制限付きストレージゾーン
制限付きストレージゾーンは、機密データを保護するために利用されます。制限付きストレージにアクセスできるのは従業員だけです。
サードパーティのユーザー認証は、制限ゾーンではサポートされていません。
注:
制限付きストレージゾーンは [保守終了] です。このライフサイクルポリシーについては、「ライフサイクルマイルストーンの定義」で詳しく説明します。新しい制限付きストレージゾーンの作成はサポートされていません。制限付きストレージゾーンを利用している既存のお客様は、将来の製品マイルストーンについてさらに連絡を受けることができます。
制限されたゾーン機能
ゾーン認証: ユーザーは、ShareFile へのログオンに加えて、制限されたゾーンに保存されているドキュメントにアクセスするには、Storage Zone Controller に対して個別に認証する必要があります。ディレクトリ検索により、ShareFile にログオンしているユーザーがゾーンに対して認証しているユーザーと同じであることが保証されます。この追加の認証要件により、共有が制限されます。ドキュメントを共有できるのは、Storage Zone Controller へのアクセス権を持ち、エンタープライズ認証情報を使用して認証できるユーザーのみです。制限付きゾーンでは、ファイルを匿名で共有することはできません。ユーザーは、ファイルを表示するためのアクセス許可を付与し、共有ファイルを受信するには常にログオンする必要があります。
メタデータの暗号化: ゾーン内のファイルやフォルダに関するすべての情報は、ShareFile に送信される前にキーで暗号化されます。その結果、組織外の誰も制限区域内のフォルダ名またはファイル名を表示できません。暗号化キー、復号化されたファイル、およびメタデータへのアクセスは、Storage Zone Controller へのエンタープライズ認証を介してのみ使用できます。
Storage Zone Controller 内部アドレス: 制限付きゾーンでは、Storage Zone ControllerとShareFile クラウドの間ではなく、Storage Zone ControllerとShareFileクライアント間で承認が行われます。その結果、制限付きゾーンをホストするStorage Zone Controller は、外部アドレスまたは外部 SSL 証明書を必要としません。Storage Zone Controller が内部のみのアドレスで構成されている場合、ユーザーは制限付きゾーン内のドキュメントにアクセスするために会社のネットワークまたは VPN に接続する必要があります。
メールサーバーからのメール通知: ユーザーが制限付きゾーン内の共有ファイルとフォルダに関するメール通知を受信すると、そのメールはShareFile サーバーではなく内部メールサーバーから送信されます。
標準ゾーンと制限付きゾーンの違い
| プロパティ | 標準ゾーン | 制限付きゾーン |
|---|---|---|
| Storage zone servers can be managed by… | Citrix またはあなた | あなた |
| User authentication is handled by… |
ShareFile.com または ShareFile.eu
|
ShareFile.comまたはShareFile.euとオンプレミスのStorage Zone Controller の組み合わせ |
| Files can be shared with… | 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) | 従業員またはドメインアカウントを持つ他のユーザー |
| File and folder metadata stored in the ShareFile control plane is… | クリアテキストで格納され、一部のCitrix 従業員が閲覧できます | 秘密鍵で暗号化され、Citrix では利用できません |
| Email notifications are sent using… | ShareFile メールサーバーまたはSMTPサーバー | SMTPサーバー |
| An external address for the zone is… | 必須 | 必須ではありません |
標準ストレージゾーンと制限付きストレージゾーン
ストレージゾーンは、標準または制限付きとして指定できます。
- 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。
- 制限付きストレージゾーンは機密データを保護する:従業員のみがゾーンに格納されているデータにアクセスできます。
次の表は、標準ゾーンと制限ゾーンの違いをまとめたものです。
| プロパティ | 標準ゾーン | 制限付きゾーン |
|---|---|---|
| Storage zone servers can be managed by… | Citrix またはあなた | あなた |
| User authentication is handled by… |
ShareFile.com または ShareFile.eu
|
ShareFile.comまたはShareFile.euとオンプレミスのStorage Zone Controller の組み合わせ |
| Files can be shared with… | 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) | 従業員またはドメインアカウントを持つ他のユーザー |
| File and folder metadata stored in the ShareFile control plane is… | クリアテキストで格納され、一部のCitrix 従業員が閲覧できます | 秘密鍵で暗号化され、Citrix では利用できません |
