CitrixのリモートPCアクセスソリューションのリファレンスアーキテクチャ

リモートPCアクセスの概要

Citrix Remote PC Accessソリューションを使用すると、エンドユーザーはオフィス内の物理Windowsデスクトップとノートパソコンに、どこからでもデバイスから安全にアクセスでき、HDX機能のフルスタックを使用して最高のユーザーエクスペリエンスを実現できます。

オフィスPCにインストールされているVirtual Delivery Agent(VDA)は、Cloud Connector(Citrix Cloud)またはDelivery Controller(オンプレミス)に状態を登録します。管理者は、アクセス、ポリシー、ユーザーエクスペリエンス機能の完全なHDXスタックなど、VDI実装内の物理PCを管理できます。

ユーザーは、複数のリモートPCアクセス、またはリモートPCアクセスとVDIデスクトップの組み合わせなど、複数のデスクトップにアクセスできます。このソリューションは、Citrix Virtual Apps and Desktops の拡張機能であるため、オフィスPCへのユーザーのリモートアクセスの提供と管理は、Virtual Apps and Desktopsの場合と同じくらい簡単です。

CitrixリモートPCアクセスソリューションのユースケースの例

このセクションでは、組織がCitrixリモートPCアクセスをプラグインしたり、既存の煩雑なリモートアクセスソリューションをCitrixリモートPCアクセスに置き換えて、リモートアクセスに最適なユーザーエクスペリエンスを提供できるユースケースについて説明します。

ユースケース #1

オンプレミスのCitrix Virtual Apps and Desktops ソリューションを導入したお客様は、自宅で作業する必要があるときにオフィスPCに接続することで、エンドユーザーにリモートアクセスを可能にしたいと考えています。要件を満たすために、Citrix管理者は通常、Citrix Virtual AppsソリューションからRDPクライアントアプリケーションを公開します。これにより、ユーザーはHDX接続を介してRDPクライアントアプリケーションにアクセスできます。ユーザーは、RDP クライアントでデスクトップの IP アドレスまたはマシン名を入力し、仮想アプリケーションサーバーから RDP 接続を確立するために認証します。この接続は、エンドツーエンドの単一プロトコルではなく、物理 PC と必要なリソースにアクセスするために、プロトコル移行プロキシサーバーとして Virtual Apps サーバーを使用します。

お客様は、制限付きのRDPプロキシソリューションをリモートPCアクセスHDXソリューションに置き換え、既存のCitrix Virtual Apps and Desktops ソリューションに安全に統合できます。リモートPCアクセスを使用すると、ユーザーは安全なHDX接続を介してシングルサインオンでOffice PCにアクセスでき、複数の認証プロンプトが不要になります。また、企業管理者は、制限されたHDXポリシーを適用し、割り当てられたデスクトップにのみHDXアクセスを許可することで、オフィスPCへのアクセスを制御できます。制限付きHDXポリシーは、クリップボードリダイレクト、プリンターリダイレクト、クライアントドライブのマッピングを有効または無効にするのに役立ちます。

ユースケース #2

企業組織には、従業員がリモートでエンタープライズネットワークにアクセスできるようにする VPN ソリューションがあります。この要件を満たすために、ネットワーク管理者は 2 要素認証を使用した VPN トンネルを有効にします。VPN 認証の後、ユーザは独自の RDP リンクを作成して、LAN 上に存在するマシンにアクセスします。ユーザーは、VPN セキュア接続を介してリモートデスクトップとアプリケーションにアクセスします。このソリューションでは、管理者はネットワークアクセス制御を適用して、ユーザーが許可されたシステムから接続していることを確認し、ポリシーを適用して特定のプロトコルを有効/無効にしてデータアクセスを制限する必要があります。組織のセキュリティポリシーでは、リモートユーザーの PC で事前認証スキャンが有効である場合にのみユーザー接続が許可され、ウイルスやマルウェアから保護された境界を維持するために特定の OS パッチレベルが必要になる場合があります。組織では、ウイルス対策の更新やその他のセキュリティ障害が発生したときに VPN 接続が頻繁に切断され、拒否されることにより、ユーザーが VPN ソリューションに不満であることがわかりました。

