XenMobile Server

HDXアプリ向けSmartAccess

この機能により、デバイスプロパティ、デバイスのユーザープロパティ、デバイスにインストールされたアプリケーションに基づいてHDXアプリへのアクセスを制御できます。この機能を使用するには、デバイスをコンプライアンス違反に指定してアクセスを拒否する、自動化された操作を設定します。この機能を使用するHDXアプリをVirtual Apps and Desktopsで構成するには、コンプライアンス違反のデバイスへのアクセスを拒否するSmartAccessポリシーを使用します。XenMobileは、署名された暗号化タグを使って、StoreFrontにデバイスの状態を伝えます。するとStoreFrontは、アプリのアクセス制御ポリシーに基づいてアクセスを許可または拒否します。

この機能を使用するには、次の環境が必要です。

  • Virtual Apps and Desktops 7.6
  • StoreFront 3.7または3.8
  • StoreFrontサーバーからHDXアプリを集計するように構成されたXenMobile Server
  • タグの署名と暗号化に使用するSAML証明書が構成されたXenMobile Server。秘密キーのない同じ証明書がStoreFrontサーバーにアップロードされます。

この機能を使い始めるには:

  • XenMobile Server証明書をStoreFrontストアに構成します。
  • 必要なSmartAccessポリシーを使用して、少なくとも1つのVirtual Apps and Desktopsデリバリーグループを構成します。
  • XenMobileで自動化された操作を設定します。

XenMobile Server証明書のエクスポートと構成、およびStoreFrontストアへのアップロード

SmartAccessは、署名された暗号化タグを使用して、XenMobileサーバーとStoreFrontサーバー間で通信します。この通信を有効にするには、XenMobileのサーバー証明書をStoreFrontストアに追加します。

XenMobileがドメインおよび証明書ベースの認証で有効な場合にStoreFrontとXenMobileを統合する方法について詳しくは、Support Knowledge Centerを参照してください。

SAML証明書をXenMobile Serverからエクスポートする

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。[証明書] をクリックします。

  2. XenMobile ServerのSAML証明書を検索します。

    SmartAccess構成

  3. [機密キーをエクスポート][オフ] に設定されていることを確認します。[エクスポート] をクリックして、証明書をダウンロードディレクトリにエクスポートします。

    SmartAccess構成

  4. ダウンロードディレクトリで証明書を検索します。証明書はPEM形式です。

    SmartAccess構成

証明書をPEMからCERに変換する

  1. Microsoft管理コンソール(MMC)を開き、[証明書]>[すべてのタスク]>[インポート] を右クリックします。

    SmartAccess構成

  2. 証明書のインポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成

  3. ダウンロードディレクトリで証明書を参照します。

    SmartAccess構成

  4. [証明書をすべて次のストアに配置する] をクリックし、証明書ストアとして [個人] を選択します。[次へ] をクリックします。

    SmartAccess構成

  5. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

  6. MMCで証明書を右クリックし、[すべてのタスク]、[エクスポート] の順に選択します。

    SmartAccess構成

  7. 証明書のエクスポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成

  8. [DER encoded binary X.509 (.CER)] の形式を選択します。[次へ] をクリックします。

    SmartAccess構成

  9. 証明書を参照します。証明書の名前を入力し、[次へ] をクリックします。

    SmartAccess構成

  10. 証明書を保存します。

    SmartAccess構成

  11. 証明書を参照し、[次へ] をクリックします。

    SmartAccess構成

  12. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

    SmartAccess構成

  13. ダウンロードディレクトリで証明書を検索します。証明書は CER 形式です。

    SmartAccess構成

証明書をStoreFrontサーバーにコピーする

  1. StoreFrontサーバーで、SmartCertという名前のフォルダーを作成します。

  2. 証明書をSmartCertフォルダーにコピーします。

    SmartAccess構成

StoreFrontストアで証明書を構成する

StoreFrontサーバーで、次のとおりPowerShellコマンドを実行し、変換されたXenMobile Server証明書をストアに設定します。

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

SmartAccess構成

StoreFrontストアに既存の証明書が存在する場合は、次のPowerShellコマンドを実行して証明書を無効にします。

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

SmartAccess構成

あるいは、StoreFrontサーバー上で次のPowerShellコマンドのいずれかを実行して、StoreFrontストア上の既存の証明書を取り消すこともできます。

  • 名前で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • 拇印で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint”
<!--NeedCopy-->
  • サーバーオブジェクトで取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Virtual Apps and DesktopsでのSmartAccessポリシーの構成

