XenMobile® の統合
この記事では、XenMobile を既存のネットワークおよびソリューションと統合する方法を計画する際に考慮すべき事項について説明します。たとえば、Citrix ADC を Virtual Apps and Desktops にすでに使用している場合:
- 既存の Citrix ADC インスタンスを使用しますか、それとも新しい専用インスタンスを使用しますか?
- StoreFront™ を使用して公開されている HDX アプリを XenMobile と統合しますか?
- Citrix Files を XenMobile とともに使用する予定ですか?
- XenMobile に統合したいネットワークアクセス制御ソリューションがありますか?
- ネットワークからのすべてのアウトバウンドトラフィックに Web プロキシを展開していますか?
Citrix ADC と Citrix Gateway
Citrix Gateway は、XenMobile ENT および MAM モードで必須です。Citrix Gateway は、すべての企業リソースへのアクセスにマイクロ VPN パスを提供し、強力な多要素認証をサポートします。Citrix ADC の負荷分散は、すべての XenMobile Server デバイスモードで必要です。
- 複数の XenMobile Server がある場合
- または、XenMobile Server が DMZ または内部ネットワーク内にある場合(したがって、トラフィックはデバイスから Citrix ADC を経由して XenMobile に流れる場合)
既存の Citrix ADC インスタンスを使用することも、XenMobile 用に新しいインスタンスをセットアップすることもできます。以下のセクションでは、既存または新しい専用の Citrix ADC インスタンスを使用する利点と欠点について説明します。
XenMobile 用に作成された Citrix Gateway VIP を備えた共有 Citrix ADC MPX
利点:
- すべての Citrix リモート接続(Citrix Virtual Apps and Desktops™、フル VPN、クライアントレス VPN)に共通の Citrix ADC インスタンスを使用します。
- 証明書認証や DNS、LDAP、NTP などのサービスへのアクセスなど、既存の Citrix ADC 構成を使用します。
- 単一の Citrix ADC プラットフォームライセンスを使用します。
欠点:
- 同じ Citrix ADC で 2 つの異なるユースケースを処理する場合、規模の計画がより困難になります。
- Citrix Virtual Apps™ and Desktops のユースケースでは、特定の Citrix ADC バージョンが必要になる場合があります。その同じバージョンには XenMobile で既知の問題がある可能性があります。または、XenMobile に Citrix ADC バージョンで既知の問題がある可能性があります。
- Citrix Gateway が存在する場合、XenMobile 用の Citrix ADC 構成を作成するために、XenMobile ウィザード用の Citrix ADC を 2 回実行することはできません。
- Citrix Gateway 11.1 以降で Platinum ライセンスが使用されている場合を除き、Citrix ADC にインストールされ、VPN 接続に必要となるユーザーアクセスライセンスはプールされます。これらのライセンスはすべての Citrix ADC 仮想サーバーで利用できるため、XenMobile 以外のサービスがそれらを消費する可能性があります。
専用の Citrix ADC VPX/MPX インスタンス
利点:
Citrix は、Citrix ADC の専用インスタンスを使用することを推奨します。
- 規模の計画が容易になり、XenMobile のトラフィックを、すでにリソースが制約されている可能性のある Citrix ADC インスタンスから分離します。
- XenMobile と Citrix Virtual Apps and Desktops が異なる Citrix ADC ソフトウェアバージョンを必要とする場合の問題を回避します。一般的に、XenMobile には最新の互換性のある Citrix ADC バージョンとビルドを使用することが推奨されます。
- 組み込みの XenMobile ウィザード用 Citrix ADC を介した Citrix ADC の XenMobile 構成を許可します。
- サービスの仮想的および物理的な分離。
- Citrix Gateway 11.1 以降で Platinum ライセンスが使用されている場合を除き、XenMobile に必要なユーザーアクセスライセンスは、Citrix ADC 上の XenMobile サービスでのみ利用可能です。
欠点:
- XenMobile 構成をサポートするために、Citrix ADC で追加のサービスをセットアップする必要があります。
- 別の Citrix ADC プラットフォームライセンスが必要です。Citrix Gateway 用に各 Citrix ADC インスタンスをライセンス供与します。
各 XenMobile Server モードで Citrix ADC と Citrix Gateway を統合する際に考慮すべき事項については、「Citrix ADC と Citrix Gateway の統合」を参照してください。
StoreFront
Citrix Virtual Apps and Desktops 環境がある場合、StoreFront を使用して HDX™ アプリケーションを XenMobile と統合できます。HDX アプリを XenMobile と統合すると:
- アプリは XenMobile に登録されているユーザーが利用できます。
