セキュリティとユーザーエクスペリエンス
どの組織にとってもセキュリティは重要ですが、セキュリティとユーザーエクスペリエンスのバランスを取る必要があります。たとえば、ユーザーが使いにくい、高度に保護された環境になっている場合があります。あるいは、環境が非常にユーザーフレンドリーであるため、アクセス制御がそれほど厳しくない場合もあります。この仮想ハンドブックの他のセクションでは、セキュリティ機能について詳しく説明しています。この記事の目的は、一般的なセキュリティ上の懸念事項とXenMobileで利用できるセキュリティオプションの概要を説明することです。
各ユースケースで留意すべき重要な考慮事項を以下に示します。
- 特定のアプリ、デバイス全体、またはその両方を保護しますか?
- ユーザーのIDをどのように認証させたいですか?LDAP、証明書ベースの認証、またはその両方の組み合わせを使用する予定ですか?
- ユーザーセッションのタイムアウトをどのように処理しますか?バックグラウンドサービス、Citrix ADC、およびオフライン中にアプリにアクセスできる場合のタイムアウト値は異なることに注意してください。
- ユーザーにデバイスレベルのパスコード、アプリレベルのパスコード、またはその両方を設定させますか?ユーザーに許可するログオン試行回数は何回ですか?MAMで実装された追加のアプリごとの認証要件がユーザーエクスペリエンスにどのように影響するかを考慮してください。
- ユーザーにどのような他の制限を課したいですか?Siriなどのクラウドサービスへのアクセスをユーザーに許可しますか?提供する各アプリで何ができて何ができないようにしますか?オフィス内で携帯電話のデータプランが消費されるのを防ぐために、企業Wi-Fiポリシーを展開しますか?
アプリとデバイス
最初に考慮すべきことの1つは、モバイルアプリケーション管理(MAM)を使用して特定のアプリのみを保護するかどうかです。または、モバイルデバイス管理(MDM)を使用してデバイス全体も管理したいかどうかです。最も一般的には、デバイスレベルの制御を必要としない場合、特に組織がBYOD(Bring Your Own Device)をサポートしている場合は、モバイルアプリのみを管理します。
XenMobileが管理しないデバイスを持つユーザーは、アプリストアを通じてアプリをインストールできます。選択的ワイプや完全ワイプなどのデバイスレベルの制御の代わりに、アプリポリシーを通じてアプリへのアクセスを制御します。設定した値に応じて、ポリシーはデバイスがXenMobileを定期的にチェックして、アプリが引き続き実行を許可されていることを確認することを要求します。
MDMを使用すると、デバイス上のすべてのソフトウェアのインベントリを取得する機能を含め、デバイス全体を保護できます。デバイスがジェイルブレイクされている、ルート化されている、または安全でないソフトウェアがインストールされている場合、登録を防止できます。ただし、このレベルの制御を行うと、ユーザーは自分の個人デバイスに対してそれほどの権限を許可することに警戒心を抱き、登録率が低下する可能性があります。
認証
認証は、ユーザーエクスペリエンスの大部分を占める部分です。組織がすでにActive Directoryを実行している場合、Active Directoryを使用することが、ユーザーがシステムにアクセスするための最も簡単な方法です。
認証ユーザーエクスペリエンスのもう1つの重要な部分はタイムアウトです。高セキュリティ環境では、ユーザーがシステムにアクセスするたびにログオンさせることができますが、そのオプションはすべての組織にとって理想的ではありません。たとえば、ユーザーがメールにアクセスするたびに資格情報を入力させることは、ユーザーエクスペリエンスに大きな影響を与える可能性があります。
ユーザーエントロピー
セキュリティを強化するために、ユーザーエントロピーと呼ばれる機能を有効にできます。Citrix Secure Hub™やその他のいくつかのアプリは、すべてが適切に機能するように、パスワード、PIN、証明書などの共通データを共有することがよくあります。この情報は、Secure Hub内の汎用ボールトに保存されます。[秘密の暗号化] オプションを通じてユーザーエントロピーを有効にすると、XenMobileはUserEntropyという新しいボールトを作成します。XenMobileは、汎用ボールトから新しいボールトに情報を移動します。Secure Hubまたは別のアプリがデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。
ユーザーエントロピーを有効にすると、いくつかの場所で認証レイヤーが追加されます。その結果、アプリがUserEntropyボールト内の証明書を含む共有データへのアクセスを要求するたびに、ユーザーはパスワードまたはPINを入力する必要があります。
ユーザーエントロピーの詳細については、XenMobileドキュメントのMDX Toolkitについてを参照してください。ユーザーエントロピーを有効にするには、クライアントプロパティで関連設定を見つけることができます。
ポリシー
