Product Documentation

XenMobile Cloudの前提条件および管理

Aug 02, 2016

以下の図に、XenMobile Cloudのインスタンスを申し込んでからユーザーが組織内でデバイスを使ってテストするまでの導入プロセスを構成する手順を示します。 XenMobile Cloudの評価または購入時には、XenMobile Cloudの中核的なサービスが正しく実行され構成されていることを保証するために、XenMobile Cloud運用チームが継続的に導入支援を提供し、コミュニケーションを図ります。

localized image

CitrixによりXenMobile Cloudソリューションがホストおよび提供されます。  ただし、XenMobile CloudのインフラストラクチャをActive Directoryなどの企業サービスに接続するため、一部の通信およびポートの要件を満たす必要があります。 以下のセクションを確認して、XenMobile Cloudの展開に備えます。 

XenMobile CloudのIPSecトンネルゲートウェイ

IPSecトンネルであるXenMobile Enterprise Connectorを使用して、Active Directoryなどの企業サービスにXenMobile Cloudインフラストラクチャを接続できます。

アマゾンウェブサービス(AWS)Webサイト(http://aws.amazon.com/vpc/faqs/)の一覧にあるIPsecゲートウェイは、XenMobile Cloudソリューションでテストされており、公式にサポートされます。   「Q: Amazon VPCで機能することが知られているカスタマーゲートウェイ装置にはどのようなものがありますか?」までスクロールして、サポートされるゲートウェイの一覧を参照してください。

注意

お使いのIPSecゲートウェイが承認済みリストに記載されていない場合もXenMobile Cloudと連動する可能性がありますが、セットアップに時間がかかったり、フォールバック計画として公式にサポートされるIPSecゲートウェイのいずれかを使用する必要が生じたりする可能性があります。 

IPSecゲートウェイには直接IPアドレスを割り当てる必要があり、NAT(Network Address Translation:ネットワークアドレス変換)を使用することはできません。 

AWS VPN接続では、永続的なキープアライブをカスタマー側で開始する必要があります。 お使いの環境からAmazon VPCサブネットへの永続的なpingを構成して、サービスの継続性を確保してください。

AWS VPNでは、IPsecゲートウェイで構成された複数のSecurity Associationはサポートされません。 トンネルごとに1つの一意のSecurity Associationペア(受信と送信で1つずつ)に制限されます。 規則とフィルターを統一して、不必要なトラフィックが生じないようにしてください。

以下の図に、XenMobile CloudソリューションでIPsecトンネルを構成して、さまざまなポートから企業サービスに接続する方法を示します。 

localized image

以下の表は、IPSecトンネルの要件を含めて、XenMobile Cloud展開の通信およびポートの要件を示します。

接続元

接続先

プロトコル

ポート

説明

外部(境界)ファイアウォール – 受信規則

XenMobile Cloud(AWS)IPCSEC VPNのパブリックIPアドレス1

顧客のIPSecアプライアンス

UPD

500

IPSec IKE構成。

XenMobile Cloud(AWS)IPCSEC VPNのパブリックIPアドレス1

顧客のIPSecアプライアンス

IPプロトコルID

50

IPSec ESPプロトコル。

XenMobile Cloud(AWS)IPCSEC VPNのパブリックIPアドレス1

顧客のIPSecアプライアンス

ICMP

 

トラブルシューティング用(セットアップ後に削除可能)。

外部(境界)ファイアウォール – 送信規則

顧客のDMZサブネット

XenMobile Cloud(AWS)IPSec VPNのパブリックIPアドレス1

UDP

500

IPSec IKE構成。

顧客のDMZサブネット

XenMobile Cloud(AWS)IPSec VPNのパブリックIPアドレス1

IPプロトコルID

50、51

IPSec ESPプロトコル。

顧客のDMZサブネット

XenMobile Cloud(AWS)IPSec VPNのパブリックIPアドレス1

ICMP

 

トラブルシューティング用(セットアップ後に削除可能)。

内部ファイアウォール – 受信規則

未使用でルーティング可能な顧客の/24サブネット2

顧客のデータセンター内の内部DNSサーバー

TCP、UPP、ICMP

53

DNS解決。

未使用でルーティング可能な顧客の/24サブネット2

顧客のデータセンター内のActive Directoryドメインコントローラー

LDAP(TCP)

389、636

3268、3269

ドメインコントローラーに対するユーザーのActive Directory認証およびディレクトリクエリ用。

未使用でルーティング可能な顧客の/24サブネット2

顧客のデータセンター内のActive Directoryドメインコントローラー

ICMP

 

トラブルシューティング用(セットアップ全体の完了後に削除可能)。

未使用でルーティング可能な顧客の/24サブネット2

顧客のデータセンター内のExchangeサーバー

SMTP(TCP)

25

オプション。XenMobileメール通知用。

未使用でルーティング可能な顧客の/24サブネット2

顧客のデータセンター内のExchangeサーバー

HTTP、HTTPS(TCP)