- アプリは他のモバイルアプリとともに XenMobile Store に表示されます。
- XenMobile は StoreFront 上のレガシー PNAgent (サービス) サイトを使用します。
- Citrix Receiver™ がデバイスにインストールされている場合、HDX アプリは Receiver を使用して起動します。
StoreFront には、StoreFront インスタンスごとに 1 つのサービスサイトという制限があります。複数のストアがあり、他の本番環境での使用からそれをセグメント化したいとします。その場合、Citrix は一般的に、XenMobile 用の新しい StoreFront インスタンスとサービスサイトを検討することを推奨します。
考慮事項:
- StoreFront に異なる認証要件はありますか?StoreFront サービスサイトはログオンに Active Directory 資格情報を必要とします。証明書ベースの認証のみを使用している顧客は、同じ Citrix Gateway を使用して XenMobile を介してアプリケーションを列挙することはできません。
- 同じストアを使用しますか、それとも新しいストアを作成しますか?
- 同じ StoreFront サーバーを使用しますか、それとも異なる StoreFront サーバーを使用しますか?
以下のセクションでは、Receiver とモバイル生産性アプリに個別の StoreFront または結合された StoreFront を使用する利点と欠点について説明します。
既存の StoreFront インスタンスと XenMobile Server の統合
利点:
- 同じストア:HDX アクセスに同じ Citrix ADC VIP を使用することを前提とすると、XenMobile 用の StoreFront の追加構成は不要です。同じストアを使用し、Receiver アクセスを新しい Citrix ADC VIP に誘導したいとします。その場合、適切な Citrix Gateway 構成を StoreFront に追加します。
- 同じ StoreFront サーバー:既存の StoreFront のインストールと構成を使用します。
欠点:
- 同じストア:Virtual Apps and Desktops ワークロードをサポートするための StoreFront の再構成は、XenMobile にも悪影響を及ぼす可能性があります。
- 同じ StoreFront サーバー:大規模な環境では、アプリの列挙と起動のための PNAgent の XenMobile 使用による追加の負荷を考慮してください。
XenMobile Server と統合するための新しい専用 StoreFront インスタンスの使用
利点:
- 新しいストア:XenMobile 用の StoreFront ストアの構成変更は、既存の Virtual Apps and Desktops ワークロードに影響を与えてはなりません。
- 新しい StoreFront サーバー:サーバー構成の変更は、Virtual Apps and Desktops ワークフローに影響を与えてはなりません。また、アプリの列挙と起動のための PNAgent の XenMobile 使用以外の負荷は、スケーラビリティに影響を与えてはなりません。
欠点:
- 新しいストア:StoreFront ストアの構成。
- 新しい StoreFront サーバー:新しい StoreFront のインストールと構成が必要です。
詳細については、XenMobile ドキュメントの「Citrix Secure Hub を介した Virtual Apps and Desktops」を参照してください。
ShareFile と Citrix Files
免責事項:
ShareFile (現在の Progress) がサポートを中止した場合、この機能は非推奨になります。
Citrix Files を使用すると、ユーザーはあらゆるデバイスからすべてのデータにアクセスし、同期できます。Citrix Files を使用すると、ユーザーは組織内外の人々とデータを安全に共有できます。ShareFile を XenMobile Advanced Edition または Enterprise Edition と統合すると、XenMobile は Citrix Files に以下を提供できます。
- XenMobile アプリユーザー向けのシングルサインオン認証。
- Active Directory ベースのユーザーアカウントプロビジョニング。
- 包括的なアクセス制御ポリシー。
モバイルユーザーは、完全な Enterprise アカウント機能セットの恩恵を受けることができます。
あるいは、XenMobile をストレージゾーンコネクタとのみ統合するように構成することもできます。ストレージゾーンコネクタを介して、Citrix Files は以下へのアクセスを提供します。
- ドキュメントとフォルダー
- ネットワークファイル共有
- SharePoint サイト内:サイトコレクションとドキュメントライブラリ。
接続されたファイル共有には、Citrix Virtual Apps and Desktops 環境で使用されるのと同じネットワークホームドライブを含めることができます。XenMobile コンソールを使用して、Citrix Files またはストレージゾーンコネクタとの統合を構成します。詳細については、「XenMobile での Citrix Files の使用」を参照してください。
以下のセクションでは、Citrix Files の設計上の決定を行う際に考慮すべき質問について説明します。
Citrix Files との統合、またはストレージゾーンコネクタのみとの統合
質問事項:
- Citrix が管理するストレージゾーンにデータを保存しますか?
