ShareConnect
重要:
ShareConnectは、2020年6月30日に製品終了(EOL)になりました。詳しくは、「EOLと廃止予定のアプリ」を参照してください。
ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。次のことを実行できます:
- ユーザーのコンピューター上のファイルだけでなく、そのコンピューターで接続済みのネットワークドライブ上のファイルを操作する
- ShareConnect内で、ターゲットマシンからアプリを実行する
- ほかの業務用モバイルアプリをラップせずに、モバイルアプリにアクセスする
- モバイルに最適化したアクセスのため、ShareConnectをCitrix Virtual Desktopsで実行する
ShareConnectのMDXバージョンはEndpoint Managementのダウンロードページからダウンロードできます。
ShareConnectのインストール方法および使い方については、Citrix Knowledge Centerを参照してください。
アーキテクチャの概要
ShareConnectコンポーネントには、次の図で示すようにシトリックス所有のShareConnect BrokerやShareConnect Communication Serversがあります。ShareConnect Brokerは、ユーザーをコンピューターにマップするアプリケーションサーバーおよびデスクトップです。その後、アプリケーションは、ホストコンピュータがオンラインかオフラインかをユーザーに知らせます。ShareConnect Communication Serversは、ホストコンピューターとクライアントコンピューター間でデータを交換するために使用されます。データは、Endpoint Management設定をベースとしたホストコンピューターとクライアントコンピューター間でセキュアなマイクロVPNトンネルを介してやり取りできます。
またCitrix Filesは、Endpoint ManagementまたはActive Directory Federation Services(ADFS)などのSAML IDプロバイダー(IdP)でシングルサインオン(SSO)を介したユーザー認証を提供できます。Endpoint Managementでの展開においては、Citrix Gatewayを介してネットワーク外のリソースへアクセスします。
ShareConnectでの接続
ShareConnectでは、直接または間接のいずれかによる接続が確立されます。
- 直接接続。ShareConnectは、クライアントコンピューターとホストコンピューターが同じLANまたはWi-Fiネットワークにある場合、その間に直接接続を確立します。この場合、クライアントコンピューターまたはモバイルデバイスとホストコンピューター間のアクセスにおいてデータが直接やり取りされます。パフォーマンスを最適化した結果、データはShareConnect Communication Serversを通ってはフローしません。直接接続の場合、Endpoint ManagementはCitrix Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。
- 間接接続。ShareConnectは、クライアントコンピューターとホストコンピューターに直接到達できない場合、関節接続を確立します。この場合、データはShareConnect Communication Serversを通ってフローします。
次の図は、ユーザーが直接接続を使ってShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスする場合に使用される接続を示しています。接続手順については、別の図で説明しています。
① このシナリオでは、Endpoint ManagementがCitrix FilesのSAML IdPとして機能し、Secure HubからSSOを提供するように構成します。ShareConnectがSecure HubにSAMLトークンを要求し、次にCitrix Gatewayを介して要求がEndpoint Managementに渡されます。その後、Endpoint ManagementはSAMLトークンをShareConnectに送信します。
② ShareConnectはSAMLトークンを検証し、SAMLトークンとOAuthトークンを取り換えるためにCitrix Filesに送信します。
③ ShareConnectはOAuthトークンをShareConnect Brokerに送信し、これによりセッショントークンがShareConnectに送信されます。
④ ShareConnectはShareConnect Brokerからホストコンピューターの一覧を取得し、ホストコンピューターの資格情報が要求されます。その後、ShareConnectはShareConnect Communication Serverとの直接接続を確立します。ホストコンピューターが資格情報を検証した後、ShareConnectはそのホストコンピューターからファイルとアプリの一覧を取得します。ユーザーがファイルまたはアプリを開いた後、ShareConnectとホストコンピューター間での直接接続が実行されます。
⑤ ホストコンピューター上のShareConnectエージェントは、状態メッセージをShareConnect Poll Serverに送信して、それがオンラインかオフラインかを示します。
