Citrix リモートPCアクセスソリューションのリファレンスアーキテクチャ

寄稿者

著者: Vivekananthan Devaraj

謝辞:

Gabe Carrejo Miguel Contreras

リモートPCアクセスの概要

Citrix リモートPCアクセスソリューションを使用すると、エンドユーザーはオフィス内の物理的なWindowsデスクトップやノートパソコンにどこからでも安全にアクセスでき、HDX機能のフルスタックを使用して最高のユーザーエクスペリエンスを実現できます。

オフィスPCにインストールされているVirtual Delivery Agent(VDA)は、Cloud Connector(Citrix Cloud)またはDelivery Controller(オンプレミス)に状態を登録します。管理者は、アクセス、ポリシー、ユーザーエクスペリエンス機能の完全なHDXスタックを含む、VDI実装内の物理PCを管理できます。

ユーザーは、複数のリモートPCアクセス、またはリモートPCアクセスとVDIデスクトップの組み合わせなど、複数のデスクトップにアクセスできます。このソリューションは、Citrix Virtual Apps and Desktops の拡張機能であるため、オフィスPCへのユーザーのリモートアクセスの提供と管理は、Virtual Apps and Desktopsの場合と同じくらい簡単です。

Citrix リモートPCアクセスソリューションのサンプル使用例

このセクションでは、組織がCitrix Remote PC Accessを接続したり、既存の面倒なリモートアクセスソリューションをCitrix Remote PC Accessに置き換えたり、リモートアクセスに最適なユーザーエクスペリエンスを提供したりできるユースケースについて説明します。

ユースケース #1

オンプレミスのCitrix Virtual Apps and Desktops ソリューションを導入したお客様は、自宅で作業する必要があるときにオフィスPCに接続することで、エンドユーザーにリモートアクセスを可能にしたいと考えています。要件を満たすために、Citrix管理者は通常、Citrix Virtual AppsソリューションからRDPクライアントアプリケーションを公開します。これにより、ユーザーはHDX接続を介してRDPクライアントアプリケーションにアクセスできます。ユーザーは、RDP クライアントでデスクトップの IP アドレスまたはマシン名を入力すると、Virtual Apps Server から RDP 接続を確立するために認証されます。この接続は、エンドツーエンドの単一プロトコルではなく、物理PCと必要なリソースにアクセスするためのプロトコル移行プロキシサーバーとしてVirtual Apps サーバーを使用します。

お客様は、制限のあるRDPプロキシソリューションをリモートPCアクセスHDXソリューションに置き換え、既存のCitrix Virtual Apps and Desktops ソリューションに安全に統合することができます。リモートPCアクセスを使用すると、セキュアなHDX接続を介してシングルサインオンでOffice PCにアクセスできるため、複数の認証プロンプトがなくなります。また、企業管理者は、制限されたHDXポリシーを適用し、割り当てられたデスクトップにのみHDXアクセスを許可することで、オフィスPCアクセスを制御できます。制限されたHDXポリシーは、クリップボードのリダイレクト、プリンターリダイレクト、クライアントドライブマッピングを有効/無効にするのに役立ちます。

ユースケース #2

企業組織には、従業員が企業ネットワークにリモートでアクセスできるようにする VPN ソリューションがあります。この要件を満たすために、ネットワーク管理者はデュアルファクタ認証で VPN トンネルをイネーブルにしました。VPN 認証後、ユーザーは独自の RDP リンクを作成して、LAN 上にあるマシンにアクセスします。ユーザーは、VPN セキュア接続を介してリモートデスクトップとアプリケーションにアクセスします。このソリューションでは、管理者はネットワークアクセス制御を適用して、ユーザーが許可されたシステムから接続していることを確認し、ポリシーを適用して特定のプロトコルを有効/無効にしてデータアクセスを制限する必要があります。組織のセキュリティポリシーでは、リモートユーザーのPCで事前認証スキャンが有効であり、場合によっては、ウイルスやマルウェアからセキュリティ保護された境界を維持するために特定のOSパッチレベルが必要な場合にのみ、ユーザー接続を許可することを主張しています。組織は、ウイルス対策の更新だけでなく、他のセキュリティ障害が発生したときに、VPN接続を頻繁に切断し、拒否するために、ユーザーがVPNソリューションに不満を持っていることを発見しました。

