XenMobile Server:最新リリース

Citrix GatewayおよびCitrix ADCとの統合

XenMobileと統合すると、Citrix Gatewayを経由してMAM(Mobile Application Management:モバイルアプリケーション管理)デバイス用の内部ネットワークにアクセスできる認証メカニズムを、リモートデバイスで利用できるようになります。この統合を利用すると、業務用モバイルアプリはモバイルデバイス上のアプリで作成したCitrix GatewayへのMicro VPNを介して、イントラネット内にある社内サーバーにアクセスすることができます。

XenMobileサーバーが複数ある場合、またはXenMobileサーバーがDMZまたは内部ネットワーク内にある場合(つまり、デバイスからCitrix ADCへのトラフィックがXenMobileに流れる場合)は、Citrix ADCの負荷分散が必要です。

XenMobile Serverモードの統合要件

Citrix GatewayとCitrix ADCの統合要件は、XenMobile Serverのモード(MAM、MDM、ENT)によって異なります。

MAM

XenMobile ServerをMAMモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのMicro VPNパスを提供し、強力な多要素認証をサポートします。
  • 負荷分散にはCitrix ADCをお勧めします。

    XenMobileを高可用性構成で展開することをお勧めしています。高可用性構成では、XenMobileの前にロードバランサーが必要です。詳しくは、「MAMと従来のMAMモードについて」を参照してください。

MDM

XenMobile ServerをMDMモードで使用する場合:

  • Citrix Gatewayは必須ではありません。MDMの展開では、モバイルデバイスVPNとしてCitrix Gatewayをお勧めします。
  • セキュリティと負荷分散のためにCitrix ADCをお勧めします。

    セキュリティと負荷分散のために、XenMobileサーバーの前にCitrix ADCアプライアンスを配置することをお勧めします。DMZ内にXenMobileサーバーを標準展開する場合は、Citrix ADC for XenMobileウィザードを使用し、SSLブリッジモードでのXenMobileサーバーの負荷分散をお勧めします。また、XenMobileサーバーがDMZではなく内部ネットワーク上にある環境や、セキュリティ上そのような構成が必要な環境の場合は、SSLオフロードを検討することもできます。

    XenMobileサーバーをNATや既存のサードパーティ製プロキシ、またはMDM用のロードバランサー経由で公開することを検討する場合、SSLトラフィックがXenMobileサーバー(SSL Bridge)上で終端すると潜在的なセキュリティリスクがあるため、お勧めしません。

    高度なセキュリティ環境を実現するには、Citrix ADCとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。

    最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をCitrix ADCにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。詳しくは、「セキュリティ要件」を参照してください。Citrix ADCではオプションとしてSSL/TLS暗号とSSL FIPS Citrix ADCハードウェアを定義できます。

ENT(MAM+MDM)

XenMobile ServerをENTモードで使用する場合:

  • Citrix Gatewayは必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのMicro VPNパスを提供し、強力な多要素認証をサポートします。

    XenMobileサーバーモードがENTの場合にユーザーがMDM登録をオプトアウトすると、デバイスは従来のMAMモードで動作します。従来のMAMモードでは、デバイスの登録にCitrix Gatewayの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を使用します。詳しくは、「MAMと従来のMAMモードについて」を参照してください。

  • 負荷分散にはCitrix ADCをお勧めします。詳細については、上記「MDM」のCitrix ADCの箇所を参照してください。

重要:

初回の登録では、負荷分散用仮想サーバーをSSLオフロードまたはSSLブリッジのいずれで構成する場合でも、ユーザーデバイスからのトラフィックはXenMobileサーバー上で認証されることに注意してください。

設計の決定

以下のセクションでは、Citrix GatewayとXenMobileとの統合を計画するときに検討すべき、多くの設計上の決定についてまとめています。

ライセンスとエディション

決定の詳細:

  • Citrix ADCのどのエディションを使用するか
  • Citrix ADCにプラットフォームライセンスを適用しているか
  • MAMの機能が必要な場合は、Citrix ADCユニバーサルアクセスライセンスを適用しているか

設計ガイド:

Citrix Gatewayに適切なライセンスを適用するようにしてください。Citrix Gatewayコネクタ:Exchange ActiveSync用を使用している場合、統合キャッシュが必要な場合があります。そのため、適切なCitrix ADCのエディションを使用していることを確認する必要があります。

