Product Documentation

XenMobile統合

この記事では、XenMobileを既存のネットワークおよびソリューションと統合する方法を計画するときに考慮すべき点について説明します。たとえば、XenAppおよびXenDesktopでNetScalerを既に使用している場合は、次の点を考慮します:

  • 既存のNetScalerインスタンス、または専用の新しいインスタンスを使用する必要がありますか。
  • StoreFrontを使用して公開されているHDXアプリをXenMobileと統合しますか。
  • XenMobileでShareFileを使用する予定ですか。
  • XenMobileに統合するネットワークアクセス制御のソリューションがありますか。
  • ネットワークからのすべてのアウトバウンドトラフィックに対してWebプロキシを展開していますか。

NetScalerおよびNetScaler Gateway

NetScaler Gatewayは、XenMobileのENTモードとMAMモードで必須です。NetScaler Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。次の場合、すべてのXenMobileサーバーデバイスモードでNetScalerの負荷分散が必要です:

  • XenMobile Serverが複数ある場合。
  • または、XenMobile ServerがDMZまたは内部ネットワーク内にある場合(つまり、デバイスからNetScaler、XenMobileの順にトラフィックが流れる場合)

既存のNetScalerインスタンスを使用することも、XenMobile用に新しいインスタンスを設定することもできます。以下のセクションでは、既存、または新規の専用のNetScalerインスタンスを使用するメリットとデメリットについて説明します。

XenMobile用に作成されたNetScaler Gateway VIPを使用した共有NetScaler MPX

長所:

  • Citrixのすべてのリモート接続(XenApp、完全VPN、およびクライアントレスVPN)に共通のNetScalerインスタンスを使用します。
  • 証明書の認証やDNS、LDAP、NTPなどのサービスへのアクセスに、NetScalerの既存の構成を使用します。
  • 単一のNetScalerプラットフォームライセンスを使用します。

短所:

  • 同じNetScalerで2つの大きく異なるユースケースを処理する場合は、スケールの計画が難しくなります。
  • XenAppのユースケースに特定のバージョンのNetScalerが必要になる場合があります。この特定のバージョンで、XenMobileの既知の問題がある場合があります。または、XenMobileに、NetScalerのこのバージョンに関する既知の問題がある場合があります。
  • NetScaler Gatewayがある場合は、XenMobile用のNetScaler構成を作成するために、NetScaler for XenMobileウィザードを再度実行することはできません。
  • PlatinumライセンスがNetScaler Gateway 11.1以降で使用されている場合を除き、NetScalerにインストールされ、VPN接続に必要なユーザーアクセスライセンスはプールされます。これらのライセンスはすべてのNetScaler仮想サーバーで使用可能であるため、XenMobile以外のサービスによってライセンスが消費される可能性があります。

専用のNetScaler VPX/MPXインスタンス

長所:

専用のNetScalerインスタンスを使用することをお勧めします。

  • スケールの計画が容易になるほか、すでにリソースの制約がある可能性のあるNetScalerインスタンスからXenMobileのトラフィックが分離されます。
  • XenMobileとXenAppで必要なNetScalerソフトウェアのバージョンが異なる問題を回避することができます。通常、XenMobileと互換性のある最新のNetScalerバージョンおよびビルドを使用することをお勧めします。
  • 組み込みのNetScaler for XenMobileウィザードを使用して、XenMobile用にNetScalerを構成できます。
  • サービスの仮想的および物理的な分離。
  • NetScaler Gateway 11.1以降でPlatinumライセンスが使用されている場合を除きます:XenMobileに必要なユーザーアクセスライセンスは、NetScaler上のXenMobileサービスでのみ使用できます。

短所:

  • XenMobileの構成をサポートするために、NetScalerで追加のサービスを設定する必要があります。
  • 別のNetScalerプラットフォームライセンスが必要です。NetScaler GatewayのNetScalerインスタンスごとにライセンスを取得します。

