リファレンスアーキテクチャ:コンタクトセンター向けの DaaS リファレンスアーキテクチャ

概要

コンタクトセンターは、顧客との対話と満足度に関して不可欠です。多くの場合、顧客サービスエージェントは企業の「顔」であり、企業と顧客との間の唯一のインターフェースを表します。パンデミック時のコンタクトセンターでは、平均的な処理、キュー、および保留時間が増加し、顧客にとって不満を感じました。一方、コンタクトセンターは従業員の離職率が高い状況にあります。従業員の離職は、生産的に働く前に新しいエージェントをセットアップしてトレーニングする必要があるため、コストが増加します。コンタクトセンターは、新しい人材を引き付けながら既存の従業員を維持するために、エージェントエクスペリエンスを再定義する必要があります。したがって、通話品質やアプリケーションパフォーマンスを含むコンタクトセンター環境全体が、最高の顧客体験と満足度を提供する上でエージェントにとって重要な役割を果たすことができます。

CompanyAはコンタクトセンター企業です。COVID-19の発生に伴い、CompanyAは顧客にとってさらに重要なものになりました。A社は、運用コストを削減し、停止やダウンタイムのリスクを軽減し、セキュリティを強化し、収益の拡大につながる顧客とエージェントの経験に焦点を当てた環境を構築するために、IT戦略を再考する必要があることを知っていました。COVID-19の期間中、A社のエージェントの 75% 以上が自宅で仕事をしなければなりませんでした。会社Aは、制限が解除された後も、エージェントがある程度の能力で自宅で仕事をすることを引き続き許可したいと考えています。ハーバードビジネスレビューによると、在宅エージェントはオフィス行きの同業者よりも 13.5%多い通話に応答できるため、これを決定しました。また、柔軟なWFH戦略により、全体的なコストを削減しながら、人材プールを拡大し、既存の人材を維持することができます。A社は、Citrix Cloud サービスに移行し、Google Chromebookで標準化して、信頼性、柔軟性、安全な環境を実現することを決定しました。

このリファレンスアーキテクチャは、企業AがWFH戦略を維持し、迅速かつ容易に拡張し、コストを削減できる環境をどのように計画しているかを説明しています。

成功基準

A社は、包括的な設計の基礎となる成功基準のリストを定義しました。

ユーザーエクスペリエンス

成功基準 説明 解決策
シームレスな体験 ユーザーの中断を減らすために、エンドユーザーは似たようなルックアンドフィールを持っています Citrix Workspace
簡単なオンボーディング 新しいエージェントは、第三者の支援を必要とせずに、迅速かつ効率的にオンボーディングできる必要があります Citrix Workspace + Google Chromebooks
リモートワークの柔軟性 いつでも、どこでも、どのデバイスからでも作業できます Citrix Workspace
シングルサインオン 再認証なしですべてのアプリ (Windows、SaaS、Web アプリ) への安全なアクセス Citrix DaaS
サポートされるコンタクトセンターのアプリ、周辺機器、エンドポイント 必要なコンタクトセンターアプリケーション、エンドポイント、および周辺機器のサポート Chromebook
最適化されたエンドユーザーエクスペリエンス 仮想アプリでのユーザーエクスペリエンスは、ローカルアプリと同等かそれ以上です HDX

管理者エクスペリエンス

成功基準 説明 解決策
経費削減 低コストでエージェントに送ることができる会社所有のデバイスで標準化 Google Chromebook
インターネットベースの脅威から保護 IPを保護するためにセキュリティを強化する Citrix Secure Internet Access
ネットワークの耐障害性 ホームネットワークから接続しているときでも、ネットワークの回復力と通話品質を確保する Citrix SD-WAN
ネットワーク最適化 ウェブトラフィックをインテリジェントに最適化して優先順位付けする Citrix SD-WAN
オンプレミスの設置面積を削減 オンプレミス環境を維持するための継続的なコストを削減する Citrix Cloudサービス
ゼロトラストネットワークアクセス VPNの依存関係を削除して、エージェントがリモートで作業できるようにする Citrix DaaS
内部脅威からの保護 ゼロデイ攻撃や悪意のある内部関係者から顧客情報を保護する Citrix Analytics for Security
サージ保護 サージ発生時に迅速かつ効率的に拡張 Citrix Cloud サービスのAutoscale
管理対象エンドポイント エージェントに与えられたエンドポイントを管理できる Citrix Endpoint Management

