Citrix Endpoint Management
Citrix Endpoint Managementは、すべてのアプリとエンドポイントを1つの統合ビューにまとめて、セキュリティを強化し、生産性を向上させる統合エンドポイント管理(UEM)ソリューションです。UEMの概要については、Citrix Tech Zoneテクニカルブリーフの「Citrix Endpoint Management」を参照してください。
Citrix Endpoint Managementは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を提供します。
Citrix Endpoint ManagementのMDM機能により、次の操作が可能になります:
- デバイスポリシーやアプリを展開する
- アセットインベントリを取得する
- デバイスのワイプなどのアクションをデバイスで実行する
Citrix Endpoint ManagementのMAM機能により、次の操作が可能になります:
- BYOモバイルデバイスのアプリとデータのセキュリティを保護する。
- エンタープライズモバイルアプリを配信する。
- アプリのロックおよびデータのワイプを実行する。
MDMとMAMの機能を組み合わせることにより、次の操作が可能になります:
- MDMを使用してコーポレート発行のデバイスを管理する
- デバイスポリシーやアプリを展開する
- アセットインベントリを取得する
- デバイスのワイプ
- エンタープライズモバイルアプリを配信する
- アプリをロックしてデバイス上のデータをワイプする
次の表は、MDM、MAM、または MDM+MAMでサポートされているCitrix Endpoint Management機能の概要です。
機能(プラットフォーム別) | MDM(1) | MAM(2) | MDM + MAM |
---|---|---|---|
Android Enterprise: | |||
デバイス登録のサポート | はい | はい | はい |
ドメイン認証のサポート | はい | いいえ | はい |
ドメインおよびセキュリティトークン認証のサポート | いいえ | いいえ | はい |
クライアント証明書認証のサポート | いいえ | はい | はい |
クライアント証明書+ドメイン認証のサポート | いいえ | いいえ | はい |
クライアント証明書+セキュリティトークンのサポート | いいえ | いいえ | はい |
Azure AD IDプロバイダーのサポート | はい | いいえ | はい |
Okta IDプロバイダーのサポート | はい | いいえ | はい |
ネイティブSaaSアプリへのシングルサインオン | はい | いいえ | はい |
CDNを使用したエンタープライズアプリ配信のサポート | はい | はい | はい |
CDNを使用したMDXアプリ配信のサポート | はい | はい | はい |
Android Enterprise専用(COSU)デバイスのプロビジョニングによる共有デバイスのサポート | はい | いいえ | はい |
Android(レガシー): | |||
デバイス登録のサポート | はい | はい | はい |
ドメインまたはドメイン+セキュリティトークン認証のサポート | いいえ | いいえ | はい |
クライアント証明書認証のサポート | いいえ | はい | はい |
クライアント証明書+ドメイン認証のサポート | いいえ | いいえ | はい |
クライアント証明書+セキュリティトークンのサポート | いいえ | いいえ | はい |
Azure ADおよびCitrix IDプロバイダーのサポート | はい | いいえ | はい |
Okta IDプロバイダーのサポート | はい | いいえ | はい |
ネイティブSaaSアプリへのシングルサインオン | はい | いいえ | はい |
CDNを使用したエンタープライズアプリ配信のサポート | はい | はい | はい |
CDNを使用したMDXアプリ配信のサポート | はい | はい | はい |
Chrome: | |||
デバイス登録のサポート | はい | いいえ | はい |
ユーザー名とパスワード認証のサポート | はい | いいえ | はい |
iOS: | |||
デバイス登録のサポート | はい | はい | はい |
ドメインまたはドメイン+セキュリティトークン認証のサポート | いいえ | いいえ | はい |
クライアント証明書認証のサポート | いいえ | はい | はい |
クライアント証明書+ドメイン認証のサポート | いいえ | いいえ | はい |
Azure ADおよびCitrix IDプロバイダーのサポート | はい | いいえ | はい |
Okta IDプロバイダーのサポート | はい | いいえ | はい |
ネイティブSaaSアプリへのシングルサインオン | はい | いいえ | はい |
CDNを使用したエンタープライズアプリ配信のサポート | はい | はい | はい |
CDNを使用したMDXアプリ配信のサポート | はい | はい | はい |
Apple Educationの統合 | はい | いいえ | はい |
macOS: | |||
デバイス登録のサポート | はい | いいえ | いいえ |
ドメイン、またはドメインおよびワンタイムパスワードのサポート | はい | いいえ | いいえ |
