XenMobile統合
この記事では、XenMobileを既存のネットワークおよびソリューションと統合する方法を計画するときに考慮すべき点について説明します。たとえば、Virtual Apps and Desktops用のCitrix ADCを既に使用している場合は、次の点を考慮します:
- 既存のCitrix ADCインスタンス、または専用の新しいインスタンスを使用する必要がありますか。
- StoreFrontを使用して公開されているHDXアプリをXenMobileと統合しますか。
- XenMobileでCitrix Filesを使用する予定ですか。
- XenMobileに統合するネットワークアクセス制御のソリューションがありますか。
- ネットワークからのすべてのアウトバウンドトラフィックに対してWebプロキシを展開していますか。
Citrix ADCおよびCitrix Gateway
Citrix Gatewayは、XenMobileのENTモードとMAMモードで必須です。Citrix Gatewayは、すべての企業リソースにアクセスするためのマイクロVPNパスを提供し、強力な多要素認証をサポートします。次の場合、すべてのXenMobile ServerデバイスモードでCitrix ADCの負荷分散が必要です:
- XenMobile Serverが複数ある場合
- または、XenMobile ServerがDMZまたは内部ネットワーク内にある場合(つまり、デバイスからCitrix ADC、XenMobileの順にトラフィックが流れる場合)
既存のCitrix ADCインスタンスを使用することも、XenMobile用に新しいインスタンスを設定することもできます。以下のセクションでは、既存、または新規の専用のCitrix ADCインスタンスを使用する長所と短所について説明します。
XenMobile用に作成されたCitrix Gateway VIPとのCitrix ADC MPXの共有
長所:
- Citrixのすべてのリモート接続:Citrix Virtual Apps and Desktops、完全VPN、およびクライアントレスVPNに共通のCitrix ADCインスタンスを使用します。
- 証明書の認証やDNS、LDAP、NTPなどのサービスへのアクセスに、Citrix ADCの既存の構成を使用します。
- 単一のCitrix ADCプラットフォームライセンスを使用します。
短所:
- 同じCitrix ADCで2つの異なるユースケースを処理する場合は、スケールの計画が難しくなります。
- Citrix Virtual Apps and Desktopsのユースケースに特定のバージョンのCitrix ADCが必要になる場合があります。この特定のバージョンで、XenMobileの既知の問題がある場合があります。または、XenMobileに、Citrix ADCのこのバージョンに関する既知の問題がある場合があります。
- Citrix Gatewayがある場合は、XenMobile用のCitrix ADC構成を作成するために、Citrix ADC for XenMobileウィザードを再度実行することはできません。
- PlatinumライセンスがCitrix Gateway 11.1以降で使用されている場合を除き、Citrix ADCにインストールされ、VPN接続に必要なユーザーアクセスライセンスはプールされます。これらのライセンスはすべてのCitrix ADC仮想サーバーで使用可能であるため、XenMobile以外のサービスによってライセンスが消費される可能性があります。
専用のCitrix ADC VPX/MPXインスタンス
長所:
専用のCitrix ADCインスタンスを使用することをお勧めします。
- スケールの計画が容易になるほか、既にリソースの制約がある可能性のあるCitrix ADCインスタンスからXenMobileのトラフィックが分離されます。
- XenMobileとCitrix Virtual Apps and Desktopsで必要なCitrix ADCソフトウェアのバージョンが異なる事態を回避できます。通常、XenMobileと互換性のある最新のCitrix ADCバージョンおよびビルドを使用することをお勧めします。
- 組み込みのCitrix ADC for XenMobileウィザードを使用して、XenMobile用にCitrix ADCを構成できます。
- サービスの仮想的および物理的な分離。
- Citrix Gateway 11.1以降でPlatinumライセンスが使用されている場合を除きます:XenMobileに必要なユーザーアクセスライセンスは、Citrix ADC上のXenMobileサービスでのみ使用できます。
短所:
- XenMobileの構成をサポートするために、Citrix ADCで追加のサービスを設定する必要があります。
