Citrix Endpoint Management

メール戦略

モバイルデバイスからメールに安全にアクセスできるようにすることは、組織のモビリティ管理の取り組みを推進するうえで主要な要因の1つです。適切なメール戦略を決定することは、Citrix Endpoint Management設計の鍵となる要素です。Citrix Endpoint Managementでは、セキュリティ、ユーザーエクスペリエンス、および統合の要件に基づいて、さまざまなユースケースに対応するためのオプションを提供しています。この記事では、クライアントの選択からメールのトラフィックフローまで、最適なソリューションを選択するための典型的な設計決定プロセスと考慮事項について説明します。

メールクライアントの選択

通常、クライアントの選択は、メール戦略の設計全体において最初に実行すべき項目です。Citrix Secure Mail、特定のモバイルプラットフォームのオペレーティングシステムに含まれるネイティブメール、またはパブリックアプリストアを通じて利用できる他のサードパーティクライアントから選択できます。必要に応じて、単一の(標準)クライアントを使用したり、クライアントの組み合わせを使用したりして、ユーザーコミュニティをサポートできます。

次の表に、使用可能なさまざまなクライアントオプションで設計上考慮すべき事項を示します:

       
トピック Citrix Secure Mail ネイティブ(iOS Mailなど) サードパーティのメールクライアント
構成 MDXポリシーによって構成されたExchangeアカウントプロファイル。 MDMポリシーによって構成されたExchangeアカウントプロファイル。Androidのサポートは次に限定されます:Android Enterprise。他のすべてのクライアントはサードパーティのクライアントと見なされます。 一般に、ユーザーが手動で構成する必要があります。
セキュリティ これ自体がセキュアに設計されており、最高のセキュリティを提供します。データ暗号化レベルが強化されたMDXポリシーを使用します。Citrix Secure Mailは、MDXポリシーによって完全に管理されているアプリです。Citrix PINにより、認証が強化されています。 ベンダーおよびアプリの機能セットに基づきます。より高いセキュリティを提供します。デバイスの暗号化設定を使用します。アプリへのアクセスでデバイスレベルの認証に依存します。 ベンダーおよびアプリの機能セットに基づきます。高いセキュリティを提供します。
統合 デフォルトで管理対象(MDX)アプリの操作を許可します。Citrix Secure WebでWeb URLを開きます。Citrix Filesにファイルを保存し、Citrix Filesからファイルを添付します。GoToMeetingへの直接参加およびダイヤルイン。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。
展開/ライセンス MDMを通じて、パブリックアプリストアから直接Citrix Secure Mailをプッシュできます。Citrix Endpoint ManagementのAdvancedおよびEnterprise Editionのライセンスに含まれています。 クライアントアプリは、プラットフォームのオペレーティングシステムに含まれています。追加のライセンス要件はありません。 エンタープライズアプリとしてMDM経由で、またはパブリックアプリストアから直接、プッシュできます。アプリベンダーに基づき、関連ライセンスモデル/コスト。
サポート クライアントおよびEMMソリューションを提供する単一ベンダーのサポート(Citrix)。Citrix Secure Hub/アプリのデバッグログ機能にサポートの連絡先情報が埋め込まれています。サポートするクライアントは1つです。 ベンダーによって定義されたサポート(Apple/Google)。デバイスのプラットフォームに基づいて異なるクライアントをサポートする必要がある場合があります。 ベンダーによって定義されたサポート。サードパーティのクライアントがすべての管理対象デバイスプラットフォームでサポートされていることを前提に、1つのクライアントをサポートします。

メールのトラフィックフローとフィルタリングに関する考慮事項

ここでは、Citrix Endpoint Managementのコンテキストでのメール(ActiveSync)のトラフィックフローに関する3つの主要なシナリオと設計上の考慮事項について説明します。

シナリオ1:インターネットに接続されたExchange

外部クライアントをサポートする環境では、通常、Exchange ActiveSyncサービスがインターネットに接続されています。モバイルのActiveSyncクライアントは、この外部に対するパスを通じて、リバースプロキシ(NetScaler Gatewayなど)またはエッジサーバーを介して接続します。このオプションは、ネイティブまたはサードパーティのメールクライアントを使用する場合に必要です。このため、このシナリオではこれらのクライアントが一般的な選択になります。また、一般的な方法ではありませんが、このシナリオでCitrix Secure Mailクライアントを使用することもできます。これにより、MDXポリシーの使用とアプリの管理によって提供されるセキュリティ機能のメリットが得られます。

シナリオ2:NetScaler Gateway経由のトンネリング(マイクロVPNおよびSTA)

