Product Documentation

セキュリティとユーザーエクスペリエンス

2018年2月21日

すべての組織にとってセキュリティは重要ですが、その一方でセキュリティとユーザーエクスペリエンスのバランスをとる必要があります。安全性は高いものの、ユーザーにとって使いにくい環境もあれば、ユーザーにとって使いやすいものの、アクセス制御が厳しくない環境もあります。この仮想ハンドブックの他のセクションではセキュリティ機能について詳しく説明していますが、この記事は、利用できるセキュリティオプションの概要を説明し、XenMobileで一般的なセキュリティ上の問題についてユーザーに考えてもらうことを目的とします。

各ユースケースで留意する重要な考慮事項は次のとおりです:

  • 特定のアプリ、デバイス全体、またはその両方を保護しますか。
  • どのような方法でユーザーのIDが認証されるようにしますか。LDAP、証明書ベースの認証、またはこの2つの組み合わせを使用しますか。
  • ユーザーのセッションがタイムアウトするまでにどれくらいの時間が経過する必要がありますか。バックグラウンドサービス、NetScaler、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。
  • ユーザーがデバイスレベルのパスコードやアプリレベルのパスコードを設定するようにしますか。ユーザーに許容されるログオン試行回数は何回ですか。MAMで実装できるアプリごとの追加の認証要件と、ユーザーによってこれがどのように受け止められるかに留意してください。
  • ユーザーに対して、他にどのような制限を加えますか。Siriなどのクラウドサービスにユーザーがアクセスできるようにする必要がありますか。使用できるそれぞれのアプリで、ユーザーができること、およびできないことは何ですか。オフィススペース内にいるときに携帯データ通信プランが消費されるのを防ぐために、企業のWiFiポリシーを導入する必要がありますか。

アプリとデバイス

最初に、特定のアプリだけを保護すればいいのか(モバイルアプリケーション管理(MAM))、またはデバイス全体を管理する必要があるのか(モバイルデバイス管理(MDM))について考える必要があります。一般に、デバイスレベルの制御が不要な場合は、モバイルアプリを管理すれば十分です。これは特に、BYOD(Bring Your Own Device)がサポートされている組織に当てはまります。

MAM-onlyの環境では、ユーザーは利用可能なリソースにアクセスできます。MAMポリシーは、アプリそのものを保護および管理します。

一方MDMでは、デバイス上のすべてのソフトウェアのインベントリを取得したり、ジェイルブレイクまたはRoot化されたデバイス、または安全でないソフトウェアがインストールされたデバイスの登録を防止したりして、デバイス全体を保護することができます。ただし、このレベルで制御すると、ユーザーは自分が使用する個人用デバイスに対してこのような権限を許可することに慎重になり、登録率が低下する可能性があります。

MDMは一部のデバイスには必要でも、他のデバイスには不要な場合があります。ただし、この選択をすると2つの専用の環境を設定し、追加のリソースと保守が必要になる点に留意する必要があります。

認証

認証は、ユーザーエクスペリエンスの重要な部分を占めています。既にActive Directoryを実行している組織では、Active Directoryを使用することが、ユーザーをシステムにアクセスさせる最も簡単な方法です。

そのほかに、認証におけるユーザーエクスペリエンスで重要な要素となるのがタイムアウトです。高度なセキュリティ環境では、ユーザーがシステムにアクセスするたびにログオンさせる場合がありますが、このオプションはすべての組織にとって最適とは言えません。たとえば、メールにアクセスするたびに資格情報を入力しなければならないことはユーザーにとって煩雑であり、不要かもしれません。

ユーザーエントロピー

セキュリティを強化するために、ユーザーエントロピー と呼ばれる機能を有効にすることができます。Citrix Secure Hubや他のアプリでは、パスワード、PIN、および証明書などの共通データを共有することで、すべてが適正に機能するようになっています。この情報は、Secure Hub内の汎用コンテナーに保存されます。シークレットの暗号化 オプションでユーザーエントロピーを有効にすると、XenMobileはUserEntropyという名前の新しいコンテナーを作成し、汎用コンテナーからこの新しいコンテナーに情報を移動させます。Secure Hubや他のアプリがこのデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。

ユーザーエントロピーを有効にすると、複数の場所で認証が強化されます。ただし、UserEntropyコンテナーに格納された共有データ(パスワード、PIN、証明書など)にアプリがアクセスする必要があるたびに、ユーザーはパスワードまたはPINを入力する必要があります。

