製品ドキュメント
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDFを表示

セキュリティ

April 16, 2026
寄稿者: 
C C

アプリ保護

  • アプリ保護は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)の使用時にセキュリティを強化するアドオン機能です。この機能を使用して、以下を行います。

  • クライアントがキーロギングや画面キャプチャマルウェアによって侵害される能力を制限
  • ユーザー資格情報や画面上の機密情報などの機密情報の漏洩を防止
  • ユーザーや攻撃者がスクリーンショットを撮ったり、キーロガーを使用して機密情報を収集および悪用したりするのを防止します。詳細については、「アプリ保護」を参照してください。

免責事項

アプリ保護ポリシーは、基盤となるオペレーティングシステムの必須機能(画面キャプチャやキーボード入力に必要な特定のAPI呼び出し)へのアクセスをフィルタリングします。アプリ保護ポリシーは、カスタムおよび専用のハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムが進化するにつれて、画面キャプチャやキーロギングの新しい方法が出現する可能性があります。Citrixはそれらを特定し対処し続けますが、特定の構成および展開において完全な保護を保証することはできません。

Citrix Workspaceアプリ for Windowsでアプリ保護を構成するには、「構成」の記事の「Citrix Workspaceアプリ for Windows」セクションを参照してください。

  • 注:

  • アプリ保護は、バージョン1912以降からのアップグレードでのみサポートされます。

  • deviceTRUST®とCitrix Workspace™アプリ for Windowsのシームレスな統合

  • バージョン2503以降、Citrix Workspaceアプリ for WindowsにはdeviceTRUSTが含まれており、セッション内の継続的なデバイスポスチャチェックを通じてセキュリティを強化します。deviceTRUSTは、統合展開のためにCitrix Workspaceアプリにパッケージ化されており、シームレスな統合と管理を保証します。詳細については、「deviceTRUST」を参照してください。

インストール

  • Citrix Workspaceアプリ for Windowsは、Citrix Workspaceアプリ for Windowsインストーラーに含まれるパッケージ版を使用してdeviceTRUSTを常にインストールまたは更新します
  • deviceTRUSTのインストールが失敗した場合、50024または50025のエラーコードが表示されますが、Citrix Workspaceアプリ for Windowsのインストールには影響しません
  • deviceTRUSTのインストールをスキップするには、コマンドラインからInstallDeviceTrust=Nコマンドを使用します。アップグレードの場合にdeviceTRUSTをインストールするには、InstallDeviceTrust=Yを使用できます

アンインストール

  • アンインストール中、Citrix Workspaceアプリは、自身がインストールした場合にのみdeviceTRUSTを削除します

  • 自動更新シナリオ

  • 既存の自動更新ユーザーの場合、Citrix WorkspaceアプリはdeviceTRUSTをインストールします
  • エンドユーザーがサポートされているバージョンのCitrix WorkspaceアプリでdeviceTRUSTのインストールをスキップした場合、次回の自動更新サイクルでもdeviceTRUSTのインストールはスキップされます

AppLockerによるセキュリティと互換性の強化

Citrix Workspaceアプリ for Windowsは、セキュリティポスチャツールであるAppLockerと互換性があります。この機能は、セキュリティ上の懸念に対処し、ユーザーエクスペリエンスを向上させます。

ICA®セキュリティ

ユーザーがアプリまたはデスクトップを起動すると、StoreFront™はICA情報を生成します。これには、クライアントがVDAに接続する方法に関する指示が含まれています。

インメモリハイブリッド起動

ユーザーがリソースを起動すると、StoreFrontはリソースへの接続方法に関する指示を含むICAファイルを生成します。Citrix Workspaceアプリ for Windows内で起動されると、ICAファイルはメモリ内で処理され、ディスクに保存されることはありません。

ユーザーがWebブラウザーでストアを開き、Citrix Workspaceアプリ for Windowsを使用してリソースに接続する場合、これはハイブリッド起動として知られています。構成に応じて、起動が発生する方法はさまざまです。詳細については、「StoreFrontユーザーアクセスオプション」を参照してください。

Citrix Workspaceアプリ for Windowsは、ユーザーのブラウザーからのインメモリICA起動のために、Citrix WorkspaceランチャーとCitrix Workspace Web拡張機能をサポートしています。ユーザーがICAファイルをダウンロードするオプションを無効にすることをお勧めします。これにより、ローカルに保存されたICAファイルが悪用される可能性のある表面攻撃やマルウェアが排除されます。StoreFront 2402以降でユーザーがICAファイルをダウンロードするオプションを無効にするには、「StoreFrontドキュメント」を参照してください。WorkspaceでユーザーがICAファイルをダウンロードするオプションを無効にするには、「Workspace PowerShellドキュメント」を参照してください。

ディスクからのICAファイルの起動防止

自身のシステムが常にインメモリ起動を使用することを確認したら、Citrix®はディスクからのICAファイルの起動を無効にすることを推奨します。これにより、ユーザーは悪意のあるソースから電子メールなどの方法で受け取ったICAファイルを開くことができなくなります。ディスクからのICAファイルの起動は、以下のいずれかの方法で無効にできます。