- 別のCitrix ADCプラットフォームライセンスが必要です。Citrix GatewayのCitrix ADCインスタンスごとにライセンスを取得します。
XenMobile Serverの各モードのCitrix ADCとCitrix Gatewayを統合するときに考慮すべき点については、「Citrix ADCおよびCitrix Gatewayとの統合」を参照してください。
StoreFront
Citrix Virtual Apps and Desktops環境の場合は、StoreFrontを使用してHDXアプリケーションをXenMobileと統合できます。HDXアプリをXenMobileと統合すると:
- XenMobileに登録されているユーザーがこのアプリを利用できます。
- このアプリが、XenMobile Storeで他のモバイルアプリと共に表示されます。
- XenMobileは、StoreFrontの従来のPNAgent(サービス)サイトを使用します。
- Citrix Receiverがデバイスにインストールされると、HDXアプリはこのCitrix Receiverの使用を開始します。
StoreFrontには、StoreFrontインスタンスごとに1つのサービスサイトの制限があります。複数のストアがあり、他の実稼働環境での使用から分離する必要があるとします。その場合は、通常、XenMobile用の新しいStoreFrontインスタンスとサービスサイトを検討することをお勧めします。
考慮事項は次のとおりです:
- StoreFrontでは認証要件が異なりますか。StoreFrontサービスサイトでは、ログオンにActive Directory資格情報が必要です。証明書ベースの認証のみを使用するユーザーは、同じCitrix Gatewayを使用してXenMobile経由でアプリケーションを列挙することはできません。
- 同じストアを使用しますか。それとも新しいストアを作成しますか。
- 同じStoreFrontサーバーを使用しますか。それとも別のStoreFrontサーバーを使用しますか。
以下のセクションでは、Citrix Receiverと業務用モバイルアプリでStoreFrontを個別に使用する場合と組み合わせて使用する場合のメリットとデメリットについて説明します。
既存のStoreFrontインスタンスをXenMobile Serverと統合する
長所:
- 同じストア:HDXアクセスに同じCitrix ADC VIPを使用する場合、XenMobileではStoreFrontの追加の構成が不要です。同じストアを使用する選択をし、Citrix Receiverには新しいCitrix ADC VIPへアクセスするように指示するとします。その場合は、StoreFrontに適切なCitrix Gateway構成を追加します。
- 同じStoreFrontサーバー:StoreFrontの既存のインストールと構成を使用します。
短所:
- 同じストア:Virtual Apps and DesktopsのワークロードをサポートするようにStoreFrontを再構成すると、XenMobileにも悪影響が及ぶ可能性があります。
- 同じStoreFrontサーバー:大規模な環境では、XenMobileがアプリの列挙と起動でPNAgentを使用することにより、追加の負荷がかかる点を考慮する必要があります。
XenMobile Serverとの統合に新しい専用のStoreFrontインスタンスを使用する
長所:
- 新しいストア:XenMobileで使用するStoreFrontストアの構成を変更しても、Virtual Apps and Desktopsの既存のワークロードには影響しません。
- 新しいStoreFrontサーバー:サーバー構成の変更は、Virtual Apps and Desktopsのワークフローに影響しません。さらに、XenMobileがアプリの列挙と起動でPNAgentを使用する以外の負荷は、スケーラビリティに影響しません。
短所:
- 新しいストア:StoreFrontストアの構成。
- 新しいStoreFrontサーバー:StoreFrontの新規のインストールと構成が必要です。
詳しくは、XenMobileドキュメントの「Citrix Secure Hubを介したVirtual Apps and Desktops」を参照してください。
ShareFileとCitrix Files
Citrix Filesを使用すると、ユーザーは任意のデバイスからすべてのデータにアクセスして同期することができます。Citrix Filesを使用すると、ユーザーは組織内外のユーザーとデータを安全に共有できます。ShareFileをXenMobile Advanced EditionまたはEnterprise Editionと統合すると、XenMobileによってCitrix Filesに以下が提供されます:
- XenMobile Appsユーザーのシングルサインオン認証。
- Active Directoryベースのユーザーアカウントのプロビジョニング。
- 包括的なアクセス制御ポリシー。
モバイルユーザーに完全なEnterpriseアカウント機能セットのメリットをもたらすことができます。
または、Storage Zone Connectorとのみ統合するようにXenMobileを構成することもできます。ストレージゾーンコネクタを介して、Citrix Filesは以下へのアクセスを提供します:
- ドキュメントとフォルダー
- ネットワークファイル共有
- SharePointサイトの場合:サイトコレクションとドキュメントライブラリ。
接続したファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるのと同じネットワークのホームドライブを含めることができます。XenMobileコンソールを使用して、Citrix FilesまたはStorage Zone Connectorとの統合を構成します。詳しくは、「Citrix FilesとXenMobileとの連携」を参照してください。
次のセクションでは、Citrix Filesの設計を決定するときに確認すべき質問項目について説明します。
Citrix Filesまたはストレージゾーンコネクタのみとの統合
確認すべき質問項目:
- Citrix管理のストレージゾーンにデータを保存する必要がありますか。
- ユーザーにファイルの共有および同期の機能を提供しますか。
- Citrix Files Webサイト上のファイルにユーザーがアクセスできるようにしますか。またはモバイルデバイスからOffice 365のコンテンツおよび個人向けクラウドコネクタにアクセスできるようにしますか。
設計の決定:
- 上記の質問のいずれかの回答が「はい」の場合は、Citrix Filesと統合します。
- ストレージゾーンコネクタのみと統合すると、iOSユーザーは、SharePointサイトやネットワークファイル共有などの既存のオンプレミスのストレージリポジトリに安全にモバイルアクセスできます。この構成では、ShareFileサブドメインの設定やCitrix Filesに対するユーザーのプロビジョニング、Citrix Filesデータのホストを行いません。XenMobileでStorage Zone Connectorを使用すると、社内ネットワーク外へのユーザー情報漏洩に対するセキュリティ規制に準拠します。
Storage Zone Controllerサーバーの場所
確認すべき質問項目:
- オンプレミスのストレージや機能(ストレージゾーンコネクタなど)が必要ですか。
- Citrix Filesのオンプレミス機能を使用する場合、Storage Zone Controllerはネットワーク内のどこに配置されますか。
設計の決定:
- Citrix Filesクラウド、オンプレミスのシングルテナントストレージシステム、またはサポートされているサードパーティのクラウドストレージに、Storage Zone Controllerサーバーを配置するかどうかを決定します。
- Storage Zone Controllerは、Citrix Filesコントロールプレーンと通信するためにインターネットアクセスが必要です。直接アクセス、NATおよびPATの設定、プロキシ設定など、いくつかの方法で接続できます。
ストレージゾーンコネクタ
確認すべき質問項目:
- CIFS共有パスは何ですか。
- SharePointのURLは何ですか。
設計の決定:
- オンプレミスのStorage Zone Controllerがこれらの場所にアクセスする必要があるかどうかを判断します。
- Storage Zone Connectorは、ファイルリポジトリ、CIFS共有、SharePointなどの内部リソースと通信するため、Storage Zone Controllerは、DMZファイアウォールの内側にあり、Citrix ADCが前に置かれた内部ネットワークに配置することをお勧めします。
SAMLとXenMobile Enterpriseの統合
確認すべき質問項目:
- Citrix FilesにActive Directory認証が必要ですか。
- XenMobileでCitrix Filesアプリを初めて使用するときにSSOが必要ですか。
- 現在の環境に標準のIdPはありますか。
- いくつのドメインでSAMLを使用する必要がありますか。
- Active Directoryユーザーに複数のメールエイリアスがありますか。
- Active Directoryドメインの移行が進行中、または近日中に予定されていますか。
設計の決定:
XenMobile Enterprise環境では、Citrix Filesの認証メカニズムとしてSAMLの使用を選択できます。認証オプションは次のとおりです:
- SAMLのIDプロバイダー(IdP)としてXenMobile Serverを使用します。
このオプションは、優れたユーザーエクスペリエンスを提供し、Citrix Filesアカウントの作成を自動化し、モバイルアプリのSSO機能を有効にすることができます。
- XenMobile Serverはこのプロセスのために強化されています:そのため、Active Directoryの同期は不要です。
- ユーザープロビジョニングにCitrix Files User Management Toolを使用します。
- サポートされているサードパーティベンダーをSAMLのIdPとして使用します。
既存のサポートされているIdPがあり、モバイルアプリのSSO機能が不要な場合は、このオプションが最適です。また、このオプションでは、アカウントのプロビジョニングにCitrix Files User Management Toolを使用する必要があります。
サードパーティのIdPソリューション(ADFSなど)を使用すると、Windowsクライアント側にもSSO機能が提供される場合があります。Citrix FilesのSAML IdPを選択する前に、ユースケースを評価するようにします。
さらに、両方のユースケースを満たすために、ADFSとXenMobileをデュアルIDプロバイダーとして構成できます。
モバイルアプリ
確認すべき質問項目:
- どのCitrix Filesモバイルアプリ(パブリック、MDM、MDX)を使用する予定ですか。
設計の決定:
- 業務用モバイルアプリはApple App StoreやGoogle Playストアから配信できます。パブリックアプリストアからの配信では、Citrixダウンロードページからラップされたアプリを入手します。
- セキュリティレベルが低くコンテナ化が不要の場合、パブリックのCitrix Filesアプリケーションは適切でない可能性があります。MDM-only環境では、XenMobileをMDMモードで使用して、Citrix FilesアプリのMDMバージョンを配信できます。
- 詳しくは、「アプリ」と「Citrix Files for XenMobile」を参照してください。
セキュリティ、ポリシー、およびアクセス制御
確認すべき質問項目:
- デスクトップ、Web、およびモバイルユーザーにはどのような制限が必要ですか。
- ユーザーに対する標準的なアクセス制御をどのような設定にしますか。
- どのようなファイル保持ポリシーを使用する予定ですか。
設計の決定:
- Citrix Filesを使用すると、従業員の権限とデバイスのセキュリティを管理できます。詳しくは、「従業員の権限」と 「デバイスとアプリの管理」を参照してください。
- 一部のCitrix Filesのデバイスセキュリティ設定とMDXポリシーは、同じ機能を制御します。そのような場合はXenMobileのポリシーが優先され、次にCitrix Filesのデバイスセキュリティ設定が適用されます。例:外部アプリをCitrix Filesで無効にし、XenMobileでは有効にすると、Citrix Filesではこの外部アプリが無効になります。XenMobileではPINとパスコードが不要、Citrix FilesアプリではPINとパスコードが必要なようにアプリを構成できます。
標準StorageZoneと制限付きStorageZone
確認すべき質問項目:
- 制限付きストレージゾーンが必要ですか。
設計の決定:
- 標準ストレージゾーンは機密性の低いデータを対象としており、従業員は非従業員とデータを共有できます。このオプションは、ドメイン外でデータを共有するワークフローをサポートします。
- 制限付きストレージゾーンでは機密データが保護され、認証されたドメインユーザーのみが、ゾーンに格納されたデータにアクセスできます。
Webプロキシ
XenMobileトラフィックをHTTP(S)/SOCKSプロキシ経由でルーティングする、最もありがちなシナリオは、次のとおりです:XenMobile Serverが存在するサブネットに、必要なApple、Google、またはMicrosoft IPアドレスへの送信方向のインターネットアクセスがない場合。XenMobileでプロキシサーバーの設定を指定すると、すべてのインターネットトラフィックをプロキシサーバーにルーティングできます。詳しくは、「プロキシサーバーの有効化」を参照してください。
次の表に、XenMobileで使用される最も一般的なプロキシの長所と短所を示します。
オプション | 長所 | 短所 |