HDXアプリを配信するデリバリーグループに必要なSmartAccessポリシーを追加するには、次の手順を行います。

  1. Virtual Apps and Desktopsサーバーで、Citrix Studioを開きます。

  2. Studioのナビゲーションペインで [デリバリーグループ] を選択します。

  3. アプリを配信するグループまたはアクセスを制御するアプリを選択します。[操作] ペインの [デリバリーグループの編集] を選択します。

  4. [アクセスポリシー] ページで、[NetScaler Gatewayを経由する接続][次のいずれかに一致する接続] を選択します。

  5. [追加] をクリックします。

  6. [ファーム] が「XM」で、[フィルター] が「XMCompliantDevice」のアクセスポリシーを追加します。

    SmartAccess構成

  7. [適用] をクリックして行った変更を適用しウィンドウを開いたままにするか、[OK]をクリックして変更を適用しウィンドウを閉じます。

XenMobileで自動化された操作を設定する

HDXアプリのデリバリーグループに設定したSmartAccessポリシーは、デバイスがコンプライアンス違反である場合にそのデバイスへのアクセスを拒否します。自動化された操作を使用して、そのデバイスをコンプライアンス違反としてマークします。

SmartAccess構成

  1. XenMobileコンソールで、[構成]の[操作] をクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。次の例では、ユーザープロパティ名がeng5またはeng6の場合に、デバイスを直ちにコンプライアンス違反と指定するトリガーを作成します。

    SmartAccess構成

  5. [トリガー] 一覧で、[デバイスプロパティ][ユーザープロパティ]、または [インストール済みアプリ名] を選択します。SmartAccessはイベントトリガーをサポートしていません。

  6. [アクション] 一覧で、以下を実行します。

    • [コンプライアンス違反としてデバイスをマーク] を選択します。
    • [=] を選択します。
    • [真] を選択します。
    • トリガー条件が満たされたときに、直ちにデバイスをコンプライアンス違反としてマークされるように操作を設定するには、時間枠を0に設定します。
  7. XenMobileデリバリーグループまたはこの操作を適用するグループを選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

デバイスがコンプライアンス違反としてマークされると、HDXアプリはSecure Hubストアに表示されなくなります。ユーザーはアプリにサブスクライブされなくなります。デバイスに通知は送信されず、Secure HubストアではHDXアプリが以前は利用可能であったことは示されません。

デバイスがコンプライアンス違反としてマークされたときにユーザーに通知する場合は、通知を作成し、その通知を送信する自動化された操作を作成します。

この例では、デバイスがコンプライアンス違反としてマークされたときに「Device serial number or telephone number no longer complies with the device policy and HDX applications will be blocked.」という通知を作成して送信します。

SmartAccess構成

デバイスがコンプライアンス違反としてマークされたときにユーザーに表示される通知を作成する

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [通知テンプレート] をクリックします。[通知テンプレート] ページが開きます。

  3. [通知テンプレート] ページで [追加] をクリックして追加します。

  4. 最初にSMSサーバーを設定するように求められたときは、[いいえ、あとでセット アップする] をクリックします。

    SmartAccess構成

  5. 次の設定を構成します:

    • 名前: HDXアプリケーションブロック
    • 説明: デバイスがコンプライアンス違反である場合のエージェント通知
    • タイプ: アドホック通知
    • Secure Hub: アクティブ
    • メッセージ: Device ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} no longer complies with the device policy and HDX applications will be blocked.

    SmartAccess構成

  6. [保存] をクリックします。

デバイスがコンプライアンス違反としてマークされたときに通知を送信する操作を作成する

  1. XenMobileコンソールで、[構成]の[操作] をクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

    • 名前: HDXブロック通知
    • 説明: デバイスがコンプライアンス違反である場合のHDXブロック通知
  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。

  5. [トリガー] 一覧で、以下を実行します。

    • [デバイスプロパティ] を選択します。
    • [コンプライアンス違反] を選択します。
    • [=] を選択します。
    • [真] を選択します。

    SmartAccess構成

  6. [操作] 一覧で、トリガーが満たされたときに実行される操作を指定します。

    • [通知を送信] を選択します。
    • 作成した通知である[HDX Application Block] を選択します。
    • 0を選択します。この値を0に設定すると、トリガー条件が満たされるとすぐに通知が送信されます。
  7. XenMobileデリバリーグループまたはこの操作を適用するグループを選択します。この例では、[AllUsers] を選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

自動化された操作の設定について詳しくは、「自動化された操作」を参照してください。

ユーザーがHDXアプリに再度アクセスする方法

デバイスがコンプライアンスを再び満たすようになると、ユーザーはHDXアプリに再びアクセスできます。

  1. デバイスで、Secure Hubストアにアクセスして、ストア内のアプリを更新します。

  2. 対象のアプリに移動して [追加] をタップします。

アプリが追加されると、[マイアプリ]の横に青い点を付けて表示され、新しくインストールされたアプリであることを示します。

SmartAccess構成

HDXアプリ向けSmartAccess