- ユーザーにファイル共有および同期機能を提供しますか?
- ユーザーが Citrix Files Web サイト上のファイルにアクセスできるようにしますか?または、モバイルデバイスから Office 365 コンテンツおよびパーソナルクラウドコネクタにアクセスできるようにしますか?
設計上の決定:
- これらの質問のいずれかに「はい」と答えた場合、Citrix Files と統合します。
- ストレージゾーンコネクタのみとの統合は、iOS ユーザーに SharePoint サイトやネットワークファイル共有などの既存のオンプレミスストレージリポジトリへの安全なモバイルアクセスを提供します。この構成では、ShareFile サブドメインを設定したり、ユーザーを Citrix Files にプロビジョニングしたり、Citrix Files データをホストしたりすることはありません。XenMobile でストレージゾーンコネクタを使用すると、企業ネットワーク外へのユーザー情報の漏洩に対するセキュリティ制限に準拠します。
ストレージゾーンコントローラーサーバーの場所
質問事項:
- オンプレミスストレージまたはストレージゾーンコネクタなどの機能が必要ですか?
- Citrix Files のオンプレミス機能を使用する場合、ストレージゾーンコントローラーはネットワークのどこに配置されますか?
設計上の決定:
- ストレージゾーンコントローラーサーバーを Citrix Files クラウド、オンプレミスのシングルテナントストレージシステム、またはサポートされているサードパーティのクラウドストレージのどこに配置するかを決定します。
- ストレージゾーンコントローラーは、Citrix Files Control Plane と通信するためにインターネットアクセスを必要とします。直接アクセス、NAT/PAT 構成、プロキシ構成など、いくつかの方法で接続できます。
ストレージゾーンコネクタ
質問事項:
- CIFS共有パスは何ですか。
- SharePointのURLは何ですか。
設計上の決定:
- これらの場所にアクセスするためにオンプレミスのストレージゾーンコントローラーが必要かどうかを判断します。
- ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースとのストレージゾーンコネクタ通信のため、Citrixでは、ストレージゾーンコントローラーをDMZファイアウォールの内側にある内部ネットワークに配置し、Citrix ADCによって前面に配置することを推奨しています。
XenMobile EnterpriseとのSAML統合
質問事項:
- Citrix FilesにActive Directory認証が必要ですか。
- XenMobile用Citrix Filesアプリの初回使用時にSSOが必要ですか。
- 現在の環境に標準のIdPはありますか。
- SAMLを使用するために必要なドメイン数はいくつですか。
- Active Directoryユーザーに複数のメールエイリアスがありますか。
- Active Directoryドメインの移行が進行中または近日中に予定されていますか。
設計上の決定:
XenMobile Enterprise環境では、Citrix Filesの認証メカニズムとしてSAMLを使用することを選択できます。認証オプションは次のとおりです。
- SAMLのIDプロバイダー(IdP)としてXenMobile Serverを使用する
このオプションは、優れたユーザーエクスペリエンスを提供し、Citrix Filesアカウントの作成を自動化し、モバイルアプリのSSO機能を有効にすることができます。
- XenMobile Serverはこのプロセス向けに強化されています。Active Directoryの同期は必要ありません。
- ユーザープロビジョニングにはCitrix Filesユーザー管理ツールを使用します。
- SAMLのIdPとしてサポートされているサードパーティベンダーを使用する
既存のサポートされているIdPがあり、モバイルアプリのSSO機能が必要ない場合は、このオプションが最適です。このオプションでも、アカウントプロビジョニングにはCitrix Filesユーザー管理ツールを使用する必要があります。