⑥ ShareConnect Poll Serverは、ShareConnectエージェントからの負荷分散された要求をShareConnect Brokerに送信し、またホスト状態の更新をShareConnect Brokerに送信します。
ShareConnectのセキュリティ
ShareConnectでは組み込みの128ビットAES暗号化が使用され、ShareConnectクライアントとShareConnectエージェントを実行するホストコンピューター間で送信されるすべてのデータはエンドツーエンドで完全に暗号化されます。暗号化キーは各接続に一意なものです。最高性能の装置でも、重要データを傍受して暗号を解読することは不可能です。
通常はShareConnectを構成して、データがShareConnectクライアントとホストコンピューター間で直接やり取りされるようにします。無制限アクセスに対するネットワークアクセスポリシーを構成しない限り、データはShareConnect Communication Serverを経由しません。ポリシーについて詳しくは、「Endpoint ManagementにShareConnectを追加するには」を参照してください。
直接または間接接続の場合、接続の確立に必要なIPアドレスやポートといった暗号化されたメタデータは、ShareConnectサーバーに送信されます。
また、ShareConnectのMDXラッピングでは、MDX Vaultを介したデータ暗号化を提供します。iOS(iOS 9より前)およびAndroidの両方のデバイスでMDXラップアプリと関連する保存データが暗号化されます。暗号化には、OpenSSLにより提供されたFIPS認定済み暗号化モジュールが使用されます。
セキュリティ設定および管理コントロールに関する情報については、以下のセキュリティホワイトペーパーを参照してください。
ShareConnectのポート要件
ShareConnect通信を許可するには、次のポートを開きます。ポート要件は接続の種類により異なります。同じLANまたはWi-Fiネットワーク上にあるコンピューター同士の接続は、直接接続の場合があります。また、クライアントおよびホストコンピューターが直接接続できない場合は、間接接続の場合もあります。
直接接続の場合
TCPポート80 - Citrix Gatewayからapp.shareconnect.comへの発信接続のために使用されます。
接続元 - Citrix Gateway
接続先 - app.shareconnect.com
TCPポート80、443、8200 - Citrix GatewayからShareConnect Communication Serverへの発信接続のため、これらの1つ以上のポートが必要です。
接続元 - Citrix Gateway
接続先 - ShareConnect Communication Server
TCPポート80、443、8200 - ShareConnectホストコンピューターからCitrixサーバーへの発信接続のため使用されます。
接続元 - ShareConnectホストコンピューター
接続先 - poll.shareconnect.com、ShareConnect Communication Server
TCPポート443 - Citrix Gatewayから必要なサイトへの発信接続のために使用されます。
接続元 - Citrix Gateway
接続先 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com
TCPポート53000~53010 - Citrix GatewayからShareConnectホストコンピューターへの発信接続のために使用されます。
接続元 - Citrix Gateway
接続先 - LANベースのShareConnectホストコンピューター
TCPポート53000~53010 - Citrix GatewayからShareConnectホストコンピューターへの受信接続のために使用されます。
接続元 - Citrix Gateway
接続先 - LANベースのShareConnectホストコンピューター
間接接続の場合
TCPポート80 - ShareConnectエージェントからapp.shareconnect.comへの発信接続のために使用されます。
接続元 - ShareConnectエージェント
接続先 - app.shareconnect.com
TCPポート80、443、8200 - ShareConnectエージェントからShareConnect Communication Serverへの発信接続のため、これらの1つ以上のポートが必要です。
接続元 - ShareConnectエージェント
接続先 - ShareConnect Communication Server
TCPポート80、443、8200 - ShareConnectホストコンピューターからCitrixサーバーへの発信接続のため使用されます。
接続元 - ShareConnectホストコンピューター
接続先 - poll.shareconnect.com、ShareConnect Communication Server
TCPポート443 - ShareConnectエージェントから必要なサイトへの発信接続のために使用されます。
接続元 - ShareConnectエージェント
接続先 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com
ShareConnectの統合と提供
ShareConnectをEndpoint Managementと統合して提供するには、次の一般的な手順に従います:
