Storage zones controller

制限付きストレージゾーン

制限付きストレージゾーンは、機密データを保護するために利用されます。制限付きストレージにアクセスできるのは従業員のみです。

制限付きゾーンでは、サードパーティユーザー認証はサポートされていません。

注:

制限付きストレージゾーンは、メンテナンス終了です。このライフサイクルポリシーの詳細については、「 ライフサイクルマイルストーンの定義」を参照してください。新しい制限付きストレージゾーンの作成はサポートされていません。制限付きストレージゾーンを使用している既存のお客様は、将来の製品マイルストーンについてさらにコミュニケーションを受け取ることができます。

制限付きゾーンフィーチャ

ゾーン認証: 制限付きゾーンに保存されているドキュメントにアクセスするには、ShareFile にログオンするだけでなく、ストレージゾーンコントローラー に対して個別に認証を受ける必要があります。ディレクトリ検索により、ShareFileにログオンするユーザーがゾーンに対して認証しているユーザーと同じであることが保証されます。この追加の認証要件では、共有が制限されます。ドキュメントは、ストレージゾーンコントローラー にアクセスでき、エンタープライズ資格情報を使用して認証できる他のユーザーとのみ共有できます。制限付きゾーンでは、ファイルを匿名で共有することはできません。ユーザーは、ファイルを表示するためのアクセス許可を付与する必要があります。また、共有ファイルを受信するには、常にログオンする必要があります。

メタデータの暗号化: ゾーン内のファイルとフォルダーに関するすべての情報は、ShareFileに送信される前に鍵で暗号化されます。その結果、組織外のユーザーは、制限されたゾーン内のフォルダまたはファイル名を表示できません。暗号化キー、復号化されたファイル、およびメタデータへのアクセスは、ストレージゾーンコントローラー に対するエンタープライズ認証を通じてのみ可能です。

ストレージゾーンコントローラー の内部アドレス: 制限付きゾーンの場合、ストレージゾーンコントローラー と ShareFile クラウドの間ではなく、ストレージゾーンコントローラー と ShareFile クライアント間で認証が行われます。その結果、制限付きゾーンをホストするストレージゾーンコントローラー は、外部アドレスまたは外部 SSL 証明書を必要としません。ストレージゾーンコントローラが内部専用アドレスで構成されている場合、ユーザーは社内ネットワークまたは VPN に接続して、制限ゾーン内のドキュメントにアクセスする必要があります。

メールサーバーからのメール通知: ユーザーが制限付きゾーン内の共有ファイルとフォルダーに関するメール通知を受信すると、そのメールはShareFile サーバーではなく内部メールサーバーから送信されます。

標準ゾーンと制限付きゾーンの違い

プロパティ 標準ゾーン 制限付きゾーン
ストレージゾーンサーバーは、次の方法で管理できます。 Citrix またはアカウント管理者 アカウント管理者
User authentication is handled by… ShareFile.com または ShareFile.eu オンプレミスのストレージゾーンコントローラー ShareFile.comShareFile.eu の組み合わせまたはプラス
Files can be shared with… 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) ドメインアカウントを持っている従業員または他のユーザー
File and folder metadata stored in the ShareFile control plane is… クリアテキストで格納され、一部のCitrix 従業員が閲覧できます 秘密鍵で暗号化され、Citrixでは使用できません
Email notifications are sent using… ShareFileメールサーバーまたはSMTPサーバー SMTPサーバ
ゾーンの外部アドレスは… 必須 必須ではありません

標準ストレージゾーンと制限付きストレージゾーン

ストレージゾーンは、標準または制限付きとして指定できます。

  • 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。
  • 制限付きストレージゾーンは、機密データを保護する:ゾーンに格納されたデータにアクセスできるのは従業員のみです。

次の表は、標準ゾーンと制限ゾーンの違いをまとめたものです。

プロパティ 標準ゾーン 制限付きゾーン
ストレージゾーンサーバーは、次の方法で管理できます。 Citrix またはアカウント管理者 アカウント管理者
User authentication is handled by… ShareFile.com または ShareFile.eu オンプレミスのストレージゾーンコントローラー ShareFile.comShareFile.eu の組み合わせまたはプラス
Files can be shared with… 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) ドメインアカウントを持っている従業員または他のユーザー
File and folder metadata stored in the ShareFile control plane is… クリアテキストで格納され、一部のCitrix 従業員が閲覧できます 秘密鍵で暗号化され、Citrixでは使用できません
Email notifications are sent using… ShareFileメールサーバーまたはSMTPサーバー SMTPサーバ
ゾーンの外部アドレスは… 必須 必須ではありません