ユーザーエントロピーについては、「MDX Toolkitについて」を参照してください。ユーザーエントロピーをオンにする場合は、関連する設定項目を [クライアントプロパティ] で見つけることができます。

ポリシー

MDXポリシーとMDMポリシーは、組織に大きな柔軟性をもたらす一方で、ユーザーが制限される場合もあります。状況によってはこれが必要な場合もありますが、ポリシーによってシステムが使用できなくなることもあります。たとえば、送信されたくない場所に機密データが送信される可能性のある、SiriやiCloudなどのクラウドアプリケーションへのアクセスを禁止する必要がある場合、これらのサービスへのアクセスを禁止するポリシーを設定できますが、このようなポリシーによって意図しない結果がもたらされる可能性があることに注意してください。iOSのキーボード上のマイクもクラウドアクセスに依存しているため、この機能へのアクセスも禁止されることになります。

アプリ

エンタープライズモビリティ管理(EMM:Enterprise Mobility Management)は、モバイルデバイス管理(MDM:Mobile Device Management)とモバイルアプリケーション管理(MAM:Mobile Application Management)に分けられます。MDMを利用するとモバイルデバイスを保護し、制御できる一方、MAMではアプリケーションの配信と管理を簡単に行えます。BYOD(Bring Your Own Device)の導入率が増加した場合、一般的には、アプリケーション配信、ソフトウェアライセンス、構成、アプリケーションライフサイクル管理を支援するため、XenMobileなどのMAMソリューションを実装します。

XenMobileを使用すると、データの漏洩などのセキュリティ上の脅威を防ぐように特定のMAMポリシーとVPN設定を構成し、こうしたアプリの保護をさらに強化できます。XenMobileは柔軟性に優れており、MAM専用環境またはMDM専用環境としてソリューションを展開したり、同一のプラットフォーム内でMDMとMAMの両方の機能を提供する統合XenMobile Enterprise環境としてXenMobileを実装したりすることができます。

XenMobileは、モバイルデバイスへのアプリ配信機能に加えて、MDXテクノロジーによるアプリのコンテナ化機能も備えています。MDXでは、デバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリはワイプまたはロック可能であり、ポリシーベースで詳細に制御することができます。独立系ソフトウェアベンダー(ISV:Independent Software Vendor)では、Worx App SDKを使用してこうした制御を行うことができます。

企業の環境では、ユーザーは職務の助けとしてさまざまなモバイルアプリを利用しています。こうしたアプリには、パブリックアプリケーションストアのアプリや社内アプリ、場合によってはネイティブアプリも含まれます。XenMobileでは、これらのアプリは次のように分類されます。

パブリックアプリ: これらのアプリには、iTunesやGoogle Playなど、パブリックアプリケーションストアで無料または有料で提供されているアプリが含まれます。組織外のベンダーの多くは、パブリックアプリケーションストアで自社のアプリを公開しています。こうすることで、ベンダーの顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズによっては、組織内でパブリックアプリが数多く使用される場合があります。こうしたアプリには、GoToMeeting、Salesforce、EpicCareなどがあります。

Citrixでは、パブリックアプリケーションストアからアプリバイナリを直接ダウンロードすることおよび、こうしたバイナリを社内配布用にMDX Toolkitでラップすることはサポートしていません。サードパーティのアプリケーションをラップする必要がある場合は、そのアプリのベンダーと協力して、MDX Toolkitでラップ可能なアプリのバイナリを入手します。

社内アプリ: 多くの組織には社内開発者がおり、特定の機能を備え、組織内で独自に開発および配布されるアプリを作成しています。組織によっては、ISVから提供されるアプリを導入している場合もあります。こうしたアプリは、ネイティブアプリとして展開するか、XenMobileなどのMAMソリューションを使用してコンテナ化できます。たとえば、医療機関で、モバイルデバイスで医師が患者の情報を確認できる社内アプリを作成したとします。さらにMDX ServiceまたはMDX Toolkitを使用してこのアプリをラップすることで、患者の情報を保護するとともに、バックエンドの患者データベースサーバーへのVPNアクセスを有効化できます。

WebアプリおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスするアプリ(Webアプリ)やパブリックネットワーク経由でアクセスするアプリ(SaaS)が含まれます。XenMobileでは、さまざまなアプリコネクタを使用して、カスタムのWebアプリおよびSaaSアプリを作成することもできます。これらのアプリコネクタを利用することで、既存のWebアプリへのシングルサインオン(SSO:Single Sign-On)を簡単に行えます。詳しくは、「アプリコネクタの種類」を参照してください。たとえば、Google Apps向けのセキュリティアサーションマークアップランゲージ(SAML:Security Assertion Markup Language)を基にした、SSO用のGoogle Apps SAMLを使用できます。