招待URLおよびワンタイムパスワードのサポート | はい | いいえ | いいえ |
Windows: | |||
デバイス登録のサポート | はい | いいえ | いいえ |
Citrix Workspaceアプリを使用したWindows 10およびWindows 11デバイスの自動登録 | はい | いいえ | いいえ |
ドメインまたはドメイン+セキュリティトークン認証のサポート | はい | いいえ | いいえ |
クライアント証明書認証のサポート | はい | いいえ | いいえ |
クライアント証明書+ドメイン認証のサポート | はい | いいえ | いいえ |
Azure ADまたはCitrix IDプロバイダー経由のフェデレーション認証 | はい | いいえ | いいえ |
CDNを使用したエンタープライズアプリ配信のサポート | はい | いいえ | いいえ |
Workspace Environment Managementの統合(3) | はい | いいえ | いいえ |
注:
(1)展開順は、MDM用に構成された登録プロファイルを持つデリバリーグループ内のデバイスにのみ適用されます。
(2)MAM登録には、NetScaler Gatewayが必要です。
(3) Workspace Environment Management(WEM)の統合により、広範囲なWindowsオペレーティングシステム上のMDM機能にアクセスできます。
詳しくは、「管理モード」を参照してください。
アーキテクチャ
Citrix Endpoint Managementアーキテクチャの必要なCitrix Endpoint Managementコンポーネントは、組織のデバイスまたはアプリの管理要件によって異なります。Citrix Endpoint Managementのコンポーネントはモジュール形式で、相互に依存しています。たとえば、環境にはNetScaler Gatewayが含まれています:
- NetScaler Gatewayでは、ユーザーはモバイルアプリにリモートアクセスして、ユーザーデバイスの種類を追跡できます。
- Citrix Endpoint Managementでこれらのアプリとデバイスを管理します。
次の図は、Citrix Endpoint Managementクラウド展開とデータセンターとの統合に関する一般的なアーキテクチャの概要です。
以下のサブセクションには、次に関するリファレンスアーキテクチャ図が含まれています:
- Citrix Endpoint Management
- 外部認証機関およびCitrix Endpoint Managementコネクタ:Exchange ActiveSync用、およびCitrix Endpoint Management MDM+MAMとIntune MAMのトラフィックフローなどのオプションコンポーネント。
Citrix ADCおよびNetScaler Gatewayの要件について詳しくは、Citrixの製品ドキュメント(https://docs.citrix.com/)を参照してください。
コアリファレンスアーキテクチャ
ポートの要件について詳しくは、「システム要件」を参照してください。
Citrix Virtual Apps and Desktopsを含むリファレンスアーキテクチャ
Citrix Endpoint Managementコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ
NetScaler Gatewayコネクタ:Exchange ActiveSync用を含むリファレンスアーキテクチャ
Citrix Endpoint Management MDM+MAMとIntune MAMを使用するリファレンスアーキテクチャ
リソースの場所
リソースの場所は、業務上の必要性に応じた最適な場所を選択してください。パブリッククラウド、ブランチオフィス、プライベートクラウド、データセンターなどさまざまな場所をリソースの場所にできます。以下は、場所の選択を決定する要素の例です:
- 利用者との距離
- データとの距離
- 拡張の必要性
- セキュリティ属性
必要な数のリソースの場所を構築できます。以下はいくつかの例です:
- データとの距離が近い方が望ましい利用者やアプリケーションのために、本社のデータセンターにリソースの場所を構築する。
- グローバルユーザーのために、パブリッククラウドに別のリソースの場所を追加する。または、ブランチオフィスで別のリソースの場所を構築して、ブランチワーカーが最適に利用できるアプリケーションを提供する。
- 別のネットワークにさらにリソースの場所を追加して、限定されたアプリケーションを提供する。これ以外のリソースの場所を調整する必要なく、他のリソースや利用者に表示される内容を制限できます。
Cloud Connector
Cloud Connectorは、Citrix Cloudとリソースの場所の間ですべての通信を認証および暗号化します。次のサービスにアクセスするには、Cloud Connectorが必要です:LDAP、IDプロバイダー、PKI(公開キー基盤)サーバー、内部DNSクエリ、Citrix Virtual Apps、NetScaler Gateway、Citrix Workspace、およびMicrosoft Endpoint Manager。
次の図は、Cloud Connectorのトラフィックフローです。
