XenMobile Server

アーキテクチャ

XenMobileアーキテクチャの必要なXenMobileコンポーネントは、組織のデバイスまたはアプリケーションの管理要件によって異なります。XenMobileコンポーネントはモジュール形式で、相互に依存しています。たとえば、環境にはCitrix Gatewayが含まれています:

  • Citrix Gatewayでは、ユーザーはモバイルアプリにリモートアクセスして、ユーザーデバイスの種類を追跡できます。
  • XenMobileは、これらのアプリとデバイスを管理する場所です。

XenMobileコンポーネントの展開:XenMobileを展開し、ユーザーが内部ネットワーク内のリソースに接続できるようにする方法を次に示します。

  • 内部ネットワークへの接続ユーザーがリモートの場合、Citrix Gatewayを介したVPNまたはMicro VPN接続を使用して接続することができます。この接続により、内部ネットワークのアプリとデスクトップにアクセスできるようになります。
  • デバイス登録。ユーザーはXenMobileでモバイルデバイスを登録できるので、管理者はネットワークリソースに接続するデバイスをXenMobileコンソールで管理できます。
  • Web、SaaS、モバイルアプリユーザーはSecure Hubを使って、XenMobileからWeb、SaaS、モバイルアプリにアクセスできます。
  • Windowsベースのアプリケーションと仮想デスクトップユーザーはCitrix ReceiverまたはWebブラウザーを使用して接続し、StoreFrontやWeb Interfaceから、Windowsベースのアプリケーションや仮想デスクトップにアクセスすることができます。

オンプレミスのXenMobile Serverの上記の機能のいずれかを実現するには、次の順番でXenMobileコンポーネントを展開することをお勧めします。

  • Citrix Gateway。Citrix Gatewayで設定を構成し、Quick Configurationウィザードを使用して、XenMobile、StoreFront、またはWeb Interfaceとの通信を有効にすることができます。Citrix GatewayでQuick Configurationウィザードを使用する前に、XenMobile、StoreFront、またはWeb Interfaceのいずれかをインストールし、通信を設定しておく必要があります。
  • XenMobile。XenMobileをインストールした後、ユーザーによるモバイルデバイスの登録を許可するポリシーと設定をXenMobileコンソールで構成できます。モバイル、Web、およびSaaSアプリケーションも構成できます。モバイルアプリには、Apple App StoreやGoogle Playで提供されているアプリが含まれます。また、管理者がMDX Toolkitを使ってラップし、コンソールにアップロードしたモバイルアプリに接続することもできます。
  • MAM SDKまたはMDX Toolkit。MDXラッピングテクノロジは、2023年7月に製品終了(EOL)になる予定です。エンタープライズアプリケーションの管理を続行するには、MAM SDKを使用する必要があります。

    モバイルアプリケーション管理(MAM)SDKは、iOSおよびAndroidプラットフォームではカバーされないMDX機能を提供します。iOSアプリやAndroidアプリをMDX対応にして保護できます。これらのアプリを、内部ストアまたはパブリックアプリストアのいずれかで利用できるようにします。「MDXアプリSDK」を参照してください。

  • StoreFront(オプション)。Receiverとの接続を介して、StoreFrontからWindowsベースのアプリケーションや仮想デスクトップへのアクセスを提供できます。
  • Citrix Files(オプション)。Citrix Filesを展開する場合は、XenMobileからエンタープライズディレクトリ統合を有効にできます。これは、Security Assertion Markup Language(SAML)IDプロバイダーとして機能します。ShareFileのIDプロバイダーの構成について詳しくは、ShareFileサポートサイトを参照してください。

XenMobileは、XenMobileコンソールを介してデバイス管理とアプリ管理を提供します。ここでは、XenMobile展開のリファレンスアーキテクチャについて説明します。

実稼働環境では、スケーラビリティとサーバー冗長性の両方を実現するために、XenMobileソリューションをクラスター構成で展開することをお勧めします。また、Citrix ADC SSLオフロード機能を使用すると、XenMobile Serverの負荷をさらに軽減し、スループットを高めることができます。Citrix ADCで2つの負荷分散仮想IPアドレスを構成することによってXenMobileのクラスタリングをセットアップする方法について詳しくは、「クラスタリング」を参照してください。

障害回復に対応するXenMobile環境の構成について詳しくは、展開ハンドブックの障害回復の記事を参照してください。その記事にはアーキテクチャ図が含まれています。

以降のセクションでは、XenMobile展開のさまざまなリファレンスアーキテクチャについて説明します。リファレンスアーキテクチャ図については、『XenMobile展開ハンドブック』の、オンプレミス展開のリファレンスアーキテクチャについての記事と、アーキテクチャについての記事を参照してください。すべてのポートの一覧については、オンプレミスのポート要件の記事とクラウドのポート要件の記事を参照してください。

モバイルデバイス管理(MDM)モード

重要:

MDMモードに構成し、後でENTモードに変更する場合は、必ず同じ(Active Directory)認証を使用してください。XenMobileでは、ユーザー登録後の認証モードの変更をサポートしていません。詳しくは、「XenMobile MDM EditionからEnterprise Editionへのアップグレード」を参照してください。

XenMobile MDM Editionでは、モバイルデバイス管理を使用できます。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。XenMobileのMDM機能のみを使用する場合は、XenMobileをMDMモードで展開します。たとえば、次を実行する場合、

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプなどのアクションをデバイスで実行する

推奨モデルでは、XenMobile ServerをDMZに配置し、オプションでCitrix ADCをその前に配置して、XenMobileの追加保護を提供します。

モバイルアプリケーション管理(MAM)モード

MAM(別名MAM-onlyモード)によってモバイルアプリケーション管理を実現します。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。デバイスをMDMに登録せずに、XenMobileのMAM機能のみを使用する場合は、XenMobileをMAMモードで展開します。たとえば、次を実行する場合、

  • BYOモバイルデバイスのアプリとデータのセキュリティを保護する。
  • エンタープライズモバイルアプリを配信する。
  • アプリのロックおよびデータのワイプを実行する。

デバイスをMDMに登録することはできません。

この展開モデルでは、XenMobile Serverを配置し、Citrix Gatewayをその前に配置して、XenMobileをさらに保護します。

MDM+MAMモード

MDMモードとMAMモードを併用すると、モバイルアプリとデータの管理に加えてモバイルデバイス管理を行うことができます。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。XenMobileのMDM+MAM機能を使用する場合は、XenMobileをENT(エンタープライズ)モードで展開します。たとえば、次のようにしたいとします。

  • MDMを使用してコーポレート発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

推奨展開モデルでは、XenMobile ServerをDMZに配置し、Citrix Gatewayをその前に配置して、XenMobileの追加保護を提供します。

内部ネットワークのXenMobile: もう一つの展開オプションは、DMZではなく内部ネットワークにオンプレミスのXenMobile Serverを配置します。この展開は、ネットワークアプライアンスのみをDMZに配置できるようセキュリティポリシーが求める場合に使用されます。この展開では、XenMobile Serverは、DMZにありません。そのため、DMZからSQL ServerとPKIサーバーにアクセスできるようにするため内部ファイヤフォール上でポートを開く必要がありません。

アーキテクチャ