XenMobile Apps: Citrixが開発したアプリであり、XenMobileライセンスに含まれています。詳しくは、「XenMobile Apps」を参照してください。Citrixでは、ISVがWorx App SDKを使用して開発したビジネス対応アプリも提供しています。

HDXアプリ: StoreFrontで公開される、Windowsでホストされたアプリです。Citrix XenAppおよびXenDesktop環境を使用している場合、こうしたアプリをXenMobileに統合し、登録済みユーザーに公開することができます。

基になる構成およびアーキテクチャは、XenMobileで展開および管理するモバイルアプリの種類によって異なります。たとえば、1つのアプリを権限レベルの異なる複数のユーザーグループが使用する場合、別々のデリバリーグループを作成して、このアプリを2つのバージョンで展開する必要があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認する必要もあります。

iOSアプリケーションのライセンスは、AppleのVolume Purchase Program(VPP)を使用して管理することもできます。この方法を使用するには、XenMobileコンソールでVPPプログラムを登録し、VPPライセンスでアプリを配信するようにXenMobileのVPP設定を構成する必要があります。このようにユースケースは多様であるため、XenMobile環境を実装する前に、MAM戦略を評価し計画することが重要です。MAM戦略の計画は、次の事柄を定義することから始めることをお勧めします。

アプリの種類: パブリックアプリ、ネイティブアプリ、XenMobile Apps、Webアプリ、社内アプリ、ISVアプリなど、サポート予定のアプリの種類をリストアップして分類します。また、iOSやAndroidなどのデバイスプラットフォームごとにもアプリを分類します。このように分類することで、アプリの種類ごとに必要なXenMobile設定を調整しやすくなります。たとえば、一部のアプリをラップの対象から除外する場合や、いくつかのアプリでほかのアプリとのやりとりを行うために、Worx App SDKを使用して特殊なAPIを有効化する必要のある場合があります。

ネットワーク要件: アプリには、適切に設定した明確なネットワークアクセス要件を構成する必要があります。たとえば、VPN経由で内部ネットワークにアクセスする必要があるアプリもあれば、DMZ経由でアクセスをルーティングするためにインターネットアクセスが必要なアプリもあります。こうしたアプリが必要なネットワークに接続できるようにするには、さまざまな設定を適切に構成しなければなりません。アプリごとのネットワーク要件を定義することで、アーキテクチャに関する決定事項を早期に確定し、実装プロセス全体の効率を高めることができます。

セキュリティ要件: 個々またはすべてのアプリに適用されるセキュリティ要件を定義することが重要です。MDXポリシーなどの設定は個々のアプリに適用されますが、セッションと認証の設定はすべてのアプリに適用されます。また、アプリによっては、展開を簡単に行うため、暗号化、コンテナ化、ラップ化、認証、ジオフェンシング、パスコード、あるいはデータ共有に関する特定の要件を事前に定める必要があります。

展開の要件: 公開したアプリを適合したユーザーのみがダウンロードできるように、ポリシーベースの展開を使用する必要のある場合があります。たとえば、特定のアプリについて、デバイスの暗号化が有効であるかデバイスが管理対象であること、またはデバイスがオペレーティングシステムの最小バージョンを満たしていることを必須にできます。また、特定のアプリをコーポレートユーザーだけに利用可能にする必要のある場合もあります。適切な展開ルールまたはアクションを構成できるように、こうした要件の概要を事前に定める必要があります。

ライセンス要件: アプリ関連のライセンス要件を記録することをお勧めします。こうした記録により、ライセンスの使用状況を効率的に管理できるとともに、XenMobileでライセンス管理を容易にする特定の機能を構成する必要があるかを判断できます。たとえば、iOSアプリを展開した場合、そのアプリが無料か有料かにかかわらず、AppleによりユーザーにiTunesアカウントへのサインインが求められ、アプリにライセンス要件が適用されます。こうしたアプリは、Apple VPPに登録することで、XenMobile経由で配信および管理できます。VPPを利用することで、ユーザーは各自のiTunesアカウントにサインインすることなくアプリをダウンロードできるようになります。さらに、Samsung SAFEやSamsung KNOXなどのツールには、機能を展開する前に履行する必要のある特殊なライセンス要件が備わっています。

