Citrix Workspaceアプリ

App Protectionの構成

App Protectionは、Citrix Workspaceアプリの使用時のセキュリティを強化します。この機能は、クライアントがキーロガーや画面キャプチャマルウェアによって侵害される可能性を軽減します。App Protectionでは、画面に表示されるユーザーの資格情報や個人情報などの機密情報の流出を防ぎます。この機能を使うと、ユーザーおよび攻撃者がスクリーンショットを撮る、またはキーロガーを使用することにより機密情報を収集、悪用することを防ぐことができます。

この記事では、さまざまなプラットフォームのCitrix WorkspaceアプリでApp Protectionを構成する方法について説明します。

App Protectionは、次のプラットフォームのCitrix Workspaceアプリで利用できます:

免責事項

App Protectionポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングします。画面のキャプチャまたはキーボードの操作には、特定のAPI呼び出しが必要です。App Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。

Windows向けCitrix Workspaceアプリ

前提条件

  • Citrix Virtual Apps and Desktopsバージョン1912 LTSR以降。
  • StoreFrontバージョン1912 LTSRまたはWorkspace。
  • Citrix Workspaceアプリバージョン2203.1 LTSR以降。
  • 有効なApp Protectionライセンス
  • Citrix Workspaceアプリバージョン2212以降、Citrix Workspaceアプリのインストール中に、App Protectionコンポーネントがデフォルトでインストールされます。

    インストール中に表示される [App Protectionを有効にする] チェックボックスは、インストール後に、[App Protectionを開始する] チェックボックスに置き換えられます。

    • 2311より前のバージョンのCitrix Workspaceアプリの場合:

      インストール後にApp Protectionを開始する - 2311より前のバージョンのCitrix Workspaceアプリ

    • Citrix Workspaceアプリのバージョン2311以降:

      インストール後にApp Protectionを開始にする - 2311以降のバージョンのCitrix Workspaceアプリ

    このチェックボックスをオンにすると、インストール直後にApp Protectionが開始されます。

    注:

    このチェックボックスをオンにしない場合、App Protectionは、App Protectionの権限を持っている顧客の保護されたリソースまたはコンポーネントが最初に起動したときに自動的に開始されます。

構成

Windows向けCitrix Workspaceアプリの次のApp Protection機能を構成します:

制限事項

  • この機能は、Windows 11、Windows 10などのデスクトップオペレーティングシステムでのみサポートされます。
  • バージョン2006.1以降、Citrix WorkspaceアプリはWindows 7ではサポートされていません。そのため、App ProtectionはWindows 7では機能しません。詳しくは、「廃止」を参照してください。
  • この機能は、リモートデスクトッププロトコル(RDP)ではサポートされません。

コマンドラインインターフェイス

コマンドラインパラメーターの/startappprotectionを使用してApp Protectionコンポーネントを開始することができます。ただし、以前の/includeappprotectionスイッチは廃止されました。

次の表に、展開に応じて保護される画面に関する情報を示します:

App Protectionの展開 保護される画面 保護されない画面
Citrix Workspaceアプリに含まれる Self-service Plug-inとAuthentication Manager/[ユーザー資格情報]ダイアログボックス コネクションセンター、デバイス、Citrix Workspaceアプリのエラーメッセージ、クライアントの自動再接続、アカウントの追加
Controllerで構成 ICAセッション画面(アプリとデスクトップの両方) コネクションセンター、デバイス、Citrix Workspaceアプリのエラーメッセージ、クライアントの自動再接続、アカウントの追加

スクリーンショットを撮っているときは、保護されたウィンドウだけが黒く表示されます。保護されたウィンドウの外側の領域のスクリーンショットは撮ることができます。ただし、PrtScrキーを使用してWindows 10デバイスでスクリーンショットをキャプチャする場合は、保護されたウィンドウを最小化する必要があります。