ITチームは、VPN/RDPソリューションに代わるCitrix リモートPCアクセスソリューションを実装できます。ユーザーは、専用のリモートPCアクセスサイトを展開して、割り当てられたオフィスの物理PCにユーザーがアクセスできるようにします。リモートPCアクセスを使用すると、クライアントドライブ、クリップボードマッピング、プリンター接続を無効にする適切なSmartAccessセキュリティポリシーを使用して、HDX接続を介してOffice PCにシームレスにアクセスできます。Citrix HDXポリシーを使用すると、エンタープライズ管理者は、キーログおよびスクリーンキャプチャテクノロジーを防止して、デスクトップとそのデータへのユーザーアクセスを制御できます。

ユースケース #3

既存のCitrix Cloud Apps and Desktopsサービスのお客様。既存のCitrix 環境と並行してOffice PCへのリモートアクセスを実現するために、Citrixからより多くの価値を引き出したいと考えています。

上記の要件を満たすために、IT管理者はリモートPCアクセスソリューションを導入して、Office PCへのリモートアクセスを可能にし、既存のCitrix 環境内に統合することができます。エンドユーザーのアクセスを有効にするには、Citrix管理者がCitrix Cloud上にリモートPCアクセスマシンカタログとデリバリーグループを作成し、そのマシンを各ユーザーに割り当てます。これにより、エンドユーザーは既存のCitrix URLを使用してOffice PCにアクセスできます。既存のCitrix HDXおよびSmartAccessポリシーでは、Citrix 管理者はオフィスのデスクトップとそのデータへのアクセスを制御できます。

ユースケース #4

ある企業のお客様は、リモートPCアクセスソリューションを導入して、オフィスPCにアクセスできるようにしました。CitrixリモートPCアクセスは、企業の資本コストを節約できるように、PCの更新サイクル中にオフィスPCをCitrix VDIに移行する方が簡単であるため、検討されました。

VDIを使用すると、現在のハードウェアの使用を拡張し、それらの管理に費やすIT時間を無駄にすることなく、PCの更新に伴うアップグレードやハードウェア購入コストを回避できます。クラウドベースの VDI (DaaS) への移行には、コスト削減の改善、管理投資の削減、将来のWorkspace の提供がさらにメリットがあります。

Citrix Cloud上のリモートPCアクセスのための概念アーキテクチャ

WorkspaceおよびGatewayサービスを備えたCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceおよびGatewayサービスとともにCitrixによって管理されます。これにより、ユーザーはCitrix Cloud環境を介してリモートPCアクセスを接続できます。

Citrix リモートPCアクセス展開の概念アーキテクチャを以下に示します。Citrix Cloudとオンプレミスの両方の展開におけるリモートPCアクセスソリューションの設計フレームワークについて、このアーキテクチャ上の各レイヤーについて検討し、リモートPCアクセスソリューションのワークフローを理解しましょう。

RemotePC-RA-Image-1

WorkspaceとオンプレミスのGatewayを使用したCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceとともにCitrixによって管理されます。オンプレミスのGatewayは、ユーザーがインターネット経由でリモートPCアクセスソリューションに接続できるようにするために含まれています。

RemotePC-RA-Image-2

オンプレミスのGatewayとStoreFront を使用したCitrix Cloud経由のリモートPCアクセス

このアーキテクチャでは、コントロールプレーンはCitrix Cloud上でホストされ、WorkspaceとともにCitrixによって管理されます。オンプレミスのStoreFront およびGatewayを使用して、ユーザーがインターネット経由でリモートPCアクセスに接続できるようにするオンプレミスのStoreFrontおよびGateway。

RemotePC-RA-Image-3

Citrix リモートPCアクセス展開の概念アーキテクチャについては、前述のとおりです。Citrix Cloud用のリモートPCアクセスソリューションの設計フレームワークを、このアーキテクチャ上の各レイヤーについて見直し、リモートPCアクセスのワークフローを理解しましょう。