ITチームは、CitrixリモートPCアクセスソリューションを実装して、VPN/RDPソリューションを置き換えることができます。ユーザーは、割り当てられたオフィスの物理PCにアクセスできるように、専用のリモートPCアクセスサイトを展開できます。リモートPCアクセスを使用すると、クライアントドライブ、クリップボードのマッピング、プリンタ接続を無効にする適切な SmartAccess セキュリティポリシーを使用して、HDX 接続を介して Office PC にシームレスにアクセスできます。Citrix HDXポリシーを使用すると、エンタープライズ管理者は、キーログおよび画面キャプチャテクノロジーを防止することにより、デスクトップおよびデータへのユーザーアクセスを制御できます。

ユースケース #3

既存のCitrix Cloud Apps and Desktopsサービスのお客様。既存のCitrix 環境と並行してOffice PCへのリモートアクセスを実現するために、Citrixからより多くの価値を引き出したいと考えています。

上記の要件を満たすために、IT管理者はリモートPCアクセスソリューションを展開して、Office PCへのリモートアクセスを有効にし、既存のCitrix環境内で統合することができます。エンドユーザーのアクセスを有効にするには、Citrix管理者は、Citrix Cloud上でリモートPCアクセスのマシンカタログとデリバリーグループを作成し、そのマシンを各ユーザーに割り当てることができます。これにより、エンドユーザーは既存のCitrix URLを使用してOffice PCにアクセスできます。既存のCitrix HDXポリシーおよびSmartAccess ポリシーでは、Citrix管理者はオフィスのデスクトップとそのデータへのアクセスを制御できます。

ユースケース #4

ある企業のお客様は、リモートPCアクセスソリューションを導入して、オフィスPCへのアクセスを提供することを選択しました。CitrixリモートPCアクセスは、PCの更新サイクル中にオフィスPCをCitrix VDIに移行する方が容易であるため、組織が設備投資コストを削減できることが検討されました。

VDIを使用すると、現在のハードウェアの使用を拡張し、管理に費やすIT時間を無数に削減することにより、PCの更新に伴うアップグレードやハードウェアの購入コストを回避できます。クラウドベースのVDI(DaaS)への移行には、コスト削減の向上、管理投資の削減、将来のワークスペースの提供に役立つという追加のメリットがあります。

Citrix CloudでのリモートPCアクセスの概念アーキテクチャ

WorkspaceおよびGatewayサービスを備えたCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceおよびGateway ServiceとともにCitrixによって管理されます。これにより、ユーザーはCitrix Cloud環境を介してリモートPCアクセスを接続できます。

CitrixリモートPCアクセスの展開における概念的なアーキテクチャを以下に示します。このアーキテクチャの各レイヤーについて、Citrix Cloudとオンプレミス展開の両方のリモートPCアクセスソリューションの設計フレームワークを確認して、リモートPCアクセスソリューションのワークフローを理解しましょう。

RemotePC-RA-Image-1

WorkspaceとオンプレミスのGatewayを使用したCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceとともにCitrixによって管理されます。オンプレミスのGatewayは、ユーザーがインターネット経由でリモートPCアクセスソリューションに接続できるようにするために含まれています。

RemotePC-RA-Image-2

オンプレミスのGatewayとStoreFront を使用したCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceとともにCitrixによって管理されます。オンプレミスのStoreFront およびGatewayを使用して、ユーザーがインターネット経由でリモートPCアクセスに接続できるようにするオンプレミスのStoreFrontおよびGateway。

RemotePC-RA-Image-3

CitrixリモートPCアクセスの展開に関する概念的なアーキテクチャは、上記で説明しました。このアーキテクチャの各レイヤーに関するCitrix CloudのリモートPCアクセスソリューションの設計フレームワークを確認して、リモートPCアクセスのワークフローを理解しましょう。