Citrix ADCの機能を有効にするためのライセンス要件は次のとおりです。

  • XenMobile MDMの負荷分散では、Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
  • ストレージゾーンコントローラーを使用したContent Collaborationの負荷分散には、Citrix ADCの標準プラットフォームライセンスが最低限必要となります。
  • XenMobile Enterprise Editionには、MAMに必要なCitrix Gatewayユニバーサルライセンスが含まれています。
  • Exchangeの負荷分散には、Citrix ADC PlatinumプラットフォームライセンスまたはCitrix ADC Enterpriseプラットフォームライセンスに、Integrated Cachingライセンスを追加する必要があります。

Citrix ADC for XenMobileのバージョン

決定の詳細:

  • XenMobile環境で実行されているCitrix ADCのバージョンは何か
  • 別のインスタンスが必要か

設計ガイド:

Citrix Gateway仮想サーバーに専用のCitrix ADCインスタンスを使用することをお勧めします。最低限必要となるCitrix ADCのバージョンおよびビルドを、XenMobile環境で使用していることを確認してください。通常、XenMobileと互換性のある最新のCitrix ADCバージョンおよびビルドを使用するのが最適です。Citrix Gatewayのアップグレードが既存の環境に影響する場合は、XenMobileの2つ目の専用インスタンスが適切な場合があります。

VPN接続を使用するXenMobileおよびその他のアプリ用にCitrix ADCインスタンスを共有する場合は、両方で使用するVPNライセンスの数が足りていることを確認してください。XenMobileのテスト環境および実稼働環境では、Citrix ADCインスタンスを共有できないことに留意してください。

証明書

決定の詳細:

  • 登録やXenMobile環境へのアクセスに高度なセキュリティが必要か
  • LDAPは選択しないか

設計ガイド:

XenMobileのデフォルト構成は、ユーザー名とパスワードによる認証です。登録およびXenMobile環境へのアクセスのセキュリティを強化するには、証明書ベースの認証の使用を考慮してください。LDAPで2要素認証の証明書を使用すると、RSAサーバーを必要とせずに高度なセキュリティを提供できます。

LDAPやスマートカードの使用または同様の方法を許可しない場合、証明書を構成するとXenMobileにスマートカードを提示できます。ユーザーはそれにより、XenMobileが生成する一意のPINを使用して登録できます。ユーザーがアクセス権を獲得すると、XenMobileは、XenMobile環境を認証するために使用される証明書を作成して展開します。

XenMobileは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートします。Microsoft CAが構成されている場合、XenMobileはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、Citrix ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成する必要があるかどうか検討します。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証することができなくなります。ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないので、XenMobileは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

ネットワークトポロジ

決定の詳細:

  • どのCitrix ADCトポロジーが必要か

設計ガイド:

XenMobileにはCitrix ADCインスタンスを使用することをお勧めします。ただし、内部ネットワークからDMZにトラフィックが流れないようにするには、Citrix ADCインスタンスを1つ追加して、内部ユーザー用と外部ユーザー用に1つずつCitrix ADCインスタンスを使用することを検討してください。ユーザーが内部ネットワークと外部ネットワークを切り替えると、DNSレコードのキャッシュによってSecure Hubのログオンプロンプトの回数が増える場合があることに注意してください。

XenMobileは、Citrix Gatewayのダブルホップをサポートしていません。

専用または共有のCitrix Gateway VIPアドレス

決定の詳細:

  • 現在、Virtual Apps and Desktops用のCitrix Gatewayを使用しているか
  • Virtual Apps and Desktopsと同じCitrix GatewayをXenMobileで利用するか
  • 両方のトラフィックフローの認証要件は何か

設計ガイド:

Citrix環境にXenMobileと、Virtual Apps and Desktopsが含まれている場合は、両方で同じCitrix ADCインスタンスとCitrix Gateway仮想サーバーを使用できます。バージョンによる競合が起きたり環境が孤立したりする可能性があるため、Citrix ADCインスタンスとCitrix Gatewayは、それぞれのXenMobile環境専用にすることをお勧めします。ただし、専用のCitrix ADCインスタンスを選択しない場合は、XenMobileとVirtual Apps and Desktopsとの間で共有される仮想サーバーではなく、専用のCitrix Gateway仮想サーバーを使用して、Secure Hubのトラフィックフローを分離することをお勧めします。