ADFSなどのサードパーティIdPソリューションを使用すると、Windowsクライアント側でSSO機能を提供することもできます。Citrix Files SAML IdPを選択する前に、ユースケースを評価してください。
また、両方のユースケースを満たすために、ADFSとXenMobileをデュアルIdPとして構成できます。
モバイルアプリ
質問事項:
- どのCitrix Filesモバイルアプリを使用する予定ですか(パブリック、MDM、MDX)。
設計上の決定:
- Apple App StoreおよびGoogle Play Storeからモバイル生産性向上アプリを配布します。このパブリックアプリストア配布により、Citrixダウンロードページからラップされたアプリを入手します。
- セキュリティが低く、コンテナ化が必要ない場合、パブリックCitrix Filesアプリケーションは適さない可能性があります。MDMのみの環境では、MDMモードのXenMobileを使用してCitrix FilesアプリのMDMバージョンを配信できます。
- 詳しくは、アプリおよびXenMobile用Citrix Filesを参照してください。
セキュリティ、ポリシー、およびアクセス制御
質問事項:
- デスクトップ、Web、およびモバイルユーザーにどのような制限が必要ですか。
- ユーザーにどのような標準アクセス制御設定を適用しますか。
- どのようなファイル保持ポリシーを使用する予定ですか。
設計上の決定:
- Citrix Filesを使用すると、従業員の権限とデバイスのセキュリティを管理できます。詳しくは、従業員の権限およびデバイスとアプリの管理を参照してください。
- Citrix Filesのデバイスセキュリティ設定とMDXポリシーの一部は、同じ機能を制御します。これらの場合、XenMobileポリシーが優先され、その後にCitrix Filesのデバイスセキュリティ設定が適用されます。例:Citrix Filesで外部アプリを無効にしても、XenMobileで有効にすると、外部アプリはCitrix Filesで無効になります。XenMobileがPIN/パスコードを要求しないようにアプリを構成できますが、Citrix FilesアプリはPIN/パスコードを要求します。
標準ストレージゾーンと制限付きストレージゾーン
質問事項:
- 制限付きストレージゾーンが必要ですか。
設計上の決定:
- 標準ストレージゾーンは、機密性の低いデータを対象としており、従業員が非従業員とデータを共有できるようにします。このオプションは、ドメイン外でのデータ共有を伴うワークフローをサポートします。
- 制限付きストレージゾーンは機密データを保護します。認証されたドメインユーザーのみがゾーンに保存されているデータにアクセスできます。
Webプロキシ
XenMobileトラフィックをHTTP(S)/SOCKSプロキシ経由でルーティングする最も可能性の高いシナリオは次のとおりです。XenMobile Serverが配置されているサブネットが、必要なApple、Google、またはMicrosoftのIPアドレスへのアウトバウンドインターネットアクセスを持たない場合です。XenMobileでプロキシサーバー設定を指定して、すべてのインターネットトラフィックをプロキシサーバーにルーティングできます。詳しくは、プロキシサーバーを有効にするを参照してください。
次の表は、XenMobileで最も一般的に使用されるプロキシの長所と短所について説明しています。
| オプション | 長所 | 短所 |
| XenMobile ServerでHTTP(S)/SOCKSプロキシを使用する。 | ポリシーによってXenMobile Serverサブネットからのアウトバウンドインターネット接続が許可されていない場合、HTTP(S)またはSOCKSプロキシを構成してインターネット接続を提供できます。 | プロキシサーバーが失敗すると、APNs(iOS)またはFirebase Cloud Messaging(Android)の接続が切断されます。その結果、すべてのiOSおよびAndroidデバイスでデバイス通知が失敗します。 |
| Secure WebでHTTP(S)プロキシを使用する。 | HTTP/HTTPSトラフィックを監視して、インターネットアクティビティが組織の標準に準拠していることを確認できます。 | この構成では、すべてのSecure Webインターネットトラフィックがインターネットに送信される前に企業ネットワークにトンネルバックする必要があります。インターネット接続がブラウジングを制限している場合、この構成はインターネットブラウジングのパフォーマンスに影響を与える可能性があります。 |