MDXポリシーとMDMポリシーの両方は、組織に大きな柔軟性をもたらしますが、ユーザーを制限することもできます。たとえば、SiriやiCloudなど、機密データをさまざまな場所に送信する可能性のあるクラウドアプリケーションへのアクセスをブロックしたい場合があります。これらのサービスへのアクセスをブロックするポリシーを設定できますが、そのようなポリシーには意図しない結果が生じる可能性があることに留意してください。iOSキーボードのマイクもクラウドアクセスに依存しており、その機能へのアクセスもブロックする可能性があります。
アプリ
エンタープライズモビリティ管理(EMM)は、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)に分類されます。MDMは組織がモバイルデバイスを保護および制御できるようにする一方、MAMはアプリケーションの配信と管理を容易にします。BYODの採用が増加するにつれて、通常、アプリケーションの配信、ソフトウェアライセンス、構成、およびアプリケーションライフサイクル管理を支援するためにMAMソリューションを実装できます。
XenMobileを使用すると、特定のMAMポリシーとVPN設定を構成して、データ漏洩やその他のセキュリティ脅威を防ぐことで、これらのアプリをさらに保護できます。XenMobileは、組織に以下のいずれかのソリューションを展開する柔軟性を提供します。
- MAMのみの環境
- MDMのみの環境
- 同じプラットフォームでMDMとMAMの両方の機能を提供する統合XenMobile Enterprise環境
モバイルデバイスにアプリを配信する機能に加えて、XenMobileはMDXテクノロジーを通じてアプリのコンテナ化を提供します。MDXは、プラットフォームが提供するデバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリをワイプまたはロックでき、アプリはきめ細かなポリシーベースの制御の対象となります。独立系ソフトウェアベンダー(ISV)は、Mobile Apps SDKを使用してこれらの制御を適用できます。
企業環境では、ユーザーは職務を支援するためにさまざまなモバイルアプリを使用します。アプリには、公開アプリストアのアプリ、社内開発アプリ、およびネイティブアプリが含まれます。XenMobileはこれらのアプリを次のように分類します。
公開アプリ: これらのアプリには、Apple App StoreやGoogle Playなどの公開アプリストアで利用できる無料または有料のアプリが含まれます。組織外のベンダーは、公開アプリストアでアプリを提供することがよくあります。このオプションにより、顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズに応じて、組織内で多数の公開アプリを使用する場合があります。このようなアプリの例には、GoToMeeting、Salesforce、EpicCareアプリなどがあります。
Citrixは、公開アプリストアからアプリバイナリを直接ダウンロードし、それをMDX Toolkitでラップしてエンタープライズ配布することをサポートしていません。サードパーティアプリケーションをMDX対応にするには、アプリベンダーに連絡してアプリバイナリを入手してください。MDX Toolkitを使用してバイナリをラップするか、MAM SDKをバイナリと統合できます。
社内アプリ: 多くの組織には、特定の機能を提供し、組織内で独立して開発および配布されるアプリを作成する社内開発者がいます。場合によっては、一部の組織はISVが提供するアプリも持っている場合があります。そのようなアプリをネイティブアプリとして展開することも、XenMobileなどのMAMソリューションを使用してアプリをコンテナ化することもできます。たとえば、医療機関は、医師がモバイルデバイスで患者情報を表示できる社内アプリを作成できます。組織は、患者情報を保護し、バックエンドの患者データベースサーバーへのVPNアクセスを有効にするために、MAM SDKを有効にするか、アプリをMDMでラップできます。
WebおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスされるアプリ(Webアプリ)またはパブリックネットワーク経由でアクセスされるアプリ(SaaS)が含まれます。XenMobileでは、アプリコネクタのリストを使用してカスタムWebおよびSaaSアプリを作成することもできます。これらのアプリコネクタは、既存のWebアプリへのシングルサインオン(SSO)を容易にすることができます。詳細については、アプリコネクタの種類を参照してください。たとえば、Google AppsへのSecurity Assertion Markup Language(SAML)に基づくSSOにGoogle Apps SAMLを使用できます。
モバイル生産性アプリ: XenMobileライセンスに含まれるCitrix開発のアプリです。詳細については、モバイル生産性アプリについてを参照してください。Citrixは、ISVがMobile Apps SDKを使用して開発した他のビジネス対応アプリも提供しています。
HDXアプリ: StoreFrontで公開するWindowsホスト型アプリです。Citrix Virtual Apps and Desktops™環境がある場合、アプリをXenMobileと統合して、登録済みユーザーがアプリを利用できるようにすることができます。