概念アーキテクチャ

前述の要件に基づいて、CompanYA は次の高レベルの概念アーキテクチャを作成しました。このアーキテクチャは、前述の要件をすべて満たしながら、CompanyA に将来的に他のユースケースに拡張するための基盤を提供します。

概念アーキテクチャ

アーキテクチャフレームワークは、複数の層に分かれています。このフレームワークは、合併および買収シナリオの技術アーキテクチャを理解するための基盤を提供します。すべてのレイヤーが一緒にフローし、完全なエンドツーエンドソリューションを作成します。

高レベル:

ユーザーレイヤー: ユーザーレイヤーは、リソースへの接続に使用されるエンドユーザー環境とエンドポイントデバイスを記述します。

  • デバイスに関係なく、ユーザーは Workspace アプリからリソースにアクセスできるため、すべてのフォームファクタとデバイスプラットフォームで同一のエクスペリエンスが得られます。
  • CompanyAは、迅速かつ簡単なオンボーディング体験のために、エージェントにGoogle Chromebookを提供しています。Chromebook はエージェントに直接送られ、初回ログオン時に自動的に設定されます。
  • エンドユーザーは、ヘッドセットやウェブカメラなどの周辺機器を使用できます。
  • 会社Aは、エンドポイントが紛失したり、盗まれたり、エージェントが会社を辞めたりした場合にデータをデバイスに保存せず、削除できるようにしたいと考えています。

アクセスレイヤー: アクセスレイヤーは、ユーザーがワークスペースとセカンダリリソースに対して認証する方法に関する詳細を記述します。

  • Citrix Workspaceでは、後続のすべてのリソースに対してプライマリ認証ブローカーが提供されます。CompanYA では、認証のセキュリティを向上させるために、多要素認証が必要です。
  • 環境内の承認されたリソースの多くは、プライマリ Workspace ID に使用されるものとは異なる認証情報のセットを使用します。会社Aは、各サービスのシングルサインオン機能を使用して、これらのセカンダリIDをより適切に保護します。SaaS アプリの場合、アプリケーションは SAML ベースの認証のみを許可します。これにより、ユーザーは SaaS アプリに直接アクセスできず、セキュリティポリシーをバイパスできなくなります。

リソースレイヤー: リソースレイヤーは、リソースに関連付けられたセキュリティポリシーを定義しながら、定義されたユーザーおよびグループに対して特定の SaaS、Web、および仮想リソースを承認します。

  • ユーザーは、自分の役割に関連するアプリとデスクトップにアクセスできます。
  • A社は、Citrix Workspace を通じて必要なコンタクトセンターアプリケーションをエージェントに提供します。
  • データをより適切に保護するために、CompanYA では、管理対象リソースからエンドポイントとの間でコンテンツを印刷、ダウンロード、およびコピー/貼り付ける機能を無効にするポリシーが必要です。
  • A社は、分離されたブラウザまたは仮想化されたセッションを使用して、リソースへのゼロトラストネットワークアクセスを要求しています。
  • HDXテクノロジーにより、エージェントは音声およびビデオ通信に不可欠な最適なユーザーエクスペリエンスを提供できます。

制御層: 制御層は、基礎となるソリューションがユーザーの基礎となるアクティビティに基づいてどのように調整されるかを定義します。

  • 保護された Workspace リソース内であっても、ユーザーは信頼されていないインターネットリソースを操作できます。A社は、セキュアインターネットアクセスを使用して、SaaSアプリ、Webアプリ、仮想アプリ、エンドポイントデバイス上のアプリからの外部からの脅威からユーザーを保護しています。
  • 柔軟な環境で作業するときにユーザーを保護するためにすべてのポリシーを設定しても、リスクは依然として残っています。CompanYA は、セキュリティ分析サービスを使用して、侵害されたユーザーを特定し、安全な環境を維持するためのアクションを自動的に実行します。
  • Citrix DaaSは、仮想アプリケーションとデスクトップの認証と仲介を管理します。
  • Citrix Endpoint Management は、管理者がエージェントに送信されるChromebookを管理できるようにします。