Citrix管理ゾーンでは、ShareFile クラウドは、ストレージゾーンコントローラー によって処理される従業員認証を除くすべての操作を実行します。

標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、電子メール通知 (SMTP)、サードパーティユーザー認証、フォルダーのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージ、暗号化は、コントローラによって処理されます。

制限ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、およびフォルダーのアクセス許可はクラウドで処理されます。従業員認証、ファイルストレージと暗号化、ファイルメタデータ、アップロードとダウンロードの承認、電子メール通知 (SMTP) は、コントローラーによって処理されます。制限付きゾーンでは、サードパーティユーザー認証はサポートされていません。

ShareFileは、アカウント内の標準ゾーンと制限付きゾーンの組み合わせをサポートしています。それぞれ固有の認証要件を持つ、複数の制限付きゾーンを作成できます。たとえば、ドメイン A のユーザーにドメイン B のユーザーとのファイルの共有を許可しない場合は、ドメインごとに個別の制限付きゾーンをインストールします。

このセクションの残りの部分では、ShareFile が管理するゾーン、標準ゾーン、制限付きゾーンのワークフローについて説明します。

制限付きストレージゾーンに対する概念実証の導入

制限付きゾーン用に構成されたストレージゾーンコントローラー は、ShareFile クラウドからのインバウンド接続を受け入れる必要はありません。内部アドレスで構成できます。次の図は、ユーザーデバイス、ShareFile クラウド、およびストレージゾーンコントローラー 間のトラフィックフローを示しています。

制限付きゾーンに対する概念実証の導入

このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。ストレージゾーンコントローラー は、アクセスを制御するためにファイアウォールの内側に常駐します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールのポート 443 を開き、ストレージゾーンコントローラー の IIS サービスに SSL 証明書 (プライベートでも可) をインストールする必要があります。

制限ゾーンの場合、ストレージゾーンコントローラー は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。

制限付きゾーンの高可用性の導入

制限付きゾーン用に構成されたストレージゾーンコントローラー は、ShareFile クラウドからのインバウンド接続を受け入れる必要はありません。各ゾーンに内部アドレスを設定できます。次の図は、制限付きゾーンの高可用性展開を示しています。

制限付きゾーンの高可用性の導入

このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。ストレージゾーンコントローラー はファイアウォールの内側に配置され、アクセスを制御します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールのポート 443 を開き、ストレージゾーンコントローラー の IIS サービスに SSL 証明書 (プライベートでも可) をインストールする必要があります。

制限ゾーンの場合、ストレージゾーンコントローラー は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。

制限付きゾーン

次の表に、ユーザーが ShareFile にログオンし、制限されたゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。

手順 接続元 接続先
  1. ユーザーログオン要求
クライアント company.sharefile.com
  1. ADFS を使用している場合は、SAML IdP ログオンにリダイレクト
クライアント SAML IDプロバイダー URL
  1. ファイル/フォルダーの列挙とダウンロード要求
クライアント szc.company.com
  1. ファイルのダウンロード承認と暗号化されたメタデータの取得
szc.company.com company.sharefile.com
  1. ファイルダウンロード
クライアント szc.company.com

制限付きストレージゾーンの導入

次の図は、制限付きゾーンの高可用性展開を示しています。

制限付きゾーンを持つストレージゾーンコントローラ

制限ゾーンの場合、ストレージゾーンコントローラー は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。

制限付きゾーンのネットワーク接続

次の図と表は、ユーザーが ShareFile にログオンし、制限されたゾーンにドキュメントをアップロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。認証トラフィックは、信頼されたネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって処理されます。