ユーザレイヤ

このレイヤーは、Citrix 環境のエンドユーザーと、オフィスリソースへの接続に使用されるエンドポイントデバイスを表します。

ユーザーは、Citrix リモートPCアクセスソリューションを使用して、インターネット経由でオフィスPCにリモートで接続します。ユーザーは、デスクトップ、ラップトップ、タブレットデバイスなどのパーソナルデバイスを使用してオフィスPCに接続するため、最新のCitrix Workspace アプリクライアントをパーソナルエンドポイントデバイスにインストールすることをお勧めします。また、ユーザーは、デバイスに Workspace アプリのフルバージョンをインストールできない場合に、HTML5 バージョンの Workspace を利用できます。

ユーザーはブラウザからCitrix Cloud WorkspaceのURLhttps://customer.cloud.comに移動し、インターネット経由でエンドポイントデバイスからオフィスPCにアクセスします。ログインページは、さまざまな認証方法を使用してユーザの ID を検証するために表示されます。認証されると、割り当てられたアプリケーションとデスクトップが表示されるリソースページが表示されます。ユーザーは、[リモート PC アクセスデスクトップ] アイコンをクリックして、デスクトップを起動します。エンドポイントデバイスにインストールされているCitrix Workspace アプリは、デスクトップを起動し、ユーザーがオフィスで作業しているかのようにシームレスで最適なHDXエクスペリエンスを提供します。

RemotePC-RA-Image-4

アクセス層

このレイヤーは、エンドユーザーがCitrixリモートPCアクセス環境に接続する方法について説明し、Citrix Cloud経由のアクセス方法、リソースロケーション接続、Citrix Gateway、およびオンプレミスアクセス方法に関するStoreFront 要件の設計詳細を提供します。

Citrix Workspace プラットフォーム は、すべてのデジタルWorkspace リソースを列挙し、ユーザーに配信するCitrix Cloudの基本コンポーネントです。ユーザーは、Workspaceにアクセスします。Workspaceは、Citrix Cloudでホストされるポータルで、ユーザーにリソースを提供します。そのためには、会社の cloud.com URL (たとえばhttps://customer.cloud.com) またはカスタム URL に移動します。そこで、ユーザーは自分のリソースにアクセスするために資格情報の入力を求められます。

Workspaceは、Active Directory、Active Directory +ワンタイムパスワードを使用した 2 要素認証、Azure AD など、さまざまな認証方法をサポートしています。今後さらに多くの認証オプションが追加される予定です。詳細については、Workspaceドキュメントを参照してください。

Cloud Connector は、Citrix Cloudにリソースを接続するためにリソースの場所にインストールされるコンポーネントです。リソースの場所にインストールされた一連のCloud Connectorを使用すると、Citrix Cloud上のお客様のActive Directory ドメインにアクセスして認証を行うことができます。Workspace構成には、環境へのアクセスに使用できる従来のオンプレミスのCitrix Gateway やStoreFront など、さまざまな認証方法とアクセスフローを構成するための複数のオプションがあります。

ユーザーがCitrix Cloud Workspace URL(https://customer.cloud.com)にアクセスすると、さまざまな認証方法とともにActive Directory ドメインの資格情報を入力するように求められます。その後、Cloud Connector を介してオンプレミスのActive Directoryドメインに対して検証されます。

RemotePC-RA-Image-5

資格情報が検証されると、ユーザーはWorkspace リソースページが表示され、割り当てられている仮想アプリケーション、デスクトップ、およびリモート PC アクセスリソースにアクセスできます。ユーザーが起動するリモートPCアクセスデスクトップ(Office PC)を選択すると、ユーザーはWorkspaceアプリを使用してSSL経由でHDX Gatewayに接続します。HDX接続は、ユーザーの個人デバイスからCitrix Cloud上のCitrix Gateway サービスに確立されます。