以降のセクションでは、CompanyAのコンタクトセンターリファレンスアーキテクチャの具体的な設計上の決定について詳しく説明します。

ユーザーレイヤー

ウェブトラフィックを最適化しながらネットワークの耐障害性を確保

ホームネットワーク

多くのユーザーにとって、ワークスペースへのアクセスは、仕事用と個人用の間で共有されるホームネットワークに接続するだけです。ただし、特定のエンドユーザーの要件に基づいて、A社には安全なホームネットワークが必要です。 A社は、SD-WAN 110アプライアンスを使用して、エージェントの仕事用デバイス用の安全なWiFiネットワークを構築しています。SD-WAN 110 アプライアンスが ISP リンクの信頼性の問題を検出すると、スタンバイ LTE 接続を介してリモートの仕事用ネットワークを自動的に再ルーティングします。これにより、エージェントは常に顧客と通信できる接続性を確保できます。

SD-WAN 110アプライアンスはユーザーの自宅に展開されますが、一元管理されます。デバイスを一元管理することで、CompanYA は、次のガイドに従って、ホームユーザー向けのゼロタッチ導入アプローチを実現できます。

ホームオフィスユーザー向けSD-WAN 110の詳細をご覧ください

高可用性と優れたユーザーエクスペリエンスは会社Aにとって重要であり、SD-WANは両方の分野で役立ちます。Citrix SD-WANは、パケットごとのQOSを実行し、遅延、損失、ジッターなど、パケットごとにリアルタイムでトラフィックを分析します。Citrix SD-WANは、2つの比較的安価なインターネット接続を結合することにより、より高い帯域幅、可能な限り低い遅延、 およびさまざまなサービス品質機能を提供できます

Citrix SD-WANは、シングルポートのマルチストリームHDX AutoQoSをデフォルトで自動的にセットアップします(音声とビデオを含む)。Citrix SD-WANは、大量のバックグラウンドトラフィックよりもリアルタイムでインタラクティブなトラフィックを優先します。QoSによる信頼性が高く、安全で高性能なネットワーク接続は、仮想アプリケーションとデスクトップで優れたユーザーエクスペリエンスを提供するために重要です。Citrix SD-WANは、マルチリンクパケットレベルの処理でネットワークの不具合をマスクするため、ユーザーは継続的で高性能な接続を楽しむことができます。また、直接ワークロード接続により、Citrix SD-WANは、Citrix DaaSとの協調処理を通じてQoSを自動化する貴重なユーザーエクスペリエンス機能であるHDX AutoQoSを提供することもできます。 SD-WANの詳細については、 こちらをご覧ください

ユーザーエンドポイントと周辺機器

A社は、Google Chromebookをエージェントにプロビジョニングすることを決定しました。これにより、エージェントは 1 つのデバイスで標準化できます。 会社Aは、Citrix Endpoint Management を使用してChromebookを管理し、Chrome OS用のCitrix Workspace アプリの最新バージョンをChromebookにプッシュします。

ユーザーは、初期セットアップ時にデバイスを登録するだけで済みます。登録時に、適切なアプリケーションとセキュリティポリシーが自動的に適用され、維持されます。その後、エージェントはCitrix Workspace を介してすべてのアプリケーションとデスクトップにアクセスします。

エージェントがデバイスを登録する方法のデモは、 こちらにあります

エンドユーザーは、承認されたCitrix Ready 周辺機器を使用します。同社は、ゼンハイザーとポリのヘッドセットを代理店に提供しています。

Microsoft Teamsの最適化

分散した従業員では、CompanyAはMicrosoft Teams統合を使用した仮想会議に大きく依存するコンタクトセンターアプリケーションを使用しています。Microsoft Teamsの音声およびビデオ通信パケットがネットワークを通過する方法を最適化することにより、Citrix DaaSは従来のPCと同様の仮想会議体験を提供します。 Microsoft Teams の統合と最適化の詳細については、次の項目を参照してください。