-
オプションとして、Secure HubからSSOを有効にできます。これを行うには、Endpoint ManagementでCitrix Filesアカウント情報を設定して、Citrix FilesのSAML IdPとしてEndpoint Managementを有効にします。
Endpoint ManagementでのCitrix Filesアカウント情報の設定は、1回だけの設定です。1回だけの設定は、すべての業務用モバイルアプリクライアント、Citrix Files Worxクライアント、および非MDX Citrix Filesクライアントで使用されます。
-
ShareConnectをダウンロードしてラップします。詳しくは、「MDX Toolkitについて」を参照してください。
-
ShareConnectをEndpoint Managementに追加して、MDXポリシーを構成します。
-
ホストコンピューターへのShareConnectエージェントのインストール。ShareConnectエージェントはMSIパッケージなので、既存のソフトウェア展開方式により配信およびインストールできます。インストールしてから1時間以内に、ユーザーはCitrix Files資格情報を使ってエージェントに署名してホストコンピューターを登録する必要があります。
または、ShareConnectで接続するコンピューターにShareConnectエージェントをインストールできます。詳しくは、「コンピューターにShareConnectエージェントをインストールするには」を参照してください。
Endpoint ManagementにShareConnectを追加する
ほかのMDXアプリの場合と同じ手順を使用して、ShareConnectをEndpoint Managementに追加します。詳しくは、「MDXアプリの追加」を参照してください。ShareConnectを追加する場合、MDXポリシーを次の表で示すように構成します。
ポリシー | 値 | 結果 |
---|---|---|
ネットワークアクセス | 内部ネットワークへトンネルまたは制限なし | [内部ネットワークへトンネル]は、すべてのネットワークアクセスに内部ネットワークへのアプリケーションごとのVPNトンネルを使用します。この構成により、ShareConnectとホストコンピューター間に直接接続が提供されます。[制限なし]は、シトリックス所有のCommunication Serverを使ってホストコンピューターとShareConnect間で暗号化されたデータをやり取りします。ネットワークアクセスに[内部ネットワークへトンネル]を使おうとする場合でも、制限されていないアクセスでセットアップをテストしてすべてが機能するか確認してください。 |
優先VPNモード | トンネル-Web SSO | SSOを必要とする接続に対して初期接続モードを適切に設定します。 |
暗号化を有効化 | オン | タブレットに格納されているデータが暗号化されます。 |
切り取りおよびコピー | 制限なし | ShareConnectで切り取りとコピー操作が有効になります。 |
貼り付け | 制限なし | ShareConnectで貼り付け操作が有効になります。 |
ドキュメント交換(このアプリケーションで開く) | 制限なし | ユーザーは、ShareConnectから接続しているコンピューターまたは接続しているネットワークドライブ上のファイルを開くことができます。 |
パスワードの保存 | オフ | ユーザーは、ShareConnectにサインオンするたびに、コンピューターのユーザー名とパスワードを入力するよう要求されます。 |
コンピューターにShareConnectエージェントをインストールするには
次の手順では、ユーザーがサポートされているモバイルデバイスから接続する物理または仮想コンピューターごとに、ShareConnectエージェントをインストールする方法について説明します。
これらの手順を実行する前に、まずSecure Hubをインストールする必要があります。次に、プロンプトに従ってサポートされているモバイルデバイスに業務用モバイルアプリをインストールするのを許可する必要があります。
-
タブレットでSecure Hubにサインオンします。
-
ShareConnectを開き、
-
[Email download link]をタップします。
Citrixのno-reply@shareconnect.comからメールが送信されます。
-
ShareConnectからアクセスするホストコンピューターで、このメールを開きます。
-
メール内の[Set up this computer]をクリックします。
-
ShareConnect_Installer.exeをダブルクリックしてインストールを開始します。
ホストコンピューターにShareConnectエージェントがインストールされます。インストール時、Citrix Files SSOが構成されている場合は、ShareConnectによってメールアドレスが求められます。Citrix Files SSOが構成されていない場合は、Citrix Files資格情報が要求されます。
-
表示される手順に従って処理を実行します。
次に、ShareConnectエージェントがホストコンピューターを登録します。これにより、電源がオンになっていて1つ以上の公開ポート(80、443、または8200)でpoll.shareconnect.comに到達できるホストコンピューターであれば、ShareConnectクライアントから接続できます。
