製品ドキュメント
モバイル生産性アプリ
PDFを表示

Citrix Secure Hub™

May 6, 2026
寄稿者: 
C C

Citrix Secure Hub は、Citrix Endpoint Management™ (旧称:XenMobile) エクスペリエンスの起動拠点です。ユーザーは Secure Hub にデバイスを登録して、ストアにアクセスできます。ストアから、Citrix が開発したモバイル生産性向上アプリやサードパーティ製アプリを追加できます。

Secure Hub およびその他のモバイル生産性向上アプリのシステム要件については、「システム要件」を参照してください。

Secure Hub の管理

Secure Hub に関連する管理タスクのほとんどは、Endpoint Management の初期構成時に実行します。Secure Hub を iOS および Android ユーザーが利用できるようにするには、Secure Hub を iOS App Store および Google Play ストアにアップロードします。

ユーザーの Citrix Gateway セッションが Citrix Gateway を使用した認証後に更新されると、Secure Hub は、インストールされているアプリの Endpoint Management に保存されているほとんどの MDX ポリシーを更新します。

重要:

これらのポリシーのいずれかを変更した場合、更新されたポリシーを適用するには、ユーザーがアプリを削除して再インストールする必要があります。対象となるポリシーは、セキュリティグループ、暗号化の有効化、および Secure Mail Exchange Server です。

Citrix PIN

  • Secure Hub を構成して Citrix PIN を使用できます。これは、Endpoint Management コンソールの [設定] > [クライアントプロパティ] で有効になるセキュリティ機能です。この設定では、登録済みのモバイルデバイスユーザーが Secure Hub にサインオンし、個人識別番号 (PIN) を使用して MDX ラップ済みアプリをアクティブ化する必要があります。

Citrix PIN 機能により、保護されたラップ済みアプリにログオンする際のユーザー認証エクスペリエンスが簡素化されます。ユーザーは、Active Directory のユーザー名やパスワードなどの別の資格情報を繰り返し入力する必要がありません。

  • Secure Hub に初めてサインオンするユーザーは、Active Directory のユーザー名とパスワードを入力する必要があります。サインオン中に、Secure Hub は Active Directory の資格情報またはクライアント証明書をユーザーデバイスに保存し、ユーザーに PIN の入力を求めます。ユーザーが再度サインオンするときは、PIN を入力して Citrix アプリとストアに安全にアクセスします。アクティブなユーザーセッションの次のアイドルタイムアウト期間が終了するまで、PIN を再度使用することはありません。関連するクライアントプロパティを使用すると、PIN を使用してシークレットを暗号化したり、PIN のパスコードの種類を指定したり、PIN の強度と長さの要件を指定したりできます。詳細については、「クライアントプロパティ」を参照してください。

  • 指紋認証 (Touch ID) が有効になっている場合、アプリの非アクティブ化によりオフライン認証が必要なときに、ユーザーは指紋を使用してサインオンできます。ユーザーは、Secure Hub に初めてサインオンするとき、デバイスを再起動するとき、および非アクティブタイマーの期限が切れた後には、引き続き PIN を入力する必要があります。指紋認証の有効化については、「指紋認証または Touch ID 認証」を参照してください。

  • 証明書ピンニング

  • iOS および Android 用 Secure Hub は、SSL 証明書ピンニングをサポートしています。この機能により、Citrix クライアントが Endpoint Management と通信する際に、企業によって署名された証明書が使用されることが保証されます。証明書ピンニングは、デバイスにルート証明書がインストールされることで SSL セッションが侵害された場合に、クライアントから Endpoint Management への接続を防止します。Secure Hub がサーバー公開鍵への変更を検出すると、Secure Hub は接続を拒否します。

  • Android N 以降、オペレーティングシステムはユーザーが追加した証明機関 (CA) を許可しなくなりました。Citrix は、ユーザーが追加した証明機関の代わりにパブリックルート CA を使用することをお勧めします。

Android N にアップグレードするユーザーは、プライベートまたは自己署名 CA を使用している場合、問題が発生する可能性があります。Android N デバイスでの接続は、次のシナリオで切断されます。

  • プライベート/自己署名 CA と、AutoDiscovery Service の Endpoint Management オプションの必須の信頼された CA が ON に設定されている場合。詳細については、「Endpoint Management AutoDiscovery Service」を参照してください。
  • プライベート/自己署名 CA と Endpoint Management AutoDiscovery Service (ADS) に到達できない場合。セキュリティ上の懸念から、ADS に到達できない場合、必須の信頼された CA は、最初に OFF に設定されていても ON になります。

