制限付きストレージゾーン
制限付きストレージゾーンは、機密データを保護するために利用されます。制限付きストレージにアクセスできるのは従業員のみです。
制限付きゾーンでは、サードパーティユーザー認証はサポートされていません。
注:
制限付きストレージゾーンは、メンテナンス終了です。このライフサイクルポリシーについては、「ライフサイクルマイルストーンの定義」で詳しく説明します。新しい制限付きストレージゾーンの作成はサポートされていません。制限付きストレージゾーンを使用している既存のお客様は、将来の製品マイルストーンについてさらにコミュニケーションを受け取ることができます。
制限付きゾーンフィーチャ
ゾーン認証: ユーザーは、ShareFile へのログオンに加えて、制限されたゾーンに保存されているドキュメントにアクセスするには、Storage Zone Controller に対して個別に認証する必要があります。ディレクトリ検索により、ShareFileにログオンするユーザーがゾーンに対して認証しているユーザーと同じであることが保証されます。この追加の認証要件では、共有が制限されます。ドキュメントを共有できるのは、Storage Zone Controller へのアクセス権を持ち、エンタープライズ認証情報を使用して認証できるユーザーのみです。制限付きゾーンでは、ファイルを匿名で共有することはできません。ユーザーは、ファイルを表示するためのアクセス許可を付与する必要があります。また、共有ファイルを受信するには、常にログオンする必要があります。
メタデータの暗号化: ゾーン内のファイルとフォルダに関するすべての情報は、ShareFileに送信される前に鍵で暗号化されます。その結果、組織外のユーザーは、制限されたゾーン内のフォルダまたはファイル名を表示できません。暗号化キー、復号化されたファイル、およびメタデータへのアクセスは、Storage Zone Controller へのエンタープライズ認証を介してのみ使用できます。
Storage Zone Controller 内部アドレス: 制限付きゾーンでは、Storage Zone ControllerとShareFile クラウドの間ではなく、Storage Zone ControllerとShareFileクライアント間で承認が行われます。その結果、制限付きゾーンをホストするStorage Zone Controller は、外部アドレスまたは外部 SSL 証明書を必要としません。ストレージゾーンコントローラが内部専用アドレスで構成されている場合、ユーザーは社内ネットワークまたは VPN に接続して、制限ゾーン内のドキュメントにアクセスする必要があります。
メールサーバーからのメール通知: ユーザーが制限付きゾーン内の共有ファイルとフォルダに関するメール通知を受信すると、そのメールはShareFile サーバーではなく内部メールサーバーから送信されます。
標準ゾーンと制限付きゾーンの違い
| プロパティ | 標準ゾーン | 制限付きゾーン |
|---|---|---|
| Storage zone servers can be managed by… | Citrix かお前か | あなた |
| User authentication is handled by… |
ShareFile.com または ShareFile.eu
|
ShareFile.comまたはShareFile.euとオンプレミスのStorage Zone Controller の組み合わせ |
| Files can be shared with… | 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) | ドメインアカウントを持っている従業員または他のユーザー |
| File and folder metadata stored in the ShareFile control plane is… | クリアテキストで格納され、一部のCitrix 従業員が閲覧できます | 秘密鍵で暗号化され、Citrixでは使用できません |
| Email notifications are sent using… | ShareFileメールサーバーまたはSMTPサーバー | SMTPサーバ |
| An external address for the zone is… | 必須 | 必須ではありません |
標準ストレージゾーンと制限付きストレージゾーン
ストレージゾーンは、標準または制限付きとして指定できます。
- 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。
- 制限付きストレージゾーンは、機密データを保護する:ゾーンに格納されたデータにアクセスできるのは従業員のみです。
次の表は、標準ゾーンと制限ゾーンの違いをまとめたものです。
| プロパティ | 標準ゾーン | 制限付きゾーン |
|---|---|---|
| Storage zone servers can be managed by… | Citrix かお前か | あなた |
| User authentication is handled by… |
ShareFile.com または ShareFile.eu
|
ShareFile.comまたはShareFile.euとオンプレミスのStorage Zone Controller の組み合わせ |
| Files can be shared with… | 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) | ドメインアカウントを持っている従業員または他のユーザー |
