Citrix Endpoint Management

システム要件

CitrixがCitrix Endpoint Managementをプロビジョニングしている間、Cloud ConnectorをインストールしてCitrix Endpoint Managementの展開を準備してください。Citrix Endpoint ManagementソリューションはCitrixがホストしていますが、一部の通信とポートの設定が必要です。これによって、Citrix Endpoint ManagementインフラストラクチャをActive Directoryなどの企業サービスに接続できます。

Cloud Connectorの要件

Citrixでは、Cloud Connectorを使用してCitrix Endpoint Managementアーキテクチャを既存のインフラストラクチャに統合します。Cloud Connectorは、ポート443を介してCitrix Endpoint Managementに次のリソースの場所を安全に統合します:LDAP、PKIサーバー、内部DNSクエリ、およびCitrix Workspaceの列挙。

  • Active Directoryドメインに参加している少なくとも2台の専用Windows Serverマシン。マシンは仮想マシンでも物理マシンでもかまいません。適切なインストールおよび操作のために、Cloud Connectorをインストールするマシンは、UTC時間と同期している必要があります。最新の要件の完全な一覧については、Citrixアカウントチームが提供する展開資料を参照してください。

    オンボードウィザードでは、これらのマシンにCloud Connectorをインストールする方法について順を追って説明します。

  • プラットフォームのシステム要件について詳しくは、「Citrix Cloud Connector」を参照してください。

サポートされるActive Directoryの機能レベル

Citrix Endpoint Managementと合わせて使用することで、Citrix Cloud Connectorは、Active Directoryフォレストとドメインの以下の機能レベルをサポートします。

フォレスト機能レベル ドメイン機能レベル サポートされるドメインコントローラー
Windows Server 2016 Windows Server 2016 Windows Server 2016、Windows Server 2019
Windows Server 2016 Windows Server 2019 Windows Server 2019
Windows Server 2019 Windows Server 2019 Windows Server 2019

注:

Windows Server 2012 R2、2012、および2008 R2は製品終了(EOL)となったため、サポートされなくなりました。詳しくは、Microsoft社の製品に関するライフサイクルドキュメントを参照してください。

NetScaler Gateway Gatewayの要件

Citrix Endpoint Managementでは、次のシナリオに対応するためにリソースの場所にNetScaler Gatewayがインストールされている必要があります:

  • 基幹業務アプリのために内部ネットワークリソースにアクセスするには、マイクロVPNが必要。これらのアプリは、CitrixのMDXテクノロジでラップされています。Micro VPNは、内部バックエンドインフラストラクチャに接続するためにNetScaler Gatewayが必要です。
  • Citrix業務用モバイルアプリ(Citrix Secure Mailなど)を使用する予定。
  • Citrix Endpoint ManagementとMicrosoft Endpoint Managerを統合する予定である。

以下は要件です:

  • ドメイン(LDAP)認証
  • NetScaler Gateway 12.1以降。プラットフォームライセンスまたはユニバーサルライセンスが必要

詳しくは、「ライセンス」を参照してください。

  • パブリックSSL証明書。

詳しくは、「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。

NetScaler Gatewayの要件については、Citrixアカウントチームが提供する展開資料を参照してください。

Android Enterpriseの要件について詳しくは、「Android Enterprise」セクションを参照してください。

Citrix Filesの要件

Citrix Endpoint Management Premium Serviceオファリングでは、Citrix Filesのファイル同期と共有サービスを利用できます。Storage Zone Controllerを使用すると、Citrix Filesアカウントでプライベートデータストレージを使用できるようになり、Citrix Files SaaS(Software as a Service)のクラウドストレージが拡張されます。

Storage Zone Controllerの要件:

  • 専用の物理マシンまたは仮想マシン
  • Windows Server 2012 R2(Datacenter、Standard、またはEssentials)、Windows Server 2016、Windows Server 2019、またはWindows Server 2022
  • 2つのvCPU
  • 4GBのRAM
  • 50GBのハードディスクスペース
  • Webサーバー(IIS)のサーバーの役割:

    • アプリケーション展開:ASP. NET 4.5.2
    • セキュリティ:基本認証
    • セキュリティ:Windows認証

Citrix Filesのプラットフォーム要件:

  • Citrix Filesインストーラーには、Windows Serverの管理者権限が必要です
  • Citrix Files管理ユーザー名

ポート要件

デバイスとアプリがCitrix Endpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の図は、Citrix Endpoint Managementのトラフィックフローです。