デバイスを登録したり Secure Hub をアップグレードしたりする前に、証明書ピンニングの有効化を検討してください。このオプションは、デフォルトで Off になっています。証明書ピンニングを有効にすると、ユーザーは自己署名証明書を使用して Endpoint Management に登録できません。ユーザーが自己署名証明書で登録しようとすると、証明書が信頼されていないという警告が表示されます。ユーザーが証明書を受け入れない場合、登録は失敗します。

証明書ピンニングを使用するには、Citrix に証明書を Citrix ADS サーバーにアップロードするよう要求してください。Citrix Support portal を使用してテクニカルサポートケースを開き、次の情報を提供してください。

  • ユーザーが登録するアカウントを含むドメイン。
  • Endpoint Management の完全修飾ドメイン名 (FQDN)。
  • Endpoint Management インスタンス名。デフォルトでは、インスタンス名は zdm であり、大文字と小文字が区別されます。
  • ユーザー ID の種類。UPN またはメールのいずれかです。デフォルトでは、種類は UPN です。
  • デフォルトポート 8443 からポート番号を変更した場合の、iOS 登録に使用されるポート。
  • デフォルトポート 443 からポート番号を変更した場合の、Endpoint Management が接続を受け入れるポート。
  • Citrix Gateway の完全な URL。
  • オプションで、Endpoint Management 管理者のメールアドレス。
  • ドメインに追加する PEM 形式の証明書。

証明書 + ワンタイムパスワード認証

Secure Hub が証明書とワンタイムパスワードとして機能するセキュリティトークンを使用して認証するように Citrix ADC を構成できます。この構成は、デバイスに Active Directory の痕跡を残さない強力なセキュリティオプションを提供します。

Secure Hub がこの種類の認証を使用できるようにするには、Citrix ADC でリライトアクションとリライトポリシーを追加し、Citrix Gateway のログオンの種類を示す X-Citrix-AM-GatewayAuthType: CertAndRSA 形式のカスタム応答ヘッダーを挿入します。

通常、Secure Hub は Endpoint Management コンソールで構成された Citrix Gateway のログオンの種類を使用します。ただし、この情報は Secure Hub が初めてログオンを完了するまで Secure Hub で利用できません。このログオン方法を Secure Hub で実行できるようにするには、カスタムヘッダーが必要です。

注:

Endpoint Management と Citrix ADC で異なるログオンの種類が設定されている場合、Citrix ADC の構成が優先されます。詳細については、「Citrix Gateway と Endpoint Management」を参照してください。

  1. Citrix ADC で、[Configuration] > [AppExpert] > [Rewrite] > [Actions] の順に移動します。

  2. [Add] をクリックします。

    [Create Rewrite Action] 画面が表示されます。

  3. 次の図に示すように各フィールドに入力し、[Create] をクリックします。

    Create Rewrite Action 画面の画像

  • メインの [Rewrite Actions] 画面に次の結果が表示されます。

    Rewrite Actions 画面の結果の画像

  1. リライトアクションをリライトポリシーとして仮想サーバーにバインドします。[Configuration] > [NetScaler® Gateway] > [Virtual Servers] の順に移動し、仮想サーバーを選択します。

    Virtual Servers 画面の画像

  2. [編集] をクリックします。

  3. 仮想サーバー構成画面で、ポリシーまでスクロールします。

    1. ポリシーを追加するには、+ をクリックします。

    ポリシー追加オプションの画像

    1. ポリシーの選択フィールドで、リライトを選択します。

  1. タイプの選択フィールドで、応答を選択します。

    応答オプションの画像

  2. 続行をクリックします。

    ポリシーバインドセクションが展開されます。

    ポリシーバインドセクションの画像

  3. ポリシーの選択をクリックします。

    利用可能なポリシーの画面が表示されます。

  • 利用可能なポリシーの画像

  1. 作成したポリシーの行をクリックし、次に選択をクリックします。ポリシーバインド画面が再度表示され、選択したポリシーが入力されています。

    選択されたポリシーの画像

  2. バインドをクリックします。

    バインドが成功すると、メインの構成画面に完了したリライトポリシーが表示されます。

    バインド成功の画像

  3. ポリシーの詳細を表示するには、リライトポリシーをクリックします。

    リライトポリシーの詳細の画像

AndroidデバイスのADS接続要件

ポート構成により、Secure Hubから接続するAndroidデバイスが、企業ネットワーク内からEndpoint Management AutoDiscovery Service (ADS) にアクセスできるようになります。ADSを介して利用可能になるセキュリティ更新プログラムをダウンロードする際には、ADSへのアクセス機能が重要です。ADS接続はプロキシサーバーと互換性がない場合があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスできるようにします。