| File and folder metadata stored in the ShareFile control plane is… | クリアテキストで格納され、一部のCitrix 従業員が閲覧できます | 秘密鍵で暗号化され、Citrixでは使用できません |
| Email notifications are sent using… | ShareFileメールサーバーまたはSMTPサーバー | SMTPサーバ |
| An external address for the zone is… | 必須 | 必須ではありません |
Citrix管理ゾーンでは、ShareFile クラウドは、Storage Zone Controller によって処理される従業員認証を除くすべての操作を実行します。
標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、メール通知 (SMTP)、サードパーティのユーザー認証、フォルダのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージ、暗号化は、コントローラによって処理されます。
制限ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、およびフォルダーのアクセス許可はクラウドで処理されます。従業員認証、ファイルストレージと暗号化、ファイルメタデータ、アップロードとダウンロードの承認、メール通知(SMTP)はController によって処理されます。制限付きゾーンでは、サードパーティユーザー認証はサポートされていません。
ShareFileは、アカウント内の標準ゾーンと制限付きゾーンの組み合わせをサポートしています。それぞれ固有の認証要件を持つ、複数の制限付きゾーンを作成できます。たとえば、ドメイン A のユーザーにドメイン B のユーザーとのファイルの共有を許可しない場合は、ドメインごとに個別の制限付きゾーンをインストールします。
このセクションの残りの部分では、ShareFile管理ゾーン、標準ゾーン、および制限されたゾーンのワークフローについて説明します。
制限付きストレージゾーンに対する概念実証の導入
制限ゾーン用に構成されたStorage Zone Controller は、ShareFile クラウドからの受信接続を受け入れる必要はありません。内部アドレスで設定できます。次の図は、ユーザーデバイス、ShareFile クラウド、Storage Zone Controller 間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Storage Zone Controller は、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスに SSL 証明書をインストールする必要があります。パブリック証明書も使用できます。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーンの高可用性の導入
制限ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからの受信接続を受け入れる必要はありません。各コントローラーを内部アドレスで設定できます。次の図は、制限付きゾーンの高可用性展開を示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Storage Zone Controllerは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート443のSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスに SSL 証明書をインストールする必要があります。パブリック証明書も使用できます。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーン
次の表に、ユーザーが ShareFile にログオンし、制限されたゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示します。すべての接続は HTTPS を使用します。
| 手順 | 接続元 | 接続先 |
|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com |
| 2. ADFS を使用している場合は、SAML IdP ログオンにリダイレクト | クライアント | SAML アイデンティティプロバイダー URL |
| 3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | szc.company.com |
| 4. ファイルのダウンロード承認と暗号化されたメタデータの取得 | szc.company.com |
company.sharefile.com |
| 5. ファイルのダウンロード | クライアント | szc.company.com |
制限付きストレージゾーンの導入
次の図は、制限付きゾーンの高可用性展開を示しています。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーンのネットワーク接続
次の図と表は、ユーザーが ShareFile にログオンし、制限されたゾーンにドキュメントをアップロードしたときに発生するネットワーク接続を示しています。この場合、アカウントは SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。認証トラフィックは、信頼されたネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって処理されます。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