ユーザーレイヤー

このレイヤーは、Citrix環境のエンドユーザーと、オフィスリソースへの接続に使用されるエンドポイントデバイスを記述します。

ユーザーは、CitrixリモートPCアクセスソリューションを使用して、インターネット経由でオフィスPCにリモート接続します。ユーザーは、デスクトップ、ラップトップ、タブレットデバイスなどの個人用デバイスを使用してオフィスPCに接続するため、最新のCitrix Workspaceアプリクライアントを個人用エンドポイントデバイスにインストールすることをお勧めします。また、ユーザーは、デバイスに Workspace アプリのフルバージョンをインストールできない場合に、Workspace の HTML5 バージョンを利用できます。

ユーザーはブラウザからCitrix Cloud WorkspaceのURLhttps://customer.cloud.comに移動し、インターネット経由でエンドポイントデバイスからオフィスPCにアクセスします。ログインページは、さまざまな認証方法を使用してユーザーの ID を検証するために表示されます。認証されると、ユーザーにはリソースページが表示され、割り当てられたアプリケーションとデスクトップが表示されます。ユーザーが [ リモートPCアクセスデスクトップ ] アイコンをクリックして、デスクトップを起動します。エンドポイントデバイスにインストールされているCitrix Workspaceアプリはデスクトップを起動し、ユーザーがオフィスで作業しているかのように、シームレスで最適なHDXエクスペリエンスを提供します。

RemotePC-RA-Image-4

アクセス層

このレイヤーは、エンドユーザーがCitrixリモートPCアクセス環境に接続する方法を説明し、Citrix Cloudを介したアクセス方法、リソースの場所の接続、Citrix Gateway、オンプレミスのアクセス方法論に関するStoreFront 要件の設計の詳細を提供します。

Citrix Workspaceプラットフォームは 、すべてのデジタルワークスペースリソースを列挙してユーザーに配信するCitrix Cloudの基本コンポーネントです。ユーザーは、Workspaceにアクセスします。Workspaceは、Citrix Cloudでホストされるポータルで、ユーザーにリソースを提供します。そのためには、会社の cloud.com URL(例 https://customer.cloud.com)またはカスタム URL に移動します。リソースにアクセスすると、ユーザーは資格情報を入力するように求められます。

Workspaceは、Active Directory、Active Directory +ワンタイムパスワードを使用した 2 要素認証、Azure AD など、さまざまな認証方法をサポートしています。今後さらに認証オプションが追加される予定です。詳細については、Workspaceドキュメントを参照してください。

Cloud Connector は、リソースの場所にインストールされ、リソースをCitrix Cloudに接続するためのコンポーネントです。リソースの場所にインストールされた一連のクラウドコネクタにより、Citrix Cloud上のお客様のActive Directory ドメインにアクセスして認証を行うことができます。ワークスペース構成には、環境へのアクセスに使用できる従来のオンプレミスのCitrix GatewayおよびStoreFront を含むユーザーに対して、さまざまな認証方法とアクセスフローを構成するための複数のオプションがあります。

ユーザーがCitrix Cloud Workspace URL(https://customer.cloud.com)にアクセスすると、さまざまな認証方法とともにActive Directory ドメインの資格情報を入力するように求められます。その後、Cloud Connector を介してオンプレミスのActive Directoryドメインに対して検証されます。

RemotePC-RA-Image-5

資格情報が検証されると、ユーザーはワークスペースリソースページが表示され、割り当てられた仮想アプリ、デスクトップ、リモートPCアクセスリソースにアクセスできます。ユーザーが起動するリモートPCアクセスデスクトップ(Office PC)を選択すると、ユーザーはワークスペースアプリを使用してSSL経由でHDXを使用してゲートウェイに接続します。ユーザーの個人用デバイスからCitrix Cloud上のCitrix Gateway ServiceへのHDX接続が確立されます。

Citrix Gateway Service は、多様なIDおよびアクセス管理(IdAM)機能を備えたセキュアなリモートアクセスソリューションを提供し、SaaSアプリケーション、異種Virtual Apps and Desktops、リモートPCアクセスなどに統一されたエクスペリエンスを提供します。Gatewayサービスは、SSL経由でオンプレミスのCloud Connectorへの接続を確立し、TCPポート1494/2598経由でリモートPCアクセスデスクトップに接続し、シームレスなHDXエクスペリエンスを提供します。

