PoC ガイド:アプリ保護ポリシー

概要

このガイドでは、オンプレミスのCitrix Virtual Apps and Desktops展開におけるアプリケーション保護ポリシーの技術的な前提条件、ユースケース、および構成について説明します。アプリ保護は、Citrix Workspaceアプリ(CWA)のアドオン機能で、Citrix Virtual Apps and Desktops の公開リソースを使用するときに強化されたセキュリティを提供します。Citrix HDXセッションでは、キーログ対策とアンチスクリーンキャプチャ機能を提供する2つのポリシーがあります。

システム要件

アプリ保護ポリシー機能には、特定のバージョンのCitrix Workspace アプリが必要で、さまざまなエンドポイントをサポートします。StoreFront およびDelivery Controller サーバーでの構成変更とともに、特別なアドオンライセンスが必要です。システム要件の詳細については、 製品マニュアルを参照してください

サポートされているCitrix Workspace アプリとオペレーティングシステムの最新リストについては、「 システム要件」を参照してください。さらに、 Citrix Ready yは、パートナーによってサポートされているサードパーティのエンドポイントを提供します。

サーバーオペレーティングシステム (Windows Server 2019 など) はサポートされていません。

注:

これらのオペレーティングシステムは、Citrix Workspaceアプリがインストールされている場所(通常はエンドポイント)でサポートされます。VDAは、サーバーOSを含むすべてのオペレーティングシステムをサポートしています。

ライセンス

有効なCitrixライセンスが必要です。

  • Citrix Virtual Apps and Desktops
  • アプリ保護のアドオンライセンス

インフラストラクチャ

次のサーバーコンポーネントが必要です。

  • StoreFront 1912以上
  • Delivery Controller 1912 以上

インストール-Delivery Controller

注:

次の手順は、Citrix Virtual Apps and Desktopsのバージョン 1912、2003、および2006年でのみ必要です。アプリ保護機能は、新しいリリースに自動的に含まれています。新しいリリースで必要な手順は、XML 信頼を有効にすることです (最初のステップ)。

  1. 次のコマンドを実行して、XML 信頼を有効にします。

    Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

    XML 信頼の設定

  2. アプリ保護機能を購入したら、Citrix Virtual Apps and Desktops 1912以降のダウンロードページからFeatureTable.OnPrem.AppProtection.xmlファイルをダウンロードします。

    注:

    アプリケーション保護ポリシー XML ファイルは、[コンポーネント] の下にあります

    Download

  3. [ ファイルのダウンロード ] をクリックし、ローカルディスクに保存します

    Download

  4. 任意のDelivery Controller で PowerShell を起動し、コマンドレットを使用してCitrix PowerShellスナップインを読み込む

    Add-PSSnapin Citrix*

    スナップインをインポートする

  5. PowerShell で、XML ファイルがダウンロードされたフォルダーに移動します。
  6. 次のコマンドを使用して、アプリ保護機能を有効にします。

    Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml

    フィーチャテーブルのインポート

  7. 次のコマンドで App Protection が有効になっていることを確認します。

    Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"

    フィーチャを取得

インストール-ライセンス

  1. ライセンスファイルをダウンロードし、既存のCitrix Virtual DesktopsライセンスとともにCitrixライセンスサーバーにインポートします
  2. Citrixライセンスマネージャーを使用してライセンスファイルをインポートします。詳細については、「 ライセンスをインストールする」を参照してください。

インストール-Citrix Workspace アプリ

  1. 次のいずれかの方法を使用して、アプリ保護コンポーネントを含めます。

    Windowsの場合: Citrix Workspaceアプリのインストール中(Windowsの場合)、[ アプリ保護を有効にする ]を選択し、[ インストール ]をクリックしてインストールを続行するか、コマンドラインスイッチCitrixWorkspaceApp.exe /includeappprotectionを使用します。詳しくは、Windows向けCitrix Workspace アプリの実稼働ドキュメントの「アプリ保護」セクションを参照してください

    インストール機能

    macOSの場合:アプリケーション保護では、Mac用のCitrix Workspaceに特定のインストールや構成は必要ありません。

    注:

    古いクライアントに App 保護のサポートを追加することはできません。Citrix Receiver/Citrix Workspaceアプリの古いバージョンをアンインストールし、アプリ保護コンポーネントで新しいバージョンをインストールします。

  2. [ 完了] をクリックします

    Finish

  3. [ はい ] をクリックしてコンピュータを再起動します

    Restart

構成-デリバリーグループ

アンチキーログおよびアンチスクリーンキャプチャ保護は、PowerShellを使用してデリバリーグループレベルで構成します。アプリ保護ポリシーの動作に影響する各デリバリーグループには、次の 2 つのプロパティがあります。

  • AppProtectionKeyLoggingRequired - $True (有効)または $False (無効)
  • AppProtectionScreenCaptureRequired - $True (有効)または $False (無効)
  1. 任意のDelivery Controller で PowerShell を起動し、コマンドレットを使用してCitrix PowerShellスナップインを読み込む

    Add-PSSnapin Citrix*

  2. Admin Desktop デリバリーグループのアプリ保護を有効にするには、次のコマンドを使用します。

    Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True

    プロパティの設定

  3. 次の PowerShell コマンドを実行して、設定を検証します。

    Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

    プロパティを取得する

テスト-Windows用Citrix Workspace アプリ

以下の手順では、アンチスクリーン共有テストのみのガイダンスを提供します。アンチキーログ保護をテストするには、各社のセキュリティチームに相談することをお勧めします。

  1. Citrix Workspaceアプリを起動してログインする

    ワークスペースの起動

  2. 保護された仮想アプリまたは仮想デスクトップ(Admin Desktop など)をクリックし、HDXセッションを起動します。保護されたリソースが表示されない場合は、Webストアを使用しているか、サポートされていないCitrix Receiver/Citrix Workspaceアプリを使用している可能性があります。

    リソースを起動する

  3. (オプション)App Protection がインストールされていない場合、保護された仮想アプリまたはデスクトップを起動しようとすると、次のポップアップが表示されます。[ はい] をクリックします

    オプションのダウンロード

    注:

    このオプションは、古いバージョンのCitrix Receiver/Citrix Workspaceアプリでは使用できません

  4. 画面キャプチャを実行してみる

    スクリーンショットの撮影

  5. 空白の画面が表示されることを確認します (予想される動作)

    空のスクリーンショット

アンチキーロギングとアンチスクリーンキャプチャ保護をテストする場合は、予想される動作に注意してください。

  • アンチキーロギング -この機能は、保護されたウィンドウがフォーカスされている場合にのみアクティブになります
  • アンチスクリーンキャプチャ -この機能は、保護されたウィンドウが表示されている (最小化されていない) ときにアクティブになります

アンチスクリーンキャプチャ保護をテストするもう 1 つの簡単な方法は、人気のある会議ツール (GoToMeeting、Microsoft Teams、ズーム、Slack) の 1 つを使用することです。保護が有効な場合、画面共有はできません。

参照ドキュメント

製品ドキュメント-Citrix Workspace アプリ

製品ドキュメント-アプリの保護

PoC ガイド:アプリ保護ポリシー