| 1. ShareFileクライアントまたはブラウザが接続を開く | クライアント |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
| 2. (オプション)SAML IdP ログオンにリダイレクト | クライアント | SAML アイデンティティプロバイダー URL | HTTPS |
| 3. ShareFile がユーザーをStorage Zone Controller にリダイレクトする | クライアント |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
| 4. クライアントがWindows認証情報をStorage Zone Controllerに送信する | クライアント | Storage Zone Controller | HTTPS |
| 5. Storage Zone Controller が認証情報を検証し、クライアントアクセスを許可する | Storage Zone Controller | ドメインコントローラー | kerberos |
| 6. クライアントがStorage Zone Controller にファイルをアップロードする | クライアント | Storage Zone Controller | HTTPS |
| 7. 制限付きゾーンのストレージリポジトリにファイルが書き込まれる | Storage Zone Controller | ローカル ストレージ | CIFS |
| 8. Storage Zone Controller がファイルメタデータを暗号化し、ShareFile に送信する | Storage Zone Controller |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
制限付きストレージゾーンの場合:
-
内部ホスト名または外部ホスト名を使用します。
-
ShareFile との通信で SSL を有効にします。
内部ホスト名を使用する場合は、プライベート証明書を使用できます。証明書はユーザーデバイスによって信頼されている必要があります。
外部ホスト名を使用する場合、Storage Zone Controller の SSL 証明書は、ユーザーデバイスおよび ShareFile Web サーバーによって信頼されている必要があります。
-
Storage Zone Controller から次のサービスバス URI のいずれかに送信HTTPアクセスを提供します。
- ShareFile.com アカウント:
sf-zk-email-use.servicebus.windows.net - ShareFile.eu アカウント:
sf-zk-email-euw.servicebus.windows.net
ネットワークの依存関係は、ネットワークチームと必ず調整してください。
- ShareFile.com アカウント:
制限付きストレージゾーンのクライアント要件
ShareFile Web アプリケーションは、次の Web ブラウザーから制限付きストレージゾーンをサポートします。
-
Internet Explorer 11
ShareFile Webアプリケーションから制限付きゾーンのフォルダおよびコネクタへのアクセスを有効にするには、次の手順に従います。
- Internet Explorer を開き、[インターネットオプション] に移動し、[ セキュリティ ] タブをクリックし、[ 信頼済みサイト] をクリックします。
- [サイト] をクリックし、サブドメインと外部Storage Zone Controllerアドレスを追加します。
- [ 閉じる ] をクリックし、[ レベルのカスタマイズ] をクリックします。
- 各ドメインの [その他] > [データソースにアクセス] では、[有効化] を選択します。
- [ユーザー認証] > [ログオン]では、ユーザー名とパスワードを [要求する] を選択します。
-
Chrome
-
Firefox
-
Safari
-
Secure Web
制限付きストレージゾーンをサポートするには、ShareFileクライアントを次のバージョン以降にアップグレードする必要があります。
- ShareFile Sync for Windows 3.1
- ShareFile Outlook プラグイン 3.2.2
- ShareFile for iOS 3.3
- ShareFile for Android 3.4
- ShareFile for Windows Phone 2.3.10
これらの ShareFile クライアントとツールは、この資料の公開日現在、制限されたストレージゾーンでの使用はサポートされていません。
注:ShareFileクライアント機能の最新情報については、 ShareFileのサポート サイトを参照するか、ShareFileサポート担当者にお問い合わせください。
-
ShareFile Desktop Sync for Windows 3.1 およびShareFile Outlook Plug-inのオフドメイン使用
クライアントは、Storage Zone Controller サーバーと同じ Active Directory フォレストにあるドメインに参加している Windows デスクトップ上に存在する必要があります。クライアントは、制限されたゾーンへのサイレント認証に NTLM または Kerberos を使用できます。
-
On-Demand Sync for Windows
-