制限付きゾーンのネットワーク接続

手順 接続元 接続先 プロトコル
  1. ShareFileクライアントまたはブラウザーが接続を開く
クライアント company.sharefile.com または company.sharefile.eu HTTPS
  1. (オプション)SAML IdP ログオンにリダイレクト
クライアント SAML IDプロバイダー URL HTTPS
  1. ShareFile はユーザーをストレージゾーンコントローラー にリダイレクトします
クライアント company.sharefile.com または company.sharefile.eu HTTPS
  1. クライアントがストレージゾーンコントローラー に Windows 資格情報を送信する
クライアント ストレージゾーンコントローラー HTTPS
  1. ストレージゾーンコントローラー が認証情報を検証し、クライアントアクセスを許可する
ストレージゾーンコントローラー ドメインコントローラー Kerberos
  1. クライアントがストレージゾーンコントローラー にファイルをアップロードする
クライアント ストレージゾーンコントローラー HTTPS
  1. 制限付きゾーンのストレージリポジトリにファイルが書き込まれる
ストレージゾーンコントローラー ローカルストレージ CIFS
  1. ストレージゾーンコントローラー はファイルメタデータを暗号化して ShareFile に送信します
ストレージゾーンコントローラー company.sharefile.com または company.sharefile.eu HTTPS

制限付きストレージゾーンの場合:

  • 内部ホスト名または外部ホスト名を使用します。

  • ShareFile との通信で SSL を有効にします。

    内部ホスト名を使用する場合は、プライベート証明書を使用できます。証明書はユーザーデバイスによって信頼されている必要があります。

    外部ホスト名を使用する場合、ストレージゾーンコントローラー の SSL 証明書は、ユーザーデバイスと ShareFile Web サーバーによって信頼されている必要があります。

  • ストレージゾーンコントローラー から次のサービスバス URI のいずれかにアウトバウンド HTTP アクセスを提供します。

    • ShareFile.com アカウント: sf-zk-email-use.servicebus.windows.net
    • ShareFile.eu アカウント: sf-zk-email-euw.servicebus.windows.net

    ネットワークの依存関係は、ネットワークチームと必ず調整してください。

制限付きストレージゾーンに対するクライアント要件

ShareFile Web アプリケーションは、次の Web ブラウザーーから制限付きストレージゾーンをサポートします。

  • Internet Explorer 11

    ShareFile Webアプリケーションから制限付きゾーンのフォルダおよびコネクタへのアクセスを有効にするには、次の手順に従います。

    1. Internet Explorer を開き、[インターネットオプション] に移動し、[ セキュリティ ] タブをクリックし、[ 信頼済みサイト] をクリックします。
    2. [ サイト ] をクリックし、サブドメインと外部ストレージゾーンコントローラー アドレスを追加します。
    3. [ 閉じる ] をクリックし、[ レベルのカスタマイズ] をクリックします。
    4. [ その他] > [ドメイン間でデータソースにアクセス ] で、[ 有効化] を選択します。
    5. [ ユーザー認証] > [ログオン] で、[ ユーザー名とパスワードの入力を求める ] を選択します。
  • Chrome

  • Firefox

  • Safari

  • Secure Web

制限付きストレージゾーンをサポートするには、ShareFileクライアントを次のバージョン以降にアップグレードする必要があります。

  • ShareFile Sync Windows 3.1 版
  • ShareFile Outlook プラグイン 3.2.2
  • iOS 3.3 版ShareFile
  • Android 3.4用ShareFile
  • ShareFile Windows Phone 2.3.10

これらの ShareFile クライアントとツールは、この資料の公開日現在、制限されたストレージゾーンでの使用はサポートされていません。

注:ShareFile クライアント機能の最新情報については、 ShareFile サポートサイトを参照するか 、ShareFile サポート担当者にお問い合わせください。

  • Windows 3.1 の ShareFile Desktop Sync と ShareFile Outlook プラグインのドメイン外での使用

    クライアントは、ストレージゾーンコントローラー サーバーと同じ Active Directory フォレストにある、ドメインに参加している Windows デスクトップ上に存在する必要があります。クライアントは、制限されたゾーンへのサイレント認証に NTLM または Kerberos を使用できます。

  • Windows 用On-Demand Sync

  • Mac 用の同期

  • ShareFile Enterprise Sync Manager

  • Secure Mail for iOS

  • ShareFile Desktop ウィジェット

  • ShareFile for BlackBerry

  • ShareFileモバイルサイト

次の代替アカウントアクセス方法は、制限付きストレージゾーンでの使用はサポートされていません。

  • FTP
  • PowerShell
  • ShareFile コマンドラインインターフェイス (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

