製品ドキュメント
Citrix Endpoint Management
PDFを表示

HDXアプリ向けSmartAccess

March 15, 2024
寄稿者: 
C

この機能により、デバイスプロパティ、デバイスのユーザープロパティ、デバイスにインストールされたアプリケーションに基づいてHDXアプリへのアクセスを制御できます。この機能を使用するには、デバイスをコンプライアンス違反に指定してアクセスを拒否する、自動化された操作を設定します。この機能を使用するHDXアプリをCitrix Virtual Apps and Desktopsで構成するには、コンプライアンス違反のデバイスへのアクセスを拒否するSmartAccessポリシーを使用します。Citrix Endpoint Managementは、署名された暗号化タグを使って、StoreFrontにデバイスの状態を伝えます。するとStoreFrontは、アプリのアクセス制御ポリシーに基づいてアクセスを許可または拒否します。

この機能を使用するには、次の環境が必要です。

  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management
  • タグの署名と暗号化に使用するSAML証明書が構成されたCitrix Endpoint Management。秘密キーのない同じ証明書がStoreFrontサーバーにアップロードされます。

この機能を使い始めるには:

  • Citrix Endpoint Managementサーバー証明書をStoreFrontストアに構成します。
  • 必要なSmartAccessポリシーを使用して、少なくとも1つのCitrix Virtual Apps and Desktopsデリバリーグループを構成します。
  • Citrix Endpoint Managementで自動化された操作を設定します。

エンドポイントのHDXアプリ向けSmartAccess

この機能により、ポリシーベースのアクセス制御を適用してHDXアプリへのデバイスのアクセスを制限できます。HDXアプリに次のアクセスレベルを適用できます:

  • フルアクセス。デバイスは、Citrix Secure Hubストアが提供するすべてのHDXアプリにアクセスできます。
  • 制限付きアクセス。デバイスは、1つまたは複数のHDXアプリにアクセスできますが、すべてのHDXアプリにアクセスすることはできません。
  • アクセスなし。デバイスは、どのHDXアプリにもアクセスできません。

次の図は、アクセス制御のしくみを示しています。Citrix Secure HubでHDXアプリを起動しようとすると、Delivery Controllerに要求がトリガーされます。Delivery ControllerがCitrix Endpoint Managementサーバーに要求を転送すると、検証が行われます。検証結果によって、デバイスのアクセスレベルが決まります。たとえば、ジェイルブレイクされたデバイスの場合、HDXアプリへのアクセスは拒否されます。

SmartAccessアクセス制御

Citrix Endpoint Managementサーバー証明書のエクスポートと構成、およびStoreFrontストアへのアップロード

SmartAccessは、署名された暗号化タグを使用して、Citrix Endpoint ManagementサーバーとStoreFrontサーバー間で通信します。この通信を有効にするには、Citrix Endpoint Managementサーバー証明書をStoreFrontストアに追加します。

Citrix Endpoint Managementがドメインおよび証明書ベースの認証で有効な場合にStoreFrontとCitrix Endpoint Managementを統合する方法について詳しくは、Support Knowledge Centerを参照してください。

SAML証明書をCitrix Endpoint Managementからエクスポートする

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。[証明書] をクリックします。

  2. Citrix Endpoint ManagementサーバーのSAML証明書を見つけます。

    SmartAccess構成

  3. [機密キーをエクスポート][オフ] に設定されていることを確認します。[エクスポート] をクリックして、証明書をダウンロードディレクトリにエクスポートします。

    SmartAccess構成

  4. ダウンロードディレクトリで証明書を検索します。証明書はPEM形式です。

    SmartAccess構成

証明書をPEMからCERに変換する

  1. Microsoft管理コンソール(MMC)を開き、[証明書]>[すべてのタスク]>[インポート] を右クリックします。

    SmartAccess構成

  2. 証明書のインポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成

  3. ダウンロードディレクトリで証明書を参照します。

    SmartAccess構成

  4. [証明書をすべて次のストアに配置する] をクリックし、証明書ストアとして [個人] を選択します。[次へ] をクリックします。

    SmartAccess構成

  5. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

  6. MMCで証明書を右クリックし、[すべてのタスク]、[エクスポート] の順に選択します。

    SmartAccess構成

  7. 証明書のエクスポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成

  8. [DER encoded binary X.509 (.CER)] の形式を選択します。[次へ] をクリックします。

    SmartAccess構成

  9. 証明書を参照します。証明書の名前を入力し、[次へ] をクリックします。

    SmartAccess構成

  10. 証明書を保存します。

    SmartAccess構成

  11. 証明書を参照し、[次へ] をクリックします。

    SmartAccess構成

  12. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

    SmartAccess構成

  13. ダウンロードディレクトリで証明書を検索します。証明書はCER形式です。

    SmartAccess構成

証明書をStoreFrontサーバーにコピーする

  1. StoreFrontサーバーで、SmartCertという名前のフォルダーを作成します。

  2. 証明書をSmartCertフォルダーにコピーします。

    SmartAccess構成

StoreFrontストアで証明書を構成する

StoreFrontサーバーで、次のPowerShellコマンドを実行して、変換したCitrix Endpoint Managementサーバー証明書をストアに構成します:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