XenMobileで展開および管理するモバイルアプリの種類に応じて、基盤となる構成とアーキテクチャは異なります。たとえば、異なる権限レベルを持つ複数のユーザーグループが単一のアプリを使用する場合、アプリの2つのバージョンを展開するために個別のデリバリーグループが必要になる場合があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるために、ユーザーグループのメンバーシップが相互に排他的であることを確認する必要があります。
Appleボリューム購入を使用してiOSアプリケーションライセンスを管理することもできます。このオプションでは、Appleボリューム購入に登録し、XenMobileコンソールでXenMobileボリューム購入設定を構成して、ボリューム購入ライセンス付きのアプリを配布する必要があります。このようなさまざまなユースケースがあるため、XenMobile環境を実装する前にMAM戦略を評価し、計画することが重要です。以下の項目を定義することで、MAM戦略の計画を開始できます。
アプリの種類: サポートを計画しているさまざまな種類のアプリをリストアップし、それらを分類します。たとえば、パブリック、ネイティブ、モバイル生産性アプリ、Web、社内、ISV アプリなどです。また、iOS や Android などの異なるデバイスプラットフォームごとにアプリを分類します。この分類は、各種類のアプリに必要な XenMobile 設定を調整するのに役立ちます。たとえば、特定のアプリはラッピングの対象とならない場合や、他のアプリとの連携のために特別な API を有効にするためにモバイルアプリ SDK を必要とする場合があります。
ネットワーク要件: 特定のネットワークアクセス要件を持つアプリを適切な設定で構成します。たとえば、特定のアプリは VPN を介して社内ネットワークへのアクセスを必要とする場合があります。一部のアプリは、DMZ を介してアクセスをルーティングするためにインターネットアクセスを必要とする場合があります。このようなアプリが必要なネットワークに接続できるようにするには、それに応じてさまざまな設定を構成する必要があります。アプリごとのネットワーク要件を定義することは、アーキテクチャ上の決定を早期に確定するのに役立ち、全体的な実装プロセスを効率化します。
セキュリティ要件: 個々のアプリまたはすべてのアプリに適用されるセキュリティ要件を定義することが重要です。この計画により、XenMobile Server をインストールする際に適切な構成を作成できます。MDX ポリシーなどの設定は個々のアプリに適用されますが、セッションおよび認証設定はすべてのアプリに適用されます。一部のアプリには、特定の暗号化、コンテナ化、ラッピング、認証、ジオフェンシング、パスコード、またはデータ共有の要件がある場合があり、これらを事前に概説することで展開を簡素化できます。
展開要件: 準拠しているユーザーのみが公開されたアプリをダウンロードできるように、ポリシーベースの展開を使用したい場合があります。たとえば、特定のアプリで次のいずれかを要求したい場合があります。
- デバイスプラットフォームベースの暗号化が有効になっていること
- デバイスが管理されていること
- デバイスが最小オペレーティングシステムバージョンを満たしていること
- 特定のアプリが企業ユーザーのみに提供されること
また、特定のアプリを企業ユーザーのみに提供したい場合もあります。適切な展開ルールまたはアクションを構成できるように、このような要件を事前に概説します。
ライセンス要件: アプリ関連のライセンス要件の記録を保持します。これらのメモは、ライセンスの使用状況を効果的に管理し、ライセンスを容易にするために XenMobile で特定の機能を構成するかどうかを決定するのに役立ちます。たとえば、無料または有料の iOS アプリを展開する場合、Apple はユーザーに iTunes アカウントへのサインインを要求することで、アプリにライセンス要件を適用します。Apple ボリューム購入に登録すると、XenMobile を介してこれらのアプリを配布および管理できます。ボリューム購入により、ユーザーは iTunes アカウントにサインインすることなくアプリをダウンロードできます。また、Samsung SAFE や Samsung Knox などのツールには特別なライセンス要件があり、これらの機能を展開する前に完了する必要があります。
許可リストとブロックリストの要件: ユーザーが一部のアプリをインストールしたり使用したりするのを防ぎたいと考えるでしょう。デバイスを非準拠にするアプリの許可リストを作成します。次に、デバイスが非準拠になったときにトリガーされるポリシーを設定します。一方、あるアプリは使用可能であっても、何らかの理由でブロックリストに該当する場合があります。その場合、アプリを許可リストに追加し、そのアプリは使用可能だが必須ではないことを示すことができます。また、新しいデバイスにプリインストールされているアプリには、オペレーティングシステムの一部ではない一般的に使用されるアプリが含まれている場合があることにも留意してください。これらのアプリは、ブロックリスト戦略と競合する可能性があります。
