされたデバイスポスチャクライアントが実行され、デバイスポスチャーポリシー要件に基づいてエンドポイントパラメータがスキャンされます。
  • 最新のデバイスポスチャクライアントがエンドポイントにインストールされていない場合、ユーザは [ Check Again ] と [ DownloadClient] オプションを表示するページにリダイレクトされます。ユーザーは [ クライアントをダウンロード] をクリックする必要があります。
  • 最新のデバイスポスチャクライアントがエンドポイントにすでにインストールされている場合、 ユーザーは再度 [確認] をクリックする必要があります。

エンドユーザーフロー-デバイスポスチャー結果

デバイスポスチャポリシーの条件によっては、3 つの可能性が考えられます。

エンドポイントがポリシー条件を満たしている場合、そのデバイスは次のように分類されます。

  • 準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースに無制限にアクセスしてログインできます。
  • 非準拠 -エンドユーザーは、Secure Private AccessまたはCitrix DaaSリソースへのアクセスを制限してログインできます。

    アクセス許可

エンドポイントがポリシー条件を満たし、 デバイスがアクセス拒否に分類される場合、「アクセス拒否** 」メッセージが表示されます。

アクセス拒否

アクセス拒否シナリオ用にカスタマイズされたメッセージ

管理者は、アクセスが拒否されたときにエンドデバイスに表示されるメッセージをカスタマイズできます。

カスタマイズしたメッセージを追加するには、次の手順を実行します:

  1. [ デバイスポスチャ] > [デバイススキャン ] ページに移動します。
  2. [ 設定] をクリックします。
  3. 編集 」をクリックし、「 メッセージ 」ボックスに、アクセス拒否シナリオで表示する必要があるメッセージを入力します。最大 256 文字を入力できます。
  4. [ 保存時にカスタムメッセージを有効にする ] をクリックして、カスタムメッセージを表示するオプションを適用します。このチェックボックスを選択しない場合、カスタムメッセージは作成されますが、アクセス拒否シナリオではデバイスに表示されません。

    または、 設定ページのカスタムメッセージ切り替えスイッチを有効にして 、デバイスにメッセージを表示することもできます。

  5. [Save] をクリックします。

次の画像は、管理者が追加したサンプルメッセージを示しています。

カスタマイズメッセージ (1)

次の画像は、アクセスが拒否されたときにエンドユーザーデバイスに表示されるカスタムメッセージを示しています。

カスタマイズメッセージ (2)

入力したメッセージは、エンドデバイスへのアクセスが拒否されるたびに表示されます。

デバイスポスチャチェックを省略

管理者は、次のシナリオでエンドユーザーがデバイスのデバイスポスチャチェックをスキップできるようにすることができます:

  • デバイスポスチャエージェントがデバイスにインストールされていません。
  • デバイスにインストールされている EPA クライアントは最新バージョンではありません。

スキップチェック機能を有効にすると、デフォルトのポリシー結果(非準拠)が適用され、デバイスは非準拠として分類されます。エンドユーザーには、Citrix Secure Private AccessまたはCitrix DaaSリソースへの部分的または制限付きアクセスが提供されます。

デバイスポスチャチェックをスキップできるようにする

  1. [ デバイスポスチャ] > [デバイススキャン] に移動します。
  2. [ 設定] をクリックします。
  3. デバイスポスチャチェックをスキップ」セクションで、トグルスイッチをオンにすると、デバイスポスチャチェックをスキップできます

    デバイスポスチャチェックをスキップ ]オプションが有効で、エンドユーザーがCitrix Workspaceにログオンすると、エンドユーザーがクライアントをダウンロードしたり、EPAバージョンをアップグレードしようとしたりすると、次のメッセージが表示されます。

    または、制限付きアクセスで引き続きCitrix Workspaceにアクセスすることもできます。

チェックメッセージをスキップ

カスタムワークスペース URL のサポート

カスタムワークスペース URL は デバイスポスチャ サービスでサポートされています。ワークスペースにアクセスするには、cloud.com の URL に加えて所有している URL を使用できます。ネットワークからcitrix.comへのアクセスを許可していることを確認してください。カスタムドメインの詳細については、「 カスタムドメインの設定」を参照してください。

既知の制限事項

  • デバイスポスチャ切り替えボタンがオンまたはオフになってからデバイスポスチャが有効または無効になるまで、数分から 1 時間かかる場合があります。
  • デバイスポスチャ設定を変更しても、すぐには有効になりません。変更が反映されるまでに約 10 分かかる場合があります。
  • Citrix Workspaceでサービス継続性オプションを有効にしていて、デバイスポスチャサービスが停止していると、ユーザーがWorkspaceにサインインできないことがあります。これは、Citrix Workspaceがユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙するためです。
  • Citrix Workspaceで有効期限の長いトークンとパスワードを設定した場合、この構成ではデバイスポスチャスキャンは機能しません。デバイスは、ユーザーがCitrix Workspaceにログインしたときにのみスキャンされます。
  • 各プラットフォームには最大10個のポリシーを設定でき、各ポリシーには最大10個のルールを設定できます。
  • ロールベースのアクセスは、デバイスポスチャサービスではサポートされていません。

サービス品質

  • パフォーマンス:理想的な条件下では、デバイスポスチャサービスによりログイン中にさらに2秒の遅延が発生します。この遅延は、Microsoft Intune などのサードパーティ統合などの追加構成によっては増加する可能性があります。
  • 耐障害性:デバイスポスチャサービスは複数のPOPで高い耐障害性を備えているため、ダウンタイムが発生しません。

定義

デバイスポスチャ サービスに関連する「準拠」および「非準拠」という用語は、次のように定義されます。

  • 準拠デバイス — 事前設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの完全または無制限のアクセスで会社のネットワークにログインできるデバイス。
  • 非準拠デバイス -事前設定されたポリシー要件を満たし、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの部分的または制限付きアクセスで会社のネットワークにログインすることが許可されているデバイス。