以前は、Citrix認証画面とCitrix Workspaceアプリ画面では、画面キャプチャ対策機能とキーロギング防止機能がデフォルトで適用されていました。しかし、2212以降、これらの機能はデフォルトで無効となり、現在はグループポリシーオブジェクトを使用して構成する必要があります。

注:

このGPOポリシーは、ICAおよびSaaSセッションには適用されません。ICAおよびSaaSセッションは、引き続きDelivery ControllerおよびCitrix Secure Private Accessを使用して制御されます。

App Protectionの機能強化:

Windows向けCitrix Workspaceアプリ2305以降では、次の基準のいずれかが満たされる場合、認証画面とSelf-service Plug-in画面でキーロガー対策が有効になります:

  • 次のいずれかを使用してApp Protectionを有効にしました:
    • インストール中に [App Protectionを開始する] チェックボックスをオンにする。
    • コマンドラインパラメーターの/startappprotectionを使用してApp Protectionコンポーネントを開始する。
  • インストール中に [App Protectionを開始する] チェックボックスをオンにしていない場合、または/startappprotectionコマンドラインパラメーターを使用していない場合は、最初の保護されたリソースを起動した後にキーロガー対策保護が有効になります。

注:

Global App Configuration Serviceとグループポリシーオブジェクトの設定は、直前の動作を上書きします。たとえば、これらの画面に対してGACSまたはGPOポリシーを無効にしている場合、認証画面とSSP画面ではキーロガー対策が有効になりません。

Linux向けCitrix Workspaceアプリ

バージョン2108以降、App Protection機能の全機能が使用可能になりました。この機能はVirtual Apps and Desktopsをサポートし、デフォルトで有効になっています。ただし、AuthManConfig.xmlファイルでApp Protection機能を構成して、Authentication ManagerとSelf-service Plug-inインターフェイスで有効にする必要があります。

前提条件

App Protectionは、Gnome Display Managerと併せて、次のオペレーティングシステムで最適に機能します:

  • 64ビットUbuntu 22.04、Ubuntu 20.04、およびUbuntu 18.04
  • 64ビットDebian 10およびDebian 9
  • 64ビットCentOS 7
  • 64ビットRHEL 7
  • ARMHF 32ビットRaspberry Pi OS(Debian 10(buster)ベース)
  • ARM64 Raspberry Pi OS(Debian 11(bullseye)ベース)

注:

バージョン2204より前のCitrix Workspaceアプリを使用している場合、App Protection機能はglibc 2.34以降を使用するオペレーティングシステムをサポートしません。

glibc 2.34以降を使用するOSにApp Protection機能を有効にしたCitrix Workspaceアプリをインストールした場合、システムの再起動時にOSの起動に失敗することがあります。OSの起動エラーから回復するには、次のいずれかを実行します:

  • OSを再インストールします。
  • OSのリカバリモードに移動し、ターミナルを使用してCitrix Workspaceアプリをアンインストールします。
  • ライブOSから起動し、既存のOSからrm -rf /etc/ld.so.preloadファイルを削除します。

App Protectionコンポーネントのアンインストール

  1. tarballパッケージを使用してCitrix Workspaceアプリをインストールすると、次のメッセージが表示されます:App Protectionコンポーネントをインストールしますか? 警告:この機能を無効にすることはできません。無効にするには、Citrix Workspaceアプリをアンインストールする必要があります。詳しくは、システム管理者に問い合わせてください。[デフォルトは$INSTALLER_N]:

  2. Yを入力して、App Protectionコンポーネントをインストールします。App Protectionはデフォルトではインストールされません。

  3. 変更を反映するためにマシンを再起動します。App Protectionは、マシンを再起動した後にのみ正常に機能します。

RPMパッケージへのApp Protectionコンポーネントのインストール

バージョン2104以降、Citrix WorkspaceアプリのRPMバージョンでApp Protectionがサポートされています。

App Protectionをインストールするには、次の手順を実行します:

  1. Citrix Workspaceアプリをインストールします。
  2. Citrix WorkspaceアプリインストーラーからApp Protectionctxappprotection<version>.rpmパッケージをインストールします。
  3. 変更を反映するにはシステムを再起動します。

DebianパッケージへのApp Protectionコンポーネントのインストール

バージョン2101以降、Citrix WorkspaceアプリのDebianバージョンでApp Protectionがサポートされています。

App Protectionコンポーネントをインストールするには、Citrix Workspaceアプリをインストールする前に、ターミナルから次のコマンドを実行します:

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

Citrix Workspaceアプリではバージョン2106以降、Authentication ManagerインターフェイスとSelf-service Plug-inインターフェイスの両方で、キーロガー対策および画面キャプチャ対策機能を個別に構成できるオプションが導入されます。

構成

Linux向けCitrix Workspaceアプリの次のApp Protection機能を構成します:

Mac向けCitrix Workspaceアプリ

Mac向けCitrix Workspaceアプリの次のApp Protection機能を構成します:

Android向けCitrix Workspaceアプリ

前提条件

  • Citrix Virtual Apps and Desktopsバージョン1912 LTSR以降。
  • StoreFrontバージョン1912 LTSRまたはWorkspace。
  • Android向けCitrix Workspaceアプリバージョン24.7.0 以降。
  • 有効なApp Protectionライセンス

構成

以下に関して、画面キャプチャ対策機能を構成できます:

Global App Configuration Serviceの使用

認証画面の画面キャプチャ対策機能は、以下を使用して構成できます:

  • UIの使用
  • APIの使用

UIの使用:

Citrix Workspaceアプリでは、Global App Configuration Service(GACS)を使用して認証画面のApp Protectionを構成できます。

GACSを使用して画面キャプチャ対策を有効にすると、この機能を認証画面に適用できます。

管理者は、ワークスペース構成UIを使用してApp Protectionを構成できます:

  1. Citrix Cloudアカウントにサインインし、[ワークスペースの構成] を選択します。

    ワークスペースの構成

  2. [アプリ構成] > [セキュリティと認証] > [App Protection] を選択します。

    セキュリティと認証

  3. [画面キャプチャ対策] をクリックし、Androidオペレーティングシステムを選択します。

  4. [有効] トグルボタンをクリックし、[下書きの公開] をクリックします。

  5. [設定の公開] ダイアログボックスで、[はい] をクリックします。

    設定の公開

APIの使用:

管理者は、APIを使用して、App Protection機能を構成できます。Android向けCitrix Workspaceアプリの画面キャプチャ対策を有効または無効にする設定:

“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

例: GACSでCitrix Workspaceアプリの画面キャプチャ対策機能を有効にするためのJSONファイルの例を次に示します:

{
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "settings": [{
            "name": "Enable Anti Screen Capture For Auth",
            "value": "true"
          },
         ]
        }

<!--NeedCopy-->

統合エンドポイント管理ソリューションの使用

Android向けCitrix Workspaceアプリのバージョン24.7.0以降では、管理者は認証画面でApp Protection機能を有効にできます。管理者は、AppConfigベースのキーと値のペアを使用してこの機能を構成できます。

  • 画面キャプチャ対策を有効にする場合:

    • キー:enableAntiScreenCaptureForAuth
    • 値の種類: ブール値
    • 値:
      • trueに設定すると、画面キャプチャ対策機能が有効になります。
      • falseに設定すると、画面キャプチャ対策機能が無効になります。

推奨

App Protectionポリシーは、主にエンドポイントのセキュリティと保護を強化することに重点を置いています。環境に関するその他のセキュリティ推奨事項とポリシーをすべて確認します。セキュリティと制御のポリシーテンプレートは、許容率が低い環境での推奨構成に使用できます。詳しくは、「ポリシーテンプレート」を参照してください。

App Protectionの構成