PoCガイド-Citrix ゼロトラストアーキテクチャ構成ガイド

概要

企業が成熟したゼロトラストアーキテクチャに移行する際には、コアコンセプトを理解し、ゼロトラストアーキテクチャの原則を満たす環境を構成する方法を理解することが重要です。この記事では、包括的なゼロトラストのシナリオと、Citrix の適応型認証、アダプティブアクセス、およびCitrix DaaSポリシーを構成して次のアーキテクチャを構築する方法について詳しく説明します。

使用例

次の図は、適応型認証、適応型アクセス、および DaaS ポリシー構成のアーキテクチャを示しています。

Citrix ゼロトラストアーキテクチャ

このシナリオでは、従業員と契約者の 2 つのユーザーグループがあります。この例では、従業員と契約者は同じワークスペース URL にアクセスします。

従業員

nFactor フローを左から右に進めると、従業員ユーザーは組織ドロップダウンリストから「Employee」を選択すると、次の 3 つの結果のいずれかに誘導されます。

  1. 緑-従業員専用アプリとセキュリティ制御が緩和されたVDIにアクセスできます。
  2. オレンジ-VDI にアクセスせずに、厳格なセキュリティ管理が行われている従業員専用アプリにアクセスできます。
  3. 赤-アクセスが拒否されました。

すべての従業員は、デバイス証明書エンドポイント分析 (EPA) スキャンと Azure Active Directory (Azure AD) SAML による認証の対象となります。

  1. 従業員がデバイス証明書の EPA スキャンに失敗すると、デバイス上のウイルス対策ソフトウェア (AV) を確認するために 2 回目の EPA スキャンを求めるメッセージが表示されます。
  2. 従業員のデバイスに指定のデバイス証明書が含まれているか、ウイルス対策ソフトウェアが実行されている場合は、Azure AD 認証情報を使用して認証するように求められます。
  3. 従業員がデバイス証明書またはアンチウィルスのいずれかを実行していない場合、アクセスは拒否されます。

契約社員

契約者のユーザーが組織のドロップダウンリストから「契約者」を選択すると、次の 2 つの結果が生じる可能性があります。

  1. 紫色-契約者専用アプリと、両方に厳格なセキュリティ制御が適用されたVDIにアクセスできます。
  2. 赤-アクセスが拒否されました。

すべての契約者は、デバイス証明書エンドポイント分析 (EPA) スキャンおよびオンプレミスの Active Directory (AD) による認証の対象となります。契約者がデバイス証明書の EPA スキャンに失敗した場合、その契約者はアクセスを拒否されます。

前提条件

適応型認証を設定する前に、以下の前提条件が満たされています。

  • Citrix DaaSとSecure Private Access Advancedが有効で、リソースロケーションにCloud ConnectorがインストールされているCitrix Cloudテナントにアクセスできます。
  • 適応型認証のプロビジョニングガイドのステップ1に従って 、適応型認証をプロビジョニングします。
  • マシンカタログとデリバリーグループを含むCitrix DaaSでの公開デスクトップ。
  • アクセスポリシーは、アダプティブアクセス用に後で編集されます (「ステップ 1: 適応型認証のプロビジョニング」を参照)。
  • Secure Private Accessから社外の(社内ネットワーク外の)従業員専用アプリと契約社員専用アプリを公開しました。
  • Microsoft Azure AD を既存の Azure テナントおよびActive Directory と同期します。
  • ドメインコントローラの GPO によるデバイス証明書の自動登録を設定します。
  • Citrix Cloud > ワークスペース構成のワークスペースURLからEPAプラグインをダウンロードしてインストールします

構成

以下のセクションでは、前のシナリオの設定について詳しく説明します。設定ガイドは次のセクションに分かれています。

  • 適応型認証設定
  • アダプティブアクセス構成
  • DaaS ポリシー設定

適応型認証設定

適応型認証インスタンスでは以下の設定が行われます。適応型認証にアクセスするには:

  1. Citrix Cloudにログインし適切なカスタマーを選択します

    Citrix Cloud ログイン

    Citrix Cloud ログイン

  2. メイン管理コンソールのホームページから、左上のメニューを選択し、[ マイサービス] > [安全なプライベートアクセス] に移動します。

    Citrix Cloud ログイン

  3. バーのメニューアイコンにカーソルを合わせ、「 ID とアクセス管理」を選択し、「管理**」をクリックします。

    Citrix Cloud ログイン

  4. プライマリ IPをコピーし、Web ブラウザに貼り付けて認証します。

    Citrix Cloud ログイン

LDAP

ユースケースシナリオ 2 では、LDAP ポリシーが必要です。まず、契約者フロー用の標準 LDAP ポリシーを作成してから、従業員フローの Azure SAML ポリシーの後にある NO_AUTH LDAP ポリシーを作成します。

  1. メインのアダプティブ認証設定ページから始めて、左上の検索バーに「 LDAP 」と入力し、「 セキュリティ」>「AAA-アプリケーショントラフィック」>「ポリシー」>「認証」>「詳細ポリシー」>「アクション」「LDAP」を選択します。

    LDAP

  2. 標準 LDAP の場合は、「追加」をクリックし、「名前」を入力し、表示されているように LDAP サーバーの詳細を入力して、「OK」をクリックします。

    LDAP

    LDAP

  3. NO_AUTH LDAP の場合は、「追加」をクリックし、名前を付けて、表示されているように LDAP サーバーの詳細を入力して、「OK」をクリックします。

    LDAP

  4. 完成した LDAP アクションは次のようになります。

    LDAP

SAML

ユースケースシナリオでは、従業員フロー用に 1 つの SAML 認証ポリシーを作成する必要があります。この構成ガイドでは、Azure AD が SAML IdP として使用されています。このセクションでは、Azure Enterprise App を最初に構成し、次にアダプティブ認証で SAML 認証アクションを設定します。

Azure エンタープライズアプリ

  1. Azure ポータルで、[ Azure Active Directory]、[ エンタープライズアプリケーション]、[ 新規アプリケーション] の順に選択します。

    SAML

  2. 検索バーに「Citrix」と入力し、Azure AD用のNetScaler ADC SAMLコネクタを選択して名前を付けて、「作成」をクリックします。

    SAML

  3. 作成したら、左側のメニューから [ シングルサインオン ] を選択し、[ 編集 ] をクリックして [基本的な SAML 設定] をクリックします。

    SAML

  4. 基本的な SAML 設定について、次の詳細を入力します。
    • エンティティ ID: アダプティブ認証インスタンスの FQDN
    • 返信 URL: 私のアダプティブ認証インスタンスの FQDN に「/cgi/samlauth」が追加されました
    • サインオン URL: アダプティブ認証インスタンスの FQDN に「/cgi/samlauth」が付加されています

    SAML

  5. 最後に、ペイン 3 から証明書 (Base64) をダウンロードし、ペイン 4 からログイン URL をコピーします。

    SAML

アダプティブ認証 SAML 設定

  1. メインのアダプティブ認証設定ページから始めて、左上の検索バーに「 SAML 」と入力し、[ **セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [アクション] **[SAML] を選択します。

    SAML

  2. 追加 」をクリックし、次に示すように SAML アクションの詳細を入力して「OK」をクリックします。

    • 名前
    • リダイレクト URL (Azure AD エンタープライズアプリ構成からコピーされたログイン URL)
    • シングルログアウト URL (Azure AD エンタープライズアプリ構成からコピーされたログイン URL)
    • IdP 証明書名 (Azure-Ad エンタープライズアプリの Base64 証明書)
    • 署名証明書名 (プロビジョニングプロセス中にサービスにアップロードされた適応型認証証明書)
    • 発行者名 (プロビジョニングプロセス中に指定されたアダプティブ認証インスタンスの FQDN)
    • 署名なしアサーションを拒否 (オフ)

    SAML

    SAML

完成した SAML アクションは次のようになります。

SAML

EPA

ユースケースのシナリオでは、次の 3 つの EPA ポリシーを完了する必要があります。

  1. 従業員のデバイス証明書チェック。
  2. 従業員のウイルス対策チェック。
  3. 契約者のデバイス証明書のチェック。

従業員デバイス証明書

  1. メインのアダプティブ認証設定ページから始めて、左上の検索バーに EPA と入力し、[ **セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [アクション] **[EPA] を選択します。

    EPA

  2. 追加」をクリックし、EPA アクションに名前を付けて、詳細を入力します。
    • デフォルトグループ:チェックに合格した場合は、AAAグループのユーザの名前を入力します(必ずすべて大文字で入力してください)

