アーキテクチャ

展開するXenMobileリファレンスアーキテクチャのXenMobileコンポーネントは、組織のデバイスまたはアプリケーションの管理要件がベースになります。XenMobileコンポーネントはモジュール形式で、相互に依存しています。たとえば、組織のユーザーのモバイルアプリケーションに対してリモートアクセスを提供し、ユーザーデバイスのタイプを追跡するには、XenMobileに合わせてNetScaler Gatewayを展開します。XenMobileでアプリケーションとデバイスを管理し、NetScaler Gatewayによって、ユーザーがネットワークに接続できるようにします。

XenMobileコンポーネントの展開:XenMobileを展開し、ユーザーが内部ネットワーク内のリソースに接続できるようにする方法を次に示します。

  • 内部ネットワークへの接続ユーザーがリモートの場合、NetScaler Gatewayを介したVPNまたはMicro VPN接続を使用して接続することができます。この接続により、内部ネットワークのアプリとデスクトップにアクセスできるようになります。
  • デバイス登録。ユーザーはXenMobileでモバイルデバイスを登録できるので、管理者はネットワークリソースに接続するデバイスをXenMobileコンソールで管理できます。
  • Web、SaaS、モバイルアプリケーションユーザーはSecure Hubを使って、XenMobileからWeb、SaaS、モバイルアプリケーションにアクセスできます。
  • Windowsベースのアプリケーションと仮想デスクトップユーザーはCitrix ReceiverまたはWebブラウザーを使用して接続し、StoreFrontやWeb Interfaceから、Windowsベースのアプリケーションや仮想デスクトップにアクセスすることができます。

オンプレミスのXenMobile Serverの上記の機能のいずれかを実現するには、次の順番でXenMobileコンポーネントを展開することをお勧めします。

  • で接続する必要があります。NetScaler Gatewayで設定を構成し、Quick Configurationウィザードを使用して、XenMobile、StoreFront、またはWeb Interfaceとの通信を有効にすることができます。NetScaler GatewayでQuick Configurationウィザードを使用する前に、XenMobile、StoreFront、またはWeb Interfaceのいずれかをインストールし、通信を設定しておく必要があります。
  • XenMobile。XenMobileをインストールした後、ユーザーによるモバイルデバイスの登録を許可するポリシーと設定をXenMobileコンソールで構成できます。モバイル、Web、およびSaaSアプリケーションも構成できます。モバイルアプリケーションには、Apple App StoreやGoogle Playで提供されているアプリケーションが含まれます。また、管理者がMDX Toolkitを使ってラップし、コンソールにアップロードしたモバイルアプリケーションに接続することもできます。
  • MDX Toolkit。MDX Toolkitは、組織内または社外で作成されたモバイルアプリケーションを安全にラップできます。アプリケーションをラップした後、XenMobileコンソールを使用してアプリケーションをXenMobileに追加し、ポリシー構成を必要に応じて変更します。また、アプリケーションカテゴリを追加したり、ワークフローを適用したり、アプリケーションをデリバリーグループに展開したりすることができます。「MDX Toolkitについて」を参照してください。
  • StoreFront(オプション)。Receiverとの接続を介して、StoreFrontからWindowsベースのアプリケーションや仮想デスクトップへのアクセスを提供できます。
  • ShareFile Enterprise(オプション)。ShareFileを展開する場合は、XenMobileからエンタープライズディレクトリ統合を有効にできます。これは、Security Assertion Markup Language(SAML)IDプロバイダーとして機能します。ShareFileのIDプロバイダーの構成について詳しくは、ShareFileサポートサイトを参照してください。

XenMobileは、XenMobileコンソールを介してデバイス管理とアプリ管理を提供します。ここでは、XenMobile展開のリファレンスアーキテクチャについて説明します。

実稼働環境では、スケーラビリティとサーバー冗長性の両方を実現するために、XenMobileソリューションをクラスター構成で展開することをお勧めします。また、NetScaler SSLオフロード機能を使用すると、XenMobile Serverの負荷をさらに軽減し、スループットを高めることができます。NetScalerで2つの負荷分散仮想IPアドレスを構成することによってXenMobileのクラスタリングをセットアップする方法について詳しくは、「クラスタリング」を参照してください。

障害回復に対応するXenMobile環境の構成について詳しくは、展開ハンドブックの障害回復の記事を参照してください。その記事にはアーキテクチャ図が含まれています。

以降のセクションでは、XenMobile展開のさまざまなリファレンスアーキテクチャについて説明します。リファレンスアーキテクチャ図については、『XenMobile展開ハンドブック』の、オンプレミス展開のリファレンスアーキテクチャについての記事と、アーキテクチャについての記事を参照してください。すべてのポートの一覧については、オンプレミスのポート要件の記事とクラウドのポート要件の記事を参照してください。

モバイルデバイス管理(MDM)モード

重要:

MDMモードに構成し、後でENTモードに変更する場合は、必ず同じ(Active Directory)認証を使用してください。XenMobileでは、ユーザー登録後の認証モードの変更をサポートしていません。詳細については、「XenMobile 10.8 MDM EditionからEnterprise Editionへのアップグレード」を参照してください。

XenMobile MDM Editionでは、モバイルデバイス管理を使用できます。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。XenMobileのMDM機能のみを使用する場合は、XenMobileをMDMモードで展開します。たとえば、次を実行する場合、

  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスワイプなどのアクションをデバイスで実行する

推奨モデルでは、XenMobileサーバーをDMZに配置し、オプションでNetScalerをその前に配置して、XenMobileの追加保護を提供します。

モバイルアプリケーション管理(MAM)モード

MAM(別名MAM-onlyモード)によってモバイルアプリケーション管理を実現します。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。デバイスをMDMに登録せずに、XenMobileのMAM機能のみを使用する場合は、XenMobileをMAMモードで展開します。たとえば、次を実行する場合、

  • BYOモバイルデバイスのアプリとデータをセキュリティ保護する
  • エンタープライズモバイルアプリを配信する
  • アプリのロックおよびデータのワイプを実行する

デバイスをMDMに登録することはできません。

この展開モデルでは、XenMobile Serverを配置し、NetScaler Gatewayをその前に配置して、XenMobileをさらに保護します。

MDM+MAMモード

MDMモードとMAMモードを併用すると、モバイルアプリとデータの管理に加えてモバイルデバイス管理を行うことができます。プラットフォームのサポートについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。XenMobileのMDM+MAM機能を使用する場合は、XenMobileをENT(エンタープライズ)モードで展開します。たとえば、次のようにしたいとします。

  • MDMを使用して企業発行のデバイスを管理する
  • デバイスポリシーやアプリを展開する
  • アセットインベントリを取得する
  • デバイスのワイプ
  • エンタープライズモバイルアプリを配信する
  • アプリをロックしてデバイス上のデータをワイプする

推奨展開モデルでは、XenMobileサーバーをDMZに配置し、NetScaler Gatewayをその前に配置して、XenMobileの追加保護を提供します。

内部ネットワークのXenMobile: もう一つの展開オプションは、DMZではなく内部ネットワークにオンプレミスのXenMobile Serverを配置します。この展開は、ネットワークアプライアンスのみをDMZに配置できるようセキュリティポリシーが求める場合に使用されます。この展開では、XenMobileサーバーは、DMZにありません。そのため、DMZからSQL ServerとPKIサーバーにアクセスできるようにするため内部ファイヤフォール上でポートを開く必要がありません。