Citrix Gateway Service は、多様なIDおよびアクセス管理(IdAM)機能を備えたセキュアなリモートアクセスソリューションを提供し、SaaSアプリケーション、異種Virtual Apps and Desktops、リモートPCアクセスなどに統一されたエクスペリエンスを提供します。Gatewayサービスは、SSL経由でオンプレミスのCloud Connectorへの接続を確立し、TCPポート1494/2598経由でリモートPCアクセスデスクトップに接続し、シームレスなHDXエクスペリエンスを提供します。

制御レイヤ

このレイヤーでは、Citrix Cloudサービスのサイトデザインなど、Citrix 環境のサポートと制御に使用される管理コンポーネントの詳細について説明します。Citrix 環境では、Delivery Controller、SQLデータベース、Studio、Director、およびライセンスがコントロールレイヤーのコアコンポーネントであり、Citrix Cloud上でプロビジョニングされ、Citrixによって管理されます。

RemotePC-RA-Image-6

クラウドでプロビジョニングされたDelivery Controllerは、オンプレミスのCloud Connectorと通信し、認証のために Active Directory を更新します。Citrix管理者は、Citrix Cloudポータルを使用して、Apps and Desktops環境と資格を管理します。[Virtual Apps and Desktops]ページの[ 管理 ]ボタンを使用すると、管理者はCitrix Studioを起動して環境を管理できます。Citrix Studioを使用して、リモートPCアクセス用のマシンカタログとデリバリーグループとCitrixポリシーが作成され、環境が保護されます。

RemotePC-RA-Image-7

Citrix Cloudポータルの「監視」タブでは、Citrix Directorコンソールにアクセスして、セッション制御、レポート、アラートなどを使用してアプリケーションおよびデスクトップインフラストラクチャを監視できます。

リソース層

このレイヤーは、Citrix 環境からエンドユーザーがアクセスするリソースに関する情報をキャプチャします。

リソースレイヤーは、すべてのOffice PCが配置されている場所に焦点を当て、Citrix Cloud上のリソースの場所と呼ばれます。リソースの場所とは、パブリッククラウド、プライベートクラウド、ブランチオフィス、データセンターなど、お客様のCitrix ワークロードやその他の運用ツールが存在する場所です。リソースの場所には、顧客が使用しているCitrix Cloudサービスと、ユーザーが加入者に提供するサービスに応じて異なるリソースが含まれます。

Citrix Cloudは、クラウドサブスクリプションに対して複数のリソースの場所を持つことができます。Office PCにインストールされているCitrix Virtual Delivery Agentは、PCの状態をCloud Connectorに登録します。Cloud Connectorは、Citrix Cloud上のDelivery Controllerにリソースステータスを更新するのに役立ちます。ネットワーク管理者は、Office PC がCloud Connectorと通信するために必要なファイアウォールルールを構成します。

RemotePC-RA-Image-8

Citrix 管理者は、リモートPCアクセス用に複数のマシンカタログとデリバリーグループを作成して、場所、部門、またはその他の要因によってOffice PCを識別できます。これらのリソースはすべて、Citrix CloudのCitrix Directorコンソールを使用して監視できます。

プラットフォーム層

このレイヤーでは、ハードウェア、ストレージ、仮想化の詳細に焦点を当てたCitrix 環境で使用されるコンポーネントとクラウドProvisioning 方法について説明します。

リモートPCアクセスのこのアーキテクチャでは、コア制御インフラストラクチャコンポーネントがCitrix Cloud内に存在し、Citrixによって管理されるため、VDA(オフィスPC)がCloud Connectorと通信して状態を登録できるように、データセンターにCloud Connector のみを展開する必要があります。をCitrix Cloudと併用できます。

Cloud Connector 仮想マシンをホストするために、管理者は必要な量のリソースを使用してサーバーハードウェアを展開します。Citrix 管理者は、サーバーハードウェア上にCitrix Hypervisor をインストールして構成し、Cloud Connector用の仮想マシンを作成します。仮想マシンが作成されると、Citrix Adminは仮想マシンからCitrix Cloudポータルにアクセスし、サブスクリプションアカウントを使用してCloud Connectorをインストールします。