ブラックリスト/ホワイトリストの要件: ユーザーにインストールや使用を禁止する必要のあるアプリも存在します。ブラックリストを作成すると、コンプライアンス違反イベントを定義できます。その後、コンプライアンス違反が起きた場合にトリガーされるようにポリシーを設定できます。一方で、使用が容認されるアプリが、なんらかの理由でブラックリストに該当する可能性もあります。このような場合には、ホワイトリストにそのアプリを追加し、アプリは使用してもよいが必須ではないと示すことができます。また、新しいデバイスにあらかじめインストールされているアプリの中には、オペレーティングシステムには含まれていないものの一般的に使用されているアプリもあります。こうしたアプリは、ブラックリスト化の方針に抵触する可能性があります。

アプリの使用例

ある医療 機関 が、同機関のモバイルアプリ向けのMAMソリューションとしてXenMobileを導入する予定を立てました。モバイルアプリは、コーポレートユーザーおよびBYODユーザーに配信されます。IT部門は、次のアプリを配信および管理することを決定しました。

  • XenMobile Apps: Citrixが提供するiOSアプリおよびAndroidアプリ。
  • Secure Mail: メール、カレンダー、連絡先アプリ。
  • Secure Web: インターネットとイントラネットサイトへのアクセスを提供するセキュアなWebブラウザー。
  • Secure Notes: メールとカレンダーが統合されたセキュアなノート作成アプリ。
  • ShareFile: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。

パブリックアプリケーションストア

  • Secure Hub: すべてのモバイルデバイスでXenMobileとの通信に使用するクライアント。IT部門では、Secure Hubクライアントを経由してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidデバイスおよびiOSデバイスは、Secure Hub経由でXenMobileに登録されます。
  • Citrix Receiver: XenAppでホストされたアプリケーションをユーザーがモバイルデバイス上で開けるようにするモバイルアプリ。
  • GoToMeeting: ほかのコンピューターユーザー、顧客、クライアント、同僚とインターネット経由でリアルタイムに話し合うことができる、オンライン会議、デスクトップ共有、ビデオ会議用クライアント。
  • SalesForce1: モバイルデバイスからSalesforceへのアクセスを可能にし、あらゆるSalesforceユーザーが統一されたエクスペリエンスでChatter、CRM、カスタムアプリ、およびビジネスプロセスを利用できるようにするモバイルアプリ。
  • RSA SecurID: 2要素認証用のソフトウェアベーストークン。
  • EpicCareアプリ: 医療従事者がモバイルデバイスで患者のカルテおよびリスト、スケジュールに安全にアクセスし、メッセージを通信できるようにするアプリ。
    • Haiku: iPhoneおよびAndroidスマートフォン向けのモバイルアプリ。
    • Canto: iPad用モバイルアプリ
    • Rover: iPhoneおよびiPad用のモバイルアプリ。

HDX: 以下のアプリは、Citrix XenApp経由で配信されます。

  • Epic Hyperspace: 電子カルテ管理用のEpicのクライアントアプリケーション。

ISV

  • Vocera: iPhoneやAndroidスマートフォンで時間や場所を問わずVocera音声技術を利用できるようにする、HIPAAに準拠したボイスオーバーIPおよびメッセージ用モバイルアプリ。

社内アプリ

  • HCMail: 暗号化されたメッセージを作成し、内部メールサーバー上のアドレス帳を検索して、暗号化されたメッセージをメールクライアントで連絡先へ送信できるアプリ。

社内Webアプリ

  • PatientRounding: 複数の部署で患者の健康情報の記録に使用するWebアプリケーション。
  • Outlook Web Access: Webブラウザー経由でメールにアクセスできるようになります。
  • SharePoint: 組織全体でのファイルおよびデータの共有に使用します。

次の表に、MAMの構成に必要な基本情報を示します。

         
アプリ名 アプリの種類 MDXによるラップ iOS Android
Secure Mail XenMobileアプリ バージョン10.4.1以降では× はい はい
Secure Web XenMobileアプリ バージョン10.4.1以降では× はい はい
Secure Notes XenMobileアプリ バージョン10.4.1以降では× はい はい
ShareFile XenMobileアプリ バージョン10.4.1以降では× はい はい
Secure Hub パブリックアプリ - はい はい
Citrix Receiver パブリックアプリ - はい はい
GoToMeeting パブリックアプリ - はい はい
SalesForce1 パブリックアプリ - はい はい
RSA SecurID パブリックアプリ - はい はい
Epic Haiku パブリックアプリ - はい はい
Epic Canto パブリックアプリ - はい いいえ
Epic Rover パブリックアプリ - はい いいえ
Epic Hyperspace HDXアプリ - はい はい
Vocera ISVアプリ はい はい はい
HCMail 社内アプリ はい はい はい
PatientRounding Webアプリ - はい はい
Outlook Web Access Webアプリ - はい はい
SharePoint Webアプリ - はい はい