| Email notifications are sent using… | ShareFile メールサーバーまたはSMTPサーバー | SMTPサーバー |
| An external address for the zone is… | 必須 | 必須ではありません |
Citrix管理ゾーンでは、ShareFile クラウドは、Storage Zone Controller によって処理される従業員認証を除くすべての操作を実行します。
標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、メール通知 (SMTP)、サードパーティのユーザー認証、フォルダのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージと暗号化は、Controller によって処理されます。
制限ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、フォルダのアクセス許可がクラウドで処理されます。従業員認証、ファイルストレージと暗号化、ファイルメタデータ、アップロードとダウンロードの承認、メール通知(SMTP)はController によって処理されます。サードパーティのユーザー認証は、制限ゾーンではサポートされていません。
ShareFile では、アカウント内の標準ゾーンと制限ゾーンの組み合わせがサポートされています。複数の制限ゾーンを作成し、それぞれに固有の認証要件を設定できます。たとえば、ドメイン A のユーザーがドメイン B のユーザーとファイルを共有することを許可しない場合は、ドメインごとに個別の制限ゾーンをインストールします。
このセクションの残りの部分では、ShareFile管理ゾーン、標準ゾーン、および制限されたゾーンのワークフローについて説明します。
制限付きストレージゾーンの概念実証の導入
制限ゾーン用に構成されたStorage Zone Controller は、ShareFile クラウドからの受信接続を受け入れる必要はありません。内部アドレスで設定できます。次の図は、ユーザーデバイス、ShareFile クラウド、Storage Zone Controller 間のトラフィックフローを示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controller は、アクセスを制御するためにファイアウォール内に存在します。ShareFile へのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスに SSL 証明書をインストールする必要があります。パブリック証明書も使用できます。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーンの高可用性展開
制限ゾーン用に構成されたStorage Zone Controllerは、ShareFile クラウドからの受信接続を受け入れる必要はありません。各コントローラーを内部アドレスで設定できます。次の図は、制限付きゾーンの高可用性展開を示しています。
このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。Storage Zone Controllerは、アクセスを制御するためにファイアウォール内に存在します。ShareFile へのユーザー接続は、ファイアウォールを通過し、ポート443でSSLプロトコルを使用してこの接続を確立する必要があります。この接続をサポートするには、ファイアウォールでポート 443 を開き、Storage Zone Controllerの IIS サービスに SSL 証明書をインストールする必要があります。パブリック証明書も使用できます。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーン
次の表は、ユーザーがShareFile にログオンし、制限されたゾーンからドキュメントをダウンロードするときに発生するネットワーク接続を示しています。すべての接続で HTTPS が使用されます。
| 手順 | 接続元 | 接続先 |
|---|---|---|
| 1. ユーザーログオン要求 | クライアント | company.sharefile.com |
| 2. ADFS を使用している場合は、SAML IdP ログオンにリダイレクトします。 | クライアント | SAML ID プロバイダー URL |
| 3. ファイル/フォルダの列挙とダウンロード要求 | クライアント | szc.company.com |
| 4. ファイルのダウンロード許可と暗号化されたメタデータの取得 | szc.company.com |
company.sharefile.com |
| 5. ファイルのダウンロード | クライアント | szc.company.com |
制限付きストレージゾーンの展開
次の図は、制限付きゾーンの高可用性展開を示しています。
制限ゾーンの場合、Storage Zone Controller は、ShareFile からではなく、ローカルSMTPサーバーからメール通知を送信します。
制限付きゾーンのネットワーク接続
次の図と表は、ユーザーがShareFile にログオンし、制限されたゾーンにドキュメントをアップロードするときに発生するネットワーク接続を示しています。この場合、アカウントは、SAML ログオンに Active Directory フェデレーションサービス (ADFS) を使用します。認証トラフィックは、信頼できるネットワーク上の ADFS サーバーと通信する ADFS プロキシサーバーによって処理されます。