Citrix Secure MailのMicro VPN機能により、Citrix Secure Mailクライアントを使用する場合はこのシナリオがデフォルトになります。この場合、Citrix Secure Mailクライアントは、NetScaler Gateway Gateway経由でActiveSyncへのセキュリティで保護された接続を確立します。本質的に、Citrix Secure Mailは、内部ネットワークからActiveSyncに直接接続するクライアントと考えることができます。通常Citrixのお客様は、最適なモバイルActiveSyncクライアントとしてCitrix Secure Mailを標準に決定します。この決定は、1つ目のシナリオで説明したように、インターネットに接続されたExchange Server上で、ActiveSyncサービスがインターネットに接続されないようにする取り組みの一部です。

マイクロVPN機能を使用できるのは、MAM SDK対応アプリまたはMDXでラップされたアプリのみです。MDXラッピングを使用する場合、このシナリオはネイティブクライアントには適用されません。MDX Toolkitを使用してサードパーティのクライアントをラップすることは可能ですが、この方法は一般的ではありません。ネイティブまたはサードパーティのクライアントにトンネルを介したアクセスを許可するためにデバイスレベルのVPNクライアントを使用することは煩雑であり、実行可能なソリューションではないことが実証されています。

シナリオ3:クラウドでホストされたExchangeサービス

クラウドでホストされたExchangeサービス(Microsoft Office 365など)の普及が進んでいます。ActiveSyncサービスもインターネットに接続しているため、Citrix Endpoint Managementのコンテキストでは、このシナリオは1つ目のシナリオと同じように扱うことができます。この場合、クラウドサービスプロバイダーの要件によってクライアントの選択が決まります。一般的にこの選択には、Citrix Secure Mailや他のネイティブクライアントまたはサードパーティクライアントなど、ほとんどのActiveSyncクライアントのサポートが含まれます。

このシナリオでは、Citrix Endpoint Managementは次の3つの領域で価値を付加できます:

  • MDXポリシーを含むクライアントとCitrix Secure Mailによるアプリの管理
  • サポートされているネイティブメールクライアントでのMDMポリシーを使用したクライアント構成
  • Citrix Endpoint Managementコネクタ:Exchange ActiveSync用を使用したActiveSyncのフィルターオプション

メールトラフィックのフィルタリングに関する考慮事項

インターネットに接続している大半のサービスと同様に、パスを保護し、承認されたアクセスに対してフィルターを提供する必要があります。Citrix Endpoint Managementソリューションには、ネイティブクライアントとサードパーティクライアントにActiveSyncのフィルタリング機能を提供するために特別に設計された2つのコンポーネント:NetScaler Gatewayコネクタ:Exchange ActiveSync用、Citrix Endpoint Managementコネクタ:Exchange ActiveSync用。

NetScaler Gatewayコネクタ:Exchange ActiveSync用

NetScaler Gatewayコネクタ:Exchange ActiveSync用は、ActiveSyncトラフィックのプロキシとしてNetScaler Gatewayを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りするときにインターセプトします。Exchange ActiveSync用コネクタは、NetScaler GatewayとCitrix Endpoint Managementの間の仲介役を果たします。デバイスがNetScaler Gateway上のActiveSync仮想サーバーを介してExchangeと通信する場合、NetScaler GatewayはExchange ActiveSync用コネクタサービスに対してHTTPコールアウトを実行します。このサービスは、Citrix Endpoint Managementを使用してデバイスの状態を確認します。Exchange ActiveSync用コネクタはNetScaler Gatewayに応答し、デバイスの状態に基づいて接続を許可または拒否します。また、ユーザー、エージェント、デバイスの種類やIDに基づいてアクセスをフィルターするように静的規則を構成することもできます。

この設定では、不正なアクセスを防ぐためにセキュリティレイヤーを追加して、Exchange ActiveSyncサービスのインターネットへの接続を許可します。設計上の考慮事項は次のとおりです:

  • Windows Server: Exchange ActiveSyncコンポーネント用コネクタにはWindows Serverが必要です。
  • フィルター規則のセット: Exchange ActiveSync用コネクタは、ユーザー情報ではなくデバイスの状態と情報に基づいてフィルターするように設計されています。ユーザーIDでフィルターするように静的規則を構成することもできますが、たとえばActive Directoryグループのメンバーシップに基づいてフィルターするオプションはありません。Active Directoryグループのフィルターが必要な場合は、代わりにCitrix Endpoint Managementコネクタ:Exchange ActiveSync用を使用できます。
  • NetScaler Gatewayのスケーラビリティ:NetScaler Gatewayを介したActiveSyncトラフィックのプロキシ要件を考慮すると、すべてのActiveSync SSL接続によって追加されたワークロードをサポートするには、NetScaler Gatewayインスタンスの適切なサイズ設定が不可欠です。
  • NetScaler Gateway統合キャッシュ: NetScaler Gateway上のExchange ActiveSync用コネクタの構成では、統合キャッシュ機能を使用してコネクタからの応答をキャッシュします。この構成により、NetScaler Gatewayでは、特定のセッション内のすべてのActiveSyncトランザクションに対してコネクタに要求を発行する必要がありません。適切なパフォーマンスとスケーラビリティを実現するにはこの構成も不可欠です。統合キャッシュは、NetScaler Gateway Platinum Editionで利用できます。
  • カスタムのフィルターポリシー:カスタムのNetScaler Gatewayポリシーを作成して、特定のActiveSyncクライアントを標準のネイティブモバイルクライアント以外に制限する必要がある場合があります。この構成では、ActiveSync HTTP要求とNetScaler Gatewayのレスポンダーポリシーの作成に関する知識が必要です。
  • Citrix Secure Mailクライアント: Citrix Secure Mailには、境界でのフィルターが不要なマイクロVPN機能が組み込まれています。一般に、Citrix Secure Mailクライアントは、NetScaler Gateway Gatewayを介して接続されている場合、内部の(信頼できる)ActiveSyncクライアントとして扱われます。ネイティブおよびサードパーティクライアント(Exchange ActiveSync用コネクタを使用)、およびCitrix Secure Mailクライアントのサポートが必要な場合:Citrix Secure Mailのトラフィックが、コネクタで使用されるNetScaler Gateway仮想サーバー経由でフローしないようにすることをお勧めします。これを実行するには、トラフィックがDNS経由でフローし、コネクタポリシーがCitrix Secure Mailクライアントに影響を与えないようにします。