次の表に、XenMobileでのMAMポリシーの構成の参考要件を示します。

アプリ名 VPNの要否 相互作用 相互作用 デバイスの暗号化
    (コンテナー外のアプリに対して) (コンテナー外のアプリから)  
Secure Mail はい 選択的に許可 許可 不要
Secure Web はい 許可 許可 不要
Secure Notes はい 許可 許可 不要
ShareFile はい 許可 許可 不要
Secure Hub はい - - -
Citrix Receiver はい - - -
GoToMeeting 未サポート - - -
SalesForce1 未サポート - - -
RSA SecurID 未サポート - - -
Epic Haiku はい - - -
Epic Canto はい - - -
Epic Rover はい - - -
Epic Hyperspace はい - - -
Vocera はい 禁止 禁止 不要
HCMail はい 禁止 禁止 必須
PatientRounding はい - - 必須
Outlook Web Access はい - - 不要
SharePoint はい - - 不要
アプリ名 プロキシのフィルタリング ライセンス管理 ジオフェンシング Worx App SDK オペレーティングシステムの最小バージョン
Secure Mail 必須 - 選択的に必須化 - 適用する
Secure Web 必須 - 不要 - 適用する
Secure Notes 必須 - 不要 - 適用する
ShareFile 必須 - 不要 - 適用する
Secure Hub 不要 VPP 不要 - 適用しない
Citrix Receiver 不要 VPP 不要 - 適用しない
GoToMeeting 不要 VPP 不要 - 適用しない
SalesForce1 不要 VPP 不要 - 適用しない
RSA SecurID 不要 VPP 不要 - 適用しない
Epic Haiku 不要 VPP 不要 - 適用しない
Epic Canto 不要 VPP 不要 - 適用しない
Epic Rover 不要 VPP 不要 - 適用しない
Epic Hyperspace 不要 - 不要 - 適用しない
Vocera 必須 - 必須 必須 適用する
HCMail 必須 - 必須 必須 適用する
PatientRounding 必須 - 不要 - 適用しない
Outlook Web Access 必須 - 不要 - 適用しない
SharePoint 必須 - 不要 - 適用しない

ユーザーコミュニティ

すべての組織は、異なる機能的役割を持つ多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのモバイルデバイスを通して提供されるさまざまなリソースを使用して、さまざまなタスクを実行しオフィス機能を果たします。ユーザーは、支給されたモバイルデバイス、または特定のセキュリティコンプライアンスルールの対象となるツールへのアクセスが許可された個人のモバイルデバイスを使用して、自宅やリモートオフィスで作業することができます。

職務を簡素化したり助けとするためにモバイルデバイスを使用するユーザーコミュニティが増えるにつれ、データ漏洩を防止し、組織のセキュリティ制限を実施するために、エンタープライズモビリティ管理(EMM)が非常に重要になります。効率的で高度なモバイルデバイス管理を実現するために、ユーザーコミュニティを分類することができます。そうすることにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーを適切なユーザーに適用できます。

次の例は、医療機関のユーザーコミュニティにおけるEMM向けの分類方法を示したものです。

ユーザーコミュニティの使用例

この医療機関の例では、ネットワークやアフィリエイトの従業員、ボランティアなどの複数のユーザーに技術リソースやアクセスを提供します。この組織はEMMソリューションを非幹部ユーザーのみに展開することを選択しました。

この医療機関のユーザー役割と機能は、医療、医療以外、契約社員などのサブグループに分けられます。指定されたグループのユーザーが企業のモバイルデバイスを受け取ります。その他のユーザーは個人のデバイスから限られた企業リソースにアクセスできます。適切なレベルのセキュリティ制限を実施し、データ漏洩を防止するために、この組織では、登録された各デバイス(企業所有のデバイスとBYOD(Bring Your Own Device))を企業のIT部門が管理することに決定しました。また、ユーザーが登録できるデバイスは1台のみです。