Citrix Endpoint Managementのトラフィックフロー

次のセクションに、開く必要があるポートを一覧で示します。業務用モバイルアプリで使用するURLについて詳しくは、「機能フラグ管理」を参照してください。

NetScaler Gateway Gatewayのポート要件

Citrix Secure HubおよびCitrix WorkspaceからNetScaler Gateway経由でユーザーが接続できるようにするポートを開きます:

  • Citrix Endpoint Management
  • StoreFront
  • イントラネットWebサイトなどのその他の内部ネットワークリソース

NetScaler Gatewayについて詳しくは、NetScaler Gatewayドキュメントの「Citrix Endpoint Management環境の設定の構成」を参照してください。IPアドレスについては、NetScaler Gatewayのドキュメントで「NetScaler GatewayがIPアドレスを使用する方法」を参照してください。

TCPポート 説明 接続元 接続先
53(TCPとUDP) DNS接続に使用されます。 NetScaler Gateway SNIP DNSサーバー
80/443 NetScaler Gateway Gatewayは、2番目のファイアウォールを介してMicro VPN接続を内部ネットワークリソースに渡します。 NetScaler Gateway SNIP イントラネットWebサイト
123(TCPとUDP) ネットワークタイムプロトコル(Network Time Protocol:NTP)サービスに使用されます。 NetScaler Gateway SNIP NTPサーバー
389 セキュリティで保護されないLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはMicrosoft Active Directory
443 Citrix WorkspaceからStoreFrontへの接続、Citrix Virtual Apps and Desktopsへの接続に使用されます。 インターネット NetScaler Gateway
443 Web、モバイル、およびSaaSアプリの配信のためのCitrix Endpoint Managementへの接続に使用されます。 インターネット NetScaler Gateway
443 Cloud Connector通信に使用 - LDAP、DNS、PKI、Citrix Workspaceの列挙 Cloud Connectorサーバー https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 Citrix Endpoint Management Self Help Portalが有効な場合に、Webブラウザーからアクセスするために使用されます。 アクセスポイント(ブラウザー) Citrix Endpoint Management(https://<sitename>/zdm/shp
636 セキュリティで保護されるLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
1494 内部ネットワーク内のWindowsベースのアプリケーションへのICAコネクションに使用されます。このポートは開いたままにしておくことをお勧めします。 NetScaler Gateway SNIP Citrix Virtual Apps and Desktops
1812 RADIUS接続に使用されます。 NetScaler Gateway NSIP RADIUS認証サーバー
2598 セッション画面の保持を使用した内部ネットワーク内のWindowsベースのアプリケーションへの接続に使用されます。このポートは開いたままにしておくことをお勧めします。 NetScaler Gateway SNIP Citrix Virtual Apps and Desktops
3269 Microsoft Global Catalogのセキュリティで保護されるLDAP接続に使用されます。 NetScaler Gateway NSIP(ロードバランサーを使用する場合はSNIP) LDAP認証サーバーまたはActive Directory
4443 管理者がブラウザーを使用してCitrix Endpoint Managementコンソールにアクセスする場合に使用されます。 アクセスポイント(ブラウザー) Citrix Endpoint Management
8443 登録、アプリストア、モバイルアプリケーション管理(MAM)に使用されます。 NetScaler Gateway SNIP Citrix Endpoint Management
8443 Citrix Secure Mail認証トークンに使用されるCitrix Secure Ticket Authority(STA)ポート NetScaler Gateway SNIP Citrix Endpoint Management

ネットワークとファイアウォールの要件

デバイスとアプリがCitrix Endpoint Managementと通信できるようにするには、ファイアウォールの特定のポートを開きます。次の表に、これらのポートの一覧を示します。

内部ネットワークからCitrix Cloudへのポートを開く:

TCPポート 接続元IP 説明 接続先 接続先IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理コンソール https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   Webブラウザー経由のCitrix Endpoint Management Self Help Portalアクセス(ポータルが有効な場合) Citrix Endpoint Management  
4443   WebブラウザーからのCitrix Endpoint Managementコンソールへのアクセス Citrix Endpoint Management  

インターネットからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Citrix Endpoint Managementクライアントデバイス   NetScaler Gateway IP  
443 Citrix Endpoint Managementクライアントデバイス   NetScaler Gateway VIP  
443 Citrix FilesパブリックIP CTX208318 NetScaler Gateway VIP  