| 手順 | 接続元 | 接続先 | プロトコル |
|---|---|---|---|
| 1. ShareFile クライアントまたはブラウザが接続を開く | クライアント |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
| 2. (オプション)「SAML IdP ログオン」にリダイレクトします。 | クライアント | SAML ID プロバイダー URL | HTTPS |
| 3. ShareFile がユーザーをStorage Zone Controller にリダイレクトする | クライアント |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
| 4. クライアントがWindows認証情報をStorage Zone Controllerに送信する | クライアント | Storage Zone Controller | HTTPS |
| 5. Storage Zone Controller が認証情報を検証し、クライアントアクセスを許可する | Storage Zone Controller | ドメインコントローラー | kerberos |
| 6. クライアントがStorage Zone Controller にファイルをアップロードする | クライアント | Storage Zone Controller | HTTPS |
| 7. 制限ゾーンのストレージリポジトリにファイルが書き込まれる | Storage Zone Controller | ローカル ストレージ | CIFS |
| 8. Storage Zone Controller がファイルメタデータを暗号化し、ShareFile に送信する | Storage Zone Controller |
company.sharefile.com または company.sharefile.eu
|
HTTPS |
制限付きストレージゾーンの場合:
-
内部ホスト名または外部ホスト名を使用します。
-
ShareFile との通信でSSLを有効にします。
内部ホスト名を使用する場合は、プライベート証明書を使用できます。証明書は、ユーザーデバイスによって信頼されている必要があります。
外部ホスト名を使用する場合、Storage Zone Controller の SSL 証明書は、ユーザーデバイスおよび ShareFile Web サーバーによって信頼されている必要があります。
-
Storage Zone Controller から次のサービスバス URI のいずれかに送信HTTPアクセスを提供します。
- ShareFile.com アカウント:
sf-zk-email-use.servicebus.windows.net - ShareFile.eu アカウント:
sf-zk-email-euw.servicebus.windows.net
ネットワークチームとネットワークの依存関係を整理してください。
- ShareFile.com アカウント:
制限付きストレージゾーンのクライアント要件
ShareFile Webアプリケーションは、次のWebブラウザから制限されたストレージゾーンをサポートします。
-
Internet Explorer 11
ShareFile Webアプリケーションから制限ゾーン内のフォルダおよびコネクタへのアクセスを有効にするには:
- Internet Explorer を開き、[インターネットオプション] に移動し、[ セキュリティ ] タブをクリックし、[ 信頼済みサイト] をクリックします。
- [サイト] をクリックし、サブドメインと外部Storage Zone Controllerアドレスを追加します。
- [ 閉じる ] をクリックし、[ レベルのカスタマイズ] をクリックします。
- 各ドメインの [その他] > [データソースにアクセス] では、[有効化] を選択します。
- [ユーザー認証] > [ログオン]では、ユーザー名とパスワードを [要求する] を選択します。
-
Chrome
-
Firefox
-
Safari
-
Secure Web
制限付きストレージゾーンをサポートするには、ShareFile クライアントを次のバージョン以降にアップグレードする必要があります。
- ShareFile Sync for Windows 3.1
- ShareFile Outlook プラグイン 3.2.2
- ShareFile for iOS 3.3
- ShareFile for Android 3.4
- ShareFile for Windows Phone 2.3.10
これらのShareFile クライアントとツールは、この資料の公開日現在、制限付きストレージゾーンでの使用はサポートされていません。
注:ShareFile クライアント機能の最新情報については、 ShareFile サポート サイトを参照するか、ShareFileサポート担当者にお問い合わせください。
-
ShareFile Desktop Sync for Windows 3.1 およびShareFile Outlook Plug-inのオフドメイン使用
クライアントは、Storage Zone Controller サーバーと同じ Active Directory フォレストにあるドメインに参加している Windows デスクトップ上に存在する必要があります。クライアントは、NTLM または Kerberos を使用して、制限付きゾーンへのサイレント認証を行うことができます。
-
On-Demand Sync for Windows
-
Sync for Mac
-
ShareFile Enterprise Sync Manager
-
Secure Mail for iOS
-
ShareFile Desktop ウィジェット
-