Cloud Connectorは、Citrix Cloudへの接続を確立し、受信接続を受け入れません。
Cloud Connectorには、デバイスの登録中にのみ負荷がかかります。詳しくは、「Cloud Connectorのスケールおよびサイズの考慮事項」を参照してください。
モバイルアプリケーション管理(MAM)を含むソリューションには、オンプレミスのNetScaler Gatewayによって提供されるMicro VPNが必要です。このシナリオの内容は以下のとおりです。
- データセンターには、次のコンポーネントが存在します:
- Cloud Connector
- NetScaler Gateway
- Exchange、Webアプリ、Active Directory、PKI用のサーバー
- モバイルデバイスは、Citrix Endpoint ManagementおよびオンプレミスのNetScaler Gatewayと通信します。
Citrix Endpoint Managementコンポーネント
Citrix Endpoint Managementコンソール。Citrix Endpoint Management管理コンソールは、Citrix Endpoint Managementの構成に使用します。Citrix Endpoint Managementコンソールの使用について詳しくは、「Citrix Endpoint Management」の記事を参照してください。Citrix Endpoint Managementが最新リリースに更新されると同時に、Citrixから新機能に関する記事の通知をお送りします。
Citrix Endpoint Managementサービスとオンプレミス版の違いは次のとおりです:
- Remote Supportクライアントは、Citrix Endpoint Managementでは使用できません。
- Citrixでは、Citrix Endpoint Managementのsyslogとオンプレミスのsyslogサーバーとの統合はサポートされません。代わりに、Citrix Endpoint Managementコンソールの [トラブルシューティングとサポート] ページからログをダウンロードできます。これを行う場合は、[すべてダウンロード] をクリックする必要があります。
MAM SDK。MDX Toolkitは、2023年7月に製品終了(EOL)になる予定です。エンタープライズアプリケーションの管理を続行するには、MAM SDKを使用する必要があります。
- モバイルアプリケーション管理(MAM)SDKは、iOSおよびAndroidプラットフォームではカバーされないMDX機能を提供します。iOSアプリやAndroidアプリをMDX対応にして保護できます。これらのアプリを、内部ストアまたはパブリックアプリストアのいずれかで利用できるようにします。「MDXアプリSDK」を参照してください。
業務用モバイルアプリ。Citrixが開発した業務用モバイルアプリにより、Citrix Endpoint Management環境に生産性と通信のためのツールスイートが提供されます。所属する組織のポリシーは、それらのアプリを保護します。詳しくは、「業務用モバイルアプリ」を参照してください。
Citrix Endpoint Managementコネクタ:Exchange ActiveSync用Citrix Endpoint Managementコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、ExchangeサービスレベルでActiveSyncフィルターを提供します。つまり、メールがCitrix Endpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。コネクタでNetScaler Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、コネクタを展開できます。詳しくは、「Citrix Endpoint Managementコネクタ:Exchange ActiveSync用」を参照してください。
NetScaler Gatewayコネクタ:Exchange ActiveSync用。NetScaler Gatewayコネクタ:Exchange ActiveSync用によって、ネイティブモバイルメールアプリを使用するユーザーはメールに安全にアクセスできます。Exchange ActiveSync用コネクタは、境界にActiveSyncフィルターを提供します。このフィルタリングでは、NetScaler GatewayをActiveSyncトラフィックのプロキシとして使用します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りするときにインターセプトします。Exchange ActiveSync用コネクタは、NetScaler GatewayとCitrix Endpoint Managementの間の仲介役を果たします。詳しくは、「NetScaler Gatewayコネクタ:Exchange ActiveSync用」を参照してください。
Citrix Endpoint Managementのセキュリティの技術概要