SmartAccess構成

StoreFrontストアに既存の証明書が存在する場合は、次のPowerShellコマンドを実行して証明書を無効にします。

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

SmartAccess構成

あるいは、StoreFrontサーバー上で次のPowerShellコマンドのいずれかを実行して、StoreFrontストア上の既存の証明書を取り消すこともできます:

  • 名前で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • 拇印で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->
  • サーバーオブジェクトで取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Citrix Virtual Apps and DesktopsでのSmartAccessポリシーの構成

HDXアプリを配信するデリバリーグループに必要なSmartAccessポリシーを追加するには、次の手順を行います。

  1. Citrix CloudコンソールでCitrix Studioを開きます。

  2. Studioのナビゲーションペインで [デリバリーグループ] を選択します。

  3. アプリを配信するグループまたはアクセスを制御するアプリを選択します。[操作] ペインの [デリバリーグループの編集] を選択します。

  4. [アクセスポリシー] ページで、[NetScaler Gatewayを経由する接続][次のいずれかに一致する接続] を選択します。

  5. [追加] をクリックします。

  6. [ファーム] が「XM」で、[フィルター] が「XMCompliantDevice」のアクセスポリシーを追加します。

    SmartAccess構成

  7. [適用] をクリックして行った変更を適用しウィンドウを開いたままにするか、[OK]をクリックして変更を適用しウィンドウを閉じます。

Citrix Endpoint Managementで自動化された操作を設定する

HDXアプリのデリバリーグループに設定したSmartAccessポリシーは、デバイスがコンプライアンス違反である場合にそのデバイスへのアクセスを拒否します。自動化された操作を使用して、そのデバイスをコンプライアンス違反としてマークします。

SmartAccess構成

  1. Citrix Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。次の例では、ユーザープロパティ名がeng5またはeng6の場合に、デバイスを直ちにコンプライアンス違反と指定するトリガーを作成します。

    SmartAccess構成

  5. [トリガー] 一覧で、[デバイスプロパティ][ユーザープロパティ]、または [インストール済みアプリ名] を選択します。SmartAccessはイベントトリガーをサポートしていません。

  6. [アクション] 一覧で、以下を実行します。

    • [コンプライアンス違反としてデバイスをマーク] を選択します。
    • [=] を選択します。
    • [真] を選択します。
    • トリガー条件が満たされたときに、直ちにデバイスをコンプライアンス違反としてマークされるように操作を設定するには、時間枠を0に設定します。

  7. Citrix Endpoint Managementデリバリーグループまたはこの操作を適用するグループを選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

デバイスがコンプライアンス違反としてマークされると、HDXアプリはCitrix Secure Hubストアに表示されなくなります。ユーザーはアプリにサブスクライブされなくなります。デバイスに通知は送信されず、Citrix Secure HubストアではHDXアプリが以前は利用可能であったことは示されません。

デバイスがコンプライアンス違反としてマークされたときにユーザーに通知する場合は、通知を作成し、その通知を送信する自動化された操作を作成します。

この例では、デバイスがコンプライアンス違反としてマークされたときに「Device serial number or telephone number no longer complies with the device policy and HDX applications will be blocked.」という通知を作成して送信します。

SmartAccess構成

デバイスがコンプライアンス違反としてマークされたときにユーザーに表示される通知を作成する

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [通知テンプレート] をクリックします。[通知テンプレート] ページが開きます。

  3. [通知テンプレート] ページで [追加] をクリックして追加します。

  4. 次の設定を構成します:

    • 名前: HDXアプリケーションブロック
    • 説明: デバイスがコンプライアンス違反である場合のエージェント通知
    • タイプ: アドホック通知
    • Citrix Secure Hub: アクティブ
    • メッセージ: デバイス${firstnotnull(device.TEL_NUMBER,device.serialNumber)}がデバイスポリシーに準拠しなくなりましたので、HDXアプリケーションがブロックされます。

    SmartAccess構成

  5. [保存] をクリックします。

デバイスがコンプライアンス違反としてマークされたときに通知を送信する操作を作成する

  1. Citrix Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

    • 名前: HDXブロック通知
    • 説明: デバイスがコンプライアンス違反である場合のHDXブロック通知

  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。

  5. [トリガー] 一覧で、以下を実行します。

    • [デバイスプロパティ] を選択します。
    • [コンプライアンス違反] を選択します。
    • [=] を選択します。
    • [真] を選択します。

    SmartAccess構成

  6. [操作] 一覧で、トリガーが満たされたときに実行される操作を指定します。

    • [通知を送信] を選択します。
    • 作成した通知である[HDX Application Block] を選択します。
    • 0を選択します。この値を0に設定すると、トリガー条件が満たされるとすぐに通知が送信されます。

  7. Citrix Endpoint Managementデリバリーグループまたはこの操作を適用するグループを選択します。この例では、[AllUsers] を選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

自動化された操作の設定について詳しくは、「自動化された操作」を参照してください。

ユーザーがHDXアプリに再度アクセスする方法

デバイスがコンプライアンスを再び満たすようになると、ユーザーはHDXアプリに再びアクセスできます。

  1. デバイスで、Citrix Secure Hubストアにアクセスして、ストア内のアプリを更新します。

  2. 対象のアプリに移動して [追加] をタップします。

アプリが追加されると、[マイアプリ]の横に青い点を付けて表示され、新しくインストールされたアプリであることを示します。

SmartAccess構成

HDXアプリ向けSmartAccess
March 15, 2024
寄稿者: 
C
March 15, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.