アプリのユースケース
医療機関は、モバイルアプリの MAM ソリューションとして XenMobile を展開する予定です。モバイルアプリは、企業ユーザーと BYOD ユーザーに提供されます。IT 部門は、次のアプリを提供および管理することを決定しました。
- モバイル生産性アプリ: Citrix が提供する iOS および Android アプリ。
- Secure Mail: メール、カレンダー、連絡先アプリ。
- Secure Web: インターネットおよびイントラネットサイトへのアクセスを提供するセキュアな Web ブラウザー。
- Citrix Files: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。
パブリックアプリストア
- Secure Hub: すべてのモバイルデバイスが XenMobile と通信するために使用するクライアント。IT 部門は、Secure Hub クライアントを介してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。Android および iOS デバイスは、Secure Hub を介して XenMobile に登録します。
- Citrix Receiver™: ユーザーがモバイルデバイスで Virtual Apps and Desktops によってホストされているアプリケーションを開くことを可能にするモバイルアプリ。
- GoToMeeting: ユーザーがインターネットを介して他のコンピューターユーザー、顧客、クライアント、または同僚とリアルタイムで会議できるオンライン会議、デスクトップ共有、およびビデオ会議クライアント。
- Salesforce1: Salesforce1 は、ユーザーがモバイルデバイスから Salesforce にアクセスできるようにし、すべての Chatter、CRM、カスタムアプリ、およびビジネスプロセスを、あらゆる Salesforce ユーザーにとって統一されたエクスペリエンスに統合します。
- RSA SecurID: 2 要素認証用のソフトウェアベースのトークン。
-
EpicCare アプリ: これらのアプリは、医療従事者に患者カルテ、患者リスト、スケジュール、およびメッセージングへのセキュアでポータブルなアクセスを提供します。
- Haiku: iPhone および Android フォン用のモバイルアプリ。
- Canto: iPad 用のモバイルアプリ。
- Rover: iPhone および iPad 用のモバイルアプリ。
HDX: これらのアプリは、Citrix Virtual Apps™ and Desktops を介して配信されます。
- Epic Hyperspace: 電子カルテ管理用の Epic クライアントアプリケーション。
ISV
- Vocera: HIPAA 準拠の VoIP およびメッセージングモバイルアプリで、iPhone および Android スマートフォンを介して、いつでもどこでも Vocera 音声テクノロジーの利点を拡張します。
社内アプリ
- HCMail: 暗号化されたメッセージの作成、社内メールサーバー上のアドレス帳の検索、およびメールクライアントを使用して暗号化されたメッセージを連絡先に送信するのに役立つアプリ。
社内 Web アプリ
- PatientRounding: さまざまな部門が患者の健康情報を記録するために使用する Web アプリケーション。
- Outlook Web Access: Web ブラウザーを介したメールへのアクセスを可能にします。
- SharePoint: 組織全体のファイルおよびデータ共有に使用されます。
次の表に、MAM 構成に必要な基本情報を示します。
| アプリ名 | アプリの種類 | MDX ラッピング | iOS | Android |
| Secure Mail | XenMobile アプリ | バージョン 10.4.1 以降は不要 | はい | はい |
| Secure Web | XenMobile アプリ | バージョン 10.4.1 以降は不要 | はい | はい |
| Citrix Files | XenMobile アプリ | バージョン 10.4.1 以降は不要 | はい | はい |
| Secure Hub | パブリックアプリ | 該当なし | はい | はい |
| Citrix Receiver | パブリックアプリ | 該当なし | はい | はい |
| GoToMeeting | パブリックアプリ | 該当なし | はい | はい |
| Salesforce1 | パブリックアプリ | 該当なし | はい | はい |
| RSA SecurID | パブリックアプリ | 該当なし | はい | はい |
| Epic Haiku | パブリックアプリ | 該当なし | はい | はい |
| Epic Canto | パブリックアプリ | 該当なし | はい | いいえ |
| Epic Rover | パブリックアプリ | 該当なし | はい | いいえ |
| Epic Hyperspace | HDX™ アプリ | 該当なし | はい | はい |
