エンドユーザーがアクセスしたドメインまたは IP アドレスを検出
アプリケーション検出機能により、管理者は組織内でアクセスされている外部および内部のアプリケーション(HTTP/HTTPSおよびTCP/UDPアプリ)を可視化できます。この機能は、公開されているかどうかに関係なく、すべてのドメイン/IPアドレスを検出して一覧表示します。これにより、管理者はどのドメイン/IPアドレスが誰によってアクセスされているかを確認し、それらをアプリケーションとして公開してそれらのユーザーにアクセスを提供するかどうかを決定できます。
Citrix Secure Private Accessサービス内でアプリケーション検出機能を有効にするには、管理者は、アプリケーションとユーザーアクセスを検出して報告する必要があるサブネットまたはワイルドカードドメイン、あるいはその両方を構成する必要があります。管理者は、アプリケーション構成ワークフローを使用して幅広いサブネットとワイルドカードドメインを定義し、すべてのアプリケーション定義構成に使用されるのと同じアプリケーションアクセスポリシーワークフローを実行します。アプリケーション検出の設定について詳しくは、「 新しい環境における内部ドメインのアプリケーション検出」を参照してください。
アプリケーション検出機能は、管理者に次の機能を提供します:
- エンドユーザーがアクセスする内部または外部のドメイン/IPアドレスの両方を可視化します。
- アクセスされたあらゆる種類のアプリケーション (HTTP、HTTPS、TCP、UDP) を包括的に可視化します。Citrix Enterprise Browser、Secure Access Agent、Direct Access、または Workspace for Web 経由のアクセスなど、すべてのアクセス方法がサポートされています。
- エンドユーザーがアクセスした公開または未公開のドメイン/IPアドレスの両方を表示します。
- Citrix Enterprise Browser経由でアクセスするアプリケーションを公開する際に、関連ドメインとして構成する必要があるメインドメインとその基盤となる組み込みドメインの両方が表示されます。
- 埋め込みドメインをツリー構造で表示します。管理者はメインドメインの横にある展開記号 (>) をクリックすると、埋め込みドメインを表示できます。
- メインドメイン、埋め込みドメイン (HTTP/HTTPS)、または宛先IPアドレス (TCP/UDP) がアプリケーションに関連付けられていない場合に、管理者が新しいアプリケーションを作成したり、それらのドメインを既存のアプリケーションに追加したりできます。
次の図は、 アプリ検出ページのサンプルを示しています 。 アプリ検出ページでは 、プロトコル (HTTP/HTTPS、TCP/UDP) とドメイン/IPアドレスとポート番号に基づいてドメインをフィルタリングできます。また、エンドユーザーがアクセスした未公開 (どのアプリにも割り当てられていない) ドメインも表示されます。メインドメインとその下に埋め込みドメインのドロップダウンリストが表示されます。これらのドメインは、アプリケーションの公開時に関連ドメインとして設定する必要があります。
注:
- 組み込みドメインは、Citrix Enterprise Browser経由でアクセスされるHTTP/HTTPSアプリのメインドメインにのみグループ化されます。TCP/UDP ドメインは 1 つのメインドメインにグループ化されていません。
- 組み込みドメインのグループ化は、Citrix Enterprise Browser(v119以降)からアクセスするアプリでのみ使用できます。
新しい環境における内部ドメインのアプリケーションディスカバリー
アプリケーション検出機能は、新しいSecure Private Access環境をセットアップしていて、構成するアプリケーションを可視化したい場合に使用できます。この機能は、エンドユーザーがアクセスするすべてのドメイン/IPアドレスを検出して一覧表示し、それらをアプリケーションとして構成できるようにします。Secure Private Access環境をセットアップするときに、次の手順を使用してアプリケーション検出機能を有効にします:
-
内部Webアプリケーションを検出するには、Secure Private Access内でアプリケーションを設定し、検出するアプリケーションのドメイン/サブドメインに属するワイルドカード関連ドメインを指定します。
たとえば、citrix.com というドメインのすべてのアプリケーションを検出する場合は、関連するワイルドカードドメインを
*.citrix.com
としてアプリケーションを作成します。アプリケーションの構成を完了できるようにするには、任意のテスト URL をメインの Web アプリの URL セクションとして追加します。ウェブアプリの URL:
https://test.citrix.com/
関連ドメイン:*.citrix.com
-
内部TCP/UDPアプリケーションの場合は、Secure Private Access内でアプリケーションを設定し、TCP/UDPプロトコルとポート範囲(範囲全体を含めるには
*
を入力)とともにサブネットを指定します。これにより、Citrix Secure Access Agent からすべてのTCPアプリとUDPアプリを検出できるようになります。たとえば、サブネット10.0.0.0/8内のすべてのアプリケーションを検出する場合は、次の詳細を使用してアプリを構成します。例:10.0.0.0/8:ポート:(*)
プロトコル:TCP
-
アプリケーションを作成したら、設定されたドメインとIPサブネットを使用してアプリケーションへのアクセスを許可するユーザーも定義する必要があります。アクセスポリシーを作成し、作成したアプリケーションで構成されている FQDN/IP アドレスへのアクセスを許可するユーザーを割り当てます。これらは最初のテストユーザーセットでも、最初にアクセス権を付与したい限られた数のユーザーでもかまいません。
-
