StoreFront のセキュア プライベート アクセスによるブラウザ制限
Secure Private Accessソリューションを使用して、StoreFront でWebアプリとSaaSアプリを構成できるようになりました。 アプリを構成すると、エンドユーザーはセキュリティが強化されたCitrix Enterprise Browserを使用してWebアプリやSaaSアプリを開くことができます。
StoreFront の Secure Private Access サポートの詳細については、以下を参照してください。
-
Citrix Secure Private Access ドキュメントの Secure Private Access の概要 。
Citrix Enterprise Browser でのエンドユーザー アクセスを制限する
管理者は、Secure Private Access ソリューションを使用して、エンド ユーザーに対して Citrix Enterprise Browser に次のアクセス制限を適用できます。
クリップボードアクセスを制限
アプリとエンドポイントのクリップボード間の切り取り、コピー、貼り付け操作を無効にします。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 クリップボード 」を参照してください。
印刷を制限する
アプリ内からの印刷機能を無効にします。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 印刷 」を参照してください。
ダウンロードを制限する
Web および SaaS アプリ内からのダウンロード機能や、ブラウザーからのファイルのコピー機能を無効にします。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 ダウンロード 」を参照してください。
アップロードを制限する
ファイルのアップロード機能を無効にします。
注:
アップロード制限機能は次の場所で利用できます。
- Windows 105.1.1.27 およびそれ以降
- Mac 105.1.1.36 およびそれ以降
詳細については、Citrix Secure Private Access 製品ドキュメントの「 アップロード 」を参照してください。
透かしを表示
エンドポイントのユーザー名とパブリック IP アドレスを表示する画面ベースの透かしをオーバーレイします。
注:
[ ナビゲーションを制限 ] オプションはサポートされていません。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 ウォーターマーク 」を参照してください。
アプリ保護ポリシー
キーロギングを制限する
キーロガーからユーザーを保護します。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 キーロギング保護 」を参照してください。
画面キャプチャを制限する
このポリシーが適用されているアプリのスクリーンショットのキャプチャまたは画面録画を無効にします。 このポリシーは、保護されたタブがブラウザーウィンドウに表示されている(最小化されていない)かぎり、適用されます。
詳細については、Citrix Secure Private Access 製品ドキュメントの スクリーン キャプチャ を参照してください。
個人データのマスキング
管理者は、 個人データ マスキング 制限を使用して、クレジットカード番号、社会保障番号、日付などのさまざまな種類の個人識別情報 (PII) をマスクできます。 マスクされたコンテンツは、コピーまたは印刷しても保護されたままなので、機密情報を包括的に保護できます。
個人データのマスキング制限には、情報を完全にまたは部分的に非表示にするオプションがあります。 完全マスキング オプションは情報を完全にマスクします。 部分マスキング オプションを使用すると、情報の関連領域をマスクできます。
部分マスキング オプションでは、管理者は情報の先頭または末尾から何文字をマスクするかを選択できます。 それぞれのテキスト ボックスを使用して文字数を入力できます。
さらに、管理者は、正規表現を使用して、要件に応じてカスタム PII 検出ルールを柔軟に定義できます。 この機能を使用すると、Web ページから特定の情報を検出してマスクすることができます。
注:
この機能は正規表現 2 (RE2) のみをサポートします。 詳細については、「 WhyRE2 」および「 RE2 構文」を参照してください。
この制限を有効にすると、Citrix Enterprise Browser はマスクするように選択した PII を検出し、それをマスクして、エンドユーザーに通知を表示します。
構成
この制限の構成に関する詳細については、Citrix Secure Private Access ドキュメントの「 個人データのマスキング 」を参照してください。
注:
- PII 検出ルールを定義するときは、展開する前に正規表現をテストすることをお勧めします。
- PII マスキングは、編集可能なコンテンツを含む PDF ファイル、画像、Web ページには適用されません。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 個人データのマスキング 」を参照してください。
セキュリティグループのクリップボード制限
管理者は、グローバル アプリ構成サービス (GACS) またはセキュア プライベート アクセス、あるいはその 2 つの組み合わせを通じてクリップボードの制限を管理できます。 これにより、不正なデータ転送やデータ漏洩のリスクが最小限に抑えられるため、厳格なセキュリティ要件を持つ組織にとって不可欠な機能となります。
注:
グローバル アプリ構成サービス (GACS) によるクリップボード制限の管理の詳細については、「 クリップボード制限」を参照してください。
セキュアプライベートアクセスによるクリップボードへのアクセスを制限する
Secure Private Access を通じてクリップボードの制限を管理する場合、制限は制限対象として追加されたアプリの URL にのみ適用されます。
セキュリティグループを使用したクリップボードの制限
Citrix Secure Private Access で構成され、Citrix Enterprise Browser で開かれる特定のアプリへのクリップボード アクセスを制限するには、管理者がセキュリティ グループを作成し、その特定のアプリをそのグループに追加する必要があります。 これにより、エンド ユーザーは、そのセキュリティ グループ内のアプリ間でのみコンテンツをコピーして貼り付けることができます。 たとえば、Wikipedia、Pinterest、Dribble のアプリを追加してセキュリティ グループを作成するとします。 したがって、ユーザーが Citrix Workspace からこれらのアプリを開くと、これらの 3 つのアプリ間でのみコンテンツをコピーして貼り付けることができます。
セキュリティ グループを作成し、指定したアプリ グループを追加するには、Citrix Secure Private Access 製品ドキュメントの「 セキュリティ グループの作成 」を参照してください。
管理者がセキュリティ グループのアプリと自分のマシン上の他のローカル アプリまたは未公開のアプリ間でコンテンツのコピーと貼り付けを有効にする必要がある場合は、「 セキュリティ グループと他の未公開のアプリ間でのコピーと貼り付けを有効にする」を参照してください。
注:
管理者が、セキュリティ グループ内の特定のアプリに対してコピー アンド ペースト機能を有効または無効にするなど、セキュリティ グループ内の特定のアプリに厳しい制限を課したい場合は、その特定のアプリのアクセス ポリシーを作成して管理できます。 アクセス ポリシー ルールのセキュリティ設定内では、 コピー と 貼り付けの 2 つのアクセス設定オプションを使用できます。 この機能の詳細については、Citrix Secure Private Access 製品ドキュメントの「 詳細レベルのコピーまたは貼り付けを有効にする 」を参照してください。
セキュリティグループと他の未公開アプリ間でのコピーと貼り付けを有効にする
管理者は、エンド ユーザーがセキュリティ グループ内のアプリとエンタープライズ ブラウザーで開かれた他の未公開アプリ、またはシステム内に存在する他のネイティブ アプリ間でコピー アンド ペースト機能を実行できるようにすることもできます。 これを管理するには、セキュリティ グループの 高度なクリップボード設定 オプションを使用できます。 要件に応じて設定を管理するには、次のいずれかのオプションを選択できます。
セキュリティ グループから未公開ドメインへのデータのコピーを許可します: セキュリティ グループ内のアプリから Secure Private Access で公開されていない Web サイトへのデータのコピーを有効にします。
セキュリティ グループからネイティブ アプリへのデータのコピーを許可します。 セキュリティ グループ内のアプリからマシン上のローカル アプリへのデータのコピーを有効にします。
未公開ドメインからセキュリティ グループへのデータのコピーを許可します。 セキュリティ グループ内の Web サイトへの Secure Private Access を通じて公開されていないアプリからのデータのコピーを有効にします。
ネイティブ アプリのオペレーティング システムからセキュリティ グループへのデータのコピーを許可します。 マシン上のローカル アプリからセキュリティ グループ内のアプリへのデータのコピーを有効にします。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 詳細なクリップボード設定 」を参照してください。
注:
- GACS と Secure Private Access の両方を通じてクリップボード制限を適用する場合、Secure Private Access を通じて適用された制限が GACS よりも優先されます。
コピー、 貼り付け、 クリップボード などの個別の制限は、セキュリティ グループ</strong>の **クリップボード制限よりも優先されます。</li> </ul> </blockquote>
詳細については、Citrix Secure Private Access 製品ドキュメントの「 セキュリティ グループのクリップボード制限 」を参照してください。
エンドユーザーエクスペリエンス
任意の Web ページでクリップボードの制限が有効になっている場合、ユーザーが制限された Web ページにコンテンツを貼り付けようとすると、次の通知が表示されます。 ![貼り付けがブロックされました](/en-us/citrix-enterprise-browser/media/pasting-blocked.png) クリップボード制限が有効になっている場合、右クリック メニュー リストで **切り取り**、 **コピー** 、および **貼り付け** 機能が無効として表示されます。 あるいは、ユーザーはキーボード ショートカットを使用するか、 **その他** ( **⋮** ) > **検索と編集**から **切り取り**、 **コピー** **、** 貼り付けオプションにアクセスする必要があります。 ![右クリックメニューリスト](/en-us/citrix-enterprise-browser/media/right-click-menu-list.png)