以下のセクションでは、各サブグループの役割と機能の概要について説明します。

医療

  • 看護師
  • 医師(医師、外科医など)
  • スペシャリスト(栄養士、採血師、麻酔医、放射線科医、心臓病専門医、がん専門医など)
  • 外部の医師(外来の医師とリモートオフィスで作業するオフィスワーカー)
  • 在宅医療サービス(患者の往診で医療サービスを行うオフィスワーカーとモバイルワーカー)
  • 研究スペシャリスト(医薬における問題解決のための臨床研究を行う6つの研究機関のナレッジワーカーとパワーユーザー)
  • 教育と訓練(教育と訓練に従事する看護師、医師、スペシャリスト)

医療以外

  • 共通サービス(人事、給与、財務、サプライチェーンサービスなどのさまざまなバックオフィス機能を果たすオフィスワーカー)
  • 医療サービス(管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、総合的健康管理、患者アクセスソリューション、収益サイクルソリューションなどの、さまざまな医療管理、管理サービス、ビジネスプロセスソリューションをプロバイダーに提供するオフィスワーカー)
  • サポートサービス(福利厚生管理、医療の統合、コミュニケーション、報酬および業績管理、施設および土地サービス、ヒューマンリソーステックシステム、情報サービス、内部監査およびプロセス改善など、医療以外のさまざまな機能を果たすオフィスワーカー)
  • 慈善プログラム(慈善プログラムを支援するさまざまな機能を果たすオフィスワーカーとモバイルワーカー)

契約社員

  • メーカーやベンダーのパートナー(オンサイト、またはサイト間VPN経由でリモート接続された、医療以外のさまざまなサポート機能を提供する人々)

上記の情報に基づいて、この医療機関では以下のエンティティを作成しました。XenMobileのデリバリーグループの詳細については、「リソースの展開」を参照してください。

Active Directory組織単位(OU)とグループ

OU = XenMobileリソース:

  • OU =医療; グループ=
    • XM-看護師
    • XM-医師
    • XM-スペシャリスト
    • XM-外部の医師
    • XM-在宅医療サービス
    • XM-研究スペシャリスト
    • XM-教育と訓練
  • OU =医療以外; グループ=
    • XM-共通サービス
    • XM-医療サービス
    • XM-サポートサービス
    • XM-慈善プログラム

XenMobileのローカルユーザーとグループ

グループ=契約社員、ユーザー=

  • ベンダー1
  • ベンダー2
  • ベンダー3
  • …ベンダー10

XenMobileデリバリーグループ

  • 医療-看護師
  • 医療-医師
  • 医療-スペシャリスト
  • 医療-外部の医師
  • 医療-在宅医療サービス
  • 医療-研究スペシャリスト
  • 医療-教育と訓練
  • 医療以外-共通サービス
  • 医療以外-医療サービス
  • 医療以外-サポートサービス
  • 医療以外-慈善プログラム

デリバリーグループとユーザーグループのマッピング

   
Active Directoryグループ XenMobileデリバリーグループ
XM-看護師 医療-看護師
XM-医師 医療-医師
XM-スペシャリスト 医療-スペシャリスト
XM-外部の医師 医療-外部の医師
XM-在宅医療サービス 医療-在宅医療サービス
XM-研究スペシャリスト 医療-研究スペシャリスト
XM-教育と訓練 医療-教育と訓練
XM-共通サービス 医療以外-共通サービス
XM-医療サービス 医療以外-医療サービス
XM-サポートサービス 医療以外-サポートサービス
XM-慈善プログラム 医療以外-慈善プログラム

デリバリーグループとリソースのマッピング

次の表は、この使用例で各デリバリーグループに割り当てられたリソースを示しています。最初の表はモバイルアプリの割り当てを示しています。 2番目の表はパブリックアプリ、HDXアプリ、デバイス管理リソースを示しています。

       
XenMobileデリバリーグループ Citrixモバイルアプリ パブリックモバイルアプリ HDXモバイルアプリ
医療-看護師    
医療-医師      
医療-スペシャリスト      
医療-外部の医師    
医療-在宅医療サービス    
医療-研究スペシャリスト    
医療-教育と訓練  
医療以外-共通サービス  
医療以外-医療サービス  
医療以外-サポートサービス
医療以外-慈善プログラム
契約社員
               
