製品ドキュメント
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDFを表示

セキュアな通信

April 16, 2026
寄稿者: 
C C

  • Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するために、Citrix Workspaceアプリの接続を以下のさまざまなセキュアなテクノロジーを使用して統合できます。

  • Citrix Gateway: 詳細については、このセクションのトピック、およびCitrix GatewayとStoreFrontのドキュメントを参照してください。
  • ファイアウォール: ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。
  • Transport Layer Security (TLS) バージョン1.0から1.2がサポートされています。
  • Citrix Workspaceアプリ接続で信頼関係を確立するための信頼済みサーバー。
  • ICA®ファイル署名
  • ローカルセキュリティ機関 (LSA) 保護
  • Citrix Virtual Apps展開専用のプロキシサーバー: SOCKSプロキシサーバーまたはセキュアプロキシサーバー。プロキシサーバーは、ネットワークへのアクセスとネットワークからのアクセスを制限するのに役立ちます。また、Citrix Workspaceアプリとサーバー間の接続も処理します。Citrix WorkspaceアプリはSOCKSおよびセキュアプロキシプロトコルをサポートしています。
    • アウトバウンドプロキシ

Citrix Gateway

-  Citrix Gateway(旧Access Gateway)は、StoreFrontストアへの接続を保護します。また、管理者がデスクトップやアプリケーションへのユーザーアクセスを詳細に制御できるようにします。

Citrix Gatewayを介してデスクトップおよびアプリケーションに接続するには:

-  1.  管理者が提供するCitrix GatewayのURLを、以下のいずれかの方法で指定します。

-  セルフサービスユーザーインターフェイスを初めて使用するときに、**[アカウントの追加]** ダイアログボックスでURLの入力を求められます。
-  後でセルフサービスユーザーインターフェイスを使用するときは、**[基本設定]** > **[アカウント]** > **[追加]** をクリックしてURLを入力します。
-  `storebrowse`コマンドで接続を確立する場合は、コマンドラインでURLを入力します。

URLはゲートウェイと、オプションで特定のストアを指定します。

  • Citrix Workspaceアプリが最初に見つけるストアに接続するには、次の形式のURLを使用します。

  • 特定のストアに接続するには、たとえば [https://gateway.company.com](https://gateway.company.com)?\<storename> の形式のURLを使用します。この動的URLは非標準形式であり、URLに「=」(等号文字)を含めないでください。storebrowseで特定のストアへの接続を確立する場合は、storebrowseコマンドでURLを引用符で囲む必要がある場合があります。

  1. プロンプトが表示されたら、ユーザー名、パスワード、およびセキュリティトークンを使用してストア(ゲートウェイ経由)に接続します。この手順の詳細については、Citrix Gatewayのドキュメントを参照してください。

認証が完了すると、デスクトップとアプリケーションが表示されます。

ファイアウォール経由の接続

  • ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。ファイアウォールを使用している場合、Windows向けCitrix Workspaceアプリは、WebサーバーとCitrixサーバーの両方とファイアウォールを介して通信できます。

  • 一般的なCitrix通信ポート

  • ソース 種類 ポート 詳細
  • Citrix Workspaceアプリ TCP 80/443 StoreFrontとの通信
  • ICAまたはHDX TCP/UDP 1494 アプリケーションおよび仮想デスクトップへのアクセス
  • セッションの信頼性を備えたICAまたはHDX TCP/UDP 2598 アプリケーションおよび仮想デスクトップへのアクセス
  • TLS経由のICAまたはHDX TCP/UDP 443 アプリケーションおよび仮想デスクトップへのアクセス

ポートの詳細については、Knowledge Centerの記事 [CTX101810](https://support.citrix.com/article/CTX101810) を参照してください。

Transport Layer Security

Transport Layer Security (TLS) は、SSL (Secure Sockets Layer) プロトコルの後継です。Internet Engineering Taskforce (IETF) は、TLSをオープン標準として開発する責任を引き継いだ際に、その名称をTLSに変更しました。

TLSは、サーバー認証、データストリームの暗号化、およびメッセージの整合性チェックを提供することにより、データ通信を保護します。米国政府機関を含む一部の組織では、データ通信を保護するためにTLSの使用を義務付けています。これらの組織は、Federal Information Processing Standard (FIPS) 140などの検証済み暗号化の使用を要求する場合もあります。FIPS 140は暗号化の標準です。

通信媒体としてTLS暗号化を使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。StoreFront通信の保護については、StoreFrontドキュメントの [Secure](/ja-jp/storefront/current-release/secure.html) セクションを参照してください。VDAの保護については、Citrix Virtual Apps and Desktopsドキュメントの [Transport Layer Security (TLS)](https://docs.citrix.com/ja-jp/citrix-virtual-apps-desktops/secure/tls.html) を参照してください。