スプリットトンネリングに関するCitrix ADCセッションプロファイル構成は、トラフィックに次のように影響します。
Citrix ADCスプリットトンネリングがオフの場合:
- MDXのネットワークアクセスポリシーが内部ネットワークにトンネルに設定されている場合、すべてのトラフィックはマイクロVPNまたはクライアントレスVPN(cVPN)トンネルを使用してCitrix Gatewayに戻されます。
- プロキシサーバー用のCitrix ADCトラフィックポリシー/プロファイルを構成し、それらをCitrix Gateway VIPにバインドします。
重要:
Secure Hub cVPNトラフィックをプロキシから除外してください。
- 詳しくは、「Secure Browseモードでのプロキシサーバー経由のXenMobile Secure Hubトラフィック」を参照してください。
Citrix ADCスプリットトンネリングがオンの場合:
- MDXのネットワークアクセスポリシーが内部ネットワークにトンネルに設定されているアプリの場合、アプリは最初にWebリソースを直接取得しようとします。Webリソースが公開されていない場合、それらのアプリはCitrix Gatewayにフォールバックします。
- プロキシサーバー用のCitrix ADCトラフィックポリシーとプロファイルを構成します。次に、それらのポリシーとプロファイルをCitrix Gateway VIPにバインドします。
重要:
Secure Hub cVPNトラフィックをプロキシから除外してください。
Split DNS(クライアントエクスペリエンスの下)に関するCitrix ADCセッションプロファイル構成は、スプリットトンネリングと同様に機能します。
Split DNSが有効で両方に設定されている場合:
- クライアントは最初にFQDNをローカルで解決しようとし、失敗した場合はDNS解決のためにCitrix ADCにフォールバックします。
Split DNSがリモートに設定されている場合:
- DNS解決はCitrix ADCでのみ行われます。
Split DNSがローカルに設定されている場合:
- クライアントはFQDNをローカルで解決しようとします。Citrix ADCはDNS解決には使用されません。
アクセス制御
企業はネットワークの内外でモバイルデバイスを管理できます。XenMobileのようなエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供するのに優れています。ただし、これらをネットワークアクセスコントロール(NAC)ソリューションと組み合わせると、ネットワーク内部のデバイスにQoSとよりきめ細かい制御を追加できます。この組み合わせにより、NACソリューションを介してXenMobileデバイスのセキュリティ評価を拡張できます。
NACソリューションは、XenMobileセキュリティ評価を使用して認証決定を促進および処理できます。
NACポリシーを適用するには、次のいずれかのソリューションを使用できます。
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrixは、他のNACソリューションとの統合を保証しません。
XenMobileとのNACソリューション統合の利点は次のとおりです。
- エンタープライズネットワーク上のすべてのエンドポイントに対するセキュリティ、コンプライアンス、および制御の向上。
- NACソリューションは次のことができます。
- デバイスがネットワークに接続しようとした瞬間に検出する。
- XenMobileにデバイス属性を照会する。
- そのデバイス情報を使用して、それらのデバイスを許可、ブロック、制限、またはリダイレクトするかどうかを決定する。これらの決定は、適用するセキュリティポリシーによって異なります。
- NACソリューションは、IT管理者に管理されていないデバイスおよび非準拠デバイスのビューを提供します。
XenMobileでサポートされているNACコンプライアンスフィルターの説明と構成の概要については、「ネットワークアクセスコントロール」を参照してください。