80、443

ActiveSyncトラフィックがデバイスから(IPSecトンネル経由で)XenMobile Cloudインフラストラクチャを介してExchangeサーバーに送信される場合は、Exchange ActiveSyncが必要です。

 

ユーザーデバイスが、XenMobile IPSecトンネル経由でExchangeサーバーに接続する必要がなく、インターネット経由でパブリックなActiveSync FQDNと通信する場合は、これは不要です。

未使用でルーティング可能な顧客の/24サブネット2

イントラネット/Webサーバー、SharePointサーバーなどのアプリケーションサーバー

HTTP、HTTPS(TCP)

80、443

XenMobile IPSecトンネル経由の、イントラネットおよび/またはアプリケーションサーバーへのユーザーモバイルデバイスからのアクセス。 各アプリケーションサーバーを、アプリケーションにアクセスするために必要なポート番号(通常ポート80および/または443)と共にファイアウォール規則に追加する必要があります。

未使用でルーティング可能な顧客の/24サブネット2

PKIサーバー(オンプレミスPKIを使用する場合)

HTTPS(TCP)

443

オプション(XenMobile POCでは使用しません):

これは、XenMobile CloudインフラストラクチャとMicrosoft CAのようなオンプレミスPKIインフラストラクチャを統合して、XenMobileソリューションに証明書ベースの認証を設定するために活用できます。

未使用でルーティング可能な顧客の/24サブネット2

RADIUSサーバー

UDP

1812

オプション(XenMobile POCでは使用しません):

これは、XenMobileソリューションに2要素認証を設定するために使用できます。

内部ファイアウォール – 送信規則

顧客の内部サブネット。このサブネットからXenMobileコンソールを使用可能にする必要があります。

未使用でルーティング可能な顧客の/24サブネット2

TCP

4443

XenMobile Cloudインフラストラクチャ内のXenMobile App Controller(MAM)コンソール。

1XenMobile CloudインスタンスおよびIPSecコンポーネントがXenMobile Cloudインフラストラクチャ内にプロビジョニングされるときに、XenMobile Cloudチームから提供されます。

2プロビジョニングプロセスの一環として顧客から提供される未使用の/24サブネット。このサブネットは顧客のデータセンター内の内部サブネットと競合せず、ルーティング可能です。

ユーザーのモバイルデバイス上のネイティブなメールクライアントからのメール接続を禁止または許可する機能など、ネイティブメールフィルタリングのためにXenMobile Mail ManagerまたはXenMobile NetScaler Connectorを展開することを計画している場合は、以下の追加要件を確認します。 

XenMobile Apple APNS証明書

XenMobile Cloud展開でiOSデバイスを管理することを計画している場合は、Apple APNS証明書が必要です。 XenMobile Cloudソリューションを展開する前に証明書を準備する必要があります。 手順については、「APNS証明書の要求」を参照してください。

WorxMail for iOSのプッシュ通知証明書

WorxMail展開でプッシュ通知を活用したい場合は、iOS WorxMailのプッシュ通知のためにApple APNS証明書を準備する必要があります。 詳しくは、「WorxMail for iOSのプッシュ通知」を参照してください。 

XenMobile MDX Toolkit

MDX Toolkitは、XenMobileを伴う安全な展開のためにアプリを準備する、アプリのラッピング技術です。 Citrix WorxMail、WorxNotes、QuickEditなどのアプリをラップするには、MDX Toolkitをインストールする必要があります。 詳しくは、「MDX Toolkitについて」を参照してください。  

iOSアプリをラップする計画をしている場合は、必要なApple配布プロファイルを作成するためにApple開発者アカウントが必要です。 詳しくは、MDX Toolkitのシステム要件およびApple Developer Webサイトを参照してください。 

Windows Phone 8.1向けアプリをラップする計画をしている場合は、システム要件を参照してください。

Windows Phone登録のためのXenMobile自動検出

Windows Phone 8.1の登録のためにXenMobile自動検出を活用したい場合は、パブリックなSSL証明書を利用できるようにします。 詳しくは、「XenMobileでのユーザー登録の自動検出の有効化」を参照してください。

XenMobileコンソール

XenMobile Cloudソリューションでは、オンプレミスのXenMobile展開と同じWebコンソールを利用します。 このようにして、ポリシー管理、アプリ管理、デバイス管理などの日々のCloudソリューションの管理を、オンプレミスのXenMobile展開と同じ方法で行います。 XenMobileコンソールでのアプリおよびデバイスの管理について、「XenMobileコンソールの概要」を参照してください。

XenMobileデバイス登録

さまざまなデバイスプラットフォームに対するXenMobile登録オプションについては、「ユーザーとデバイスの登録」を参照してください。

XenMobileサポート

XenMobileコンソールでサポートされる関連情報およびツールにアクセスする方法について詳しくは、「XenMobileのサポートおよび保守」を参照してください。