RemotePC-RA-Image-9

操作レイヤー

このレイヤーは、Citrix ワークロードとリモートPCアクセスデスクトップの管理に必要なツールまたはコンポーネントに焦点を当てています。

Citrix Cloudアーキテクチャの場合、重要なツールは、Citrix Cloudでホストされている制御インフラストラクチャにアクセスするためのクラウドポータルです。管理者は、クラウドポータルを使用して、Citrix StudioコンソールとCitrix Directorコンソールにアクセスできます。Citrix Studioは、管理者がマシンカタログ、デリバリーグループ、およびCitrix ポリシーを構成するのに役立ちます。

Citrix Directorは、完全なCitrix 環境を監視するのに役立ちます. クラウドポータルを使用すると、管理者はCloud Connector の状態を監視でき、さまざまな認証方法やアクセス方法の設定にも役立ちます。

オンプレミス展開によるリモートPCアクセスの概念アーキテクチャ

オンプレミス展開でのCitrix リモートPCアクセスの概念アーキテクチャを以下に示します。

RemotePC-RA-Image-10

このアーキテクチャ上の各レイヤに関するオンプレミス展開用のリモート PC アクセスソリューションの設計フレームワークを確認して、ワークフローを理解しましょう。

ユーザレイヤ

このレイヤーは、Citrix 環境のエンドユーザーと、オフィスリソースへの接続に使用されるエンドポイントデバイスを表します。

ユーザーは、Citrix リモートPCアクセスソリューションを使用して、インターネット経由でオフィスPCにリモートで接続します。ユーザーは、デスクトップ、ラップトップ、タブレットデバイスなどのパーソナルデバイスを使用してオフィスPCに接続するため、最新のCitrix Workspace アプリクライアントをパーソナルエンドポイントデバイスにインストールすることをお勧めします。また、ユーザーは HTML5 バージョンの Workspace を利用でき、デバイスに Workspace アプリのフルバージョンをインストールすることはできません。

ユーザーはブラウザを介してオンプレミスのCitrix Gateway のURLhttps://citrix.company.comに移動し、インターネット経由でエンドポイントデバイスからオフィスPCやその他のリソースにアクセスします。ログインページは、多要素認証を使用してユーザーの ID を検証するために表示されます。認証されると、割り当てられたアプリケーションとデスクトップが表示されるリソースページが表示されます。ユーザーは、[リモート PC アクセス Office デスクトップ] アイコンをクリックして、デスクトップを起動します。エンドポイントデバイスにインストールされているCitrix Workspace アプリは、デスクトップを起動し、ユーザーがオフィスで作業しているかのようにシームレスで最適なHDXエクスペリエンスを提供します。

RemotePC-RA-Image-11

アクセス層

このレイヤーは、エンドユーザーがCitrix リモートPCアクセス環境に接続する方法について説明し、オンプレミス展開のアクセス方法に関する設計の詳細を提供します。

ユーザーは、Citrix Virtual Apps and Desktops ソリューション用に構成された既存のCitrix Gateway URL(https://citrix.company.com)にアクセスして、リモートPCアクセスにもアクセスします。Citrix Gateway のURLに移動すると、Active Directory などの複数の認証方法を含むログインページが表示されます。Citrix Gateway では、さまざまな認証方法がサポートされています。詳細については、製品ドキュメントを参照してください。

RemotePC-RA-Image-12

資格情報が検証されると、ユーザーは従来のCitrix StoreFront/Workspaceリソースページが表示され、割り当てられたVirtual Apps、デスクトップ、リモートPCアクセスにアクセスできます。ユーザーが起動するリモートPCアクセス(Office PC)を選択すると、ユーザーはWorkspaceアプリを使用してSSL経由でHDX Gatewayに接続します。HDX接続は、ユーザーの個人デバイスからSSLを使用したオンプレミスのCitrix Gateway に確立され、TCPポート1494/2598経由でOffice PCに接続し、シームレスなHDXエクスペリエンスを提供します。

制御レイヤ

このレイヤーでは、Citrix 環境のサポートと制御に使用される管理コンポーネントの詳細について説明します。これには、オンプレミスの Citrix 環境のサイト設計が含まれます。