制御レイヤー

このレイヤーには、Citrix Cloud サービスのサイト設計など、Citrix環境のサポートおよび制御に使用される管理コンポーネントの詳細について説明します。Citrix 環境では、Delivery Controller、SQLデータベース、Studio、Director、およびライセンスがコントロールレイヤーのコアコンポーネントであり、Citrix Cloud上でプロビジョニングされ、Citrixによって管理されます。

RemotePC-RA-Image-6

クラウドでプロビジョニングされたDelivery Controllerは、オンプレミスのCloud Connectorと通信し、認証のために Active Directory を更新します。Citrix管理者は、Citrix Cloudポータルを使用して、Apps and Desktops環境と資格を管理します。[Virtual Apps and Desktops ]ページの[管理 ]ボタンを使用すると、管理者はCitrix Studio を起動して環境を管理できます。Citrix Studio を使用して、リモートPCアクセス用のマシンカタログとデリバリーグループがCitrixポリシーとともに作成され、環境を保護します。

RemotePC-RA-Image-7

Citrix Cloudポータルの[モニター]タブでは、Citrix Directorコンソールにアクセスして、セッションコントロール、レポート、アラートなどの機能を使用してアプリとデスクトップインフラストラクチャを監視できます。

リソースレイヤー

このレイヤーは、Citrix環境からエンドユーザーがアクセスするリソースに関する情報をキャプチャします。

リソースレイヤーは、展開環境内のすべてのOffice PCが配置されている場所に焦点を当てており、Citrix Cloud上のリソースの場所と呼ばれます。リソースの場所は、パブリッククラウド、プライベートクラウド、ブランチオフィス、データセンターなど、お客様のCitrixワークロードおよびその他の運用ツールが存在する場所です。リソースの場所には、顧客が使用しているCitrix Cloudサービスおよび加入者に提供するサービスに応じて、異なるリソースが含まれます。

Citrix Cloudは、クラウドサブスクリプションに対して複数のリソースの場所を持つことができます。Office PCにインストールされているCitrix Virtual Delivery Agentは、PCの状態をCloud Connectorに登録します。Cloud Connectorは、Citrix Cloud上のDelivery Controllerにリソースステータスを更新するのに役立ちます。ネットワーク管理者は、Office PC がCloud Connectorと通信するために必要なファイアウォールルールを構成します。

RemotePC-RA-Image-8

Citrix管理者は、リモートPCアクセス用に複数のマシンカタログとデリバリーグループを作成して、場所、部門、その他の要因によってOffice PCを識別できます。これらのリソースはすべて、Citrix CloudのCitrix Directorコンソールを使用して監視できます。

プラットフォーム層

このレイヤーでは、ハードウェア、ストレージ、および仮想化の詳細に焦点を当てて、Citrix環境で使用されるコンポーネントとクラウドプロビジョニング方法について説明します。

リモートPCアクセスのこのアーキテクチャでは、コア制御インフラストラクチャコンポーネントはCitrix Cloud内に常駐し、Citrixによって管理されるため、データセンターにCloud Connector のみを展開して、VDA(Office PC)がクラウドコネクタと通信して状態を登録できるようにする必要がありますをCitrix Cloudでインストールできます。

Cloud Connector仮想マシンをホストするために、管理者は必要な量のリソースでサーバーハードウェアを展開します。Citrix 管理者は、サーバーハードウェア上にCitrix Hypervisor をインストールして構成し、Cloud Connector用の仮想マシンを作成します。仮想マシンが作成されると、Citrix Adminは仮想マシンからCitrix Cloudポータルにアクセスし、サブスクリプションアカウントを使用してCloud Connectorをインストールします。

RemotePC-RA-Image-9

操作レイヤ

このレイヤーは、リソースロケーション内のCitrixワークロードとリモートPCアクセスデスクトップを管理するために必要なツールまたはコンポーネントに重点を置いています。