リソースレイヤー

コンタクトセンターアプリケーション

どのコンタクトセンターアプリケーションを標準化すべきかを決定する際、A社は、そのアプリケーションがCitrix およびGoogleソリューションで使用できるようにテストおよび検証されたことを確認したいと考えていました。Citrix Ready プログラムは、サードパーティパートナーが統合を完了し、Citrix Ready 検証の認定を受けるのに役立つテクニカルサポートとリソースを提供します。以下は、検証プロセスを完了したパートナーのリストと、間もなくテストを実施する予定のパートナーのリストです。

上記は、Citrix と連携するコンタクトセンターアプリケーションの包括的なリストではありません。

アクセスレイヤー

認証

セキュリティ上の問題により、CompanYA には強力な認証ポリシーが必要です。companYA は 2 段階のアプローチを使用します。 ステージ1は、コンテキストに応じた多要素アプローチを使用して、ユーザーのプライマリIDをCitrix Workspace に保護することに重点を置いています。

Authentication

デバイスがエンドポイントセキュリティスキャンに合格しない場合、認証ポリシーはアクセスを拒否します。スキャンにより、デバイスが企業のセキュリティポリシーで管理および保護されていることが検証されます。スキャンが成功すると、ユーザーは Active Directory 資格情報と TOTP トークンを使用して認証を受けることができます。 ステージ 2 認証スキームは、セカンダリリソース (SaaS アプリ、Web アプリ、仮想アプリ、デスクトップ) に重点を置いています。ほとんどすべてのセカンダリリソースは認証を必要とします。ユーザーのプライマリ ID と同じ ID プロバイダーを使用するものもあれば、SaaS アプリで最も一般的な独立した ID プロバイダーを使用するものもあります。

  • SaaSアプリ:SaaSアプリケーションの場合、CompanYaはSAMLベースの認証を使用して、Citrix WorkspaceがActive Directory アイデンティティブローカーとして機能します。一度設定すると、SaaS アプリケーションは SAML ベースの認証のみを許可します。SaaS アプリ固有のユーザー名/パスワードでログオンしようとすると失敗します。このポリシーにより、CompanYA は認証の強度を向上させ、ユーザーアカウントが侵害されたためにアクセスを無効にすることが容易になります。
  • ウェブアプリ:A社のウェブアプリケーションのインベントリはすべて、ユーザーのActive Directory y資格情報を使用します。Web アプリケーションの場合、CompanYA はフォーム、Kerberos、および SAML ベースの認証の組み合わせを使用して、シングルサインオンを提供します。オプションの選択は、各 Web アプリケーションの固有の側面に基づいています。
  • 仮想アプリ/デスクトップ:仮想アプリおよびデスクトップの場合、CompanYaはCitrix Workspaceからのパススルー認証を使用し、二次認証のチャレンジを排除します。

Workspace Single Sign-On Tech Briefには 、SaaS、Web、仮想アプリケーション、仮想デスクトップ、IdP チェーンオプションのシングルサインオンに関する追加情報が含まれています。

リソースアクセス

会社Aは、エージェントがどのように内部リソースにアクセスできるかを検討する必要があります。社内リソースは、信頼されていない場所やセキュリティで保護されていない場所から保護する必要があります。マルウェアの侵入を防ぐため、デバイスは内部ネットワークへの直接アクセスを許可されていません。 プライベートWebアプリ、仮想アプリ、仮想デスクトップなどの内部リソースへのアクセスを提供するために、CompanyAはCitrix DaaSを使用する予定です。これら 2 つのサービスは、従来の VPN のより安全な代替手段であるゼロトラストネットワークアクセスソリューションを使用します。 Citrix DaaSは、クラウドコネクタによって確立された送信制御チャネル接続を使用します。これらの接続により、ユーザーは内部リソースにリモートアクセスできます。ただし、これらの接続は

  • 定義されたリソースのみがアクセスできるようにスコープが制限されています
  • ユーザーのプライマリ、セキュリティで保護された ID に基づく
  • ネットワーク通過を許可しない特定のプロトコルのみ