ShareFile for BlackBerry
-
ShareFile モバイルサイト
以下の代替アカウントアクセス方法は、制限付きストレージゾーンでの使用にはサポートされていません。
- FTP
- PowerShell
- ShareFile コマンドラインインターフェイス(SFCLI)
- HTTPS API (V1)
- WebDav
- SMTP
重要
ShareFile、 DFSレプリケーションを公式にサポートしておらず、推奨していません。これは、大きなファイルのロック障害を引き起こすことが知られています。DFS レプリケーションを使用する必要がある場合は、ゾーンがアクティブに使用されていないオフピーク時間帯に個別のバックアップソリューションを使用します。
制限付きストレージゾーンのアップグレード
StorageZones Controller を最新バージョンにアップグレードすると、そのコントローラは引き続き標準ゾーンを使用します。標準ゾーンを制限ゾーンにアップグレードすることはできません。
標準ゾーンを制限ゾーンに置き換えるには、新しいStorage Zone Controller をインストールし、制限ゾーンを構成する必要があります。
制限ゾーンまたはコネクタへのWebアクセスをサポートするには、ウィザードの完了後に追加のCitrix ADC 構成を実行する必要があります。この構成により、信頼されたShareFile ドメインにログオンしたときにのみ、ShareFileクライアントが資格情報を送信することが保証されます。コネクタへの Web アクセスをサポートするには、/cifs および /spへのトラフィックに使用されるコンテンツスイッチングポリシーにパス (/ProxyService) も追加します。
制限ゾーンの追加情報
制限付きストレージゾーンのサポートは、ShareFile サービスのすべての側面に影響します。メタデータの暗号化とゾーン認証をサポートするために必要なプロトコルの変更により、 一部のShareFileクライアントおよび機能は制限付きストレージゾーン内のドキュメントを操作する際にサポートされません。
コンテンツ
- クライアントとツール
- Webブラウザー
- 機能
- Sync for Windows
- モバイルアプリ
- Outlookプラグイン
クライアントとツール
| Sync for Windows | 3.1 以降に |
| Microsoft Outlookのプラグイン | 3.2.2 以降 |
| On-Demand Sync for Windows | 未サポート |
| Drive Mapper | 3.01.171.0 以降 |
| ShareFile for iOS | 3.3 — MDXのみ |
| ShareFile for Android | 3.4 およびアップ |
| ShareFile for Windows Phone 8 | 2.3.10以降 |
| Sync for Mac | 未サポート |
| ShareFile Desktop | 未サポート |
| XenMobile WorxMail for iOS | 未サポート |
| XenMobile WorxMail for Android | サポートされている |
| ShareFileへの出力 | 未サポート |
| モバイルサイト | 未サポート |
| その他のアカウントアクセス方法 | |
| PowerShell | 未サポート |
| SFCLI | 未サポート |
| REST API(V3) | サポートされている |
| HTTPS APT(V1) | 未サポート |
| RSZ Test Coverage | 未サポート |
| FTP | 未サポート |
| フォルダにファイルをメールで送信する | 未サポート |
| .Net SDK | サポートされている |
Webブラウザー
| Windows | Internet Explorer 11, Firefox (最新バージョン), Chrome (最新バージョン) |
| macOS | Safari (最新バージョン), Firefox (最新バージョン), Chrome (最新バージョン) |
| iOS | Safari, Secure Web |
| Android | Secure Web |
機能
エンドユーザーのアクション:ファイルの操作:
| ファイルの参照とダウンロード | サポートされている |
| ファイルのアップロード (アップローダの種類) | HTML5: サポート; Flash: サポートされていません; Java: サポートされていません; 標準 HTML フォーム:サポートされていません |
| ごみ箱 | サポートされている |
| 一括ダウンロードおよび削除 | サポートされている |
| ファイルボックス | 表示:サポート; 削除:サポート; アップロード:サポート; ダウンロード:サポートなし; ファイルボックスから送信:サポートなし |
| ファイルプレビュー (サムネイル) | 未サポート |
| Web ブラウザでのドキュメントの表示 | 未サポート |
| ファイルの再アップロード | 未サポート |
| ファイルごとに複数のバージョン | 未サポート |
| 検索 | 検索結果に含まれない制限付きゾーンアイテム |
| フォルダをお気に入りとしてマークする | 未サポート |
| ファイルのコピーまたは移動 | 未サポート |
| フォルダオプションの編集:フォルダの有効期限、ファイルの保存ポリシー | サポートされている |
| 共有フォルダのバブリング | 未サポート |
エンドユーザーのアクション:共有とコラボレーション:
| ファイルの送信:アップロードの要求、ShareFile を使用したメールの送信、コピー可能なリンクの送信、ユーザーのログオン要求、ダウンロード数の制限 | サポートされている |
