XenMobile Server

Citrix GatewayおよびCitrix ADCとの統合

XenMobileと統合すると、Citrix Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、業務用モバイルアプリはマイクロVPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。マイクロVPNは、モバイルデバイス上のアプリからCitrix Gatewayに作成されます。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

次の場合、すべてのXenMobile ServerデバイスモードでCitrix ADCの負荷分散が必要です:

  • XenMobile Serverが複数ある場合
  • または、XenMobile ServerがDMZまたは内部ネットワーク内にある場合(つまり、デバイスからCitrix ADC、XenMobileの順にトラフィックが流れる場合)

XenMobile Serverモードの統合要件

Citrix GatewayとCitrix ADCの統合要件は、XenMobile Serverのモード(MAM、MDM、ENT)によって異なります。

MAM

XenMobile ServerをMAMモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。
  • 負荷分散にはCitrix ADCをお勧めします。

    XenMobileを高可用性構成で展開することをお勧めしています。高可用性構成では、XenMobileの前にロードバランサーが必要です。詳しくは、「MAMと従来のMAMモードについて」を参照してください。

MDM

XenMobile ServerをMDMモードで使用する場合:

  • Citrix Gatewayは必須ではありません。MDMの展開では、モバイルデバイスVPNとしてCitrix Gatewayをお勧めします。
  • セキュリティと負荷分散のためにCitrix ADCをお勧めします。

    セキュリティと負荷分散のために、XenMobile Serverの前にCitrix ADCアプライアンスを配置することをお勧めします。DMZ内にXenMobileを標準展開する場合は、Citrix ADC for XenMobileウィザードを使用し、SSLブリッジモードでのXenMobile Serverの負荷分散をお勧めします。次のような展開では、SSLオフロードを検討することもできます:

    • XenMobile ServerがDMZではなく内部ネットワークに存在する
    • または、セキュリティチームがSSLブリッジの構成を必要としている

    XenMobile Serverを、NATや、MDMの既存のサードパーティプロキシまたはロードバランサーを介してインターネットに公開することは推奨されていません。これらの構成は、SSLトラフィックがXenMobile Server(SSLブリッジ)で終了した場合でも、潜在的なセキュリティリスクをもたらします。

    高度なセキュリティ環境を実現するには、Citrix ADCとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。

    最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をCitrix ADCにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。詳細については、「セキュリティ要件」を参照してください。Citrix ADCではオプションとしてSSL/TLS暗号とSSL FIPS Citrix ADCハードウェアを定義できます。

ENT(MAM+MDM)

XenMobile ServerをENTモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。

    XenMobile ServerモードがENTの場合にユーザーがMDM登録をオプトアウトすると、デバイスは従来のMAMモードで動作します。従来のMAMモードでは、デバイスの登録にCitrix Gatewayの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を使用します。詳しくは、「MAMと従来のMAMモードについて」を参照してください。

  • 負荷分散にはCitrix ADCをお勧めします。詳細については、この記事の前半の「MDM」にあるCitrix ADCの箇所を参照してください。

重要:

初回の登録では、負荷分散用仮想サーバーをSSLオフロードまたはSSLブリッジのいずれで構成する場合でも、ユーザーデバイスからのトラフィックはXenMobile Server上で認証されます。

設計の決定

以下のセクションでは、Citrix GatewayとXenMobileとの統合を計画するときに検討すべき、多くの設計上の決定についてまとめています。

ライセンスとエディション

決定の詳細:

  • Citrix ADCのどのエディションを使用するか
  • Citrix ADCにプラットフォームライセンスを適用しているか
  • MAMの機能が必要な場合は、Citrix ADCユニバーサルアクセスライセンスを適用しているか

設計ガイド:

Citrix Gatewayに適切なライセンスを適用するようにしてください。Citrix Gatewayコネクタ:Exchange ActiveSync用を使用している場合、統合キャッシュが必要な場合があります。そのため、適切なCitrix ADCのエディションを使用していることを確認する必要があります。

Citrix ADCの機能を有効にするためのライセンス要件は次のとおりです。

  • XenMobile MDMの負荷分散では、Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
  • Storage Zone Controllerを使用したShareFileの負荷分散には、Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
  • XenMobile Advanced Edition(オンプレミス)またはCitrix Endpoint Management(クラウド)には、MAMに必要なCitrix Gatewayユニバーサルライセンスが含まれています。
  • Exchangeの負荷分散には、Citrix ADC PlatinumプラットフォームライセンスまたはCitrix ADC Enterpriseプラットフォームライセンスに、Integrated Cachingライセンスを追加する必要があります。