XenMobileデリバリーグループ パブリックアプリ:RSA SecurID パブリックアプリ:EpicCare Haiku HDXアプリ:Epic Hyperspace パスコードポリシー デバイスの制限 自動化された操作 Wi-Fiポリシー
医療-看護師            
医療-医師            
医療-スペシャリスト              
医療-外部の医師              
医療-在宅医療サービス              
医療-研究スペシャリスト              
医療-教育と訓練          
医療以外-共通サービス          
医療以外-医療サービス          
医療以外-サポートサービス          

注意事項と考慮事項

  • XenMobileは初期構成時に「すべてのユーザー」というデフォルトのデリバリーグループを作成します。このデリバリーグループを無効にしないと、すべてのActive DirectoryユーザーにXenMobileへの登録権限が付与されます。
  • XenMobileは、LDAPサーバーとの動的接続によりActive Directoryのユーザーとグループをオンデマンドで同期します。
  • ユーザーがXenMobileにマップされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、XenMobileはユーザーをXenMobileにマップされているグループにのみ分類します。
  • MDMの登録を必須にするには、XenMobileコンソールで [サーバープロパティ] の [登録が必要] オプションを [はい] に設定する必要があります。詳しくは、「サーバープロパティ」を参照してください。
  • XenMobileデリバリーグループからユーザーグループを削除するには、dbo.userlistgrps内にあるSQL Serverデータベースのエントリを削除します。 注意: この操作を実行する前に、XenMobileとデータベースのバックアップを作成してください。

XenMobileのデバイスの所有権について

ユーザーデバイスの所有者に応じてユーザーをグループ化できます。デバイスの所有権には、企業所有のデバイスと、BYOD(Bring Your Own Device)とも呼ばれるユーザー所有のデバイスがあります。XenMobileコンソールの2つの場所([設定]ページの[展開規則]とXenMobile Serverプロパティ)で、BYODデバイスをネットワークに接続する方法を制御できます。展開規則について詳しくは、「展開規則の構成」を参照してください。サーバープロパティの詳細については、「Server Properties(サーバープロパティ)」を参照してください。

サーバープロパティを設定することで、すべてのBYODユーザーに対して企業によるデバイス管理を受け入れてからアプリにアクセスするように要求したり、ユーザーのデバイスを管理せずに、ユーザーに企業アプリへのアクセス権を付与したりすることができます。

サーバー設定 wsapi.mdm.required.flagtrue に設定すると、XenMobileがすべてのBYODデバイスを管理し、登録を拒否したユーザーはアプリへのアクセスが拒否されます。XenMobileにユーザーのデバイスが登録されることによって実現する高いセキュリティと優れたユーザーエクスペリエンスを企業のITチームが必要とする環境では、wsapi.mdm.required.flagtrue に設定することを検討してください。

wsapi.mdm.required.flag をデフォルト設定の false のままにした場合、ユーザーは登録を拒否できますが、引き続きXenMobile Storeを通じてデバイス上のアプリにアクセスできます。プライバシー、法律、または規制上の制約によりデバイスの管理が不要で、エンタープライズアプリケーションの管理のみが必要な環境では、wsapi.mdm.required.flagfalse に設定することを検討してください。

XenMobileが管理しないデバイスを持つユーザーは、XenMobile Storeからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。ポリシーでは、設定した値に応じて、デバイスがXenMobileを定期的にチェックして、アプリの実行が引き続き許可されていることを確認する必要があります。

セキュリティ要件

XenMobile環境を展開する場合は、セキュリティ上のさまざまな点を考慮する必要が生じてきます。さまざまな部分や設定が連動しているため、許容できる保護レベルを確保するためにどこから始めたらいいのか、または何を選択すべきかがわからない場合があります。これらの選択を簡単にするために、次の表では、「高」、「より高い」、および「最高」のセキュリティの推奨事項を示しています。

セキュリティの問題だけでは、選択する展開モードが決まらないことに注意してください。展開モードを選択する前に、ユースケースの要件を確認して、セキュリティの問題を軽減できるかどうかを判断することが重要です。

高: この設定を使用すると、ほとんどの組織で許容可能な基本レベルのセキュリティを維持しながら、最適なユーザーエクスペリエンスを実現できます。

より高い: この設定では、セキュリティとユーザービリティ間でよりバランスがとれています。

最高: この推奨事項に従うと、非常に高いレベルのセキュリティが実現しますが、ユーザービリティとユーザーへの導入が犠牲になります。

展開モードのセキュリティに関する考慮事項

次の表は、各セキュリティレベルでの展開モードを示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
MAMおよび/またはMDM MDM + MAM MDM + MAM、プラスFIPS