制御レイヤー

Citrix DaaS

A社は、Citrix DaaSを使用することを選択しました。柔軟性があるため、統合管理コンソールから複数のリソースの場所からリソースを展開する必要があるためです。また、仮想アプリケーションとデスクトップ環境を展開および管理するための管理オーバーヘッドも削減されます。これにより、ハードウェアコストを最小限に抑え、DaaSリソースを展開できます。Citrix DaaSでは、Delivery Controller、SQLデータベース、Studio、Director、およびライセンスがコントロールレイヤーのコアコンポーネントです。これらのコンポーネントは、仮想アプリケーションとデスクトップサービスのアクティベーション時にCitrixによってCitrix Cloud にプロビジョニングされます。Citrixはこれらのコンポーネントの冗長性、更新、およびインストールを処理します。

Citrix DaaS の詳細については、 こちらを参照してください

サービス継続性

A社にとって重要なのは、システム停止やクラウドの問題によってユーザーの生産性が低下しないことです。そのため、Citrix Cloud 内のサービス継続性をオンにしました。サービス継続性により、ユーザーは、停止中またはCitrix Cloud コンポーネントにアクセスできないときに到達可能なリソースに接続できます。この機能により、CompanyA は、まれにクラウドが停止した場合でも、ユーザーの生産性を維持できる安心感を得ています。サービス継続性は、Progressive Web Appsサービスワーカーテクノロジを使用してユーザーインターフェイスにリソースをキャッシュすることにより、停止中に公開リソースの視覚的表示を改善します。サービスの継続性は、停止中にどのリソースが使用可能かを示します。 サービス継続性は、Workspace接続リースを使用して、ユーザーが停止中にアプリやデスクトップにアクセスできるようにします。Workspace接続リースは、長期間有効な認証トークンです。

サービス継続性の仕組みの詳細については、 こちらをご覧ください

Autoscale

A社は、クラウドコストを最適化するためにAutoscale 導入を選択しました。Autoscale では、リソースをインテリジェントに使用、割り当て、および割り当て解除できます。

A社は当初、通常の就業日に基づいて、次のスケジュールベースのAutoscale パラメータを使用します。

曜日 ピーク時 オフピーク時 アクティブなマシン
平日 7am-5pm 5pm-7am ピーク:50% オフピーク:10%
週末 9am-6pm 6pm-9am ピーク:50% オフピーク:10%

より多くのユーザーに対応するために、A社は以下のパラメーターで負荷ベースのスケーリングも有効にしました。

曜日 容量バッファ(ピーク時) 容量バッファ(オフピーク時)
平日 20% 5%
週末 20% 5%

Autoscale の詳細については、 こちらを参照してください

セキュア インターネット アクセス

ユーザーは SaaS、Web、仮想、ローカル、およびモバイルアプリと対話するとき、多くの場合、公共のインターネットサイトにアクセスしています。A社にはインターネットセキュリティコンプライアンスのクラスがありますが、すべてのエージェントは毎年修了する必要がありますが、ほとんどの場合、フィッシング詐欺による攻撃を完全に防止しているわけではありません。 エージェントと組織を保護するために、A社はセキュアインターネットアクセスサービスとセキュリティ分析をアーキテクチャに組み込んでいます。

セキュア インターネット アクセス

組織内のアプリ、デスクトップ、デバイスのライブラリとの間で送受信されるインターネットトラフィックは、セキュリティで保護されたインターネットアクセスサービスを介してルーティングされます。このサービス内では、URL が安全であることを確認するためにスキャンされます。特定のパブリックサイト内の機能は拒否または変更されます。ダウンロードは自動的にスキャンされ、検証されます。

現在、多くのウェブサイトが暗号化されているため、このセキュリティプロセスの一部は、トラフィックを復号化して検査することです。CompanYA は、ユーザーが会社所有のデバイス上で個人用サイトに柔軟にアクセスできるようにしたいと考えています。従業員のプライバシーを確保するために、金融サイトや健康関連サイトなど、特定のカテゴリのWebサイトは復号化されません。完全な透明性を確保するために、CompanYA はセキュリティポリシープラン全体を社内で利用できるようにする予定です。