ファイルタイプによるアップロード制限
管理者は、MIME(multi-purpose internet mail extensions)タイプに基づいてファイルのアップロードを制限できます。 すべてのファイルのアップロードを有効または無効にできる **アップロード** ポリシーとは異なり、 **ファイル タイプによるアップロード制限** ポリシーでは、特定の MIME タイプのファイルのアップロードを有効または無効にできます。 エンドユーザーが制限されたファイルの種類をアップロードしようとすると、Citrix Enterprise Browser に警告メッセージが表示されます。 ![ファイル形式 制限付きアップロード](/en-us/citrix-enterprise-browser/media/file-format-restricted-upload.png) この制限の構成の詳細については、Citrix Secure Private Access ドキュメントの「 [ファイル タイプ別のアップロード制限](/ja-jp/citrix-secure-private-access/current-release/spaop-security-controls#upload-restriction-by-file-type) 」を参照してください。
ファイルタイプによるダウンロード制限
管理者は、MIME(multi-purpose internet mail extensions)タイプに基づいてファイルのダウンロードを制限できます。 すべてのファイルのダウンロードを有効または無効にできる **ダウンロード** ポリシーとは異なり、 **ファイル タイプによるダウンロード制限** ポリシーでは、特定の MIME タイプのファイルのダウンロードを有効または無効にできます。 ![ファイル形式制限ダウンロード](/en-us/citrix-enterprise-browser/media/file-format-restricted-download.png) この制限の構成の詳細については、Citrix Secure Private Access ドキュメントの「 [ファイル タイプ別のダウンロード制限](/ja-jp/citrix-secure-private-access/current-release/spaop-security-controls#download-restriction-by-file-type) 」を参照してください。
注: > ポリシーで「 アップロード 」と「 ファイル タイプによるアップロード制限 」の両方の制限が有効になっている場合、「 アップロード 」の制限が他方の制限よりも優先されます。 同様に、ポリシーで「 ダウンロード 」と「 ファイル タイプによるダウンロード制限 」の両方の制限が有効になっている場合、「 ダウンロード 」の制限が他方の制限よりも優先されます。
プリンター管理
企業は機密文書の印刷や不正なデータ共有を防止できるようになりました。 管理者は、Secure Private Access経由でこのポリシーを構成できます。 管理者は、**[Save as PDF]** オプションを使用して、ネットワークプリンター、ローカルプリンター、印刷の動作を構成できます。 **Windowsの場合:** ![イメージ](/en-us/citrix-enterprise-browser/media/printer-windows.png) **Macの場合:** ![イメージ](/en-us/citrix-enterprise-browser/media/printer-mac.png) エンドユーザーのプリンターへのアクセスを制御するために、次のオプションを使用できます: - **Network printers:** ネットワークプリンターは、ネットワークに接続され、複数のユーザーが使用できるプリンターです。 - **Disabled:** ネットワーク内のすべてのネットワークプリンターからの印刷が無効になります。 - **Enabled:** すべてのネットワークプリンターからの印刷が有効になります。 プリンターのホスト名が指定されている場合、指定されたプリンター以外のすべてのネットワークプリンターがブロックされます。
注: > プリンターはホスト名によって識別されます。
- **Local printers:** ローカルプリンターは、個々のコンピューターに直接接続されたデバイスです。 この接続は通常、Bluetooth、USB、パラレルポート、またはその他の直接インターフェイス経由で実行されます。 - **Disabled:** すべてのローカルプリンターからの印刷が無効になります。 - **Enabled:** すべてのローカルプリンターからの印刷が有効になります。 - **Print using Save as PDF** - **Disabled:** コンテンツをPDF形式で保存するための[Save as PDF]オプションは無効になっています。 - **Enabled:** コンテンツをPDF形式で保存するための[Save as PDF]オプションは有効になっています。
注: >
- 管理者が特定の印刷オプションを無効にしている場合、それらのオプションはエンドユーザーに対して灰色表示されます。
- エンドユーザーは、デバイス上でネットワークプリンターの名前が変更されると、そのネットワークプリンターを使用できなくなります。
詳細については、Citrix Secure Private Access 製品ドキュメントの「 [プリンター管理](/ja-jp/citrix-secure-private-access/current-release/spaop-security-controls#printer-management) 」を参照してください。