    注:

    このグループは後でスマートアクセスタグとの照合に使用されます。

    • 表現:「Expression」テキストボックスの右上にある EPA Editor をクリックし、図のように適切なドロップダウンリストを選択して、「完了」をクリックします。

    EPA

  3. 完成したアクションは次のようになります。

    EPA

従業員向けウイルス対策

  1. メインの EPA アクションページから [ 追加] をクリックし、EPA アクションに名前を付けて、詳細を入力します。
    • デフォルトグループ:チェックに合格した場合は、AAAグループのユーザーの名前を入力します( 必ずすべて大文字を使用してください)。

      注:

      このグループは後でスマートアクセスタグとの照合に使用されます。

    • 表現:「Expression」テキストボックスの右上にある EPA Editor をクリックし、図のように適切なドロップダウンリストを選択して、「完了」をクリックします。

    EPA

  2. 完成したアクションは次のようになります。

    EPA

契約者デバイス証明書

  1. メインの EPA アクションページから [ 追加] をクリックし、EPA アクションに名前を付けて、詳細を入力します。
    • デフォルトグループ:チェックに合格した場合は、AAAグループのユーザーの名前を入力します( 必ずすべて大文字を使用してください)。

      注:

      このグループは後でスマートアクセスタグとの照合に使用されます。

    • 表現:「Expression」テキストボックスの右上にある EPA Editor をクリックし、図のように適切なドロップダウンリストを選択して、「完了」をクリックします。

    EPA

  2. 完成したアクションは次のようになります。

    EPA

完了した EPA アクションは次のようになります。

EPA

スマートアクセス

このユースケースのシナリオでは、次の 3 つのスマートアクセスポリシーを完了する必要があります。

  1. デバイス証明書を持つ従業員
  2. デバイス証明書は持っていないが、デバイスには適切なウイルス対策ソフトウェアがインストールされている従業員
  3. 請負業者のデバイス証明書。

従業員デバイス証明書

  1. メインのアダプティブ認証設定ページから始めて、左上の検索バーに「 smart 」と入力して、[ **セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] **[スマートアクセス] を選択します。

    スマートアクセス

  2. [ 追加] をクリックし、 名前を付けて 、次のように詳細を入力します。
    • アクション:[ 追加] を選択し、タグ名を入力します

      注:

      このタグはCitrix Cloud Workspaceに渡され、後でSPAのアダプティブアクセスポリシーやDaaSのポリシーで使用されます。

    • [OK]をクリックします。

    スマートアクセス

    • 表現:ユーザーが従業員デバイス証明書 EPA チェックに合格した AAA グループに属しているかどうかを確認するには、次の式を入力します。 AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_employee_device_certificate_epa_action>”
  3. 完成したスマートアクセスポリシーは次のようになります。

    スマートアクセス

従業員向けウイルス対策

  1. Smart Access ポリシーのメインページで、「 追加」をクリックします。 名前を付けて 、次のように詳細を入力します。
    • アクション:[ 追加] を選択し、タグ名を入力します。

    注:

    このタグはCitrix Cloud Workspaceに渡され、後でSPAのアダプティブアクセスポリシーやDaaSのポリシーで使用されます。

    • [OK] をクリックします。

    スマートアクセス

    • 表現:ユーザーが従業員デバイス証明書 (EPA) チェックに合格した AAA グループに属しているかどうかを確認するには、次の式を入力します。 "AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_employee_anti-virus_epa_action>”)
  2. 完成したスマートアクセスポリシーは次のようになります。

    スマートアクセス

契約者デバイス証明書

  1. Smart Accessポリシーのメインページで、「追加」をクリックし、「名前」を入力し、次の詳細を入力して、「OK」をクリックします。
    • アクション:[ 追加] を選択し、タグ名を入力します。

    注:

    この名前はCitrix Cloud Workspaceに渡されるタグで、後でSPAのアダプティブアクセスポリシーやDaaS のポリシーで使用されます。

    • [OK] をクリックします。 スマートアクセス
    • 表現:ユーザーが従業員デバイス証明書 (EPA) チェックに合格した AAA グループに属しているかどうかを確認するには、次の式を入力します。 “AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_contractor_device_certificate_epa_action>”)
  2. 完成したスマートアクセスポリシーは次のようになります。