| Vocera | ISV アプリ | はい | はい | はい |
| HCMail | 社内アプリ | はい | はい | はい |
| PatientRounding | Web アプリ | 該当なし | はい | はい |
| Outlook Web Access | Web アプリ | 該当なし | はい | はい |
| SharePoint | Web アプリ | 該当なし | はい | はい |
次の表に、XenMobile で MAM ポリシーを構成する際に参照できる特定の要件を示します。
| アプリ名 | VPN が必要 | 連携 | 連携 | デバイスプラットフォームベースの暗号化 |
| (コンテナ外のアプリとの連携) | (コンテナ外のアプリからの連携) | |||
|---|---|---|---|---|
| Secure Mail | はい | 選択的に許可 | 許可 | 不要 |
| Secure Web | はい | 許可 | 許可 | 不要 |
| Citrix Files | はい | 許可 | 許可 | 不要 |
| Secure Hub | はい | 該当なし | 該当なし | 該当なし |
| Citrix Receiver | はい | 該当なし | 該当なし | 該当なし |
| GoToMeeting | いいえ | 該当なし | 該当なし | 該当なし |
| Salesforce1 | いいえ | 該当なし | 該当なし | 該当なし |
| RSA SecurID | いいえ | 該当なし | 該当なし | 該当なし |
| Epic Haiku | はい | 該当なし | 該当なし | 該当なし |
| Epic Canto | はい | 該当なし | 該当なし | 該当なし |
| Epic Rover | はい | 該当なし | 該当なし | 該当なし |
| Epic Hyperspace | はい | 該当なし | 該当なし | 該当なし |
| Vocera | はい | ブロック | ブロック | 不要 |
| HCMail | はい | ブロック | ブロック | 必須 |
| PatientRounding | はい | 該当なし | 該当なし | 必須 |
| Outlook Web Access | はい | 該当なし | 該当なし | 不要 |
| SharePoint | はい | 該当なし | 該当なし | 不要 |
| アプリ名 | プロキシフィルタリング | ライセンス | ジオフェンシング | モバイルアプリ SDK | 最小オペレーティングシステムバージョン |
|---|---|---|---|---|---|
| Secure Mail | 必須 | 該当なし | 選択的に必須 | 該当なし | 適用 |
| Secure Web | 必須 | 該当なし | 不要 | 該当なし | 適用 |
| Citrix Files | 必須 | 該当なし | 不要 | 該当なし | 適用 |
| Secure Hub | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Citrix Receiver | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| GoToMeeting | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Salesforce1 | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| RSA SecurID | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Epic Haiku | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Epic Canto | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Epic Rover | 不要 | ボリューム購入 | 不要 | 該当なし | 適用なし |
| Epic Hyperspace | 不要 | 該当なし | 不要 | 該当なし | 適用なし |
| Vocera | 必須 | 該当なし | 必須 | 必須 | 適用 |
| HCMail | 必須 | 該当なし | 必須 | 必須 | 適用 |
| PatientRound-ing | 必須 | 該当なし | 不要 | 該当なし | 適用なし |
| Outlook Web Access | 必須 | 該当なし | 不要 | 該当なし | 適用なし |
| SharePoint | 必須 | 該当なし | 不要 | 該当なし | 適用なし |
ユーザーコミュニティ
すべての組織は、さまざまな機能的役割で運用される多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのモバイルデバイスを介して提供されるさまざまなリソースを使用して、異なるタスクやオフィス機能を実行します。ユーザーは、提供されたモバイルデバイスを使用して自宅やリモートオフィスで作業する場合があります。または、特定のセキュリティコンプライアンスルールに従うツールにアクセスできる個人用モバイルデバイスを使用する場合があります。