以下のポリシーを使用して、次のことができます。

  • TLSの使用を強制する: インターネットを含む信頼できないネットワークを使用する接続には、TLSを使用することをお勧めします。
  • FIPS (Federal Information Processing Standards) の使用を強制する: 承認された暗号化を使用し、NIST SP 800-52の推奨事項に従います。これらのオプションはデフォルトで無効になっています。
  • 特定のバージョンのTLSと特定のTLS暗号スイートの使用を強制する: CitrixはTLS 1.0、TLS 1.1、およびTLS 1.2プロトコルをサポートしています。
  • 特定のサーバーにのみ接続する。
  • サーバー証明書の失効を確認する。
  • 特定のサーバー証明書発行ポリシーを確認する。
  • サーバーがクライアント証明書を要求するように構成されている場合は、特定のクライアント証明書を選択する。

Windows向けCitrix Workspaceアプリは、TLS 1.2プロトコルに対して以下の暗号スイートをサポートしています。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

重要:

セキュリティ強化のため、以下の暗号スイートは非推奨です。

-  RC4および3DES暗号スイート
-  プレフィックス「TLS_RSA_*」を持つ暗号スイート

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLSのサポート
  1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。

  2. コンピューターの構成 ノードで、管理用テンプレート > Citrix Workspace > ネットワークルーティング に移動し、TLSとコンプライアンスモードの構成 ポリシーを選択します。

    • TLSとコンプライアンスモードのポリシー

      1. 有効 を選択し、サーバーでのセキュアな接続を有効にし、通信を暗号化します。以下のオプションを設定します。

    注:

    Citrixでは、セキュアな接続にTLSを推奨しています。

    1. すべての接続にTLSを要求 を選択し、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップへの接続にTLSを使用するように強制します。

    2. セキュリティコンプライアンスモード メニューから、適切なオプションを選択します。

      1. なし - コンプライアンスモードは適用されません。
      2. SP800-52 - NIST SP 800-52に準拠するために、SP800-52を選択します。このオプションは、サーバーまたはゲートウェイがNIST SP 800-52の推奨事項に従っている場合にのみ選択してください。

      注:

      SP800-52を選択した場合、FIPSを有効にするが選択されていなくても、FIPS承認済み暗号化が自動的に使用されます。また、Windowsのセキュリティオプションである「システム暗号化: 暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用する」を有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。

      SP800-52を選択した場合、証明書失効チェックポリシーの設定を「完全アクセスチェックとCRL必須」に設定します。

      SP800-52を選択すると、Citrix Workspaceアプリは、サーバー証明書がNIST SP 800-52の推奨事項に従っていることを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリは接続に失敗する可能性があります。

      1. FIPSを有効にする - FIPS承認済み暗号化の使用を強制するには、このオプションを選択します。また、オペレーティングシステムのグループポリシーからWindowsのセキュリティオプションである「システム暗号化: 暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用する」を有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。

    3. 許可されたTLSサーバー ドロップダウンメニューから、ポート番号を選択します。Citrix Workspaceアプリが指定されたサーバーにのみ接続するように、コンマ区切りのリストを使用します。ワイルドカードとポート番号を指定できます。たとえば、*.citrix.com: 4433は、共通名が.citrix.comで終わり、ポート4433を使用する任意のサーバーへの接続を許可します。証明書の発行者は、セキュリティ証明書内の情報の正確性を保証します。Citrix Workspaceが発行者を認識または信頼しない場合、接続は拒否されます。

    4. TLSバージョン メニューから、以下のいずれかのオプションを選択します。

    • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルト設定です。このオプションは、互換性のためにTLS 1.0が必要なビジネス要件がある場合にのみ推奨されます。

    • TLS 1.1またはTLS 1.2 - 接続がTLS 1.1またはTLS 1.2のいずれかを使用するようにするには、このオプションを使用します。

    • TLS 1.2 - TLS 1.2がビジネス要件である場合に、このオプションが推奨されます。

    1. TLS暗号セット - 特定のTLS暗号セットの使用を強制するには、Government (GOV)、Commercial (COM)、またはAll (ALL) を選択します。

    2. 証明書失効チェックポリシー メニューから、以下のいずれかを選択します。

    • ネットワークアクセスなしでチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアのみが使用されます。すべての配布ポイントは無視されます。ターゲットのSSLリレー/Citrix Secure Web Gatewayサーバーから利用可能なサーバー証明書を検証する証明書失効リストのチェックは必須ではありません。

    • 完全アクセスチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。ターゲットサーバーから利用可能なサーバー証明書を検証するための証明書失効リストのチェックは重要ではありません。