    スマートアクセス

完成したスマートアクセスポリシーは次のようになります。

スマートアクセス

nファクターフロー

このユースケースでは、1 つの nFactor フローが必要です。

  1. メインのアダプティブ認証設定ページから始めて、左上の検索バーに「nfactor」と入力し、「セキュリティ」>「AAA-アプリケーショントラフィック」>「nFactor Visualizer」>「フロー」を選択し、次のページで「追加」をクリックします。

    nFactor

  2. + をクリックして最初の要素を追加します。

    nFactor

  3. 新しい [ファクターの追加] ペインで [ ファクターの作成 ] を選択し、名前を付けます。

    注:

    これはフロー全体の名前です。

  4. [作成] をクリックします。

    nFactor

  5. [スキーマの追加]をクリックします。

    nFactor

  6. [ 追加 ] をクリックして、次のペインに新しいスキーマを追加します。

    nFactor

  7. スキーマに名前を付けて、「鉛筆」アイコンをクリックしてスキーマを編集します。

    nFactor

  8. ログインスキーマ 」フォルダを選択し、下にスクロールして「 DomainDropdown.xml」を選択し、「 編集」をクリックします。

    nFactor

  9. スキーマに名前を付けて 、以下のようにフィールドに入力します。

    nFactor

  10. デフォルトでは、このスキーマのドロップダウンリストには 3 つのオプションがあります。スキーマを変更して 3 番目のドロップダウンリストオプションを削除するには、新しく作成したスキーマの上にカーソルを置き、表示されるダウンロードアイコンをクリックします。ダウンロードした XML ファイルをテキストエディターで開きます。

    nFactor

  11. ダウンロードした XML ファイルで、表示されている強調表示されたテキストを削除して、3 番目のドロップダウンリストオプションを削除します。

    nFactor

  12. スキーマ編集ペインを閉じ、新しく作成したスキーマの「編集」をクリックし、新しいスキーマ XML ファイルをアップロードして「 OK」をクリックし、もう一度「 OK」 をクリックします。これで、必要に応じて鉛筆アイコンをクリックして、更新されたスキーマを編集できます。

    nFactor

    nFactor

  13. 次に、ドメインドロップダウンリストスキーマに関連する認証ポリシーを作成します。この場合、NO_AUTH ポリシーが必要です。「 ポリシーを追加」をクリックします。

    nFactor

  14. [ 追加] をクリックし、ポリシーに名前を付けて、[アクションタイプ] ドロップダウンリストから [NO_AUTHN] を選択し、エクスプレッションテキストボックスに「true」と入力します。[作成] をクリックします。[追加] をクリックします。

    nFactor nFactor nFactor

  15. 次の要因は、「従業員」または「契約者」の意思決定ブロックです。緑色の「+」をクリックして、次の要素を追加します。「デシジョンブロックの作成」ラジオボタンを選択し、名前を付けて、「 作成」をクリックします。

    nFactor nFactor

  16. [ポリシーを追加] をクリックし、[ 追加 ] をクリックして認証ポリシーを作成し、名前を付けます。このポリシーは、ユーザーがドロップダウンリストから「従業員」オプションを選択したかどうかを判断します。これを確認するために使用する式は次のとおりです。

    HTTP.REQ.BODY(500).AFTER_STR("domain=").CONTAINS("Employee")

  17. [OK] をクリックします。

    nFactor nFactor nFactor

  18. [追加] をクリックします。

    nFactor

  19. 請負業者選定についても同じ手順を繰り返します。従業員チェックポリシーの下にある青い「+」をクリックし、「 追加 」をクリックして認証ポリシーを作成し、名前を付けます。このポリシーは、ユーザーがドロップダウンリストから「契約者」オプションを選択したかどうかを判断するためのものです。これを確認するために使用する式は次のとおりです。