より多くのユーザーコミュニティがモバイルデバイスを使用するにつれて、データ漏洩を防ぎ、セキュリティ制限を適用するために、エンタープライズモビリティ管理 (EMM) が重要になります。効率的でより高度なモバイルデバイス管理のために、ユーザーコミュニティを分類できます。これにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーが適切なユーザーに適用されるようになります。
次の例は、医療機関のユーザーコミュニティが EMM 向けにどのように分類されるかを示しています。
ユーザーコミュニティのユースケース
この医療機関の例では、ネットワークおよび関連会社の従業員、ボランティアを含む複数のユーザーにテクノロジーリソースとアクセスを提供しています。この組織は、EMMソリューションを非管理職ユーザーにのみ展開することを選択しました。
この組織のユーザーロールと機能は、臨床、非臨床、契約社員などのサブグループに分類できます。一部のユーザーは企業支給のモバイルデバイスを受け取り、他のユーザーは個人デバイスから制限された企業リソースにアクセスできます。適切なレベルのセキュリティ制限を適用し、データ漏洩を防ぐため、組織は、企業支給またはBYODのいずれであっても、登録された各デバイスを企業ITが管理することを決定しました。また、ユーザーは1つのデバイスのみを登録できます。
次のセクションでは、各サブグループのロールと機能の概要を説明します。
臨床
- 看護師
- 医師 (内科医、外科医など)
- 専門医 (栄養士、麻酔科医、放射線科医、心臓病専門医、腫瘍専門医など)
- 外部医師 (非従業員の医師およびリモートオフィスで働く事務員)
- 在宅医療サービス (患者宅への訪問診療を行う事務員およびモバイルワーカー)
- 研究専門家 (医学的問題の解決策を見つけるために臨床研究を行う6つの研究機関のナレッジワーカーおよびパワーユーザー)
- 教育およびトレーニング (教育およびトレーニング分野の看護師、医師、専門家)
非臨床
- 共有サービス (人事、給与、買掛金、サプライチェーンサービスなど、さまざまなバックオフィス業務を行う事務員)
- 医師サービス (管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、マネージドケア管理、患者アクセスソリューション、収益サイクルソリューションなど、プロバイダーにさまざまな医療管理、管理サービス、ビジネスプロセスソリューションを提供する事務員)
- サポートサービス (福利厚生管理、臨床統合、コミュニケーション、報酬および業績管理、施設および不動産サービス、人事テクノロジーシステム、情報サービス、内部監査およびプロセス改善など、さまざまな非臨床業務を行う事務員)
- 慈善プログラム (慈善プログラムを支援するためにさまざまな業務を行う事務員およびモバイルワーカー)
契約社員
- 製造元およびベンダーパートナー (サイト間VPNを介してオンサイトおよびリモートで接続し、さまざまな非臨床サポート機能を提供)
上記の情報に基づき、組織は次のエンティティを作成しました。XenMobileのデリバリーグループの詳細については、「リソースの展開」を参照してください。
Active Directory組織単位 (OU) およびグループ
OU = XenMobileリソースの場合:
- OU = 臨床; グループ =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = 非臨床; グループ =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
XenMobileローカルユーザーおよびグループ
グループ = 契約社員の場合、ユーザー =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
XenMobileデリバリーグループ
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
デリバリーグループとユーザーグループのマッピング
| Active Directoryグループ | XenMobileデリバリーグループ |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
デリバリーグループとリソースのマッピング
次の表は、このユースケースにおける各デリバリーグループに割り当てられたリソースを示しています。最初の表はモバイルアプリの割り当てを、2番目の表はパブリックアプリ、HDXアプリ、およびデバイス管理リソースを示しています。
| XenMobileデリバリーグループ | Citrixモバイルアプリ | パブリックモバイルアプリ | HDXモバイルアプリ |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| XenMobileデリバリーグループ | パブリックアプリ: RSA SecurID | パブリックアプリ: EpicCare Haiku | HDXアプリ: Epic Hyperspace | パスコードポリシー | デバイス制限 | 自動アクション | Wi-Fiポリシー |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