DMZから内部ネットワークへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
389または636 NetScaler Gateway NSIP   Active Directory IP  
53(UDP) NetScaler Gateway NSIP   DNSサーバーIP  
443 NetScaler Gateway SNIP   Exchange(EAS)サーバーIP  
443 NetScaler Gateway SNIP   内部Webアプリ/サービス  
443 NetScaler Gateway SNIP   Storage Zone Controller IP  

内部ネットワークからDMZへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 管理クライアント   NetScaler Gateway NSIP  

内部ネットワークからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
443 Exchange(EAS)サーバーIP   Citrix Endpoint Managementプッシュ通知リスナー(1)  
443 Storage Zone Controller IP   Citrix Filesコントロールプレーン CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

企業Wi-Fiからインターネットへのポートを開く:

TCPポート 説明 接続元IP 接続先 接続先IP
8443 / 443 Citrix Endpoint Managementクライアントデバイス   Citrix Endpoint Management  
5223 Citrix Endpoint Managementクライアントデバイス   Apple APNSサーバー 17.0.0.0/8
5228 Citrix Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5229 Citrix Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5230 Citrix Endpoint Managementクライアントデバイス   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
443 Citrix Endpoint Managementクライアントデバイス   Firebase Cloud Messaging fcm.googleapis.com
443 Citrix Endpoint Managementクライアントデバイス   Windowsプッシュ通知サービス *.notify.windows.com
443 / 80 Citrix Endpoint Managementクライアントデバイス   Apple iTunes App Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Citrix Endpoint Managementクライアントデバイス   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443 / 80 Citrix Endpoint Managementクライアントデバイス   Microsoftアプリストア login.live.com, *.notify.windows.com
443 Citrix Endpoint Managementクライアントデバイス   iOSおよびAndroid向けCitrix Endpoint Management AutoDiscoveryサービス discovery.cem.cloud.us
443 Citrix Endpoint Managementクライアントデバイス   Windows向けCitrix Endpoint Management AutoDiscoveryサービス enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
443 Storage Zone Controller IP   Citrix Filesコントロールプレーン CTX208318
443 Citrix Endpoint Managementクライアントデバイス   Google Mobile Management、Google API、Google PlayストアAPI *.googleapis.com
443 Citrix Endpoint Managementクライアントデバイス   CloudDPC v470より前の接続性チェック。N MR1以降のAndroid接続性チェックでは、https://www.google.com/generate_204にアクセスできるか、指定されたWi-Fiネットワークでアクセス可能なPACファイルが指定されている必要があります。 connectivitycheck.android.com, www.google.com

AutoDiscoveryサービスの接続のポート要件

このポート構成では、Citrix Secure Hub for Androidから接続するAndroidデバイスで内部ネットワークからCitrix Endpoint Management AutoDiscoveryサービス(ADS)にアクセスできるようにします。ADSを介して利用可能なセキュリティ更新プログラムをダウンロードするとき、ADSにアクセスする能力は重要です。

注:

ADS接続ではプロキシサーバーがサポートされない可能性があります。このシナリオでは、ADS接続がプロキシサーバーをバイパスすることを可能にします。

証明書ピン留めを有効にする場合は、次の前提条件を完了します。

  • Citrix Endpoint ManagementサーバーとNetScaler Gatewayの証明書を収集する: 証明書はPEM形式で、秘密キーではなく公開証明書である必要があります。
  • Citrixサポートに証明書ピン留めの有効化を依頼する: このプロセスで、証明書の提出を求められます。

証明書ピン留めでは、デバイスを登録前にADSに接続する必要があります。この要件により、最新のセキュリティ情報がCitrix Secure Hubで利用できることが保証されます。Citrix Secure Hubでデバイスを登録する場合、デバイスがADSにアクセスできる必要があります。したがって、内部ネットワーク内でADSアクセスを可能にすることは、デバイスの登録を有効にするために重要です。

Citrix Secure Hub for Android/iOSにADSへのアクセスを許可するには、以下のFQDNのポート443を開放します:

FQDN ポート IPとポートの使用
discovery.cem.cloud.us 443 Citrix Secure Hub - CloudFront経由のADS通信

サポートされているIPアドレスについては、AWSのクラウドベースのストレージセンターを参照してください。

Android Enterpriseのネットワーク要件

Android Enterpriseのネットワーク環境設定時に考慮すべき発信接続については、Googleのサポート記事Android Enterprise Network Requirementsを参照してください。

アプリの要件

Citrix Endpoint Managementは、最大300個のアプリの追加と維持に対応しています。この制限を超えると、システムが不安定になります。

システム要件