XenMobile ServerでHTTP(S)/SOCKSプロキシを使用します。 | ポリシーにより、XenMobile Serverのサブネットからの送信インターネット接続が許可されない場合:インターネット接続を提供するようにHTTP(S)またはSOCKSプロキシを構成できます。 | プロキシサーバーに障害が発生すると、APNs(iOS)またはFirebase Cloud Messaging(Android)の接続が切断されます。その結果、すべてのiOS端末とAndroid端末でデバイスの通知が失敗します。 |
Secure WebでHTTP(S)プロキシを使用してください。 | HTTP/HTTPSトラフィックを監視して、インターネット活動が組織の標準に準拠していることを確認できます。 | この構成では、すべてのSecure Web Internetトラフィックを企業ネットワークにトンネリングしてからインターネットに送り返す必要があります。インターネット接続でブラウズが制限されている場合:この設定はインターネットブラウジングのパフォーマンスに影響する可能性があります。 |
分割トンネリングのCitrix ADCセッションプロファイル設定は、次のようにトラフィックに影響します。
Citrix ADC分割トンネリングがオフの場合:
- MDXネットワークアクセスポリシーが [内部ネットワークへトンネル]の場合: すべてのトラフィックは、Microsoft VPNまたはクライアントレスVPN(cVPN)トンネルを使用してCitrix Gatewayに強制的に戻されます。
- プロキシサーバーのCitrix ADCトラフィックポリシー/プロファイルを設定し、それらをCitrix Gateway VIPにバインドします。
重要:
必ずSecure Hub cVPNトラフィックをプロキシから除外してください。
Citrix ADC分割トンネリングがオンの場合:
- アプリがMDXネットワークアクセスポリシーで [内部ネットワークへトンネル] に設定されている場合:アプリケーションは、まずWebリソースを直接取得しようとします。Webリソースが公開されていない場合、それらのアプリケーションはCitrix Gatewayにフォールバックします。
- プロキシサーバーのCitrix ADCトラフィックポリシーとプロファイルを設定します。次に、これらのポリシーとプロファイルをCitrix Gateway VIPにバインドします。
重要:
必ずSecure Hub cVPNトラフィックをプロキシから除外してください。
[分割DNS] のCitrix ADCセッションプロファイル設定([クライアントエクスペリエンス]配下)は、分割トンネリングと同様に機能します。
[分割DNS] が [両方] に設定されている場合:
- クライアントはまずFQDNをローカルで解決し、障害発生時にはCitrix ADCにフォールバックしてDNSを解決しようとします。
[分割DNS ] が [リモート] に設定されている場合:
- DNS解決はCitrix ADCでのみ発生します。
[分割DNS] が [ローカル] に設定されている場合:
- クライアントはFQDNをローカルに解決しようとします。DNS解決にCitrix ADCは使用されません。
アクセス制御
企業はネットワーク内外のモバイルデバイスを管理できます。XenMobileなどのエンタープライズモビリティ管理ソリューションは、場所に関係なくモバイルデバイスのセキュリティと制御を提供することに優れていますが、ネットワークアクセス制御(NAC)ソリューションと組み合わせると、ネットワーク内部のデバイスに対するQoSを向上させ、よりきめ細かい制御を行うことができます。この組み合わせにより、NACソリューションを通じてXenMobileのデバイスセキュリティ評価を強化できます。NACソリューションはXenMobileのセキュリティ評価を使用して、認証の決定を効率的に処理することができます。
次のいずれかのソリューションを使用して、NACポリシーを適用できます:
- Citrix Gateway
- Cisco Identity Services Engine(ISE)
- ForeScout
他のNACソリューションとの統合は保証されていません。
XenMobileとのNACソリューション統合の利点は次のとおりです:
- 社内ネットワーク上のすべてのエンドポイントのセキュリティ、コンプライアンス、制御の強化。
- NACソリューションでは、次のことが可能です:
- ネットワークに接続しようとするデバイスを瞬時に検出します。
- XenMobileにデバイス属性を照会します。
- このデバイス情報を使用して、デバイスを許可、禁止、制限、またはリダイレクトするかどうかを決定します。これらの決定は、適用されるセキュリティポリシーによって異なります。
- NACソリューションでは、IT管理者に非管理デバイスと非準拠デバイスのビューを提供します。
XenMobileでサポートされているNAC準拠フィルターと構成の概要については、「ネットワークアクセス制御」を参照してください。