注意事項と考慮事項
- XenMobileは、初期構成時に「すべてのユーザー」という名前のデフォルトデリバリーグループを作成します。このデリバリーグループを無効にしない場合、すべてのActive DirectoryユーザーはXenMobileに登録する権利を持ちます。
- XenMobileは、LDAPサーバーへの動的接続を使用して、Active Directoryユーザーとグループをオンデマンドで同期します。
- ユーザーがXenMobileにマッピングされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、XenMobileはそのユーザーをXenMobileにマッピングされたグループのみに分類します。
- MDM登録を必須にするには、XenMobileコンソールの [サーバープロパティ] で [登録必須] オプションを [True] に設定する必要があります。詳細については、「サーバープロパティ」を参照してください。
- XenMobileデリバリーグループからユーザーグループを削除するには、SQL Serverデータベースのdbo.userlistgrpsの下にあるエントリを削除します。 注意: この操作を実行する前に、XenMobileとデータベースのバックアップを作成してください。
XenMobileでのデバイス所有権について
ユーザーは、デバイスの所有者に基づいてグループ化できます。デバイス所有権には、企業所有デバイスとユーザー所有デバイス (BYOD: Bring Your Own Device とも呼ばれる) が含まれます。BYODデバイスがネットワークに接続する方法は、XenMobileコンソールの2つの場所で制御できます。各リソースタイプの展開ルールと、設定ページのサーバープロパティです。展開ルールの詳細については、XenMobileドキュメントの「展開ルールの構成」を参照してください。サーバープロパティの詳細については、「サーバープロパティ」を参照してください。
すべてのBYODユーザーに対し、アプリにアクセスする前にデバイスの企業管理を受け入れるよう要求できます。または、デバイスを管理せずに企業アプリへのアクセスをユーザーに許可することもできます。
サーバー設定 wsapi.mdm.required.flag を true に設定すると、XenMobileはすべてのBYODデバイスを管理し、登録を拒否したユーザーはアプリへのアクセスを拒否されます。企業ITチームがXenMobileにユーザーデバイスを登録する際に、高いセキュリティと良好なユーザーエクスペリエンスを必要とする環境では、wsapi.mdm.required.flag を true に設定することを検討してください。
wsapi.mdm.required.flag をデフォルト設定である false のままにすると、ユーザーは登録を拒否できますが、XenMobile Storeを介してデバイス上のアプリにアクセスできる場合があります。プライバシー、法的、または規制上の制約により、デバイス管理ではなくエンタープライズアプリ管理のみが必要な環境では、wsapi.mdm.required.flag を false に設定することを検討してください。
XenMobileが管理しないデバイスを持つユーザーは、XenMobile Storeを通じてアプリをインストールできます。選択的ワイプや完全ワイプなどのデバイスレベルの制御ではなく、アプリポリシーを通じてアプリへのアクセスを制御します。設定する値に応じて、ポリシーはデバイスがXenMobileサーバーを定期的にチェックし、アプリの実行が引き続き許可されていることを確認することを要求します。
セキュリティ要件
XenMobile環境を展開する際のセキュリティに関する考慮事項は、すぐに圧倒されるほど多くなります。相互に関連する多くの要素と設定があります。開始を支援し、許容可能な保護レベルを選択するために、Citrixは以下の表に示す高、より高、最高レベルのセキュリティに関する推奨事項を提供します。
展開モードの選択は、セキュリティ上の懸念だけでなく、より多くの要素を含みます。ユースケースの要件も確認し、展開モードを選択する前にセキュリティ上の懸念を軽減できるかどうかを判断することが重要です。
高: これらの設定を使用すると、ほとんどの組織で許容される基本的なセキュリティレベルを維持しながら、最適なユーザーエクスペリエンスを提供します。
より高: これらの設定は、セキュリティと使いやすさのより強力なバランスを生み出します。
最高: これらの推奨事項に従うことで、使いやすさとユーザーの採用を犠牲にして高いセキュリティレベルを提供します。
展開モードのセキュリティに関する考慮事項
次の表は、各セキュリティレベルの展開モードを指定します。
| 高セキュリティ | より高セキュリティ | 最高セキュリティ |
| MAMまたはMDM | MDM+MAM | MDM+MAM; およびFIPS |
注:
- ユースケースによっては、MDMのみまたはMAMのみの展開でセキュリティ要件を満たし、良好なユーザーエクスペリエンスを提供できます。
- アプリのコンテナ化、マイクロVPN、またはアプリ固有のポリシーが必要ない場合、MDMでデバイスを管理および保護するのに十分です。
- アプリのコンテナ化のみでビジネスおよびセキュリティ要件をすべて満たすBYODのようなユースケースの場合、CitrixはMAMのみのモードを推奨します。
- 高セキュリティ環境(および企業支給デバイス)の場合、Citrixは利用可能なすべてのセキュリティ機能を活用するためにMDM+MAMを推奨します。MDM登録を必ず強制してください。
- 連邦政府などの最高のセキュリティニーズを持つ環境向けのFIPSオプション。
FIPSモードを有効にする場合、SQLトラフィックを暗号化するようにSQL Serverを構成する必要があります。
Citrix ADCおよびCitrix Gatewayのセキュリティに関する考慮事項
次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を指定します。
| 高セキュリティ | より高セキュリティ | 最高セキュリティ |
| Citrix ADCを推奨。Citrix GatewayはMAMおよびENTに必須。MDMに推奨。 | XenMobileがDMZにある場合はSSLブリッジを使用したXenMobileウィザード構成用の標準Citrix ADC。または、XenMobileサーバーが内部ネットワークにある場合にセキュリティ標準を満たすために必要な場合はSSLオフロード。 | エンドツーエンド暗号化によるSSLオフロード |
注:
- NATまたは既存のサードパーティ製プロキシおよびロードバランサーを介してXenMobileサーバーをインターネットに公開することは、MDMのオプションとなる場合があります。ただし、この設定ではSSLトラフィックがXenMobileサーバーで終端される必要があり、潜在的なセキュリティリスクをもたらします。
- 高セキュリティ環境の場合、デフォルトのXenMobile構成を備えたCitrix ADCは、通常、セキュリティ要件を満たすか、それを上回ります。
- 最高のセキュリティニーズを持つMDM環境の場合、Citrix ADCでのSSL終端により、境界でのトラフィック検査が可能になり、エンドツーエンドのSSL暗号化が維持されます。
- SSL/TLS暗号を定義するオプション。
- SSL FIPS Citrix ADCハードウェアも利用可能。
- 詳細については、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。
登録のセキュリティに関する考慮事項
次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を指定します。
| 高セキュリティ | より高セキュリティ | 最高セキュリティ |
| Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 | 招待のみの登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 | デバイスIDに紐付けられた登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザー配信グループは無効。 |
注:
- Citrixは通常、登録を事前定義されたActive Directoryグループのユーザーのみに制限することを推奨しています。この設定では、組み込みの「すべてのユーザー配信グループ」を無効にする必要があります。
- 登録招待を使用して、招待状を持つユーザーに登録を制限できます。登録招待はWindowsデバイスでは利用できません。
- ワンタイムPIN(OTP)登録招待を二要素認証ソリューションとして使用し、ユーザーが登録できるデバイスの数を制御できます。OTP招待はWindowsデバイスでは利用できません。
デバイスパスコードのセキュリティに関する考慮事項
次の表は、各セキュリティレベルのデバイスパスコードの推奨事項を指定します。
| 推奨。デバイスレベルの暗号化には高セキュリティが必要。MDMを使用して強制。MDXポリシー「非準拠デバイスの動作」を使用して、MAMのみに必要な高セキュリティを設定可能。 | MDM、MDXポリシー、またはその両方を使用して強制。 | MDMおよびMDXポリシーを使用して強制。MDM複雑なパスコードポリシー。 |
注:
- Citrixはデバイスパスコードの使用を推奨しています。
- MDMポリシーを介してデバイスパスコードを強制できます。
- MDXポリシーを使用して、管理対象アプリを使用するためのデバイスパスコードを必須にできます。たとえば、BYODユースケースの場合。
- Citrixは、MDM+MAM環境でのセキュリティ強化のために、MDMとMDXポリシーオプションを組み合わせることを推奨しています。
- 最高のセキュリティ要件を持つ環境では、複雑なパスコードポリシーを設定し、MDMで強制できます。デバイスがパスコードポリシーに準拠しない場合に、管理者に通知したり、選択的/完全なデバイスワイプを発行したりする自動アクションを設定できます。