Microsoft Intune/EMSおよびAndroid Enterprise とのCitrix Endpoint Management 統合に関するリファレンスアーキテクチャ

Citrix Endpoint Management 概要

Citrix Endpoint Managementは、包括的な統合エンドポイント管理ソリューションにより、デバイスとアプリの管理を簡素化します。また、作業を指導および自動化するインテリジェンス機能など、あらゆる場所やデバイスで、生産性を高めるために必要なすべてのものにアクセスできます。Citrix Virtual Apps and Desktops には、クラウド管理オプションもあります。Citrix Endpoint Management は、Citrix Cloudのサービスとして利用できます。これにより、お客様はインフラストラクチャを管理する必要がなくなり、デバイスポリシーとアプリケーション管理に集中できます。

Citrix Endpoint Management ementには、モバイルデバイス管理(MDM)およびモバイルアプリ管理(MAM)の機能があります。EndEndpoint ManagementのMDM機能を使用すると、管理者はデバイスポリシーとアプリの展開、資産インベントリの取得、デバイスへの操作(デバイスワイプなど)を実行できます。Endpoint Management のMAM機能により、自分のモバイルデバイスでのアプリとデータの保護、モバイルエンタープライズアプリの配信、アプリのロック、アプリデータのワイプが可能になります。

シトリックスのドキュメントを参照してください。これは、XenMobile と呼ばれていたEndpoint Management 展開のリファレンスアーキテクチャを示しています。展開シナリオには、コアアーキテクチャとして MDM のみ、MAM のみ、および MDM+MAM が含まれます。

製品ドキュメントを参照してください。この図には、Endpoint Management コンポーネントおよび通信フローに関する包括的なリファレンスアーキテクチャ図が示されています。また、コアリファレンスアーキテクチャ、Citrix Virtual Apps and Desktops との統合、Exchange ActiveSync用のEndpoint Management コネクタ、およびExchange ActiveSync用のCitrix Gatewayコネクタについても説明します。

Microsoft EMS Overview

Microsoft EMSは、Microsoft Enterprise Mobility + Securityの略です。これには、次のものが含まれます。

  • Azure Active Directory プレミアム — どこからでもすべてのリソースに対してシングルサインオンを可能にする Microsoft ID ハブ。条件付きアクセスや多要素認証などのセキュリティ側面が含まれます。

  • Microsoft Intune — モバイルデバイス上のユーザー、データ、アプリのセキュリティ制御を提供する Microsoft モバイルデバイス管理およびモバイルアプリ管理ソリューションです。Microsoft は、System Center Configuration Manager (SCCM) と Microsoft Intune モバイル管理サービスを「Microsoft Endpoint Manager」という新しいブランドに統合する予定です。

  • Azure Rights Management — 保護されたデータにアクセスするための権限を管理および強制するドキュメントレベルのセキュリティを提供します。

  • Microsoft の高度な脅威分析 — ビッグデータを活用して脅威を特定し、リスクを通知するリアルタイムのセキュリティ監視を提供

Microsoft EMS は、企業のニーズに応じて異なる機能のセットを持ついくつかのMicrosoft製品を通じてライセンスされています。EMSにはIntuneライセンスが含まれているため、すべてのEMSのお客様は、Intune MDMおよび/またはIntuneアプリ保護機能を利用できます。

Citrix Endpoint ManagementとMicrosoft Intune/EMSとの統合

両方の製品間の統合の目的は、アプリケーションを任意のデバイスに安全に提供することです。Microsoft Intune/EMSとの統合は、Citrix Endpoint Management サービスの機能であり、IntuneおよびEMS対応アプリ(Office365やその他の基幹業務アプリなど)用のオンプレミスリソースへの安全なアクセスを提供することで、Microsoft EMS + Intuneに付加価値をもたらします。IntuneおよびCitrix Endpoint Management のお客様には、セキュリティと生産性のメリットも提供されます。

エンタープライズ組織向けのモバイルアプリ展開には、次のものが含まれます。

  • Office 365 アプリ
  • その他のネイティブモバイルアプリ
  • オンプレミスでホストされるカスタムビルドアプリ
  • ウェブアプリと SaaS アプリ
  • オンプレミスとクラウドでホストされる仮想化アプリ