Citrix Cloudは、Citrix Endpoint Management環境のコントロールプレーンを管理します。このコントロールプレーンには、Citrix Endpoint Managementサーバー、Citrix ADCロードバランサー、シングルテナントデータベースなどが含まれます。クラウドサービスは、Citrix Cloud Connectorを使用して顧客データセンターと統合します。Cloud Connectorを使用しているCitrix Endpoint Managementのユーザーは、通常、自社データセンターでNetScaler Gatewayを管理します。
次の図は、サービスとそのセキュリティ境界です。
このセクションには、次の情報が記載されています:
- Citrix Cloudのセキュリティ機能を紹介します。
- Citrix Cloudのセキュリティを確保するために、Citrixと顧客の責任範囲を定義します。
- Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスは提供しません。
包括的なエンドツーエンドのセキュリティを実現するためにCitrix Endpoint Managementが使用するテクノロジについては、Security and Productivity for the Mobile Enterpriseを参照してください。
データフロー
コントロールプレーンは、ユーザーオブジェクトおよびグループオブジェクトへの読み取りアクセスが制限されています。これらのオブジェクトは、ディレクトリ、DNS、および同様のサービスに格納されています。コントロールプレーンは、セキュリティ保護されたHTTPS接続を使用してCitrix Cloud Connector経由でこれらのサービスにアクセスします。
メール、イントラネット、Webアプリのトラフィックなどの企業データは、NetScaler Gatewayを介して直接デバイスとアプリケーションサーバー間を移動します。NetScaler Gatewayは、顧客のデータセンターに導入されています。
データ分離
コントロールプレーンは、ユーザーデバイスおよびそのモバイルアプリケーションを管理するために必要なメタデータを保存します。サービス自体は、マルチテナントコンポーネントとシングルテナントコンポーネントを組み合わせて構成されています。ただし、サービスアーキテクチャごとに、顧客のメタデータは常に各テナントに個別に保存され、固有の資格情報で保護されます。
資格情報の処理
このサービスは、次の種類の資格情報を処理します:
- ユーザーの資格情報: ユーザーの資格情報は、HTTPS接続経由でデバイスからコントロールプレーンに送信されます。コントロールプレーンは、セキュリティで保護された接続を介して顧客ディレクトリ内のディレクトリでこれらの資格情報を検証します。
- 管理者資格情報: 管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。このプロセスでは、ワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はそのサービスにアクセスできます。
- Active Directory資格情報: コントロールプレーンには、Active Directoryからユーザーのメタデータを読み取るためにバインド資格情報が必要です。これらの資格は、AES-256暗号化で暗号化され、テナントごとのデータベースに保存されます。
展開に関する考慮事項
ご使用の環境内にNetScaler Gatewayを導入する場合、公開されているベストプラクティスのドキュメントを参照することをお勧めします。
その他のリソース
Citrix製品に関連するセキュリティ情報を確認することをお勧めします。新しいセキュリティ情報、および更新されたセキュリティ情報については、「Citrix Security Bulletins」を参照してください。また、サインアップして [通知設定] でアラートを受信することを検討してください。
セキュリティ情報について詳しくは、次のリソースを参照してください:
- Citrixセキュリティサイト:https://www.citrix.com/security
- Citrix Cloudドキュメント:セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド
- Secure Deployment Guide for Citrix ADC(英語)
Mobile Threat Defenseソフトウェアとの統合
Mobile Threat Defense(MTD)は、エンタープライズモバイルデバイスに対する高度なサイバー攻撃の検出、分析、および阻止するための支援を行います。MTDとUnified Citrix Endpoint Management(UEM)を組み合わせることによって、組織のセキュリティと可視性を向上させます。
MTDソフトウェアは、Citrix Endpoint Managementが以下の目的で使用する脅威データを提供します:
- マルウェア、フィッシング、ネットワーク攻撃、および中間者攻撃に対して保護する。
- デバイスのコンプライアンスステータスを定義する。
- リスクレベルを定義する。
- アプリ、データ、デバイス、およびモバイルネットワークを保護するために、ポリシーベースの措置を講じる。
Citrix Endpoint Managementは、以下のMTDベンダーと統合されています:
詳細およびデモのリクエストについては、当社のMTDパートナーまたはCitrixの営業担当者にお問い合わせください。