    HTTP.REQ.BODY(500).AFTER_STR("domain=").CONTAINS("Contractor")

    nFactor nFactor nFactor

  20. [追加] をクリックします。

    nFactor

  21. 次のステップでは、「Employee」ユースケースの設定に焦点を当てます。次の要素は、デバイス証明書チェック EPA スキャンです。従業員チェックポリシーの緑色の「+」をクリックして、次の要素を追加します。

    nFactor

  22. ファクターに名前を付けて、「 作成」をクリックします。

    nFactor

  23. 「従業員デバイス証明書ファクター」で「 **ポリシーを追加** 」を選択し、「追加」をクリックして認証ポリシーを作成し、名前を付けて、アクションタイプを「EPA」に設定します。従業員のデバイス証明書を添付し、先ほど作成した EPA アクションを確認し、Expression を「true」に設定して、「 Create」をクリックします。

    nFactor nFactor nFactor

  24. [追加] をクリックします。

    nFactor

  25. 引き続き「従業員」ユースケース(「契約者」ユースケースの構成については後述します)。次は、従業員が前回のデバイス証明書EPAチェックに合格した後のファクターの設定です。従業員デバイス証明書チェックポリシーの緑色の「+」をクリックして、次の要素を追加します。

nFactor

  1. ファクターに名前を付けて 、[ 作成] をクリックします。

    nFactor

  2. 「Employee Azure AD SAML Factor」に「 **ポリシーを追加** 」を選択し、「追加」をクリックして認証ポリシーを作成し、名前を付けて、アクションタイプを「SAML」に設定します。先ほど作成した従業員の Azure AD SAML アクションを添付し、式を「true」に設定して、「 作成」をクリックします。

    nFactor nFactor nFactor

  3. [追加] をクリックします。

    nFactor

  4. SAML ポリシーが完了したら、次のステップは、NO_AUTHN ポリシーをアタッチして Workspace への適切な認証に必要な属性を取得することです。従業員の Azure AD SAML ポリシーの緑色の「+」をクリックして、次の要素を追加します。

    nFactor

  5. ファクターに名前を付けて 、[ 作成] をクリックします。

    nFactor

  6. 「従業員認証なし LDAP ファクター」で「 ポリシーを追加 」を選択し、「 追加 」をクリックして認証ポリシーを作成し、名前を付けて、アクションタイプを「LDAP」に設定します。以前に作成した従業員 NO_AUTH LDAP アクションを添付します。エクスプレッションを「true」に設定し、「 作成」をクリックします。

    nFactor nFactor nFactor

  7. [追加] をクリックします。

    nFactor

  8. 従業員がデバイス証明書のチェックに失敗した場合に 2 人目の従業員が使用するユースケースを設定するには、「従業員デバイス証明書チェック」ファクターの赤い「+」をクリックします。

    nFactor

  9. ファクターに名前を付けて、「 作成」をクリックします。

    nFactor

  10. 「従業員 AV チェックファクター」で「 **ポリシーを追加** 」を選択し、「追加」をクリックして認証ポリシーを作成し、名前を付けて、アクションタイプを「EPA」に設定します。先ほど作成したEmployee AV Checkアクションを添付し、式を「true」に設定して、「 作成」をクリックします。

    nFactor nFactor nFactor

  11. [追加] をクリックします。

    nFactor

  12. 従業員がウイルス対策チェックに合格すると、その従業員は Azure AD SAML + NO_AUTHN LDAP に渡されます。これを設定するには、「従業員 AV チェック」ファクターの緑色の「+」をクリックします。

    nFactor

  13. 「次に接続するファクター」ペインで、「既存のファクターに接続」のラジオボタンをクリックし、「Employee Azure AD Factor」を選択し、「 作成」をクリックします。

    nFactor

  14. これで、緑、オレンジ、赤の従業員ユースケース構成は完了です。ここまでの構成は、次のようになります。

    nFactor

  15. 「請負業者」ユースケースの設定に移ります。最初に設定する要素は、デバイス証明書のEPAチェックです。まず、請負業者チェックポリシーの緑色の「+」をクリックして次の要素を追加します。

    nFactor

  16. ファクターに名前を付けて、「 作成」をクリックします。

    nFactor

  17. 「契約者デバイス証明書ファクター」で「 ポリシーを追加 」を選択し、「 追加 」をクリックして認証ポリシーを作成し、名前を付けて、アクションタイプを「EPA」に設定します。以前に作成した契約者のデバイス証明書アクションを添付します。エクスプレッションを「true」に設定し、「 作成」をクリックします。

    nFactor nFactor nFactor

  18. [追加] をクリックします。

    nFactor

  19. 契約者がデバイス証明書チェックに合格すると、ログインが許可されます。次に、「契約者デバイス証明書チェックファクター」の緑色の「+」をクリックして、契約者のLDAP認証を設定します。