最近の組織は、自分のデバイス持ち込み (BYOD) または会社所有デバイス (COD) 用のエンタープライズモビリティ管理および Office365 アプリを展開しており、Microsoft EMS/Intune が含まれています。最も人気のあるOffice365アプリは、ワード、エクセル、Outlook、およびPowerPointです。Microsoft SharePoint や Microsoft Dynamics 365 など、他の Office 365 アプリもあります。エンドユーザーは、デバイス上でこれらの生産性アプリにアクセスする必要があります。エンタープライズ組織は、これらのアプリを監視し、アプリがユーザーデバイス上のデータを処理する方法を、最高のユーザーエクスペリエンスで監視する必要があります。

Citrix Secure Digital Workspaceの一部として、ITEndpoint Management はMicroVPN接続を構成し、モバイルアプリケーションに適用することができます。デバイス上の各管理対象モバイルアプリには、独自のプライベート Micro-VPN があります。このマイクロVPNから、アプリケーションデータは、エンドポイントからファイアウォールの内側にある企業リソースロケーションに安全にフローできます。Citrix Endpoint Management は、Office 365アプリと組織アプリ間でデータやドキュメントを交換する機能も提供します。Citrix Gatewayの助けを借りて、Citrix Endpoint Management はアプリケーションごとのマイクロVPNを提供して、動作中のデータを保護することができます。

この統合により、Citrix Endpoint Management(CEM)は、Microsoft Intuneデバイスコンプライアンスサービスを通じて、デバイスコンプライアンスステータスをAzure Active Directory プレミアムにプッシュできます。CEM では、Microsoft Intune デバイスコンプライアンスサービスと Azure Active Directory 条件付きアクセスを通じて、企業リソースへのアクセスに関する適切な条件が満たされていることを確認します。

概念アーキテクチャ

Citrix-Endpoint-Management-Image-1

EMS/IntuneとのCEM統合のメリット

Citrix Endpoint Management を使用すると、企業のデータとアプリを個人用アプリやエンドポイントデバイス上のデータを保護し、隔離することができます。Citrix Endpoint Management には、エンタープライズ向けに設計されたセキュアなプライベートアプリストアであるアプリストアが付属しています。このアプリストアでは、IT 部門は企業アプリとパブリックアプリを提供できます。

CEMは、Citrix EndpointマイクロVPNの価値を、Microsoft Intune対応のアプリケーション(Microsoft Managed Browserなど)にもたらします。また、企業は自社の基幹業務アプリをIntuneおよびCitrixでラップし、Intuneモバイルアプリ管理(MAM)コンテナ内でマイクロVPN機能を提供します。Citrix Endpoint Micro-VPNを使用すると、モバイルアプリがオンプレミスのリソースにアクセスできます。

IT部門は、Office 365アプリ、基幹業務アプリ、Citrix Secure Mailを1つのコンテナで管理および配信し、セキュリティとユーザーの生産性を最大限に高めることができます。MicroVPNは、CEM/XenMobile SDKに統合されたアプリを介して、市場をリードするCitrix Gatewayのリモートアクセス機能をモバイルデバイスに提供します。Secure Hub がモバイルデバイス上で開始するオンデマンドアプリケーションVPN接続で、企業のネットワーク・サイトまたはリソースにアクセスします。

Citrix-Endpoint-Management-Image-2

Intune と CEM 統合のユースケースの例

CEM Micro-VPN 機能を使用すると、ユーザーは Intune ブラウザーを使用して内部リソースにアクセスできます。このブラウザーには CEM/XenMobile Micro-VPN SDK が組み込まれており、デバイスレベルの VPN や MDM の完全登録は必要ありません。

CEM Micro-VPN 機能を使用すると、IT 管理者は、デバイスレベルの VPN を設定したり、MDM の完全登録を行わなくても、オンプレミスでホストされている基幹業務アプリサーバーにアクセスできるようになります。