XenMobileサーバーの各モードでNetScalerとNetScaler Gatewayを統合するときに考慮すべき点については、「NetScalerおよびNetScaler Gatewayの統合」を参照してください。

StoreFront

Citrix XenAppおよびXenDesktop環境の場合は、StoreFrontを使用してHDXアプリケーションをXenMobileと統合できます。HDXアプリをXenMobileと統合すると:

  • XenMobileに登録されているユーザーがこのアプリを利用できます。
  • このアプリが、XenMobile Storeで他のモバイルアプリと共に表示されます。
  • XenMobileは、StoreFrontの従来のPNAgent(サービス)サイトを使用します。
  • Citrix Receiverがデバイスにインストールされると、HDXアプリはこのCitrix Receiverの使用を開始します。

StoreFrontには、StoreFrontインスタンスごとに1つのサービスサイトの制限があります。複数のストアがあり、他の実稼働環境での使用から分離する必要があるとします。その場合は、通常、XenMobile用の新しいStoreFrontインスタンスとサービスサイトを検討することをお勧めします。

考慮事項は次のとおりです:

  • StoreFrontでは認証要件が異なりますか。StoreFrontサービスサイトでは、ログオンにActive Directory資格情報が必要です。証明書ベースの認証のみを使用するユーザーは、同じNetScaler Gatewayを使用してXenMobile経由でアプリケーションを列挙することはできません。
  • 同じストアを使用しますか。それとも新しいストアを作成しますか。
  • 同じStoreFrontサーバーを使用しますか。それとも別のStoreFrontサーバーを使用しますか。

以下のセクションでは、Citrix Receiverと業務用モバイルアプリでStoreFrontを個別に使用する場合と組み合わせて使用する場合のメリットとデメリットについて説明します。

既存のStoreFrontインスタンスをXenMobileサーバーと統合する

長所:

  • 同じストア:HDXアクセスに同じNetScaler VIPを使用する場合、XenMobileではStoreFrontの追加の構成が不要です。同じストアを使用する選択をし、Citrix Receiverが新しいNetScaler VIPにアクセスするように指示する必要があるとします。その場合は、StoreFrontに適切なNetScaler Gateway構成を追加します。
  • 同じStoreFrontサーバー:StoreFrontの既存のインストールと構成を使用します。

短所:

  • 同じストア:XenAppおよびXenDesktopのワークロードをサポートするようにStoreFrontを再構成すると、XenMobileにも悪影響が及ぶ可能性があります。
  • 同じStoreFrontサーバー:大規模な環境では、XenMobileがアプリの列挙と起動でPNAgentを使用することにより、追加の負荷がかかる点を考慮する必要があります。

XenMobileサーバーとの統合に新しい専用のStoreFrontインスタンスを使用する

長所:

  • 新しいストア:XenMobileで使用するStoreFrontストアの構成を変更しても、XenAppおよびXenDesktopの既存のワークロードには影響しません。
  • 新しいStoreFrontサーバー:サーバー構成の変更は、XenAppおよびXenDesktopのワークフローに影響しません。さらに、XenMobileがアプリの列挙と起動でPNAgentを使用する以外の負荷は、スケーラビリティに影響しません。

短所:

  • 新しいストア:StoreFrontストアの構成。
  • 新しいStoreFrontサーバー:StoreFrontの新規のインストールと構成が必要です。

詳しくは、XenMobileのドキュメントの「Citrix Secure Hubを介したXenAppおよびXenDesktop」を参照してください。

ShareFile

ShareFileを使用すると、ユーザーは任意のデバイスからすべてのデータにアクセスして同期することができます。ShareFileを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。ShareFileをXenMobile Advanced EditionまたはEnterprise Editionと統合すると、XenMobileによってShareFileに以下が提供されます:

  • XenMobile Appsユーザーのシングルサインオン認証。
  • Active Directoryベースのユーザーアカウントのプロビジョニング。
  • 包括的なアクセス制御ポリシー。