Sync for Mac
-
ShareFile Enterprise Sync Manager
-
Secure Mail for iOS
-
ShareFile Desktop ウィジェット
-
ShareFile for BlackBerry
-
ShareFileモバイルサイト
次の代替アカウントアクセス方法は、制限付きストレージゾーンでの使用はサポートされていません。
- FTP
- PowerShell
- ShareFile コマンドラインインターフェイス (SFCLI)
- HTTPS API (V1)
- WebDav
- SMTP
重要
ShareFileは、正式にサポートしていないため、 DFSレプリケーションの使用はお勧めしません。これは、大きなファイルのロックエラーを引き起こすことが知られています。DFSレプリケーションを使用する必要がある場合は、ゾーンがアクティブに使用されていないオフピーク時に別のバックアップ・ソリューションを使用してください。
制限付きストレージゾーンのアップグレード
ストレージゾーンコントローラを最新バージョンにアップグレードすると、そのコントローラは標準ゾーンを引き続き使用します。標準ゾーンを制限ゾーンにアップグレードすることはできません。
標準ゾーンを制限ゾーンに置き換えるには、新しいStorage Zone Controller をインストールし、制限ゾーンを構成する必要があります。
制限ゾーンまたはコネクタへのWebアクセスをサポートするには、ウィザードを完了した後に追加のCitrix ADC構成を実行する必要があります。この構成により、ShareFileクライアントが信頼されたShareFileドメインにログオンしたときにのみ、資格情報が送信されるようになります。コネクタへの Web アクセスをサポートするには、/cifs および /spへのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) も追加します。
制限付きゾーンの追加情報
制限付きストレージゾーンのサポートは、ShareFileサービスのすべての側面に影響します。メタデータの暗号化とゾーン認証をサポートするために必要なプロトコルの変更により、 一部のShareFileクライアントおよび機能は制限付きストレージゾーン内のドキュメントを操作する際にサポートされません。
コンテンツ
- クライアントとツール
- Webブラウザー
- 機能
- Sync for Windows
- モバイルアプリ
- Outlookプラグイン
クライアントとツール
| Sync for Windows | 3.1以降では |
| Microsoft Outlookのプラグイン | 3.2.2 以降 |
| On-Demand Sync for Windows | 未サポート |
| Drive Mapper | 3.01.171.0 以降 |
| ShareFile for iOS | 3.3 — MDXのみ |
| ShareFile for Android | 3.4まで |
| ShareFile for Windows Phone 8 | 2.3.10以上で |
| Sync for Mac | 未サポート |
| ShareFile Desktop | 未サポート |
| XenMobile WorxMail for iOS | 未サポート |
| XenMobile WorxMail for Android | サポート |
| ShareFileへの出力 | 未サポート |
| モバイルサイト | 未サポート |
| その他のアカウントアクセス方法 | |
| PowerShell | 未サポート |
| SFCLI | 未サポート |
| REST API(V3) | サポート |
| HTTPS APT(V1) | 未サポート |
| RSZ Test Coverage | 未サポート |
| FTP | 未サポート |
| フォルダにファイルをメールで送信する | 未サポート |
| .Net SDK | サポート |
Webブラウザー
| Windows | Internet Explorer 11, Firefox (最新バージョン), Chrome (最新バージョン) |
| macOS | Safari (最新バージョン), Firefox (最新バージョン), Chrome (最新バージョン) |
| iOS | Safari, Secure Web |
| Android | Secure Web |
機能
エンドユーザーのアクション:ファイルの操作:
| ファイルを参照してダウンロードする | サポート |
| アップロードファイル (アップローダの種類) | HTML5: サポート; フラッシュ:サポートされていません; Java: サポートされていません; 標準 HTML フォーム:サポートされていません |
| ごみ箱 | サポート |
| 一括ダウンロードと削除 | サポート |
| ファイルボックス | ビュー:サポート; 削除:サポート; アップロード:サポート; ダウンロード:サポートされていません; ファイルボックスから送信:サポートされていません |
| ファイルプレビュー (サムネイル) | 未サポート |
| Web ブラウザでドキュメントを表示する | 未サポート |
| ファイルの再アップロード | 未サポート |
| ファイルごとに複数のバージョン | 未サポート |
| 検索 | 制限付きゾーンアイテムが検索結果に含まれない |
| フォルダをお気に入りとしてマークする | 未サポート |
| ファイルをコピーまたは移動する | 未サポート |
| フォルダオプションの編集:フォルダの有効期限、ファイル保存ポリシー | サポート |