    nFactor

  20. ファクターに名前を付けて、「 作成」をクリックします。

    nFactor

  21. 「契約者LDAPファクター」で「 ポリシーを追加 」を選択し、「 追加 」をクリックして認証ポリシーを作成します。ポリシーに名前を付け、アクションタイプを「LDAP」に設定します。 先ほど作成した請負業者の LDAP アクションを添付し、式を「true」に設定して、「作成」をクリックします。

    nFactor nFactor nFactor

  22. [追加] をクリックします。

    nFactor

  23. この LDAP ファクターがユーザー名とパスワードのフィールドをエンドユーザーに表示するには、ログインスキーマが必要です。これを設定するには、「契約者LDAPファクター」 のスキーマを追加をクリックします

    nFactor

  24. [ログインスキーマの選択] ペインで、[ 追加] をクリックします。

    nFactor

  25. スキーマに名前を付けて、 鉛筆アイコンをクリックします

    nFactor

  26. 「ログインスキーマ」フォルダをクリックし、下にスクロールして「SingleAuth.xml」を選択します。次に、「 選択」 ボタンをクリックします。

    nFactor nFactor

  27. [作成] をクリックします。

    nFactor

  28. [OK] をクリックします。

    nFactor

これで nFactor フローの設定は完了です。最終結果は次の画像のようになります。

nFactor

AAA 仮想サーバ

これらの設定を認証フローに適用するには、AAA 仮想サーバに次の設定を適用します。

1.  upload and bind the CA certificate
2.  bind the nFactor flow
3.  bind the Smart Access policies.

それぞれにサブセクションがあります。

  1. まず、AAA 仮想サーバに移動します。メインのアダプティブ認証設定ページから始めて、左上の検索バーに「AAA」と入力し、[ **セキュリティ] > [AAA-アプリケーショントラフィック] **[仮想サーバー] を選択します。

    nFactor

  2. 編集するには「auth_vs」仮想サーバーをクリックします。

    nFactor

CA 証明書

  1. AAA 仮想サーバのメイン編集ページで、 右上の鉛筆アイコンを選択します

    nFactor

  2. [詳細] クリックします。

    nFactor

  3. 「デバイス証明書用CA」設定ペインまでスクロールし、「 追加」をクリックします。

    nFactor

  4. 先に追加したCA証明書を選択し、「+」をクリックしてから「 OK」をクリックします。

    nFactor nFactor

  5. デバイス証明書なし」をクリックします。

    nFactor

  6. [>] をクリックし、同じ CA 証明書を選択し、[選択]、[ **バインド] の順にクリックします。**

    nFactor nFactor nFactor

  7. AAA 仮想サーバは次の画像のようになります。

    nFactor

nファクターフロー

次のステップは、先に作成した nFactor フローを AAA 仮想サーバにバインドすることです。

  1. auth_vs AAA 仮想サーバのメイン編集ページで、「nFactor フローなし」と表示されるまで [ 続行 ] をクリックします。「nFactor フローなし」をクリックします。

    nFactor

  2. 「>」をクリックして先ほど作成した nFactor フローを選択し、「 選択」、「 バインド」の順にクリックします。

    nFactor

  3. 前に作成した nFactor フローを選択し、[ 選択] をクリックします。

    nFactor

  4. [Bind] をクリックします。

    nFactor

  5. AAA 仮想サーバは次のようになります。

    nFactor

スマートアクセスポリシー

AAA 仮想サーバで最後に必要な設定は、先に作成した 3 つのスマートアクセスポリシーをバインドすることです。

  1. auth_vs AAA 仮想サーバのメイン編集ページで、「スマートアクセスポリシーなし」が表示されるまで [ 続行 ] をクリックします。「スマートアクセスポリシーなし」をクリックします。

    nFactor

  2. [追加] をクリックします。

    nFactor

  3. ラジオボタンをクリックして最初の「スマートアクセスポリシー」を選択し、「 選択」をクリックします。

    nFactor

  4. [Bind] をクリックします。

    nFactor

  5. 他の 2 つのスマートアクセスポリシーについても、手順 2 ~ 4 を繰り返します。完成したスマートアクセスポリシーバインドは次のようになります。[閉じる] をクリックします。

    nFactor

AAA 仮想サーバの設定が完了しました。メインの AAA 仮想サーバ設定ページで [ 続行 ] をクリックするか、一番下までスクロールして [ 完了] をクリックします。

nFactor

アダプティブアクセスポリシー

次の構成は、Citrix Cloud管理コンソールのセキュア・プライベート・アクセス・サービスで行われます。このシナリオでは、次の 3 つのアダプティブアクセスポリシーを作成する必要があります。