モバイルユーザーに完全なShareFile Enterprise機能セットのメリットをもたらすことができます。

または、StorageZoneコネクタとのみ統合するようにXenMobileを構成することもできます。StorageZoneコネクタを介して、ShareFileは以下へのアクセスを提供します:

  • ドキュメントとフォルダー
  • ネットワークファイル共有
  • SharePointサイトの場合:サイトコレクションとドキュメントライブラリ。

接続したファイル共有には、Citrix XenDesktopおよびXenApp環境で使用されるのと同じネットワークのホームドライブを含めることができます。XenMobileコンソールを使用して、ShareFile EnterpriseまたはStorageZoneコネクタとの統合を構成します。詳しくは、「ShareFileをXenMobileと使用する」を参照してください。

次のセクションでは、ShareFileの設計を決定するときに確認すべき質問項目について説明します。

ShareFile EnterpriseまたはStorageZoneコネクタのみとの統合

確認すべき質問項目:

  • Citrix管理のStorageZoneにデータを保存する必要がありますか。
  • ユーザーにファイルの共有および同期の機能を提供しますか。
  • ShareFile Webサイト上のファイルにユーザーがアクセスできるようにしますか。またはモバイルデバイスからOffice 365のコンテンツおよび個人向けクラウドコネクタにアクセスできるようにしますか。

設計の決定:

  • 上記の質問のいずれかの回答が「はい」の場合は、ShareFile Enterpriseと統合します。
  • StorageZoneコネクタのみと統合すると、iOSユーザーは、SharePointサイトやネットワークファイル共有などの既存のオンプレミスのストレージリポジトリに安全にモバイルアクセスできます。この構成では、ShareFileサブドメインの設定やShareFileに対するユーザーのプロビジョニング、ShareFileデータのホストが不要になります。XenMobileでStorageZoneコネクタを使用すると、社内ネットワーク外へのユーザー情報漏洩に対するセキュリティ規制に準拠します。

ShareFile StorageZoneコントローラーサーバーの場所

確認すべき質問項目:

  • オンプレミスのストレージや機能(StorageZoneコネクタなど)が必要ですか。
  • ShareFileのオンプレミス機能を使用する場合、ShareFile StorageZoneコントローラーはネットワーク内のどこに配置されますか。

設計の決定:

  • ShareFileクラウド、オンプレミスの単一テナントストレージシステム、またはサポートされているサードパーティのクラウドストレージに、StorageZoneコントローラーサーバーを配置するかどうかを決定します。
  • StorageZoneコントローラーは、Citrix ShareFileコントロールプレーンと通信するためにインターネットアクセスが必要です。直接アクセス、NATおよびPATの設定、プロキシ設定など、いくつかの方法で接続できます。

StorageZoneコネクタ

確認すべき質問項目:

  • CIFS共有パスは何ですか。
  • SharePointのURLは何ですか。

設計の決定:

  • オンプレミスのStorageZoneコントローラーがこれらの場所にアクセスする必要があるかどうかを判断します。
  • StorageZoneコネクタは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、StorageZoneコントローラーは、DMZファイアウォールの内側にあり、NetScalerが前に置かれた内部ネットワークに配置することをお勧めします。

SAMLとXenMobile Enterpriseの統合

確認すべき質問項目:

  • ShareFileにActive Directory認証が必要ですか。
  • XenMobileでShareFileアプリを初めて使用するときにSSOが必要ですか。
  • 現在の環境に標準のIdPはありますか。
  • いくつのドメインでSAMLを使用する必要がありますか。
  • Active Directoryユーザーに複数のメールエイリアスがありますか。
  • Active Directoryドメインの移行が進行中、または近日中に予定されていますか。

設計の決定:

XenMobile Enterprise環境では、ShareFileの認証メカニズムとしてSAMLの使用を選択できます。認証オプションは次のとおりです:

  • SAMLのIDプロバイダー(IdP)としてXenMobile Serverを使用します。

このオプションは、優れたユーザーエクスペリエンスを提供し、ShareFileアカウントの作成を自動化するだけでなく、モバイルアプリのSSO機能を有効にすることができます。

  • XenMobile Serverはこのプロセスのために強化されています:そのため、Active Directoryの同期は不要です。
  • ユーザープロビジョニングにShareFile User Management Toolを使用します。
  • サポートされているサードパーティベンダーをSAMLのIdPとして使用します。

既存のサポートされているIdPがあり、モバイルアプリのSSO機能が不要な場合は、このオプションが最適です。また、このオプションでは、アカウントのプロビジョニングにShareFile User Management Toolを使用する必要があります。

サードパーティのIdPソリューション(ADFSなど)を使用すると、Windowsクライアント側にもSSO機能が提供される場合があります。ShareFileのSAML IdPを選択する前に、ユースケースを評価するようにします。

さらに、両方のユースケースを満たすために、ADFSとXenMobileをデュアルIDPとして構成できます。

モバイルアプリ

確認すべき質問項目:

  • どのShareFileモバイルアプリ(パブリック、MDM、MDX)を使用する予定ですか。

設計の決定:

  • 業務用モバイルアプリはApple App StoreやGoogle Playストアから配信できます。パブリックアプリケーションストアからの配信では、Citrixダウンロードページからラップされたアプリを入手します。
  • セキュリティレベルが低くコンテナー化が不要の場合、パブリックのShareFileアプリケーションは適切でない可能性があります。MDM-only環境では、XenMobileをMDMモードで使用して、ShareFileアプリのMDMバージョンを配信できます。
  • 詳しくは、「アプリ」と「Citrix ShareFile for XenMobile」を参照してください。

セキュリティ、ポリシー、およびアクセス制御

確認すべき質問項目:

  • デスクトップ、Web、およびモバイルユーザーにはどのような制限が必要ですか。
  • ユーザーに対する標準的なアクセス制御をどのような設定にしますか。
  • どのようなファイル保持ポリシーを使用する予定ですか。

設計の決定:

  • ShareFileを使用すると、従業員の権限とデバイスのセキュリティを管理できます。詳しくは、「従業員の権限」と 「デバイスとアプリの管理」を参照してください。
  • 一部のShareFileのデバイスセキュリティ設定とMDXポリシーは、同じ機能を制御します。そのような場合はXenMobileのポリシーが優先され、次にShareFileのデバイスセキュリティ設定が適用されます。例:外部アプリをShareFileで無効にし、XenMobileでは有効にすると、ShareFileではこの外部アプリが無効になります。XenMobileではPINとパスコードが不要、ShareFileアプリではPINとパスコードが必要なようにアプリを構成できます。

標準StorageZoneと制限付きStorageZone

確認すべき質問項目:

  • 制限付きStorageZoneが必要ですか。

設計の決定:

  • 標準StorageZoneは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。このオプションは、ドメイン外でデータを共有するワークフローをサポートします。
  • 制限付きStorageZoneでは機密データが保護され、認証されたドメインユーザーのみが、ゾーンに格納されたデータにアクセスできます。

Webプロキシ

XenMobileトラフィックをHTTP(S)/SOCKSプロキシ経由でルーティングする、最もありがちなシナリオは、次のとおりです:XenMobileサーバーが存在するサブネットに、必要なApple、Google、またはMicrosoft IPアドレスへの送信方向のインターネットアクセスがない場合。XenMobileでプロキシサーバーの設定を指定すると、すべてのインターネットトラフィックをプロキシサーバーにルーティングできます。詳しくは、「プロキシサーバーの有効化」を参照してください。