    • 完全アクセスチェックとCRL必須 - ルート証明機関を除く証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって不可欠です。

    • 完全アクセスチェックとCRL必須(すべて) - ルートCAを含む証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって不可欠です。

    • チェックなし - 証明書失効リストのチェックは実行されません。

    ポリシー拡張OIDを使用すると、Citrix Workspaceアプリが特定の証明書発行ポリシーを持つサーバーにのみ接続するように制限できます。ポリシー拡張OIDを選択すると、Citrix Workspaceアプリはポリシー拡張OIDを含むサーバー証明書のみを受け入れます。

  3. クライアント認証メニューから、次のいずれかを選択します。

    • 無効 - クライアント認証が無効になります。

    • 証明書セレクターを表示 - 常にユーザーに証明書の選択を求めます。

    • 可能な場合は自動的に選択 - 識別する証明書の選択肢がある場合にのみ、ユーザーにプロンプトを表示します。

    • 未構成 - クライアント認証が構成されていないことを示します。

    • 指定された証明書を使用 - クライアント証明書オプションで設定されたクライアント証明書を使用します。

  4. クライアント証明書設定を使用して、識別証明書のサムプリントを指定し、ユーザーに不要なプロンプトを表示しないようにします。

  5. 適用OKをクリックしてポリシーを保存します。

信頼済みサーバー

信頼済みサーバー構成は、Citrix Workspaceアプリ接続における信頼関係を識別し、適用します。

  • 信頼済みサーバーを有効にすると、Citrix Workspaceアプリは要件を指定し、サーバーへの接続が信頼できるかどうかを判断します。たとえば、https://\*.citrix.comのような特定のアドレスに特定の接続タイプ(TLSなど)で接続するCitrix Workspaceアプリは、サーバー上の信頼済みゾーンに誘導されます。

    • この機能を有効にすると、接続されたサーバーはWindowsの信頼済みサイトゾーンに配置されます。Windowsの信頼済みサイトゾーンにサーバーを追加する方法については、Internet Explorerのオンラインヘルプを参照してください。

グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバー構成を有効にするには

  • 前提条件:

    • Connection Centerを含むCitrix Workspaceアプリのコンポーネントを終了します。
  1. gpedit.mscを実行してCitrix WorkspaceアプリGPO管理用テンプレートを開きます。
  2. コンピューターの構成ノードの下で、管理用テンプレート > Citrixコンポーネント > Citrix Workspace > ネットワークルーティング > 信頼済みサーバー構成の構成に移動します。
  3. 有効を選択して、Citrix Workspaceアプリに領域識別を強制します。
  4. 信頼済みサーバー構成を適用を選択します。このオプションは、クライアントに信頼済みサーバーを使用して識別を実行させます。
  5. Windowsインターネットゾーンドロップダウンメニューから、クライアントサーバーアドレスを選択します。この設定は、Windowsの信頼済みサイトゾーンにのみ適用されます。
  6. アドレスフィールドで、Windows以外の信頼済みサイトゾーンのクライアントサーバーアドレスを設定します。コンマ区切りのリストを使用できます。
  7. OK適用をクリックします。

ICAファイル署名

ICAファイル署名は、不正なアプリケーションまたはデスクトップの起動から保護するのに役立ちます。Citrix Workspaceアプリは、管理ポリシーに基づいて信頼できるソースがアプリケーションまたはデスクトップの起動を生成したことを検証し、信頼できないサーバーからの起動から保護します。ICAファイル署名は、グループポリシーオブジェクト管理用テンプレートまたはStoreFrontを使用して構成できます。ICAファイル署名機能は、デフォルトでは有効になっていません。

StoreFrontのICAファイル署名を有効にする方法については、StoreFrontのドキュメントのICAファイル署名を有効にするを参照してください。

ICAファイル署名の構成

注:

CitrixBase.admx\admlがローカルGPOに追加されていない場合、ICAファイル署名を有効にするポリシーが存在しない場合があります。

  1. gpedit.mscを実行してCitrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. コンピューターの構成ノードの下で、管理用テンプレート > Citrixコンポーネントに移動します。
  3. ICAファイル署名を有効にするポリシーを選択し、必要に応じていずれかのオプションを選択します。
    1. 有効 - 署名証明書のサムプリントを信頼済み証明書サムプリントの許可リストに追加できることを示します。
    2. 証明書を信頼 - 表示をクリックして、既存の署名証明書のサムプリントを許可リストから削除します。署名証明書のプロパティから署名証明書のサムプリントをコピーして貼り付けることができます。
    3. セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
      1. 署名された起動のみを許可(より安全):信頼済みサーバーからの署名されたアプリケーションおよびデスクトップの起動のみを許可します。無効な署名がある場合、セキュリティ警告が表示されます。非認証のため、セッションの起動は失敗します。
      2. 署名されていない起動時にユーザーにプロンプトを表示(より安全性が低い) - 署名されていない、または無効な署名のあるセッションが起動されたときにメッセージプロンプトが表示されます。起動を続行するか、起動をキャンセルするかを選択できます(デフォルト)。
  4. 適用OKをクリックしてポリシーを保存します。
  5. 変更を有効にするには、Citrix Workspaceアプリセッションを再起動します。