重要:

AndroidおよびiOS版Secure Hubでは、AndroidデバイスがADSにアクセスすることを許可する必要があります。詳細については、Endpoint Managementドキュメントのポート要件を参照してください。この通信は、アウトバウンドポート443で行われます。既存の環境では、このアクセスが許可されるように設計されている可能性が非常に高いです。この通信を保証できないお客様は、Secure Hub 10.2へのアップグレードを推奨しません。ご不明な点がある場合は、Citrixサポートにお問い合わせください。

前提条件

  1. Endpoint ManagementおよびCitrix ADC証明書を収集します。証明書はPEM形式であり、公開証明書である必要があり、秘密キーであってはなりません。
  2. Citrixサポートに連絡し、証明書ピンニングを有効にするよう要求します。このプロセス中に、証明書の提示を求められます。

新しい証明書ピンニングの改善により、デバイスは登録前にADSに接続する必要があります。最初にADSに接続することで、デバイスが登録される環境のSecure Hubで最新のセキュリティ情報が利用可能になります。デバイスがADSに到達できない場合、Secure Hubはデバイスの登録を許可しません。したがって、内部ネットワーク内でADSアクセスを開放することは、デバイスの登録を可能にするために不可欠です。

Android版Secure HubのADSへのアクセスを許可するには、次のIPアドレスとFQDNに対してポート443を開放します。

FQDN IPアドレス ポート IPとポートの使用状況
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS通信
ads.xm.cloud.com: Secure Hubバージョン10.6.15以降ではads.xm.cloud.comを使用します。 34.194.83.188 443 Secure Hub - ADS通信
ads.xm.cloud.com: Secure Hubバージョン10.6.15以降ではads.xm.cloud.comを使用します。 34.193.202.23 443 Secure Hub - ADS通信

証明書ピンニングが有効な場合:

  1. Secure Hubは、デバイス登録中にエンタープライズ証明書をピン留めします。

  2. アップグレード中に、Secure Hubは現在ピン留めされている証明書を破棄し、登録済みユーザーの最初の接続時にサーバー証明書をピン留めします。

    注:

    アップグレード後に証明書ピンニングを有効にした場合、ユーザーは再登録する必要があります。

  3. 証明書の公開キーが変更されていない場合、証明書の更新に再登録は必要ありません。

証明書ピンニングは、中間証明書や発行者証明書ではなく、リーフ証明書をサポートします。証明書ピンニングは、Endpoint ManagementやCitrix GatewayなどのCitrixサーバーに適用され、サードパーティサーバーには適用されません。

Secure Hubの使用

ユーザーは、AppleまたはAndroidアプリストアからSecure Hubをデバイスにダウンロードすることから始めます。

Secure Hubが起動すると、ユーザーは会社から提供された資格情報を入力して、デバイスをSecure Hubに登録します。デバイス登録の詳細については、「ユーザー、アカウント、役割、および登録」を参照してください。

Android版Secure Hubでは、初回インストールおよび登録時に次のメッセージが表示されます。「Secure Hubにデバイス上の写真、メディア、ファイルへのアクセスを許可しますか?」

このメッセージは、Androidオペレーティングシステムからのものであり、Citrixからのものではありません。[許可] をタップしても、CitrixおよびSecure Hubを管理する管理者がお客様の個人データを閲覧することはありません。ただし、管理者とのリモートサポートセッションを実施する場合、管理者はセッション内で個人ファイルを閲覧できます。

登録が完了すると、ユーザーはプッシュされたアプリとデスクトップを [マイアプリ] タブで確認できます。ユーザーはストアからさらにアプリを追加できます。電話では、ストアリンクは左上隅の [設定] ハンバーガーアイコンの下にあります。

ストアリンクの画像

タブレットでは、ストアは別のタブです。

タブレット上のストアの画像

iOS 9以降を搭載したiPhoneユーザーがEndpoint Managementアプリストアからモバイル生産性アプリをインストールすると、メッセージが表示されます。このメッセージは、エンタープライズ開発者であるCitrixがそのiPhoneで信頼されていないことを示しています。また、開発者が信頼されるまでアプリは使用できないことも示しています。このメッセージが表示されると、Secure Hubは、iPhone用のCitrixエンタープライズアプリを信頼するプロセスを案内するガイドを表示するようにユーザーに促します。