Citrix Cloudアーキテクチャの場合、重要なツールは、Citrix Cloud上でホストされている制御インフラストラクチャにアクセスするためのクラウドポータルです。管理者は、クラウドポータルを使用して、Citrix StudioおよびCitrix Directorコンソールにアクセスできます。Citrix Studio を使用すると、管理者はマシンカタログ、デリバリーグループ、およびCitrixポリシーを構成できます。

Citrix Directorは、完全なCitrix 環境を監視するのに役立ちます. クラウドポータルを使用すると、管理者はCloud Connectorの状態を監視できます。また、さまざまな認証方法やさまざまなアクセス方法を構成することもできます。

オンプレミス展開によるリモートPCアクセスの概念アーキテクチャ

オンプレミス展開でのCitrixリモートPCアクセスの概念的なアーキテクチャを以下に示します。

RemotePC-RA-Image-10

このアーキテクチャの各レイヤーに関するオンプレミス展開用のリモート PC アクセスソリューションの設計フレームワークを確認して、ワークフローを理解しましょう。

ユーザーレイヤー

このレイヤーは、Citrix環境のエンドユーザーと、オフィスリソースへの接続に使用されるエンドポイントデバイスを記述します。

ユーザーは、CitrixリモートPCアクセスソリューションを使用して、インターネット経由でオフィスPCにリモート接続します。ユーザーは、デスクトップ、ラップトップ、タブレットデバイスなどの個人用デバイスを使用してオフィスPCに接続するため、最新のCitrix Workspaceアプリクライアントを個人用エンドポイントデバイスにインストールすることをお勧めします。また、ユーザーは、デバイスに Workspace アプリのフルバージョンをインストールできない HTML5 バージョンの Workspace を利用することもできます。

ユーザーはブラウザを介してオンプレミスのCitrix Gateway のURLhttps://citrix.company.comに移動し、インターネット経由でエンドポイントデバイスからオフィスPCやその他のリソースにアクセスします。ログインページは、多要素認証を使用してユーザーの ID を検証するために表示されます。認証が完了すると、割り当てられたアプリケーションとデスクトップが表示されるリソースページが表示されます。ユーザーが [ リモートPCアクセス Office デスクトップ ] アイコンをクリックして、デスクトップを起動します。エンドポイントデバイスにインストールされているCitrix Workspaceアプリはデスクトップを起動し、ユーザーがオフィスで作業しているかのように、シームレスで最適なHDXエクスペリエンスを提供します。

RemotePC-RA-Image-11

アクセス層

このレイヤーは、エンドユーザーがCitrixリモートPCアクセス環境に接続する方法を説明し、オンプレミス展開のアクセス方法論の設計の詳細を提供します。

ユーザーは、Citrix Virtual Apps and Desktopsソリューション用に構成された既存のCitrix Gateway URL(https://citrix.company.com)にアクセスし、リモートPCアクセスにもアクセスします。Citrix GatewayのURLに移動すると、Active Directory を含む複数の認証方法を含むログインページがユーザーに表示されます。Citrix Gatewayではさまざまな認証方法がサポートされています。詳細については、製品ドキュメントを参照してください。

RemotePC-RA-Image-12

資格情報が検証されると、ユーザーは従来のCitrix StoreFront/Workspaceリソースページが表示され、割り当てられた仮想アプリ、デスクトップ、およびリモートPCアクセスにアクセスできます。ユーザーが起動するリモートPCアクセス(Office PC)を選択すると、ユーザーはワークスペースアプリを使用して、SSL経由でHDXを使用してゲートウェイに接続します。HDX接続は、ユーザーの個人用デバイスからオンプレミスのCitrix GatewayにSSLを使用して確立され、TCPポート1494/2598経由でOffice PCに接続され、シームレスなHDXエクスペリエンスを提供します。

制御レイヤー

このレイヤーでは、Citrix環境をサポートおよび制御するために使用される管理コンポーネントの詳細について説明します。これには、オンプレミスのCitrix環境のサイト設計も含まれます。