展開モード

Citrix Endpoint Management Microsoft EMSは、さまざまな方法で連携できます。ここでは、Intune デプロイメントモデルまたはシナリオとの統合に焦点を当てています。以下のセクションでは、Endpoint ManagementとIntuneで考えられるモビリティ管理のシナリオを示します。適切な導入モデルの選択は、モビリティ要件や現在のライセンス投資など、いくつかの要因によって異なります。各展開モデルには独自のメリットがあります。目標は、CitrixとMicrosoftが共同で提供する「最高のもの」を提供するソリューションを強調することです。

3つの主要な統合シナリオを見ていきましょう。

Citrix MDM + Intune MAM + mVPN SDK

推奨される導入モデル。主要な利点をすべて単一のソリューションにまとめます。Citrixコンソール内のMicrosoft Graph APIへのアクセスにより、優れた管理者エクスペリエンスを提供します。すべてのCitrixアプリはIntune啓発されているため、DLPを使用して単一のコンテナ内でデータを安全に共有できます。また、すべてのMicroVPN付加価値が含まれており、優れたユーザーエクスペリエンスを提供します。このモデルは、Intune MAM for Office 365アプリとSecure Mailを使用した包括的なCitrix統合Endpoint Management を適用します。

Citrix-Endpoint-Management-Image-3

Intune MDM + Intune MAM + mVPN SDK

この展開モデルは、Intune を MDM (登録済みデバイス) として使用している既存の Microsoft EMS のお客様にとって一般的なシナリオです。マイクロVPNを使用したCitrix Endpoint Management では、いくつかの分野で付加価値を提供します。これには、啓発されたShareFile、Secure Mail、XenMobile SDKを使用したMicrosoft管理Intuneブラウザ、Citrix Gateway NAC、Intune EMSとのCEM統合によるIntune構成を容易にするCEM統合が含まれます。さらに、再登録は必要ありません。したがって、それは瞬時に価値を追加します。

Citrix-Endpoint-Management-Image-4

Intune MAM のみ + mVPN SDK

この展開モデルは、MDM 登録が邪魔になり、サードパーティの VPN ソリューションを使用してファイアウォールの背後にある企業リソースにアクセスする Intune のお客様にとって優れた価値を提供します。ただし、サードパーティ製の VPN ソリューションの欠点は、メンテナンスの増加、一貫性のない、高価なインフラストラクチャ、ライセンス、運用コストが必要になることです。さらに、アプリごとのVPNソリューションに加えて、デバイスのVPNソリューションは、一般的にモバイルデバイスにとって効率的ではなく、バッテリーの消耗の原因となります。一方、Citrix独自のMicro-VPNはクライアントレスであり、Citrix Gatewayの構成によって適切に制御されます。現在、Intune MDMの有無にかかわらず、Microsoftの管理されたIntuneブラウザを使用しているIntuneのお客様は、Citrix Micro-VPNを使用してイントラネットリソースにアクセスできるようになりました。

Citrix-Endpoint-Management-Image-5

デバイスの登録やデバイスレベルVPNは必要ありません。Citrixは、IntuneアプリまたはIntuneラップアプリ用のマイクロVPNを提供する唯一のベンダーです。MDM登録やレガシーデバイスVPNクライアントを使用する必要はありません。

Citrix-Endpoint-Management-Image-6

この展開モデルは、Intune と Citrix ラップアプリケーションの両方にデュアル MAM コンテナを利用したいお客様を対象としています。マイクロVPNを使用したMDMおよびMAMは、Content Collaboration、Secure Mail、XenMobile SDKを使用したMicrosoft管理Intuneブラウザ、Citrix Gateway NACなど、いくつかの分野で付加価値を提供します。Intune EMSウィザードとのCEM統合により、Intune 構成が容易になります。Secure MailがデフォルトでCitrix MAMコンテナに設定することが重要です。

統合の開始

統合を準備するためのシステム要件と前提条件については、シトリックスのドキュメントを参照してください。また、こちらガイドも参照してください。ここでは、Microsoft Intune/EMSとCitrix Endpoint Management との統合をセットアップして、Azure から任意のデバイスにアプリを安全に配信する方法について説明します。

Intune 統合の概要

CitrixとMicrosoftは、アプリケーションとデータを安全に配信するための柔軟なシナリオを提供するいくつかのイノベーションを提供しています。ここでは、適切なシナリオを選択することが成功の鍵です。シトリックスが共通する目標は、CitrixとMicrosoftが連携して提供できる最高のものを提供することで、組織の要件を満たすソリューションを提供することです。