Citrix ADC for XenMobileのバージョン

決定の詳細:

  • XenMobile環境で実行されているCitrix ADCのバージョンは何か
  • 別のインスタンスは必要か

設計ガイド:

Citrix Gateway仮想サーバーに専用のCitrix ADCインスタンスを使用することをお勧めします。最低限必要となるCitrix ADCのバージョンおよびビルドを、XenMobile環境で使用していることを確認してください。通常、XenMobileと互換性のある最新のCitrix ADCバージョンおよびビルドを使用するのが最適です。Citrix Gatewayのアップグレードが既存の環境に影響する場合は、XenMobileの2つ目の専用インスタンスが適切な場合があります。

VPN接続を使用するXenMobileおよびその他のアプリ用にCitrix ADCインスタンスを共有する場合は、両方で使用するVPNライセンスの数が足りていることを確認してください。XenMobileのテスト環境および実稼働環境では、Citrix ADCインスタンスを共有できないことに留意してください。

証明書

決定の詳細:

  • 登録やXenMobile環境へのアクセスに高度なセキュリティが必要か
  • LDAPは選択しないか

設計ガイド:

XenMobileのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびXenMobile環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。

LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとXenMobileにスマートカードを提示できます。ユーザーはそれにより、XenMobileが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、XenMobileは、XenMobile環境を認証するために使用される証明書を作成して展開します。

XenMobileは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートします。Microsoft CAが構成されている場合、XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、Citrix ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成するかどうか検討します。この手順を使用すると、MAMのみで登録したデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、XenMobileは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

ネットワークトポロジ

決定の詳細:

  • どのCitrix ADCトポロジーが必要か

設計ガイド:

XenMobileにはCitrix ADCインスタンスを使用することをお勧めします。ただし、トラフィックを内部ネットワークからDMZに送信したくない場合は、Citrix ADCの追加インスタンスを設定することを検討してください。Citrix ADCインスタンスは、内部ユーザー用に1つ、外部ユーザー用に1つ使用します。ユーザーが内部ネットワークと外部ネットワークを切り替えると、DNSレコードのキャッシュによってSecure Hubのログオンプロンプトの回数が増える場合があります。

XenMobileは、Citrix Gatewayのダブルホップをサポートしていません。

専用または共有のCitrix Gateway VIPアドレス

決定の詳細:

  • 現在、Virtual Apps and Desktops用のCitrix Gatewayを使用しているか
  • Virtual Apps and Desktopsと同じCitrix GatewayをXenMobileで利用するか
  • 両方のトラフィックフローの認証要件は何か

設計ガイド:

Citrix環境にXenMobileと、Virtual Apps and Desktopsが含まれている場合は、両方で同じCitrix ADCインスタンスとCitrix Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、Citrix ADCインスタンスとCitrix Gatewayは、それぞれのXenMobile環境専用にすることをお勧めします。ただし、専用のCitrix ADCインスタンスを選択しない場合は、専用のCitrix Gateway仮想サーバーを使用して、Secure Hubのトラフィックフローを分離することをお勧めします。この構成では、XenMobileとVirtual Apps and Desktopsとの間で共有される仮想サーバーは使用しません。

LDAP認証を使用する場合、Citrix ReceiverとSecure Hubは同じCitrix Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、XenMobileはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。Citrix ReceiverはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayと認証することはできません。

2台のCitrix Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。

  • 同じIPアドレスで2つのCitrix Gateway VIPを作成します。Secure Hub用のVIPには標準の443ポートを使用し、(Citrix Receiverを展開する)Virtual Apps and Desktops用のVIPにはポート444を使用します。
  • その結果、1つのFQDNが同じIPアドレスに解決されます。
  • この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。

Citrix Gatewayのタイムアウト

決定の詳細:

  • XenMobileのトラフィックに対するCitrix Gatewayのタイムアウトをどのように構成するか

設計ガイド:

Citrix Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳細については、「推奨構成」を参照してください。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリケーションへのアクセスでは、タイムアウト値が異なることに留意してください。

MAM用のXenMobileロードバランサーIPアドレス

決定の詳細:

  • VIPアドレスに内部IPアドレスまたは外部IPアドレスを使用しているか

設計ガイド:

Citrix GatewayのVIPアドレスにパブリックIPアドレスを使用できる環境では、その方法でXenMobileの負荷分散VIPアドレスを割り当てると、登録のエラーにつながります。