オンプレミス展開の制御レイヤーには、Citrix Delivery Controller、SQL Database、ライセンスなど、Citrix ソリューション全体をサポートするインフラストラクチャ関連のすべてのコンポーネントが含まれます。

RemotePC-RA-Image-13

既存のVirtual Apps and Desktops展開は、[リモートPCアクセス]を選択してマシンカタログとデリバリーグループを作成するだけで、リモートPCアクセスを使用して簡単に構成できます。

リモートPCアクセスサイトの専用環境のオプションもあります。 ここでは、統合アクセスおよびシームレスアクセスのために既存のStoreFrontおよびCitrix Gatewayに統合可能な新しいDelivery Controllerと新しいリモートPCアクセスサイト、ライセンス、SQLデータベースを展開します。Citrix Studio を使用して、リモートPCアクセス用のマシンカタログとデリバリーグループがCitrixポリシーとともに作成され、環境を保護します。

RemotePC-RA-Image-14

リソースレイヤー

リソース層は、エンタープライズネットワーク内の Office PC の配置場所と、リモートPCアクセス用にこれらのマシンをどのように構成できるかについての情報を取得します。

このアーキテクチャでは、Office PCはお客様の環境のLANセグメント上に存在します。これらのOffice PCはVirtual Delivery Agent(VDA)とともにインストールされ、オンプレミスのDelivery Controllerに登録されます。Citrix管理者は、リモートPCアクセスのマシンカタログとデリバリーグループを構成して、エンドユーザーのアクセスを有効にすることができます。

VDAの展開は、Microsoft System Center Configuration Manager(SCCM)などの既存の電子ソフトウェア配信(ESD)システムによって管理できます。アップグレードのベストプラクティスは、再起動し、VDAソフトウェアをアンインストールし、再起動し、最新のVDAをインストールしてから、最後に再起動することです。

RemotePC-RA-Image-15

Citrix Directorを使用すると、Citrix管理者は、既存のCitrix Virtual Appsおよびデスクトップ環境とともにリモートPCアクセス環境を監視できます。

プラットフォーム層

このレイヤーでは、主にハードウェア、ストレージ、および仮想化の詳細に焦点を当てて、Citrix環境で使用されるハードウェアコンポーネントとクラウドプロビジョニング方法について説明します。

オンプレミス環境では、プラットフォームレイヤーは、コアコントロールコンポーネントをホストするためのサーバーハードウェア要件をカバーします。コアコンポーネントには、2つ以上のDelivery Controller、ライセンスサーバー、クラスターを構成するためのSQLデータベース用の2つの仮想マシン、または常時オン、Citrix Director用の仮想マシン、およびその他のコンポーネントが含まれます。

RemotePC-RA-Image-16

これらのコンポーネントをホストするために、エンタープライズ管理者は、十分な量のリソースでサーバハードウェアを展開しました。Citrix管理者は、サーバーハードウェアにCitrix Hypervisor をインストールして構成し、すべてのコンポーネントの仮想マシンを作成します。仮想マシンが作成されると、Citrix管理者がリモートPCアクセスサイトを構成したことになります。StoreFront に新しいDelivery Controllerが構成され、エンドユーザーのリモートPCアクセスリソースが列挙されます。

操作レイヤ

このレイヤーは、リソースロケーション内のCitrixワークロードとリモートPCアクセスデスクトップを管理するために必要なツールとコンポーネントに重点を置いています。 オンプレミス環境の場合、運用レイヤーはCitrix StudioやCitrix Directorなどのツールに重点を置き、インフラストラクチャの制御やCitrix環境全体の監視に役立ちます。

Citrix Studio を使用すると、管理者は複数のマシンカタログとデリバリーグループを作成し、リモートPCアクセスソリューションにCitrix HDXポリシーを適用できます。Citrix Directorは、環境を監視するのに役立ちます。

ソース

このリファレンスアーキテクチャの目的は、お客様独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソースダイアグラム

参照ドキュメント

技術要件と考慮事項

リモートPCアクセスのセキュリティに関する考慮事項

リモートPCアクセスのユースケースビデオ

CitrixのリモートPCアクセスソリューションのリファレンスアーキテクチャ