LDAP認証を使用する場合、Citrix ReceiverとSecure Hubは同じCitrix Gatewayで問題なく認証できます。証明書ベースの認証を使用する場合、XenMobileはMDXコンテナ内の証明書をプッシュし、Secure Hubはその証明書を使用してCitrix Gatewayで認証します。Citrix ReceiverはSecure Hubとは異なり、Secure Hubと同じ証明書を使用して同じCitrix Gatewayと認証することはできません。

2台のCitrix Gateway VIPで同じFQDNを使用できる、以下の回避策を検討することもできます。同じIPアドレスを持つ2つのCitrix Gateway VIPを作成できますが、Secure Hub用のIPには標準の443ポートを使用し、(Citrix Receiverを展開する)Virtual Apps and Desktops用のIPにはポート444を使用します。こうすることで、1つのFQDNが同じIPアドレスに解決されます。この方法ではデフォルトのポート443ではなく、ポート444にICAファイルを返すようStoreFrontを構成する必要がある場合があります。この回避策では、ユーザーはポート番号を入力する必要はありません。

Citrix Gatewayのタイムアウト

決定の詳細:

  • XenMobileのトラフィックに対するCitrix Gatewayのタイムアウトをどのように構成するか

設計ガイド:

Citrix Gatewayには、セッションタイムアウトと強制タイムアウトの設定があります。詳しくは、「推奨構成」を参照してください。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリケーションへのアクセスでは、タイムアウト値が異なることに留意してください。

MAM用のXenMobileロードバランサーIPアドレス

決定の詳細:

  • VIPアドレスに内部IPアドレスまたは外部IPアドレスを使用しているか

設計ガイド:

Citrix GatewayのVIPアドレスにパブリックIPアドレスを使用できる環境では、その方法でXenMobileの負荷分散VIPアドレスを割り当てると、登録のエラーにつながります。

そのシナリオでは負荷分散VIPアドレスに内部IPを使用し、登録のエラーが起こらないようにしてください。このVIPアドレスは、RFC 1918標準のプライベートIPアドレスに準拠する必要があります。この仮想サーバーに非プライベートIPアドレスを使用すると、Citrix ADCは認証プロセスでXenMobileサーバーに正常に接続できなくなります。詳しくは、「https://support.citrix.com/article/CTX200430」を参照してください。

MDMの負荷分散の仕組み

決定の詳細:

  • Citrix GatewayでどのようにXenMobileサーバーの負荷分散を行うか

設計ガイド:

XenMobileがDMZ内にある場合は、SSLブリッジを使用します。XenMobileサーバーが内部ネットワークにあり、セキュリティの標準を満たす必要がある場合には、SSLオフロードを使用します。

  • Citrix ADC VIPアドレスを設定したXenMobileサーバーをSSLブリッジモードで負荷分散すると、インターネットのトラフィックは接続が終端するXenMobileサーバーに直接流れます。SSLブリッジモードはセットアップとトラブルシューティングが最も簡単なモードです。
  • Citrix ADC VIPアドレスを設定したXenMobileサーバーをSSLオフロードモードで負荷分散すると、インターネットのトラフィックは接続が終端するCitrix ADCに直接流れます。その後、Citrix ADCがCitrix ADCからXenMobileサーバーへのセッションを新たに確立します。SSLオフロードモードでのセットアップとトラブルシューティングはさらに複雑です。

SSLオフロードを使用するMDM負荷分散用のサービスポート

決定の詳細:

  • 負荷分散にSSLオフロードモードを使用する場合、バックエンドサービスはどのポートを使用するか

設計ガイド:

SSLオフロードでは、次のようにポート80またはポート8443を選択します。

  • オフロードの効果を得るには、XenMobileサーバーへのポートとしてポート80を利用します。
  • エンドツーエンドの暗号化、つまりトラフィックの再暗号化はサポートされていません。詳細については、Citrixのサポート記事「NetScalerとXenMobile Server間でサポートされているアーキテクチャ」を参照してください。

登録FQDN

決定の詳細:

  • 登録用のFQDNとXenMobileインスタンスまたは負荷分散VIPアドレス用のFQDNはどのようになるか

設計ガイド:

クラスター内の最初のXenMobileサーバーの初期設定では、XenMobileサーバーのFQDNを入力する必要があります。そのFQDNは、MDMのVIPアドレスURLと内部MAMの負荷分散VIPアドレスURLと一致する必要があります。(Citrix ADCの内部アドレスレコードにより、MAM負荷分散VIPアドレスが解決されます)。詳細については、この記事の後半の「展開タイプごとの登録FQDN」を参照してください。

また、XenMobile SSLリスナー証明書、MAM用の内部負荷分散VIPアドレス証明書、およびMDM用のVIPアドレス証明書(MDM用のVIPアドレスにSSLオフロードを使用する場合)と同じ証明書を使用する必要があります。

重要:

登録FQDNを構成すると、変更はできません。新しい登録FQDNを使用するには、新しいSQL ServerデータベースとXenMobileサーバーの再構築が必要です。

Secure Webのトラフィック

決定の詳細:

  • Secure Webを内部のWebブラウジングのみに制限するか
  • 内部と外部両方のWebブラウジングでSecure Webを有効にするか

設計ガイド:

Secure Webを内部のWebブラウジング専用で使用する場合で、Secure Webがデフォルトですべての内部サイトに到達できる場合には、Citrix Gatewayの設定は簡単です。つまりファイアウォールとプロキシサーバーの構成が必要になる場合があります。

内部および外部のブラウジングにSecure Webを使用する場合は、サブネットIPアドレスに送信方向のインターネットアクセスを許可する必要があります。一般的に、ITは登録済みデバイス(MDXコンテナを使用)を社内ネットワークの延長として見ているため、Secure Web接続はCitrix ADCに戻り、プロキシサーバーを経由してインターネットに接続する必要があります。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされます。つまり、Secure Webではすべてのネットワークアクセスにおいて、アプリケーションごとのVPNトンネルを使用して内部ネットワークに戻ってくるということであり、Citrix ADCでは分割トンネリング設定を使用します。

Secure Web接続の詳細については、「ユーザー接続の構成」を参照してください。

Secure Mailのプッシュ通知

決定の詳細:

  • プッシュ通知を使用するか

iOS向け設計ガイド:

Citrix Gateway構成にSecure Ticket Authority(STA)が含まれていて、分割トンネリングがオフの場合、Citrix GatewayはSecure Mailから、iOS向けSecure Mailにプッシュ通知で指定されているCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Android向け設計ガイド:

アクティブなポーリング周期MDXポリシーの代わりにFirebase Cloud Messaging(FCM)を使用して、AndroidデバイスがXenMobileに接続するタイミングと方法を制御することもできます。FCM構成では、セキュリティアクションや展開コマンドによって、ユーザーにXenMobileサーバーへの再接続を求めるプッシュ通知がSecure Hubに送信されます。

HDXのSTA

決定の詳細:

  • HDXアプリケーションのアクセスを統合する場合にどんなSTAを使用するか

設計ガイド:

HDXのSTAはStoreFrontのSTAと一致する必要があり、Virtual Apps and Desktopsファームで有効である必要があります。

Citrix FilesおよびCitrix Content Collaboration

決定の詳細:

  • 環境でStorage Zone Controllerを使用するか
  • どのCitrix Files VIPアドレスURLを使用するか

設計ガイド:

ご使用の環境にStorage Zone Controllerを含める場合は、必ず以下を正しく構成してください:

  • Citrix FilesスイッチVIP(Citrix FilesコントロールプレーンでStorage Zone Controllerサーバーとの通信に使用)
  • Citrix Files負荷分散VIP
  • 必要なすべてのポリシーとプロファイル

詳しくは、「Storage Zone Controllerのドキュメント」を参照してください。

SAML IDプロバイダー

決定の詳細:

  • Citrix FilesにSAMLが必要な場合、XenMobileをSAML IDプロバイダーとして使用するか

設計ガイド:

ベストプラクティスとして、Citrix FilesをCitrix XenMobile Advanced EditionまたはXenMobile Enterprise Editionと統合することをお勧めします。この方法は、SAMLベースのフェデレーションを構成するより簡単です。Citrix FilesをXenMobileの上記エディションと組み合わせることで、業務用モバイルアプリユーザーのシングルサインオン認証、Active Directoryに基づくユーザーアカウントのプロビジョニング、および包括的なアクセス制御ポリシーをCitrix Filesで使用できるようになります。XenMobileコンソールを使用してCitrix Filesを構成したり、サービスレベルやライセンスの使用状況を監視したりできます。