インターネットセキュリティポリシーを設計するにあたり、A社はベースラインポリシーから始めたいと考えました。CompanYAは組織内のリスクを評価し続けているため、必要に応じて政策を緩和/強化します。

デフォルトでは、すべてのカテゴリが復号化され、許可されます。CompanYA は、グローバルに適用される次の変更を加えました。

カテゴリ 変更 理由
金融と投資 復号化しない エージェントのプライバシー懸念
状況 復号化しない エージェントプライバシーに関する懸念
アダルトコンテンツ ブロック  
薬物 ブロック  
ファイル共有 ブロック  
ギャンブル ブロック  
違法行為 ブロック  
悪質な情報源 ブロック  
マルウェアのコンテンツ ブロック  
ポルノ/ヌード ブロック  
ウイルス/不正プログラム ブロック  
暴力/憎しみ ブロック  

CompanyA には次の 2 つの chrome 拡張機能がインストールされています。

  • Chromebook コネクタ:Chromebook をクラウドエージェントに接続して、すべてのクラウドセキュリティ機能を Chromebook デバイス全体に拡張します。
  • Chromebook アプリ互換性プラグイン:これは、Chrome ブラウザ以外で実行されているアプリとの互換性を確保するために必要です

Citrix Endpoint Management

CEM

A社は、Citrix Endpoint Management を使用して、エージェントに送信されるChromebookを管理しています。会社Aは、エージェントがアプリにアクセスする主要な方法であるChromebookにCitrix Workspace をプッシュします。セキュリティで保護されたインターネットアクセスエージェントは、Citrix Endpoint Management からもプッシュされます。

A社はまた、Citrix Endpoint Management を使用して次のデバイスポリシーをプッシュしています。

  • アプリ制限ポリシー:会社 A はこれを使用して、会社所有の Chromebook で許可したくないアプリケーションを制限します
  • OS アップデートの制御:CompanyA はこれを使用して、すべてのエンドポイントが特定の OS バージョン上にあることを確認します。必要に応じて更新を遅らせるためにこれを使用します。
  • コンテンツデバイスポリシー:A社はこのポリシーを使用してブラウザのホームページを設定します
  • 制限ポリシー:CompanyA はこのポリシーを使用して次の制限を設定します。
    • プリントオンを無効にする
    • セーフブラウジング警告ページからの続行を無効にする
    • セーフブラウジングモードオン
    • 外部ストレージアクセシビリティ-無効

セキュリティ分析

CompanyA はセキュリティ分析を使用して脅威を軽減および阻止します。

環境を保護するために、A社はCitrix Security Analyticsを使用して内部脅威や侵害されたユーザーを特定しています。多くの場合、脅威の 1 つのインスタンスは抜本的なアクションを保証しませんが、一連の脅威はセキュリティ違反を示している可能性があります。

CompanYA は、次の初期セキュリティポリシーを開発しました。

名前 条件 アクション 理由
異常なアクセス 疑わしいIPからログオンし、異常な場所からのアクセス ユーザーのロック ユーザーが異常な場所や疑わしいIPからログインした場合、そのユーザーが侵害されたことを示す強い兆候があります。
異常なアプリの動作 異常な場所からのアプリの使用とアクセスの異常な時間 ユーザーからの応答の要求 ユーザーが奇妙な時間と場所で仮想アプリにアクセスした場合、ユーザーが侵害される可能性があります。セキュリティ分析は、ユーザーがアクティビティを識別したかどうかを確認するようユーザーに通知します。
クレデンシャルエクスプロイトの可能性 過剰な認証失敗と異常な場所からのアクセス ウォッチリストに追加 ユーザーが異常な場所で何度も認証に失敗した場合、誰かがシステムに侵入しようとしていることを示している可能性があります。しかし、攻撃者はまだ成功していません。ウォッチリストにユーザーを追加する必要があるだけです。
リファレンスアーキテクチャ:コンタクトセンター向けの DaaS リファレンスアーキテクチャ