  1. 緑-セキュリティ制御が緩和された従業員用アプリへのアクセス
  2. Orange-厳重なセキュリティ管理による従業員用アプリへのアクセス
  3. 紫色-厳重なセキュリティ管理による請負業者アプリへのアクセス。

それぞれにサブセクションがあります。

適応型認証インスタンスでは以下の設定が行われます。適応型認証にアクセスするには:

  1. citrix.cloud.com にログインし、適切な「顧客」を選択します。

    nFactor nFactor

  2. メイン管理コンソールのホームページから左上のメニューを選択し、[ マイサービス] > [セキュアプライベートアクセス] に移動します。

    nFactor

  3. 左側のナビゲーションアイコンにカーソルを合わせてラベルを表示し、「アクセスポリシー」を選択します。

    nFactor

緑-セキュリティ制御が緩和された従業員用アプリへのアクセス

  1. 最初に作成するポリシーは、セキュリティ制御が緩和された従業員用アプリ用です。はじめに、メインのポリシー設定ページから [ ポリシーの作成] をクリックします。

    nFactor

  2. ポリシー作成者に次の詳細を入力し、[ + 条件を追加] をクリックします。

    • アプリケーション: <employee app name>
    • ユーザー/ユーザーグループ: <employee user(s)>

注:

個々のユーザー名の代わりに AD セキュリティグループを使用できます。

nFactor

  1. 引き続き、ポリシー作成者に次の詳細を記入してください。

    • 条件を選択:デバイス姿勢チェック >「すべて一致」
    • カスタムタグを入力:CERT
    • 次に、以下を実行してください-アクションを選択してください:アクセスを許可
    • ポリシー名:名前を入力します
    • 「保存時にポリシーを有効にする」チェックボックスを有効にする
  2. ポリシーは次のようになっているので、[ 保存] をクリックします。

    nFactor

Orange-厳重なセキュリティ管理による従業員用アプリへのアクセス

  1. 次に作成するポリシーは、厳格なセキュリティ制御を行う従業員用アプリ用です。まず、 メインポリシー設定ページから「ポリシーの作成 」をクリックします。

    nFactor

  2. ポリシー作成者に次の詳細を入力し、[ + 条件を追加] をクリックします。

    • アプリケーション: <employee app name>
    • ユーザー/ユーザーグループ: <employee user(s)>

    nFactor

  3. 引き続き、ポリシー作成者に次の詳細を記入してください。

    • 条件を選択:デバイス姿勢チェック >「すべて一致」
    • カスタムタグを入力してください:NOCERT
    • 次に、以下を実行してください-アクションを選択してください:制限付きでアクセスを許可する
    • 制限:有効にする制限を選択してください
    • ポリシー名:名前を入力します
    • 「保存時にポリシーを有効にする」チェックボックスを有効にする
  4. ポリシーは次のようになっているので、[ 保存] をクリックします。

    nFactor nFactor

パープル-厳重なセキュリティ管理による契約者アプリへのアクセス

  1. 作成する 3 つ目のポリシーは、厳重なセキュリティ制御を行う契約者向けアプリ用です。まず、 メインポリシー設定ページから「ポリシーの作成 」をクリックします。

    nFactor

  2. ポリシー作成者に次の詳細を入力し、[ + 条件を追加] をクリックします。

    • アプリケーション: <employee app name>
    • ユーザー/ユーザーグループ: <employee user(s)>

    nFactor

  3. 引き続き、ポリシー作成者に次の詳細を記入してください。

    • 条件を選択:デバイス姿勢チェック >「すべて一致」
    • カスタムタグを入力:請負業者
    • 次に、以下を実行してください-アクションを選択してください:制限付きでアクセスを許可する
    • 制限:有効にする制限を選択してください
    • ポリシー名:名前を入力します
    • 「保存時にポリシーを有効にする」チェックボックスを有効にする
  4. ポリシーは次のようになっているので、[ 保存] をクリックします。

    nFactor

    nFactor

これで、適応型アクセスポリシーの設定が完了しました。アダプティブアクセスのメイン設定ページは、次の図のようになります。

nFactor

DaaS ポリシー

Citrix Cloud管理コンソールのDaaSサービスでは、次の構成が行われます。このシナリオでは、次の 2 つの DaaS ポリシーを作成する必要があります。