Citrix Endpoint Management展開のNetScaler Gatewayコネクタ:Exchange ActiveSync用の図については、「アーキテクチャ」を参照してください。

Citrix Endpoint Managementコネクタ:Exchange ActiveSync用

Citrix Endpoint Managementコネクタ:Exchange ActiveSync用は、ExchangeサービスレベルでActiveSyncフィルターを提供するCitrix Endpoint Managementコンポーネントです。つまり、メールがCitrix Endpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。Mail Managerは、PowerShellを使用してExchange ActiveSyncにデバイスパートナーシップ情報のクエリを実行し、デバイスの隔離操作を通じてアクセスを制御します。これらのアクションは、Citrix Endpoint Managementコネクタ:Exchange ActiveSync用の規則条件に基づいて、デバイスを検疫に出し入れします。

NetScaler Gatewayコネクタ:Exchange ActiveSync用と同様に、Exchange ActiveSync用コネクタではCitrix Endpoint Managementを使用してデバイスの状態を確認し、デバイスのコンプライアンスに基づいてアクセスをフィルターします。また、デバイスの種類やID、エージェントのバージョン、Active Directoryグループのメンバーシップに基づいてアクセスをフィルターするように静的規則を構成することもできます。

このソリューションでは、NetScaler Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、Exchange ActiveSync用コネクタを展開できます。設計上の考慮事項は次のとおりです:

  • Windows Server:Exchange ActiveSync用コネクタにはWindows Serverの展開が必要です。
  • フィルター規則のセット:NetScaler Gatewayコネクタ:Exchange ActiveSync用と同様に、Exchange ActiveSync用コネクタには、デバイスの状態を評価するためのフィルター規則が含まれています。さらに、Exchange ActiveSync用コネクタは、Active Directoryグループのメンバーシップに基づいてフィルターする静的規則をサポートしています。
  • Exchangeの統合:Exchange ActiveSync用コネクタでは、ActiveSyncの役割をホストしているExchangeクライアントアクセスサーバー(CAS)に直接アクセスし、デバイスの隔離操作を制御する必要があります。環境アーキテクチャとセキュリティ状況によっては、この要件により課題がもたらされる可能性があります。この技術要件を前もって評価することが重要です。
  • 他のActiveSyncクライアント:Exchange ActiveSync用コネクタはActiveSyncサービスレベルでフィルターするため、Citrix Endpoint Management環境外の他のActiveSyncクライアントについて考慮します。Exchange ActiveSync用コネクタの静的規則を構成して、他のActiveSyncクライアントへの意図しない影響を防ぐことができます。
  • 拡張されたExchange機能: Exchange ActiveSyncとの直接統合により、Exchange ActiveSync用コネクタは、モバイルデバイス上でExchange ActiveSyncのワイプを実行する機能をCitrix Endpoint Managementに提供します。またExchange ActiveSync用コネクタでは、Citrix Endpoint ManagementがBlackberryデバイスに関する情報にアクセスしたり、その他の制御操作を実行することを許可します。

Citrix Endpoint Management展開のCitrix Endpoint Managementコネクタ:Exchange ActiveSync用の図については、「アーキテクチャ」を参照してください。

電子メールプラットフォーム決定木

次の図は、Citrix Endpoint Managementの展開でネイティブメールまたはCitrix Secure Mailのソリューションを使用する場合のメリットとデメリットを理解するのに役立ちます。選択ごとに、サーバー、ネットワーク、およびデータベースにアクセスするためのCitrix Endpoint Managementの関連オプションと要件がまとめられています。メリットとデメリットには、セキュリティ、ポリシー、およびユーザーインターフェイスの考慮事項に関する詳細が含まれています。

電子メールプラットフォーム決定木