| 共有フォルダのバブリング | 未サポート |
エンドユーザーのアクション:共有とコラボレーション:
| ファイルの送信:アップロードの要求、ShareFile を使用したメールの送信、コピー可能なリンクの送信、ユーザーのログオン要求、ダウンロード数の制限 | サポート |
| 共有ファイルの受信とダウンロード | サポート |
| 制限付きストレージゾーンに共有フォルダを作成する | サポート |
| フォルダへのユーザーの追加:アップロードとダウンロードの権限の制御 | サポート |
| ファイルをリクエストする | サポート |
| 「ShareFile ログインが必要」を有効にしてファイルをリクエストする | 未サポート |
| メール通知 | サポート |
| 受信トレイ:私に送信されたファイル | サポート |
| 受信トレイ:送信済みメッセージ | 表示、期限切れ、再送信、編集:サポート |
| アクティビティログの表示 | サポート |
| 署名を取得する(RightSignature経由で) | 未サポート |
管理アクション:
| 制限付きゾーンにユーザーを作成する | サポート |
| ユーザーを別のゾーンに移行する | 未サポート |
| レポート:アクセス監査、使用状況レポート、メッセージングレポート、帯域幅レポート、ストレージレポート | HTML ビューア:サポート; Excel/CSV/PDF ビューア:暗号化されたメタデータの表示 |
| ゾーン管理 | |
| ストレージ使用率の監視 | サポート |
| 帯域幅使用率の監視 | サポート |
| ファイル・アクティビティの監視 | サポート |
| ファイルの回復 | 未サポート |
| ファイルをリコンサイルする | 未サポート |
| ゾーンを削除 | サポート |
| 高可用性 | サポート |
Sync for Windows
最小バージョン-3.1
| ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) | サポート |
| ドメイン以外のクライアントからの認証-ユーザーにパスワードの入力を求められます | サポート |
| 制限付きゾーンで「マイファイルとフォルダ」を同期する | サポート |
| 制限付きゾーンからの共有フォルダーの同期 | サポート |
| アップロード、ダウンロード、同期 | サポート |
| XenAppおよびXenDesktop ktop環境のオンデマンド同期 | 未サポート |
| お気に入りフォルダを表示する | 制限付きストレージゾーンフォルダでは使用できません |
| 右クリック > リンクをコピー | サポート |
| 右クリック/メールファイル | サポート |
モバイルアプリ
以下のアプリ固有の表を参照してください。
iOS-最小バージョン3.3
| ファイルを参照してダウンロードする | サポート |
| コンテンツをオフラインで表示する | サポート |
| フォルダーの作成 | サポート |
| ファイルの作成または編集 | サポート |
| 写真またはビデオをアップロードする | サポート |
| ユーザー名/パスワードで認証する | サポート |
| WorxマイクロVPNでのシングルサインオン | サポート |
| 共有:リンクをコピーする | サポート |
| 共有:メールで共有 | 未サポート |
| フォルダメモを追加または編集する | 未サポート |
| メモを作成するか、既存のメモを編集する | 未サポート |
| フォルダへのユーザーの追加、または既存のフォルダのアクセス許可の編集 | 未サポート |
| フォルダをお気に入りにマーク/マーク解除する | 未サポート |
| ファイルをリクエストする | 未サポート |
| サムネイルプレビュー | 未サポート |
| 複数項目の削除 | 未サポート |
| フォルダをオフラインで使用できるようにする | ルートレベルの「私と共有」フォルダを除いてサポートされます |
| フォルダを共有する | ルートレベルの「私と共有」フォルダを除いてサポートされます |
| 制限されたストレージゾーンにコネクタを作成する | 未サポート |
Android-最小バージョン3.4
| ファイルを参照してダウンロードする | サポート |
| コンテンツをオフラインで表示する | サポート |
| ファイルを送信する | サポート |
| フォルダーの作成 | サポート |
| ファイルの作成または編集 | サポート |
| ファイルのアップロード | サポート |
| ユーザー名/パスワードで認証する | サポート |
| WorxマイクロVPNでのシングルサインオン | サポート |
| ファイルをリクエストする | 未サポート |
| メモを作成 | 未サポート |
| アップロード後に既存のファイルを上書き | 未サポート |
Outlookプラグイン
| ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) | サポート |
| ドメイン以外のクライアントからの認証-ユーザーにパスワードの入力を求められます | サポート |
| ShareFileからファイルを参照して選択 | サポート |
| 「受信者にログインを要求する」を有効にして、ShareFileからファイルを参照して選択する | 未サポート |
| 添付ファイルをShareFileリンクに変換する | サポート |
| 「受信者にログインを要求する」を有効にして、添付ファイルをShareFileリンクに変換する | 未サポート |
| ファイルをリクエストする | サポート |
| [受信者にログインを要求する] を有効にしてファイルを要求する | 未サポート |