  1. 「環境に優しい」従業員と「紫」の請負業者にVDIを許可
  2. 厳格なセキュリティ管理が施された紫色の請負業者のVDI。

それぞれにサブセクションがあります。

Citrix DaaS サービスでは、次の構成が行われます。Citrix DaaS サービスにアクセスするには:

  1. citrix.cloud.comにログインし、適切な「顧客」を選択します

    nFactor

    nFactor

  2. メイン管理コンソールのホームページから左上のメニューを選択し、[ マイサービス] > [DaaS] に移動します。

    nFactor

環境に配慮した従業員と紫色の契約社員には VDI を許可

  1. 「グリーン」の従業員と「パープル」の契約者のユースケースにVDIアクセスを設定するには、デリバリーグループのアクセスポリシーを編集する必要があります。左側のメニューから [デリバリーグループ] を選択します。VDIのデリバリーグループを強調表示して、「 編集」をクリックします。

    nFactor

    nFactor

  2. デリバリーグループの編集ペインで、左側のメニューから「アクセスポリシー」をクリックします。3 つのチェックボックスをすべて選択して、[ 追加] をクリックします。

    nFactor

  3. 最初に追加するフィルターは、従業員のアクセスを許可することです。[フィルターの追加] ペインに、次の詳細を追加します。

    • サイトまたはファーム名:ワークスペース
    • フィルタ: <employee device certificate smart access tag>

注:

この例では、「CERT」が使用されています。これは、適応型認証コンソールで以前に設定したスマートアクセスタグと一致します。

  1. [OK] をクリックします。

    nFactor

  2. 追加する2つ目のフィルターは、請負業者にアクセスを許可することです。メインの [アクセスポリシー] ページに戻り、[ 追加] をクリックします。

    nFactor

  3. [フィルターの追加] ペインに、次の詳細を追加します。

    • サイトまたはファーム名:ワークスペース
    • フィルタ: <contractor device certificate smart access tag>

注:

この例では、「契約者」を使用しています。これは、適応型認証コンソールで設定されたスマートアクセスタグと一致します。

  1. [OK] をクリックします。

    nFactor

  2. [保存] をクリックします。

    nFactor

厳重なセキュリティ管理を行う請負業者の VDI

  1. 請負業者のVDIに厳格なセキュリティ制御を設定するには、DaaS Studioのポリシーを編集する必要があります。設定を開始するには、DaaS Manageのホームページから左側のメニューから [ポリシー] をクリックします。

    nFactor

  2. [ポリシーの作成] をクリックします。

    nFactor

  3. 適用すべき厳密なセキュリティポリシーは、契約者の VDI にセッションウォーターマークを設定することです。右側の検索バーに「ウォーターマーク」と入力します。「セッションウォーターマークを有効にする」 を選択するには 、「選択」をクリックします。

    nFactor

  4. 設定を有効にして、[ 保存] をクリックします。

    nFactor

  5. [次へ] をクリックします。

    nFactor

  6. 「ポリシーの割り当て先」ボックスで、「アクセス制御」設定の「 割り当て 」をクリックします。

    nFactor

  7. 「アクセス制御要素」ボックスの「アクセス条件」フィールドに「契約者デバイス証明書スマートアクセスタグ」を入力します。[保存] をクリックします。

    nFactor

  8. [次へ] をクリックします。

    nFactor

  9. 概要ページでポリシーが有効になっていることを確認し、名前を付けて、[ 完了] をクリックします。

    nFactor

まとめ

このガイドでは、「 ユースケース 」セクションで説明されている適応型認証と適応型アクセスシナリオの設定について説明しました。 citrix.cloud.comのワークスペース構成セクションにあるワークスペースURLを使用して 、構成のテストと検証を行います。

PoCガイド-Citrix ゼロトラストアーキテクチャ構成ガイド