Secure Mailへの自動登録

MAMのみの展開の場合、メール資格情報を使用してSecure Hubに登録するユーザーがSecure Mailに自動的に登録されるようにCEMを構成できます。ユーザーは、Secure Mailに登録するために追加情報を入力したり、追加の手順を実行したりする必要はありません。

Secure Mailを初めて使用する際、Secure MailはSecure Hubからユーザーのメールアドレス、ドメイン、およびユーザーIDを取得します。Secure Mailは、自動検出のためにメールアドレスを使用します。ExchangeサーバーはドメインとユーザーIDを使用して識別され、これによりSecure Mailはユーザーを自動的に認証できます。ポリシーがパスワードをパススルーしないように設定されている場合、ユーザーはパスワードの入力を求められます。この場合、ユーザーはこれ以上情報を入力する必要はありません。

この機能を有効にするには、次の3つのプロパティを作成します。

  • サーバープロパティ MAM_MACRO_SUPPORT。手順については、「サーバープロパティ」を参照してください。
  • クライアントプロパティ ENABLE_CREDENTIAL_STORE および SEND_LDAP_ATTRIBUTES。手順については、「クライアントプロパティ」を参照してください。

カスタマイズされたストア

ストアをカスタマイズする場合は、[設定] > [クライアントブランディング] に移動して、名前の変更、ロゴの追加、アプリの表示方法の指定を行います。

クライアントブランディングの画像の画像

Endpoint Managementコンソールでアプリの説明を編集できます。[構成] をクリックし、次に [アプリ] をクリックします。テーブルからアプリを選択し、次に [編集] をクリックします。編集する説明を持つアプリのプラットフォームを選択し、[説明] ボックスにテキストを入力します。

説明ボックスの画像

ストアでは、ユーザーはEndpoint Managementで構成および保護したアプリとデスクトップのみを閲覧できます。アプリを追加するには、ユーザーは [詳細] をタップし、次に [追加] をタップします。

構成済みのヘルプオプション

Secure Hubは、ユーザーにさまざまなヘルプ取得方法も提供します。タブレットでは、右上隅の疑問符をタップするとヘルプオプションが開きます。電話では、ユーザーは左上隅のハンバーガーメニューアイコンをタップし、次に [ヘルプ] をタップします。

ヘルプ画面の画像

[IT部門] には、会社のヘルプデスクの電話番号とメールアドレスが表示され、ユーザーはアプリから直接アクセスできます。電話番号とメールアドレスはEndpoint Managementコンソールに入力します。右上隅の歯車アイコンをクリックします。[設定] ページが表示されます。[その他] をクリックし、次に [クライアントサポート] をクリックします。情報を入力する画面が表示されます。

クライアントサポート画面の画像

[問題の報告] にはアプリのリストが表示されます。ユーザーは問題のあるアプリを選択します。Secure Hubは自動的にログを生成し、ログがzipファイルとして添付されたSecure Mailのメッセージを開きます。ユーザーは件名と問題の説明を追加します。スクリーンショットを添付することもできます。

[Citrixにフィードバックを送信] をクリックすると、Citrixサポートアドレスが入力されたSecure Mailのメッセージが開きます。メッセージ本文には、Secure Mailを改善するための提案を入力できます。Secure Mailがデバイスにインストールされていない場合は、ネイティブのメールプログラムが開きます。

ユーザーは [Citrixサポート] をタップすることもでき、これにより Citrix Knowledge Center が開きます。そこから、すべてのCitrix製品のサポート記事を検索できます。

[設定] では、ユーザーはアカウントとデバイスに関する情報を見つけることができます。

位置情報ポリシー

Secure Hubは、たとえば、企業所有のデバイスが特定の地理的境界を越えないようにしたい場合に、地理的位置情報および地理的追跡ポリシーも提供します。詳細については、「位置情報デバイスポリシー」を参照してください。

クラッシュの収集と分析

Secure Hubは、特定の障害の原因を把握できるように、障害情報を自動的に収集および分析します。Crashlyticsソフトウェアがこの機能をサポートしています。

iOSおよびAndroidで利用可能なその他の機能については、「Citrix Secure Hub」のプラットフォーム別機能マトリックスを参照してください。

Citrix Secure Hub™
May 6, 2026
寄稿者: 
C C
May 6, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.