重要

ShareFileは、正式にサポートしていないため、 DFSレプリケーションの使用はお勧めしません。これは、大きなファイルのロックエラーを引き起こすことが知られています。DFSレプリケーションを使用する必要がある場合は、ゾーンがアクティブに使用されていないオフピーク時に別のバックアップ・ソリューションを使用してください。

制限付きストレージゾーンのアップグレード

ストレージゾーンコントローラを最新バージョンにアップグレードすると、そのコントローラは標準ゾーンを引き続き使用します。標準ゾーンを制限ゾーンにアップグレードすることはできません。

標準ゾーンを制限付きゾーンに置き換えるには、新しいストレージゾーンコントローラー をインストールし、制限付きゾーンを構成する必要があります。

制限ゾーンまたはコネクタへのWebアクセスをサポートするには、ウィザードを完了した後に追加のCitrix ADC構成を実行する必要があります。この構成により、ShareFileクライアントが信頼されたShareFileドメインにログオンしたときにのみ、資格情報が送信されるようになります。コネクタへの Web アクセスをサポートするには、/cifs および /sp へのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) も追加します。

制限付きゾーンの追加情報

制限付きストレージゾーンのサポートは、ShareFileサービスのすべての側面に影響します。メタデータの暗号化とゾーン認証をサポートするためにプロトコルの変更が必要になったため、 制限されたストレージゾーンでドキュメントを操作する場合、一部のShareFileクライアントと機能はサポートされません。

コンテンツ

  • クライアントとツール
  • Webブラウザー
  • 機能
  • Sync for Windows
  • モバイルアプリ
  • Outlook プラグイン

クライアントとツール

  Sync for Windows 3.1以降
  Microsoft Outlookのプラグイン 3.2.2以降
  On-Demand Sync for Windows 未サポート
  Drive Mapper 3.01.171.0以降
  ShareFile for iOS 3.3 — MDXのみ
  ShareFile for Android 3.4以降
  ShareFile for Windows Phone 8 2.3.10以降
  Sync for Mac 未サポート
  ShareFile Desktop 未サポート
  XenMobile WorxMail for iOS 未サポート
  XenMobile WorxMail for Android サポート
  ShareFile に印刷 未サポート
  モバイルサイト 未サポート
  その他のアカウントアクセス方法  
  PowerShell 未サポート
  SFCLI 未サポート
  REST API(V3) サポート
  HTTPS APT (V1) 未サポート
  RSZ Test Coverage 未サポート
  FTP 未サポート
  ファイルをフォルダーに電子メールで送信する 未サポート
  .Net SDK サポート

Webブラウザー

  Windows Internet Explorer 11、Firefox(最新バージョン)、Chrome(最新バージョン)
  macOS Safari (最新バージョン)、Firefox (最新バージョン)、Chrome (最新バージョン)
  iOS Safari、Secure Web
  Android Secure Web

機能

エンドユーザーのアクション:ファイルの操作:

  ファイルを参照してダウンロードする サポート
  アップロードファイル (アップローダの種類) HTML5: サポート; フラッシュ:サポートされていません; Java: サポートされていません; 標準 HTML フォーム:サポートされていません
  ごみ箱 サポート
  一括ダウンロードと削除 サポート
  File Box ビュー:サポート; 削除:サポート; アップロード:サポート; ダウンロード:サポートされていません; ファイルボックスから送信:サポートされていません
  ファイルプレビュー (サムネイル) 未サポート
  Web ブラウザーでドキュメントを表示する 未サポート
  ファイルの再アップロード 未サポート
  ファイルごとに複数のバージョン 未サポート
  検索 制限付きゾーンアイテムが検索結果に含まれない
  フォルダーをお気に入りとしてマークする 未サポート
  ファイルをコピーまたは移動する 未サポート
  フォルダオプションの編集:フォルダーの有効期限、ファイル保存ポリシー サポート
  共有フォルダーのバブリング 未サポート

エンドユーザーのアクション:共有とコラボレーション:

  ファイルの送信:アップロードの要求、ShareFile を使用した電子メールの送信、コピーできるリンクの提供、ユーザーのログオン要求、ダウンロード数の制限 サポート
  共有ファイルの受信とダウンロード サポート
  制限付きストレージゾーンに共有フォルダーを作成する サポート
  フォルダーへのユーザーの追加:アップロードとダウンロードの権限の制御 サポート
  ファイルをリクエストする サポート
  「ShareFile ログインが必要」を有効にしてファイルをリクエストする 未サポート
  メール通知 サポート
  受信トレイ:私に送信されたファイル サポート
  受信トレイ:送信済みメッセージ 表示、期限切れ、再送信、編集:サポート
  アクティビティログの表示 サポート
  署名を取得する(RightSignature経由で) 未サポート

管理アクション:

  制限付きゾーンにユーザーを作成する サポート
  ユーザーを別のゾーンに移行する 未サポート
  レポート:アクセス監査、使用状況レポート、メッセージングレポート、帯域幅レポート、ストレージレポート HTML ビューア:サポート; Excel/CSV/PDF ビューア:暗号化されたメタデータの表示
  ゾーン管理  
  ストレージ使用率の監視 サポート
  帯域幅使用率の監視 サポート
  ファイル・アクティビティの監視 サポート
  ファイルのリカバリ 未サポート
  ファイルをリコンサイルする 未サポート
  ゾーンを削除 サポート
  高可用性 サポート

Windows 用の同期

最小バージョン-3.1

   
ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) サポート
ドメイン以外のクライアントからの認証-ユーザーにパスワードの入力を求められます サポート
制限付きゾーンで「マイファイルとフォルダ」を同期する サポート
制限付きゾーンからの共有フォルダーの同期 サポート
アップロード、ダウンロード、同期 サポート
XenAppおよびXenDesktop ktop環境のオンデマンド同期 未サポート
お気に入りフォルダーを表示する 制限付きストレージゾーンフォルダーでは使用できません
右クリック > リンクをコピー サポート
右クリック > メールファイル サポート

モバイルアプリ

以下のアプリ固有の表を参照してください。

iOS-最小バージョン3.3

   
ファイルを参照してダウンロードする サポート
コンテンツをオフラインで表示する サポート
フォルダーの作成 サポート
ファイルの作成または編集 サポート
写真またはビデオをアップロードする サポート
ユーザー名/パスワードで認証する サポート
WorxマイクロVPNでのシングルサインオン サポート
共有:リンクをコピーする サポート
シェア:メールでシェア 未サポート
フォルダメモを追加または編集する 未サポート
メモを作成するか、既存のメモを編集する 未サポート
フォルダーへのユーザーの追加、または既存のフォルダーのアクセス許可の編集 未サポート
フォルダーをお気に入りにマーク/マーク解除する 未サポート
ファイルをリクエストする 未サポート
サムネイルプレビュー 未サポート
複数項目の削除 未サポート
フォルダーをオフラインで使用できるようにする ルートレベルの「私と共有」フォルダーを除いてサポートされます
フォルダーを共有する ルートレベルの「私と共有」フォルダーを除いてサポートされます
制限されたストレージゾーンにコネクタを作成する 未サポート

Android-最小バージョン3.4

   
ファイルを参照してダウンロードする サポート
コンテンツをオフラインで表示する サポート
ファイルを送信する サポート
フォルダーの作成 サポート
ファイルの作成または編集 サポート
ファイルのアップロード サポート
ユーザー名/パスワードで認証する サポート
WorxマイクロVPNでのシングルサインオン サポート
ファイルをリクエストする 未サポート
ノートを作成する 未サポート
アップロード後に既存のファイルを上書き 未サポート

Outlook プラグイン

  ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) サポート
  ドメイン以外のクライアントからの認証-ユーザーにパスワードの入力を求められます サポート
  ShareFileからファイルを参照して選択 サポート
  「受信者にログインを要求する」を有効にして、ShareFileからファイルを参照して選択する 未サポート
  添付ファイルをShareFileリンクに変換する サポート
  「受信者にログインを要求する」を有効にして、添付ファイルをShareFileリンクに変換する 未サポート
  ファイルをリクエストする サポート
  [受信者にログインを要求する] を有効にしてファイルを要求する 未サポート
制限付きストレージゾーン