CEM と EMS との統合により、アプリケーション単位の VPN オプションにより、より高いレベルのセキュリティが提供されます。また、動作中のデータと保存中のデータのセキュリティも提供します。これにより、モバイルデバイス管理およびモバイルアプリケーション管理のポリシーをきめ細かく設定できます。すべてのOffice 365アプリとCitrix Secure Mail とのシームレスな統合。さまざまなデバイスやプラットフォームを 1 つのペインで管理し、さまざまなサポート対象のデバイスやプラットフォームを管理できます。また、すべての企業アプリケーションに対応するエンタープライズアプリストアがあります。

Citrix Endpoint Management を搭載したAndroid Enterprise

Android Enterprise ズの概要

Googleは、2019年のAndroidリリースでデバイス管理者の廃止を発表しました。デバイス管理者権限を使用したデバイス管理は、Android デバイスのレガシー管理アプローチと見なされます。Android Enterprise は、最新の管理プラットフォームです。

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。このプログラムは、開発者がAndroidのサポートをCitrix Endpoint Management Managementなどのエンタープライズモビリティ管理(EMM)ソリューションに統合するためのAPIやその他のツールを提供します。

Android Enterpriseでは:

  • お客様は、Endpoint Management を使用して、企業所有のAndroidデバイスを管理し、自分の(BYO)Androidデバイスを管理できます。
  • お客様は、デバイス全体を管理することも、デバイス上の別の仕事用プロファイルを管理することもできます。個別の仕事用プロファイルは、ビジネスアカウント、アプリ、データを個人アカウント、アプリ、データから分離します。
  • お客様は、在庫管理など、使い捨て専用のデバイスを管理することもできます。

Endpoint Management が管理対象のGoogle Play と統合され、組織内でAndroid Enterprise を使用することを「エンタープライズ」と呼びます。Googleは、企業が組織とモバイル管理(EMM)ソリューションとの間の拘束力であると定義しています。組織がEMMソリューションを通じて管理するすべてのユーザーとデバイスは、その企業に属します。Endpoint Management がAndroid Enterprise と統合されている場合、完全なソリューションには次のコンポーネントがあります。

  • Citrix Endpoint Management:Citrix Endpoint Management ementは、セキュアなデジタルワークスペースのための統合エンドポイント管理です。Endpoint Managementは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • Citrix Secure Hub: Citrix DPCアプリ。Secure Hubは、Endpoint Managementのランチパッドです。Secure Hubはデバイスにポリシーを適用します。
  • 管理されたGoogle Play:Citrix Endpoint Management とそのAPIと統合するGoogleエンタープライズアプリプラットフォームで、アプリポリシーを設定し、アプリを配布します。

Citrix Endpoint Management を使用したAndroid Enterprise ズの利点

企業所有または従業員所有のどちらでも、Citrix Endpoint Management ementおよびAndroid Enterprise では、組織の情報を保護しながらユーザーの生産性を高めるために必要なコントロールを提供します。Citrix Endpoint Managementは、BYOD(Androidの仕事用プロファイル)と企業プロファイルなど、各Android Enterprise管理モードをサポートしています。これには、COPE(会社所有/個人有効)、COBO(会社所有/ビジネスのみ)、COSU(企業所有、シングルユース)のユースケースが含まれます。BYODユーザーの場合、Citrix Endpoint Management ユーザーが管理するAndroid Enterprise では、安心と個人のプライバシーを確保しながら、IT部門はデータのセキュリティとコンプライアンスの恩恵を受けることができます。

Citrix Endpoint Management によって管理されている場合、Android Enterprise は、企業情報を柔軟に保護できます。強化されたセキュリティやGoogle Play 保護などのAndroidセキュリティの複数のレイヤーを適用し、Citrix Endpoint Management Managementから高度なデバイスおよびアプリ管理コントロールを拡張します。