アプリケーションと対応するアクセスポリシーを作成した後も、ユーザーは引き続きCitrix Workspaceアプリからアプリケーションにアクセスし、さまざまなドメインにアクセスできます。エンドユーザーがアクセスしたすべての FQDN/IP アドレスが [アプリケーション検出] ページに表示され始めます。
注:
- 数日または数週間にわたってほとんどのアプリケーションを発見して特定したら、最初に作成したアプリケーションを削除することをお勧めします。これにより、ワイルドカードドメインとIPサブネットを介して与えられる広範なアクセスを遮断し、検出された特定のアプリケーションURLとIPアドレスのみに新しいアプリケーションからのアクセスを許可する必要があります。
- アプリ名にプレフィックス
Discover
を追加して、これが検出の監視とレポートを有効にするための特別なアプリ構成であることを示します。この名前を付けておくと、ワイルドカードドメインか IP サブネット、あるいはその両方を削除すべきかを判断しやすくなり、数週間後または 1 か月後に、アプリアクセスゾーン全体を特定の FQDN と IP/ポートの組み合わせだけに減らすことができます。- TCP/UDPアプリにアクセスするには、ユーザーはCitrix Secure Access Agent を使用する必要があります。さまざまなアクセス方法からのアプリアクセスは、アプリのドメインとサブネットの設定に基づいて監視され、 App Discoveryページで報告されます 。
- 検出されたアプリケーションを削除した後でも、この機能はユーザーがアクセスしたドメイン/IPアドレスを検出し続けます。そのため、いつでも App Discovery ページに戻って、アクセスされている内容や、アプリケーションとして設定する必要のある新しいドメインや IP アドレスが見つかったかどうかを確認できます。
ドメイン、FQDN、または IP アドレスの追加の詳細については、次のトピックを参照してください。
アプリ発見ページからアプリケーションを作成する
アプリ検索ページから埋め込みドメインまたは未公開ドメインのアプリケーションを作成するには、次の手順を実行します:
- [ アプリケーション] > [アプリ検出] に移動します。
-
一覧からドメインを選択します。ドメインに埋め込みドメインがある場合は、メインドメインの横にある展開記号 (>) をクリックし、埋め込みドメインを選択します。
注:
- 異なるプロトコルに属するドメインを選択してアプリケーションを作成することはできません。異なるプロトコルに属するドメインを選択すると、エラーメッセージが表示されます。
- ドメインが既にアプリケーションに関連付けられている場合、そのドメインを再度選択してアプリケーションを作成することはできません。そのドメインに対応するチェックボックスはグレー表示され、チェックボックスの上にマウスを置くとツールチップが表示されます。
- 異なるメインドメインにグループ化された埋め込みドメインを選択してアプリケーションに追加することはできません。アプリケーション検出機能では、1つのメインドメインにグループ化された埋め込みドメインのみをアプリに追加できます。異なるメインドメインの埋め込みドメインを選択して同じアプリに追加すると、エラーメッセージが表示されます。
- [ アプリケーションを作成] をクリックします。アプリケーションの作成について詳しくは、「エンタープライズWebアプリのサポート」、「Software as a Serviceアプリのサポート」、およびクライアントサーバーアプリのサポート](/ja-jp/citrix-secure-private-access/service/add-and-manage-apps/support-for-client-server-apps)を参照してください。
既存のアプリケーションを更新する
既存のアプリケーションにドメインを追加するには、一覧からドメインを選択します。ドメインに埋め込みドメインがある場合は、メインドメインの横にある展開記号 (>) をクリックし、埋め込みドメインを選択します。
- アプリケーションに追加する必要がある埋め込みドメインを選択します。
- 「 既存のアプリケーションに追加する」をクリックします。
- 「 アプリケーション」で、これらのドメインを追加するアプリケーションを選択します。
- [ アプリの詳細を取得] をクリックします。
- 関連ドメインフィールドには 、以前に選択したすべての埋め込みドメインが別々の行に表示されます。
- [完了]をクリックします。
注:
- 既存の TCP/UDP アプリケーションには、TCP/UDP 宛先 IP アドレスのみを追加できます。アプリケーションフィールドには、システムで設定されている TCP/UDP アプリのみが表示されます。
- 既存の HTTP/HTTPS または TCP/UDP アプリを選択して、プロトコルが HTTP/HTTPS のドメイン (メイン、シングルエントリ、または埋め込み) を追加できます。
- 既にアプリケーションに関連付けられているドメインは選択できません。
既知の制限事項
- Secure Private Access ダッシュボードの「 アプリケーションの作成」オプションと「既存のアプリケーションへの追加」オプションはSecure Private Accessダッシュボード(合計訪問回数で上位に検出されたアプリケーションのグラフ)で利用できますが、「アプリ検出」タブ(「アプリケーション」** 「アプリ検出**」)からアプリケーションを作成または更新することをお勧めします。これは、ダッシュボードからアプリケーションを追加または更新して操作をキャンセルすると、ページがリロードされ、その結果、すべての設定がリセットされるためです。
- 埋め込みドメインを選択してアプリケーションを追加または更新した後、展開記号 (>) を折りたたむと、以前に選択した埋め込みドメインを識別するオプションは表示されません。前に選択した埋め込みドメインを識別するには、各メインドメインの展開記号 (>) を個別にクリックする必要があります。