オンプレミス展開のコントロールレイヤーには、Citrix Delivery Controller、SQL Database、およびライセンスなど、Citrixソリューション全体をサポートするすべてのインフラストラクチャ関連コンポーネントが含まれます。

RemotePC-RA-Image-13

既存のVirtual Apps and Desktops展開は、[リモートPCアクセス]を選択してマシンカタログとデリバリーグループを作成するだけで、リモートPCアクセスを使用して簡単に構成できます。

リモートPCアクセスサイトの専用環境のオプションもあります。 ここでは、統合アクセスおよびシームレスアクセスのために既存のStoreFrontおよびCitrix Gatewayに統合可能な新しいDelivery Controllerと新しいリモートPCアクセスサイト、ライセンス、SQLデータベースを展開します。Citrix Studioを使用して、リモートPCアクセス用のマシンカタログとデリバリーグループとCitrixポリシーが作成され、環境が保護されます。

RemotePC-RA-Image-14

リソース層

リソース層は、Office PCが企業ネットワーク内のどこにあるか、およびこれらのマシンをリモートPCアクセス用に構成する方法に関する情報をキャプチャします。

このアーキテクチャでは、Office PC はお客様の環境の LAN セグメント上に存在します。これらのOffice PCはVirtual Delivery Agent(VDA)とともにインストールされ、オンプレミスのDelivery Controllerに登録されます。Citrix 管理者は、リモートPCアクセスマシンカタログとデリバリーグループを構成して、エンドユーザーのアクセスを有効にすることができます。

VDAの展開は、Microsoft System Center Configuration Manager(SCCM)などの既存のESD(電子ソフトウェア配信)システムによって管理できます。アップグレードのベストプラクティスは、再起動、VDAソフトウェアのアンインストール、再起動、最新のVDAのインストール、最終再起動です。

RemotePC-RA-Image-15

Citrix Directorを使用すると、リモートPCアクセス環境と、既存のCitrix Virtual Apps およびデスクトップ環境を監視できます。

プラットフォーム層

このレイヤーでは、主にハードウェア、ストレージ、仮想化の詳細に焦点を当てたCitrix 環境で使用されるハードウェアコンポーネントとクラウドProvisioning 方法について説明します。

オンプレミス環境の場合、プラットフォームレイヤーは、コアコントロールコンポーネントをホストするためのサーバーハードウェア要件をカバーします。コアコンポーネントには、2つ以上のDelivery Controller、ライセンスサーバー、クラスターを構成するためのSQLデータベース用の2つの仮想マシン、または常時オン、Citrix Director用の仮想マシン、およびその他のコンポーネントが含まれます。

RemotePC-RA-Image-16

エンタープライズ管理者は、これらのコンポーネントをホストするために、十分なリソースを持つサーバハードウェアを展開しています。Citrix管理者は、サーバーハードウェア上にCitrix Hypervisor をインストールして構成し、すべてのコンポーネントの仮想マシンを作成します。仮想マシンが作成されると、Citrix 管理者はリモートPCアクセスサイトを構成します。StoreFront に新しいDelivery Controllerが構成され、エンドユーザーのリモートPCアクセスリソースが列挙されます。

操作レイヤー

このレイヤーは、Citrix ワークロードとリモートPCアクセスデスクトップの管理に必要なツールとコンポーネントに焦点を当てています。 オンプレミス環境の場合、運用レイヤーはCitrix StudioやCitrix Directorなどのツールに重点を置き、インフラストラクチャの制御やCitrix環境全体の監視に役立ちます。

Citrix Studioを使用すると、管理者は複数のマシンカタログとデリバリーグループを作成し、リモートPCアクセスソリューションにCitrix HDXポリシーを適用できます。Citrix Directorは、環境を監視するのに役立ちます。

ソース

このリファレンスアーキテクチャの目標は、独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソース図

参照ドキュメント

技術的な要件と考慮事項

リモートPCアクセスのセキュリティに関する考慮事項

リモートPCアクセス使用事例ビデオ