迅速なオンボーディングと登録のために、Citrix Endpoint Management ementは、EMMトークン、ゼロタッチ登録、NFC、QRコードなど、Android Enterprise が提供するさまざまなプロビジョニングオプションをサポートしています。Citrix Endpoint Managementによって管理されるAndroid Enterprise に加えて、ユーザーは管理されたGoogle Play を通じてAndroidビジネスアプリにシームレスにアクセスできます。Citrix Workspaceと組み合わせると、ユーザーは仮想、SaaS、Webなどの他のすべてのアプリにもアクセスできます。また、ユーザーは、統合されたワークフローを使用したCitrix Secure MailやCitrix Content Collaborationなど、Citrix業務用モバイルアプリを使用してより多くの作業を行うことができます。

デバイス管理の廃止の影響

Google は、以下のデバイス管理 API を廃止すると発表しました。Secure Hub をアップグレードしてAndroid QのAPIレベルを対象にした後、これらのAPIはAndroid Qを実行しているデバイスでは動作しません。

  • カメラの無効化: デバイスのカメラへのアクセスを制御します。
  • Keyguard機能:生体認証やパターンなど、デバイスのロックに関連する機能を制御します。
  • パスワードの有効期限:設定可能な時間が経過すると、ユーザーがパスワードを変更するように強制します。
  • パスワードの制限: パスワードの制限の要件を設定します。
  • このAPIの廃止は、Citrix MAM-onlyモードで登録されたデバイスには影響ありません。

エンタープライズ環境における Android デバイスのニーズの増加とそのユースケースの拡大に伴い、Google は Android Enterprise に最新の管理モード(仕事用プロファイル、完全管理、専用デバイス)を導入しました。ユースケースとプロファイルの詳細については、Google 開発者向けドキュメントを参照してください。

Citrix Endpoint Management を使用したAndroid Enterprise リファレンスアーキテクチャ

Citrix-Endpoint-Management-Image-7

EMMコンソールから新規顧客を登録するには、企業を作成する必要があります。Android Enterprise 展開では、企業では、ユーザーの個人データからの作業関連情報の分離、環境用の承認済みアプリの事前設定、デバイス機能の無効化(カメラなど)など、ユーザーデバイスのさまざまな側面を制御できます。Google ドキュメントを参照してください。

CEMサーバーでは、Android Enterprise 用のEMMパートナーとしてCitrixをバインドします(3ステップのプロセス)。CEM は、Google Play API を介してデータを管理するために使用されるエンタープライズサービスアカウントを作成します。Google Play インフラストラクチャは、マネージド型のプライベートエンタープライズアプリデリバリーストアを含むサービスを提供します。

統合が設定されると、Citrix Endpoint Management 対象のGoogle Play がシームレスに連携し、組織のAndroidデバイスおよび必要なパブリックアプリまたは企業アプリの保護、構成、管理を行います。

管理者は EMM コンソールを使用して、デバイス設定やアプリの構成など、さまざまなタスクを実行します。DPC Secure Hub は、インストールされているデバイス上で作業用プロファイルを作成し、管理します。仕事用プロファイルは、仕事関連の情報を暗号化し、ユーザーの個人用アプリやデータから分離します。仕事用プロファイルを作成する前に、DPC は、デバイスで使用するために管理された Google Play アカウントをプロビジョニングすることもできます。

仕事用プロファイルまたは完全に管理されたデバイス用の Android Enterprise では、ユーザーは管理対象の Google Play ストア経由でアプリを受け取ります。EMM 管理者は、パブリックアプリの使用を承認し、管理された Google Play ストアにプライベートアプリを追加することもできます。Citrix Endpoint Management とのOrgIDバインディングは、管理対象のGoogle Play ストアを通じて承認され、その組織に登録されているデバイスのプライベートアプリの表示を制御します。

Secure Hub は、組織の要件と制約を満たすために、管理者が設定したデバイスポリシーを適用します。たとえば、セキュリティポリシーでは、パスワード試行が一定回数失敗した後、デバイスのロックが必要になる場合があります。DPCは、現在のポリシーについてEMMコンソールに照会し、そのポリシーを適用します

プロビジョニング方法:

完全に管理されたデバイスプロビジョニング方式

QRコード — Android 9以降のデバイスには、QRコードリーダーが内蔵されています。この方法では、ユーザーは単にデバイスの電源をオンにし、ようこそ画面を6回タップし、QRコードをスキャンします。QRコードは、管理プロファイルにアクセスするためにGoogle Play に接続して登録プロビジョニングプロセスを自動的に開始します。