| 共有ファイルの受信とダウンロード | サポートされている |
| 制限付きストレージゾーンに共有フォルダーを作成する | サポートされている |
| フォルダへのユーザーの追加:アップロードとダウンロードの権限の制御 | サポートされている |
| ファイルをリクエストする | サポートされている |
| 「ShareFileログインが必要」を有効にしてファイルをリクエストする | 未サポート |
| メール通知 | サポートされている |
| 受信トレイ:ファイルが送信されました | サポートされている |
| 受信トレイ:送信済みメッセージ | 表示、期限切れ、再送信、編集:サポート |
| アクティビティログの表示 | サポートされている |
| 署名を取得する(RightSignature 経由) | 未サポート |
管理アクション:
| 制限付きゾーンでのユーザーの作成 | サポートされている |
| ユーザーを別のゾーンに移行する | 未サポート |
| レポート:アクセス監査、使用状況レポート、メッセージングレポート、帯域幅レポート、ストレージレポート | HTML ビューア:サポート; Excel/CSV/PDF ビューア:暗号化されたメタデータを表示 |
| ゾーン管理 | |
| ストレージ使用率の監視 | サポートされている |
| 帯域幅の使用状況を監視する | サポートされている |
| ファイルアクティビティの監視 | サポートされている |
| ファイルの回復 | 未サポート |
| ファイルをリコンサイルする | 未サポート |
| ゾーンの削除 | サポートされている |
| 高可用性 | サポートされている |
Sync for Windows
最小バージョン-3.1
| ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) | サポートされている |
| ドメイン以外のクライアントからの認証-パスワードの入力を求められたユーザー | サポートされている |
| 制限付きゾーンで「マイファイルとフォルダ」を同期する | サポートされている |
| 制限付きゾーンから共有フォルダーを同期する | サポートされている |
| アップロード、ダウンロード、同期 | サポートされている |
| XenApp環境およびXenDesktop ktop環境でのオンデマンド同期 | 未サポート |
| お気に入りフォルダを表示する | 制限付きストレージゾーンフォルダでは使用できません。 |
| 右クリック/リンクをコピー | サポートされている |
| 右クリック/メールファイル | サポートされている |
モバイルアプリ
以下のアプリ固有の表を参照してください。
iOS-最低バージョン3.3
| ファイルの参照とダウンロード | サポートされている |
| コンテンツをオフラインで表示 | サポートされている |
| フォルダーの作成 | サポートされている |
| ファイルの作成または編集 | サポートされている |
| 写真またはビデオをアップロードする | サポートされている |
| ユーザー名/パスワードによる認証 | サポートされている |
| Worx マイクロ VPN によるシングルサインオン | サポートされている |
| 共有:リンクをコピーする | サポートされている |
| 共有:メールで共有 | 未サポート |
| フォルダメモを追加または編集する | 未サポート |
| メモの作成または既存のメモの編集 | 未サポート |
| フォルダーにユーザーを追加するか、既存のフォルダーのアクセス許可を編集する | 未サポート |
| フォルダをお気に入りとしてマーク/マーク解除 | 未サポート |
| ファイルをリクエストする | 未サポート |
| サムネイルプレビュー | 未サポート |
| 複数項目の削除 | 未サポート |
| フォルダをオフラインで使用できるようにする | ルートレベルの「私と共有」フォルダを除いてサポート |
| フォルダを共有する | ルートレベルの「私と共有」フォルダを除いてサポート |
| 制限付きストレージゾーンにコネクタを作成する | 未サポート |
Android-最低バージョン3.4
| ファイルの参照とダウンロード | サポートされている |
| コンテンツをオフラインで表示 | サポートされている |
| ファイルを送信する | サポートされている |
| フォルダーの作成 | サポートされている |
| ファイルの作成または編集 | サポートされている |
| ファイルのアップロード | サポートされている |
| ユーザー名/パスワードによる認証 | サポートされている |
| Worx マイクロ VPN によるシングルサインオン | サポートされている |
| ファイルをリクエストする | 未サポート |
| メモを作成 | 未サポート |
| アップロード後に既存のファイルを上書き | 未サポート |
Outlookプラグイン
| ドメインに参加しているクライアントからの認証 (NTLM または Kerberos) | サポートされている |
| ドメイン以外のクライアントからの認証-パスワードの入力を求められたユーザー | サポートされている |
| ShareFileからファイルを参照して選択する | サポートされている |
| 「受信者にログインを要求する」が有効になっているShareFileからファイルを参照して選択 | 未サポート |
| 添付ShareFile リンクに変換する | サポートされている |
| 「受信者にログインを要求する」を有効にして添付ShareFile リンクに変換する | 未サポート |
| ファイルをリクエストする | サポートされている |
| [受信者にログインを要求する] を有効にしたファイルを要求する | 未サポート |