ShareConnect機能
-
ホストコンピューターの追加。ユーザーはShareConnectを使ってサポートされているモバイルデバイスからリモートホストコンピューターを追加して接続できます。
-
ファイルのアクセス。ユーザーが最近使用したファイルの一覧が表示されるので、ホストコンピューターおよび接続されているドライブ上のファイルに簡単にアクセスできます。
-
ファイルの編集。ユーザーは、タブレットから自分のコンピューター上のデスクトップアプリケーションを使用してファイルを編集できます。また、ユーザーは、アプリケーションを全画面表示で使用できます。
-
画面共有。単一のファイルやアプリを表示する代わりに画面共有機能を使って、ホストコンピューターのデスクトップを表示できます。
-
Citrix Filesの統合。ユーザーは、ホストコンピューターとCitrix Filesの間で、ファイルを移動または共有できます。
-
キーボードとマウス。ShareConnectでは、BluetoothキーボードとCitrix XI Prototype Mouseを同時に使用できます。
-
ポート制限。ShareConnectで使用されるポートは53000から53010のみです。
-
各サインオン時のパスワード入力の強制。セキュリティを強化するため、ShareConnectへの各サインオン時にコンピューターパスワードの入力を必須にすることができます。次の図に示しているように、Save passwordポリシーが無効の場合は、接続するたびにサインオン資格情報の入力が必要となります。
-
アプリの追加と削除。ユーザーは、各アプリの横のスイッチをオンまたはオフにして、ShareConnect内のアプリトレイからアプリを追加または削除できます。
-
プレビュー済みファイルのキャッシュ。ShareConnectでは、ユーザーがアクセスしたファイルがキャッシュされます。ユーザーがほかのファイルをプレビューした後で元のファイルにアクセスしたときに再ダウンロードは行われません。これにより、ファイルのロード時間が改善されます。
ShareConnectのトラブルシューティング
ShareConnectエージェントのインストールの問題
問題 | 説明と解決策 |
---|---|
ユーザーがShareConnectエージェントをダウンロードしてから1時間以上インストールを開始しない場合は、Citrix Filesアカウント名とパスワードを入力してShareConnectエージェントを登録する必要があります。 | ShareConnectエージェントのインストーラーには、ダウンロード後1時間有効なトークンが含まれています。このトークンの有効期限が切れる前にインストールを開始しない場合、Citrix Filesアカウントに2回サインオンする必要があります。最初にShareConnectエージェントを登録するためにサインオンし、次にインストールが完了した後にエージェントにサインオンします。ShareConnectエージェントをダウンロードして1時間以内にインストールする場合は、サインオンは1度だけで済みます。 |
ShareConnectエージェントを登録する間、エージェントは接続を実行せず、「接続を確認してからもう一度実行してください。」といったエラーメッセージが表示されます。 | poll.shareconnect.comへのポートがブロックされていないか確認します。詳しくは、このアーティクルの「システム要件」を参照してください。 |
ShareConnectの接続の問題
重要:
ShareConnectをテストするため、ネットワークアクセスポリシーを [制限なし] に設定してポートとネットワーク設定の問題を除外することをお勧めします。無制限アクセスではShareConnectがShareConnect Communication Serverを介して接続し、通常はこれによって、ShareConnectモバイルデバイスおよびホストコンピューターでインターネットアクセスが有効な場合に接続をテストできるようになります。
問題 | 説明と解決策 |
---|---|
ShareConnectが開始するが、ホストコンピューターに接続せず、資格情報を求めるプロンプトが表示されない。 | このアーティクルの「システム要件」で説明しているポート要件を満たしているか確認してください。 |
Citrix Filesアカウントの資格情報を使ってShareConnectにサインオンできない。 | ShareConnectへのシングルサインオン(SSO)では、Citrix FilesアカウントをSAML IdPで構成する必要があります。Endpoint ManagementをSAML IdPとして使用する方法について詳しくは、「Citrix Content Collaboration for Endpoint Management」を参照してください。その他のIdPの構成について詳しくは、Knowledge Centerの記事を参照してください。アカウントでSSOが構成されていない場合は、ShareConnect for iOSによりユーザーのCitrix Filesユーザー名とパスワードを求めるプロンプトが表示されます。 |
ユーザーがShareConnectにサインオンした後、ShareConnectがホストコンピューターに接続できない。 | ShareConnectを直接接続用に構成する(つまり、ネットワークアクセスポリシーを[内部ネットワークへトンネル]に設定する)と、ファイアウォールブロックやプロキシサーバー構成のようなネットワーク設定に制限があると、接続障害が起こります。 |