Android ゼロタッチ — IT 管理者は、Android ゼロタッチ登録を使用して、UEM 構成を作成、編集、削除できます。これにより、登録が完了した状態でデバイスまたはデバイスのグループを出荷できます。ユーザーが行う必要があるのは、デバイスの電源を入れ、Wi-Fiに接続し、パスワードを入力することです。

EMMトークン — この方法では、ユーザーのIT部門がトークンを提供します。Citrix Endpoint Management の場合、トークンはafw #xenmobile です。このトークンは、ユーザーが「電子メールまたは電話」を求められたときに、新しいデバイスの電源がオンになった後に入力する必要があります。正しいEMMトークンを入力すると、Citrix Endpoint Management デバイスポリシーコントローラーアプリがダウンロードされるため、ユーザーは資格情報を入力するだけでセットアップできます。

NFC バンプ — NFC バンプ方式では、「近接フィールド通信」を使用してデバイスをプロビジョニングします。NFC バンプを使用して、新しいデバイスが別のデバイスに (4 センチメートル) 近くになければなりません。企業が発行したデバイスの一括登録は、常にIT部門にとって大きな課題となっています。NFCバンプ登録では、IT部門はマスター・デバイスを登録し、MDMサーバの詳細情報を伝達し、デバイスを他の未登録デバイスにタップするだけで自動登録プロセスを開始します。一括登録が簡単になりました!

BYOD プロビジョニング方法

上記の [Work Managed] オプションに加えて、BYOD メソッドは、個人所有のデバイスを使用する作業者に人気があります。この方法では、IT部門はビジネスデータ(Androidの仕事用プロファイル)を管理し、すべての個人データとアプリケーションを非公開にします。言い換えれば、ITは作業アプリケーションの可視性と制御のみを持ち、他には何もありません。この方法では、デバイス管理はなく、モバイルアプリケーション管理(MAM)のみになります。

Device AdministrationからAndroid Enterpriseへの移行

サイトの詳細 デフォルトの登録プロファイル コメント/推奨
新しいサイト Android Enterprise— 完全管理/仕事用プロファイル 新しいサイトはすべて Android Enterprise (AE) にデフォルト設定されます。推奨事項:AE をセットアップしてデバイスを AE に登録していない場合は、デバイス管理はレガシーモードです。
Android Enterprise (AE) セットアップの既存のサイト Android Enterprise — 完全管理/仕事用プロファイル AEが構成されているサイトは、デフォルトで Android Enterprise に設定されます。推奨事項: a)サイトが AE で、デバイス管理者の登録がない(変更不要)b)サイトにデバイス管理者モードの登録がある場合 — これらのデバイスの登録プロファイルをレガシー(デバイス管理者)をポイントするように更新してください。
既存のサイトがAndroid Enterprise でセットアップされない レガシ (デバイス管理者) Android Enterprise が設定されていないサイトは、デフォルトでレガシー( デバイス管理者)に設定されます。推奨事項:Android Enterprise を設定して移行を計画する

Android Enterpriseでは、完全管理デバイスモードと仕事用プロファイルデバイスモードがサポートされます。Googleのドキュメント『Android Enterprise Migration Bluebook』で、従来のデバイス管理とAndroid Enterpriseの違いについて詳しく説明しています。Google からの移行アプローチを読むことをお勧めします。また、昇格した企業要件を満たす Android 推奨デバイスのリストについては、Android Enterprise ソリューションディレクトリを参照してください。詳細については、シトリックスのAndroid Enterprise 製品ページを参照してください。

ソース

このリファレンスアーキテクチャの目的は、お客様独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソースダイアグラム

参照ドキュメント

オンプレミス環境のリファレンスアーキテクチャ

CEMのコア・リファレンス・アーキテクチャ

EMS/Intune 統合のための CEM 製品ドキュメント

Intune 統合を開始する

Android Enterprise Googleガイド

ビルドDPCに関するGoogleドキュメント

Android Enterprise Migration Bluebook

Android Enterprise ソリューションディレクトリ

シトリックスのAndroid Enterprise 製品ドキュメント