次の2種類のCitrix Filesクライアントがあります:Citrix Files for XenMobileクライアント(別名、ラップされたCitrix Files)、Citrix Filesモバイルクライアント(別名、ラップされていないCitrix Files)。違いを理解するには、「Citrix Files for XenMobileクライアントとCitrix Filesモバイルクライアントとの違い」を参照してください。

XenMobileとCitrix Content Collaborationを構成し、SAMLを使用することで、MDX ToolkitでラップされたCitrix Filesモバイルアプリはもちろん、Webサイト、Outlookプラグイン、同期クライアントなどのラップされていないCitrix Filesクライアントへのシングルサインオンアクセスを提供することができます。

XenMobileをCitrix Files用のSAML IDプロバイダーとして使用する場合は、設定が適切であることを確認してください。詳しくは、「Citrix FilesでのSAMLによるシングルサインオン」を参照してください。

ShareConnectでの直接接続

決定の詳細:

  • ユーザーが直接接続を利用して、ShareConnectが動作するコンピューターまたはモバイルデバイスからホストコンピューターにアクセスするか

設計ガイド:

ShareConnectを使用すると、ユーザーはiPad、Androidタブレット、Androidスマートフォンから自分のコンピューターに安全に接続して、ファイルやアプリケーションにアクセスできます。直接接続の場合、XenMobileはCitrix Gatewayを使ってローカルネットワークの外にあるリソースへの安全なアクセスを提供します。構成の詳細については、「ShareConnect」を参照してください。

展開の種類ごとの登録FQDN

   
展開の種類 登録FQDN
エンタープライズ(MDM+MAM)と必須のMDM登録 XenMobileサーバーのFQDN
エンタープライズ(MDM+MAM)とオプションのMDM登録 XenMobileサーバーのFQDNまたはCitrix GatewayのFQDN
MDMのみ XenMobileサーバーのFQDN
MAMのみ(レガシー) Citrix Gateway FQDN
MAMのみ XenMobileサーバーのFQDN

環境のまとめ

Citrix ADC for XenMobileウィザードを使用して適切な設定を行うことをお勧めしています。ウィザードを使用できるのは1度限りです。テスト環境、開発環境、および実稼働環境などの複数のXenMobileインスタンスがある場合は、追加の環境用に手動でCitrix ADCを構成する必要があります。作業環境がある場合は、XenMobile用に手動でCitrix ADCを構成する前に、設定を書き留めておいてください。

ウィザードの使用時に決定する事項の中で重要となるのは、XenMobileサーバーとの通信にHTTPSを使用するか、あるいはHTTPを使用するかという点です。HTTPSの場合はCitrix ADCとXenMobileとの間のトラフィックが暗号化されるため、安全なバックエンド通信が可能ですが、再暗号化はXenMobileサーバーのパフォーマンスに影響します。HTTPの場合はXenMobileサーバーのパフォーマンスは向上しますが、 Citrix ADCとXenMobileとの間のトラフィックは暗号化されません。以下の表に、Citrix ADCおよびXenMobileサーバーのHTTPおよびHTTPSポートの要件を示します。

HTTPS

シトリックスでは通常、Citrix ADC MDM仮想サーバー構成用のSSLブリッジをお勧めしています。MDM仮想サーバーでCitrix ADC SSLオフロードを使用する場合、XenMobileはバックエンドサービスとしてポート80のみをサポートします。

       
展開の種類 Citrix ADCの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLブリッジ - 443、8443
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLブリッジ - 443、8443
Enterprise MAM:SSLオフロード 有効 8443

HTTP

       
展開の種類 Citrix ADCの負荷分散手法 SSL再暗号化 XenMobileサーバーポート
MDM SSLオフロード 未サポート 80
MAM SSLオフロード 有効 8443
Enterprise MDM:SSLオフロード 未サポート 80
Enterprise MAM:SSLオフロード 有効 8443

XenMobile環境でのCitrix Gatewayの図については、「オンプレミス環境のリファレンスアーキテクチャ」を参照してください。

Citrix GatewayおよびCitrix ADCとの統合