そのシナリオでは負荷分散VIPアドレスに内部IPを使用し、登録のエラーが起こらないようにしてください。このVIPアドレスは、RFC 1918標準のプライベートIPアドレスに準拠する必要があります。この仮想サーバーに非プライベートIPアドレスを使用すると、Citrix ADCは認証プロセスでXenMobile Serverに正常に接続できなくなります。詳しくは、https://support.citrix.com/article/CTX200430を参照してください。

MDMの負荷分散の仕組み

決定の詳細:

  • Citrix GatewayでどのようにXenMobile Serverの負荷分散を行うか

設計ガイド:

XenMobileがDMZ内にある場合は、SSLブリッジを使用します。XenMobileが内部ネットワークにあり、セキュリティの標準を満たす必要がある場合には、SSLオフロードを使用します。

  • Citrix ADC VIPアドレスを設定したXenMobile ServerをSSLブリッジモードで負荷分散すると、インターネットのトラフィックは接続が終端するXenMobile Serverに直接流れます。SSLブリッジモードはセットアップとトラブルシューティングが最も簡単なモードです。
  • Citrix ADC VIPアドレスを設定したXenMobile ServerをSSLオフロードモードで負荷分散すると、インターネットのトラフィックは接続が終端するCitrix ADCに直接流れます。その後、Citrix ADCがCitrix ADCからXenMobile Serverへのセッションを新たに確立します。SSLオフロードモードでのセットアップとトラブルシューティングはさらに複雑です。

SSLオフロードを使用するMDM負荷分散用のサービスポート

決定の詳細:

  • 負荷分散にSSLオフロードモードを使用する場合、バックエンドサービスはどのポートを使用するか

設計ガイド:

SSLオフロードでは、次のようにポート80またはポート8443を選択します。

登録FQDN

決定の詳細:

  • 登録用のFQDNとXenMobileインスタンスまたは負荷分散VIPアドレス用のFQDNとして何を使用するか

設計ガイド:

クラスター内の最初のXenMobile Serverの初期設定では、XenMobile ServerのFQDNを入力する必要があります。そのFQDNは、MDMのVIPアドレスURLと内部MAMの負荷分散VIPアドレスURLと一致する必要があります(Citrix ADCの内部アドレスレコードにより、MAM負荷分散VIPアドレスが解決されます)。詳細については、この記事の後半の「各管理モードの登録FQDN」を参照してください。

さらに、次と同じ証明書を使用する必要があります:

  • XenMobile SSLリスナー証明書
  • 内部MAM負荷分散VIP証明書
  • MDM VIP証明書(MDM VIPにSSLオフロードを使用している場合)

重要:

登録FQDNを構成すると、変更はできません。新しい登録FQDNを使用するには、新しいSQL ServerデータベースとXenMobile Serverの再構築が必要です。

Secure Webのトラフィック

決定の詳細:

  • Secure Webを内部のWebブラウジングのみに制限するか
  • 内部と外部両方のWebブラウジングでSecure Webを有効にするか

設計ガイド:

Secure Webを内部でのWeb閲覧のみに使用する予定の場合、Citrix Gatewayの構成は単純です。Secure Webは、デフォルトですべての内部サイトに到達する必要があります。ファイアウォールとプロキシサーバーの構成が必要になる場合があります。

内部および外部のブラウジングにSecure Webを使用する予定の場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、IT部門は(MDXコンテナを使用する)登録済みデバイスを社内ネットワークの延長とみなします。そのため通常、IT部門はSecure Web接続をCitrix ADCに戻し、プロキシサーバーを経由させてからインターネットに接続することを望みます。Secure Webはデフォルトで、すべてのネットワークアクセスに内部ネットワークへのアプリケーションごとのVPNトンネルを使用します。Citrix ADCは分割トンネリング設定を使用します。

Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。

Secure Mailのプッシュ通知

決定の詳細:

  • プッシュ通知を使用するか

iOS向け設計ガイド:

Citrix Gateway構成にSecure Ticket Authority(STA)が含まれていて、分割トンネリングがオフになっている場合、Citrix GatewayはSecure Mailから、iOS向けSecure Mailにプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Android向け設計ガイド:

Firebase Cloud Messaging(FCM)を使用して、AndroidデバイスがXenMobileに接続するタイミングと方法を制御します。FCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにXenMobile Serverへの再接続を求めるプッシュ通知がSecure Hubに送信されます。

HDXのSTA

決定の詳細:

  • HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか

設計ガイド:

HDXのSTAはStoreFrontのSTAと一致する必要があり、Virtual Apps and Desktopsファームで有効である必要があります。

Citrix FilesとShareFile

決定の詳細:

  • 環境でStorage Zone Controllerを使用するか
  • どのCitrix Files VIPアドレスURLを使用するか

設計ガイド:

ご使用の環境にStorage Zone Controllerを含める場合は、必ず以下を正しく構成してください:

  • Citrix FilesスイッチVIP(Citrix FilesコントロールプレーンでStorage Zone Controllerサーバーとの通信に使用)
  • Citrix Files負荷分散VIP
  • 必要なすべてのポリシーとプロファイル

詳しくは、Storage Zone Controllerのドキュメントを参照してください。

SAML IDプロバイダー

決定の詳細:

  • Citrix FilesにSAMLが必要な場合、XenMobileをSAML IDプロバイダーとして使用するか

設計ガイド:

ベストプラクティスとして、Citrix FilesをXenMobile Advanced EditionまたはXenMobile Advanced Edition(オンプレミス)、またはCitrix Endpoint Management(クラウド)と統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。これらのXenMobileエディションでCitrix Filesを使用する場合、XenMobileによってCitrix Filesに以下が提供されます:

  • 業務用モバイルアプリユーザーのシングルサインオン(SSO)認証
  • Active Directoryベースのユーザーアカウントのプロビジョニング
  • 包括的なアクセス制御ポリシー

XenMobileコンソールを使用してCitrix Filesを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。

次の2種類のCitrix Filesクライアントがあります:Citrix Files for XenMobileクライアント(別名、ラップされたCitrix Files)、Citrix Filesモバイルクライアント(別名、ラップされていないCitrix Files)。違いを理解するには、「Citrix Files for XenMobileクライアントとCitrix Filesモバイルクライアントの違い」を参照してください。

SAMLを使用して以下へのSSOアクセスを提供するよう、XenMobileとShareFileを構成できます:

  • Citrix Filesモバイルアプリ
  • ラップされていないCitrix Filesクライアント(Webサイト、Outlook Plug-in、同期クライアントなど)

XenMobileをCitrix Files用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳しくは、「Citrix FilesでのSAMLによるシングルサインオン」を参照してください。

ShareConnectでの直接接続

決定の詳細:

  • ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするのを必須にするか

設計ガイド:

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、XenMobileはCitrix Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。

各管理モードの登録FQDN

   
管理モード 登録FQDN
エンタープライズ(MDM+MAM)と必須のMDM登録 XenMobile ServerのFQDN
エンタープライズ(MDM+MAM)とオプションのMDM登録 XenMobile ServerのFQDNまたはCitrix GatewayのFQDN
MDMのみ XenMobile ServerのFQDN
MAMのみ(レガシー) Citrix Gateway FQDN
MAMのみ XenMobile ServerのFQDN

環境のまとめ

Citrix ADC for XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。ウィザードを使用できるのは1度限りです。テスト環境、開発環境、および実稼働環境などの複数のXenMobileインスタンスがある場合は、追加の環境用に手動でCitrix ADCを構成する必要があります。作業環境がある場合は、XenMobile用に手動でCitrix ADCを構成する前に、設定を書き留めておいてください。

ウィザードの使用時に決定する事項の中で重要となるのは、XenMobile Serverとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合、Citrix ADCとXenMobileとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はXenMobile Serverのパフォーマンスに影響します。HTTPの場合、XenMobile Serverのパフォーマンスは向上しますが、Citrix ADCとXenMobile間のトラフィックは暗号化されていません。以下の表に、Citrix ADCおよびXenMobile ServerのHTTPおよびHTTPSポートの要件を示します。

HTTPS

Citrixでは通常、Citrix ADC MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでCitrix ADC SSLオフロードを使用する場合、XenMobileはバックエンドサービスとしてポート80のみをサポートします。

       
管理モード Citrix ADCの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLブリッジ - 443, 8443
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLブリッジ - 443, 8443
Enterprise MAM:SSLオフロード 有効 8443

HTTP

       
管理モード Citrix ADCの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLオフロード 未サポート 80
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLオフロード 未サポート 80
Enterprise MAM:SSLオフロード 有効 8443

XenMobile導入時のCitrix Gatewayの図については、「オンプレミス展開のリファレンスアーキテクチャ」を参照してください。

Citrix GatewayおよびCitrix ADCとの統合