デジタル署名証明書を選択して配布するには:

デジタル署名証明書を選択する際は、次の優先順位リストから選択することをお勧めします。

  1. パブリック認証局(CA)からコード署名証明書またはSSL署名証明書を購入します。
  2. 企業がプライベートCAを所有している場合は、プライベートCAを使用してコード署名証明書またはSSL署名証明書を作成します。
  3. 既存のSSL証明書を使用します。
  4. ルートCA証明書を作成し、GPOまたは手動インストールを使用してユーザーデバイスに配布します。

ローカルセキュリティ機関 (LSA) 保護

Citrix Workspaceアプリは、システム上のローカルセキュリティのあらゆる側面に関する情報を維持するWindowsローカルセキュリティ機関 (LSA) 保護をサポートしています。このサポートにより、ホストされたデスクトップにLSAレベルのシステム保護が提供されます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークへのアクセスを制限し、Citrix Workspaceアプリ for Windowsとサーバー間の接続を処理するために使用されます。Citrix Workspaceアプリは、SOCKSおよびセキュアプロキシプロトコルをサポートしています。

サーバーと通信する場合、Citrix Workspaceアプリは、workspace for webを実行しているサーバーでリモートで構成されたプロキシサーバー設定を使用します。

Webサーバーと通信する場合、Citrix Workspaceアプリは、ユーザーデバイスのデフォルトWebブラウザーのインターネット設定を通じて構成されたプロキシサーバー設定を使用します。ユーザーデバイスのデフォルトWebブラウザーのインターネット設定を適切に構成してください。

StoreFront上のICAファイルを介してプロキシ設定を適用するには、Citrix Knowledge Centerの記事CTX136516を参照してください。

アウトバウンドプロキシのサポート

SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成および適用できます。たとえば、ユーザーがリモートデスクトップにドライブをマッピングすることを禁止したい場合があります。Citrix GatewayのSmartControl機能を使用すると、この詳細な制御を実現できます。

Citrix WorkspaceアプリとCitrix Gatewayが別々のエンタープライズアカウントに属している場合、シナリオは変わります。このような場合、ゲートウェイがドメイン上に存在しないため、クライアントドメインはSmartControl機能を適用できません。このとき、アウトバウンドICAプロキシを使用できます。アウトバウンドICAプロキシ機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でもSmartControl機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッション起動をサポートしています。アウトバウンドプロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。

アウトバウンドプロキシは、次の方法で構成できます。

  • 静的プロキシ:プロキシホスト名とポート番号を指定してプロキシサーバーを構成します。
  • 動的プロキシ:プロキシプラグインDLLを使用して、1つまたは複数のプロキシサーバーの中から単一のプロキシサーバーを選択できます。

グループポリシーオブジェクト管理用テンプレートまたはレジストリエディターを使用して、アウトバウンドプロキシを構成できます。

アウトバウンドプロキシの詳細については、Citrix Gatewayのドキュメントにある「アウトバウンドICAプロキシのサポート」を参照してください。

アウトバウンドプロキシのサポート - 構成

注:

静的プロキシと動的プロキシの両方が構成されている場合、動的プロキシの構成が優先されます。

GPO管理用テンプレートを使用したアウトバウンドプロキシの構成:

  1. gpedit.mscを実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。
  2. コンピューターの構成ノードで、管理用テンプレート > Citrix Workspace > ネットワークルーティングに移動します。
  3. 次のいずれかのオプションを選択します。
    • 静的プロキシの場合:NetScaler® LANプロキシを手動で構成ポリシーを選択します。有効を選択し、ホスト名とポート番号を指定します。
    • 動的プロキシの場合:DLLを使用してNetScaler LANプロキシを構成ポリシーを選択します。有効を選択し、DLLファイルへの完全なパスを指定します。例:C:\Workspace\Proxy\ProxyChooser.dll
  4. 適用OKをクリックします。

レジストリエディターを使用したアウトバウンドプロキシの構成:

  • 静的プロキシの場合:
    • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。

    • 次のようにDWORD値キーを作成します。

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • 動的プロキシの場合:

    • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
    • 次のようにDWORD値キーを作成します。 "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"
セキュアな通信
April 16, 2026
寄稿者: 
C C
April 16, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.