次の表に、XenMobileで使用される最も一般的なプロキシの長所と短所を示します。

     
オプション 長所 短所
XenMobileサーバーでHTTP(S)/SOCKSプロキシを使用します。 ポリシーにより、XenMobileサーバーのサブネットからの送信インターネット接続が許可されない場合:インターネット接続を提供するようにHTTP(S)またはSOCKSプロキシを構成できます。 プロキシサーバーに障害が発生すると、APN(iOS)またはGoogle Cloud Messaging(Android)の接続が切断されます。その結果、すべてのiOS端末とAndroid端末でデバイスの通知が失敗します。
Secure WebでHTTP(S)プロキシを使用してください。 HTTP/HTTPSトラフィックを監視して、インターネット活動が組織の標準に準拠していることを確認できます。 この構成では、すべてのSecure Web Internetトラフィックを企業ネットワークにトンネリングしてからインターネットに送り返す必要があります。インターネット接続でブラウズが制限されている場合:この設定はインターネットブラウジングのパフォーマンスに影響する可能性があります。

分割トンネリングのNetScalerセッションプロファイル設定は、次のようにトラフィックに影響します。

NetScaler分割トンネリングが[Off] の場合:

  • MDX ネットワークアクセスポリシーが [内部ネットワークへトンネル]の場合: すべてのトラフィックは、Microsoft VPNまたはクライアントレスVPN(cVPN)トンネルを使用してNetScaler Gatewayに強制的に戻されます。
  • プロキシサーバーのNetScalerトラフィックポリシー/プロファイルを設定し、それらをNetScaler Gateway VIPにバインドします。

重要: Secure Hub cVPNトラフィックをプロキシから除外してください。

NetScaler分割トンネリング[On] の場合:

  • アプリがMDXネットワークアクセスポリシーで [内部ネットワークへトンネル] に設定されている場合:アプリケーションは、まずWebリソースを直接取得しようとします。Webリソースが公開されていない場合、それらのアプリケーションはNetScaler Gatewayにフォールバックします。
  • プロキシサーバーのNetScalerトラフィックポリシーとプロファイルを設定します。次に、これらのポリシーとプロファイルをNetScaler Gateway VIPにバインドします。

重要: 必ずSecure Hub cVPNトラフィックをプロキシから除外してください。

[分割DNS] のNetScalerセッションプロファイル設定([クライアントエクスペリエンス]配下)は、分割トンネリングと同様に機能します。

[分割DNS][両方] に設定されている場合:

  • クライアントはまずFQDNをローカルで解決し、障害発生時にはNetScalerにフォールバックしてDNSを解決しようとします。

[分割DNS ][リモート] に設定されている場合:

  • DNS解決はNetScalerでのみ発生します。

[分割DNS][ローカル] に設定されている場合:

  • クライアントはFQDNをローカルに解決しようとします。DNS解決にNetScalerは使用されません。

アクセス制御

企業は、ネットワーク内外のモバイルデバイスを管理できるようになりました。XenMobileなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供することに優れていますが、ネットワークアクセス制御(NAC)ソリューションと組み合わせると、ネットワーク内のデバイスに対してQoSとより詳細な制御を加えることができます。この組み合わせにより、NACソリューションを通じてXenMobileのデバイスセキュリティ評価を強化できます。NACソリューションはXenMobileのセキュリティ評価を使用して、認証の決定を効率的に処理することができます。Citrixでは、XenMobileとCisco Identity Services Engine(ISE)またはForeScoutのNAC統合を確認しています。他のNACソリューションとの統合は保証されていません。

XenMobileとのNACソリューション統合の利点は次のとおりです:

  • 社内ネットワーク上のすべてのエンドポイントのセキュリティ、コンプライアンス、制御の強化。
  • NACソリューションでは、次のことが可能です:
    • ネットワークに接続しようとするデバイスを瞬時に検出します。
    • XenMobileにデバイス属性を照会します。
    • 次にこの情報を使用して、デバイスを許可、禁止、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用されるセキュリティポリシーによって異なります。
  • NACソリューションでは、IT管理者に非管理デバイスと非準拠デバイスのビューを提供します。

XenMobileでサポートされているNAC準拠フィルターについては、「ネットワークアクセス制御」を参照してください。

XenMobile統合