注:

  • 使用例によっては、MDM-onlyまたはMAM-onlyの展開でセキュリティ要件を満たし、優れたユーザーエクスペリエンスを提供できる場合もあります。
  • アプリのコンテナー化、マイクロVPN、またはアプリ固有のポリシーが不要な場合は、デバイスの管理と保護にMDMを使用すれば十分です。
  • アプリのコンテナー化のみでビジネスとセキュリティ上のすべての要件が満たされるBYODのような使用例では、MAM-onlyモードをお勧めします。
  • 高セキュリティ環境(および企業がデバイスを支給)の場合、利用可能なすべてのセキュリティ機能を利用するためにMDM + MAMをお勧めします。XenMobileコンソールのサーバープロパティを使用してMDM登録を適用する必要があります。
  • FIPSは、連邦政府などの、最高水準のセキュリティが求められる環境向けのオプションです。

FIPSモードを有効にする場合は、SQLトラフィックを暗号化するようにSQL Serverを構成する必要があります。

NetScalerおよびNetScaler Gatewayのセキュリティに関する考慮事項

次の表は、各セキュリティレベルでのNetScalerおよびNetScaler Gatewayの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
NetScalerをお勧めします。MAMとENTにはNetScaler Gatewayが必須。 MDMに推奨 XenMobileがDMZ内にある場合は、SSLブリッジを使用した標準のNetScaler for XenMobileウィザード構成。 XenMobileサーバーが内部ネットワークに配置されている場合にセキュリティ基準を満たすにはSSLオフロードが必要です。 エンドツーエンド暗号化によるSSLオフロード

注:

  • XenMobileサーバーをNATや既存のサードパーティ製プロキシ、またはロードバランサー経由で公開することは、SSLトラフィックがXenMobileサーバー上で終端する限りはMDMのオプションとなります。ただしこの選択には潜在的なセキュリティリスクがあります。
  • 高度なセキュリティ環境を実現するには、NetScalerとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。
  • 最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をNetScalerにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。
  • SSL/TLS暗号を定義するオプション。
  • SSL FIPS NetScalerハードウェアも利用できます。
  • 詳しくは、「NetScaler GatewayおよびNetScalerの統合」を参照してください。

登録のセキュリティに関する考慮事項

次の表は、各セキュリティレベルでのNetScalerおよびNetScaler Gatewayの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 招待のみの登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 デバイスIDに関連付けられた登録モード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。

注:

  • 事前定義されたActive Directoryグループ内のユーザーのみに登録を制限することをお勧めします。そのためには、組み込みのすべてのユーザーデリバリーグループを無効にする必要があります。
  • 登録招待状を使用すると、招待状を持つユーザーだけが登録できるように制限できます。
  • 2段階認証としてワンタイムPIN(OTP)による登録招待状を使用し、ユーザーが登録できるデバイス数を制御できます。
  • 環境のセキュリティ要件が非常に厳しい場合は、SN、UD、またはEMEIを使用して登録招待状とデバイスを関連付けることができます。Active DirectoryのパスワードとOTPを求める2段階オプションも用意されています(OTPは現在Windowsデバイスのオプションではないことに注意してください)。

デバイスのPINのセキュリティに関する注意事項

次の表は、各セキュリティレベルでのデバイスのPINの推奨事項を示しています。

     
高セキュリティ より高いセキュリティ 最高のセキュリティ
推奨。デバイスレベルの暗号化には高いセキュリティが必要です。MDMで適用できます。MDXポリシーを使用して、MAM-onlyで必要な設定にできます。 MDMおよび/またはMDXポリシーを使用して適用されます。 MDMおよびMDXポリシーを使用して適用されます。MDMの複雑なパスコードポリシー。

注:

  • デバイスのPINを使用することをお勧めします。
  • MDMポリシーを使用してデバイスのPINを適用できます。
  • MDXポリシーを使用して、管理対象アプリの使用にデバイスのPINを必須にすることができます(BYODの使用例など)。
  • MDM + MAM環境では、セキュリティを強化するためにMDMとMDXのポリシーオプションを組み合わせることをお勧めします。
  • セキュリティ要件が最も高い環境では、複雑なパスコードポリシーを構成し、MDMでこのポリシーを適用できます。デバイスがパスコードポリシーに準拠していない場合は、管理者に通知したり、デバイスの選択的またはフルワイプを発行したりする自動アクションを構成できます。