  • Global App Configサービス
  • クライアント上のグループポリシーオブジェクト (GPO) 管理用テンプレート

Global App Configサービス

Citrix Workspaceアプリ2106以降では、Global App Configurationサービスを使用できます。セキュリティと認証 > セキュリティ設定で、直接ICAファイル起動のブロックポリシーを有効に設定します。

グループポリシー

グループポリシーを使用してローカルディスクに保存されているICAファイルからのセッション起動をブロックするには、次の手順を実行します。

  1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
    1. コンピューターの構成ノードで、管理用テンプレート > Citrixコンポーネント > Citrix Workspace > クライアントエンジンに移動します。
    1. ICAファイルセッション起動の保護ポリシーを選択し、有効に設定します。
    1. 適用をクリックし、次にOKをクリックします。

ICAファイル署名

ICAファイル署名は、不正なアプリまたはデスクトップの起動から保護するのに役立ちます。Citrix Workspaceアプリは、信頼できるソースが管理ポリシーに基づいてアプリまたはデスクトップの起動を生成したことを検証し、信頼できないサーバーからの起動から保護します。ICAファイル署名は、GPO管理用テンプレートまたはStoreFrontを使用して構成できます。ICAファイル署名機能は、デフォルトでは有効になっていません。

StoreFrontのICAファイル署名を有効にする方法については、StoreFrontドキュメントのICAファイル署名を参照してください。

ICAファイル署名の構成

注記:

CitrixBase.admx\admlがローカルGPOに追加されていない場合、ICAファイル署名の有効化ポリシーが存在しない可能性があります。

  1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
  2. コンピューターの構成ノードで、管理用テンプレート > Citrixコンポーネントに移動します。
  3. ICAファイル署名の有効化ポリシーを選択し、必要に応じていずれかのオプションを選択します。
    1. 有効 - 署名証明書のサムプリントを信頼済み証明書サムプリントの許可リストに追加できることを示します。
    2. 証明書の信頼 - 表示をクリックして、既存の署名証明書のサムプリントを許可リストから削除します。署名証明書のプロパティから署名証明書のサムプリントをコピーして貼り付けることができます。
    3. セキュリティポリシー - メニューから以下のいずれかのオプションを選択します。
      1. 署名済み起動のみを許可(より安全): 信頼できるサーバーからの署名済みアプリおよびデスクトップの起動のみを許可します。無効な署名がある場合、セキュリティ警告が表示されます。非認証のため、セッション起動は失敗します。
      2. 未署名起動時にユーザーにプロンプトを表示(より安全性が低い) - 未署名または無効な署名付きセッションが起動されたときにメッセージプロンプトが表示されます。起動を続行するか、起動をキャンセルするかを選択できます(デフォルト)。
  4. 適用をクリックし、次にOKをクリックしてポリシーを保存します。
  5. 変更を有効にするには、Citrix Workspaceアプリセッションを再起動します。

デジタル署名証明書を選択する際は、以下の優先順位リストから選択することをお勧めします。

  1. 公開認証局 (CA) からコード署名証明書またはSSL署名証明書を購入します。
  2. 企業がプライベートCAを所有している場合は、プライベートCAを使用してコード署名証明書またはSSL署名証明書を作成します。
  3. 既存のSSL証明書を使用します。
  4. ルートCA証明書を作成し、GPOまたは手動インストールを使用してユーザーデバイスに配布します。

非アクティブタイムアウト

Workspaceセッションのタイムアウト

管理者は、ユーザーがCitrix Workspaceセッションから自動的にサインアウトされるまでのアイドル時間を指定するために、非アクティブタイムアウト値を構成できます。マウス、キーボード、またはタッチが指定された時間間隔でアイドル状態の場合、Workspaceから自動的にサインアウトされます。非アクティブタイムアウトは、アクティブな仮想アプリおよびデスクトップセッション、またはCitrix StoreFrontストアには影響しません。

非アクティブタイムアウトを構成するには、Workspaceドキュメントを参照してください。

エンドユーザーエクスペリエンスは次のとおりです。

  • サインアウトの3分前にセッションウィンドウに通知が表示され、サインインを維持するかサインアウトするかのオプションが示されます。
  • 通知は、構成された非アクティブタイムアウト値が5分以上の場合にのみ表示されます。
  • ユーザーはサインインを維持をクリックして通知を閉じ、アプリの使用を続行できます。この場合、非アクティブタイマーは構成された値にリセットされます。サインアウトをクリックして、現在のストアのセッションを終了することもできます。

StoreFrontセッションのタイムアウト

StoreFrontストアに接続されている場合、Citrix Workspaceアプリは非アクティブタイムアウトを適用しません。Citrix Gatewayを使用している場合は、ゲートウェイのセッションタイムアウトを構成できます。詳細については、StoreFrontドキュメントを参照してください。

セキュリティ
April 16, 2026
寄稿者: 
C C
April 16, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.