製品ドキュメント
Citrix Workspaceアプリ
PDFを表示

シナリオ 2

May 20, 2026
寄稿者: 
C C

このシナリオでは、信頼されていないデバイス向けに App Protection を有効にする方法について説明します。

信頼されているデバイスと信頼されていないデバイスには、多くの定義があります。このシナリオでは、エンドポイント分析 (EPA) スキャンが成功した場合にデバイスが信頼されていると見なします。その他のすべてのデバイスは、信頼されていないデバイスと見なされます。

  1. アダプティブ認証を構成する(/ja-jp/citrix-secure-private-access/adaptive-authentication-service.html)。

  2. 次の手順で、EPA スキャンを使用した認証ポリシーを作成します。

    1. Citrix ADC 管理 UI にサインインします。構成タブで、セキュリティ > AAA-アプリケーション トラフィック > 仮想サーバーに移動します。使用する仮想サーバー (この場合は auth_vs) をクリックします。

      仮想サーバー(/ja-jp/citrix-workspace-app/media/virtual-servers.png)

    2. 認証ポリシー > バインディングの追加に移動します。

      認証ポリシー(/ja-jp/citrix-workspace-app/media/authentication-policies.png)

      バインドの追加(/ja-jp/citrix-workspace-app/media/step-2-b.png)

    3. Add をクリックしてポリシーを作成します。

      ポリシーバインド(/ja-jp/citrix-workspace-app/media/step-2-c.png)

    4. EPA スキャンに基づいて認証ポリシーを作成します。ポリシーの名前を入力します。Action TypeEPA を選択します。Add をクリックしてアクションを作成します。

      認証ポリシーの作成(/ja-jp/citrix-workspace-app/media/step-2-d.png)

      認証EPAアクションの作成」画面が表示されます。

      認証EPAの作成

    5. 認証EPAアクションの作成画面で、次の詳細を入力し、作成をクリックしてアクションを作成します。
      • 名前: EPAアクションの名前。この場合はEPA_Action_FileExists
      • デフォルトグループ: デフォルトグループ名を入力します。EPA式がTrueの場合、ユーザーはデフォルトグループに追加されます。この場合のデフォルトグループFileExistsです。
      • 隔離グループ: 隔離グループ名を入力します。EPA式がFalseの場合、ユーザーは隔離グループに追加されます。
      • : スキャンするEPA式を追加します。この例では、特定のファイルが存在する場合にEPAスキャンが成功したと見なします。sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")

      認証ポリシーの作成画面に戻ります。

    6. 式エディターにtrueと入力し、作成をクリックします。

      認証 EPA 有効

      ポリシーバインディング画面に戻ります。

    7. ポリシーバインディング画面で、次の操作を行います。

      1. ジャンプ式」を「」として選択します。

      2. 次の要素の選択セクションで、Application Delivery Controller™ (ADC) で認証用に構成したLDAPポリシーを選択します。

      3. バインドをクリックします。

        ポリシーバインディングの詳細

  3. 信頼済みデバイス向けのスマートアクセス ポリシーを作成します。

    1. auth_vsサーバーの認証仮想サーバーページで、スマートアクセス ポリシーを選択します。

      認証仮想サーバー(/ja-jp/citrix-workspace-app/media/step-3-a.png)

    2. バインドの追加をクリックします。

      バインドの追加(/ja-jp/citrix-workspace-app/media/step-3-b.png)

    3. ポリシーバインド画面で、ポリシーの選択セクションの追加をクリックします。

      ポリシーの選択(/ja-jp/citrix-workspace-app/media/step-3-c.png)

      認証スマートアクセス ポリシーの作成画面が表示されます。

      認証スマートアクセス(/ja-jp/citrix-workspace-app/media/step-3-d.png)

    4. 認証スマートアクセス ポリシーの作成画面で、スマートアクセス ポリシーの名前を入力し、スマートアクセス プロファイルを作成するために追加をクリックします。

      認証スマートアクセス プロファイルの作成画面が表示されます。

    5. アクションの名前を追加します。タグに「trusted」と入力します。このタグは、後で構成用のBroker Access Policyルールで参照されます。作成をクリックします。

      認証プロファイルの作成(/ja-jp/citrix-workspace-app/media/step-3-e.png)

      認証スマートアクセス ポリシーの作成画面に戻ります。

    6. セクションで、タグをプッシュする式を入力します。この場合、タグは信頼済みデバイスにプッシュされるため、AAA.USER.IS_MEMBER_OF("FileExists")と入力します。作成をクリックします。

      信頼済みデバイスのタグ(/ja-jp/citrix-workspace-app/media/step-3-f.png)

      ポリシーバインディング画面に戻ります。

    7. Goto ExpressionEndとして選択し、Bindをクリックします。

      式に移動を選択(/ja-jp/citrix-workspace-app/media/step-3-g.png)

  4. 信頼されていないデバイスのスマートアクセスポリシーを作成します。

    1. サブステップvviを除き、前のステップの指示に従います。

    2. サブステップvでは、Create Authentication Smart Access Profile画面で、アクションの名前を追加します。タグuntrustedと入力します。このタグは、後で構成用のBroker Access Policyルールで参照されます。作成をクリックします。

    3. サブステップviでは、Create Authentication Smart Access Policy画面のExpressionセクションで、タグをプッシュする式を入力します。この場合、タグは信頼されていないデバイスにプッシュされるため、AAA.USER.IS_MEMBER_OF("FileExists").NOTと入力します。

  5. Broker Accessポリシーのルールを構成します。

    1. Citrix PowerShell SDK をインストールし、Citrix ブログ Citrix Cloud の PowerShell 自動化入門 で説明されているようにクラウド API に接続します。

    2. コマンドGet-BrokerAccessPolicyRuleを実行します。

      存在するすべてのデリバリーグループのすべてのブローカーアクセスポリシーのリストが表示されます。

    3. 変更するデリバリーグループのDesktopGroupUidを見つけます。

      デスクトップグループUID(/ja-jp/citrix-workspace-app/media/contextual-app-desktop-group-uid.png)

    4. 特定のデリバリーグループにのみ適用されるポリシーを次のコマンドを使用して取得します。

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

    5. 信頼されたデバイスを使用しているユーザーをフィルタリングするには、次のコマンドを使用して別のBroker Accessポリシーを作成します。

      New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true

    6. 信頼されたデバイスのApp Protectionを無効にし、信頼されていないデバイスのApp Protectionを有効にするには、次のコマンドを使用します。

      Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  6. 検証方法:

    Citrix Workspaceアプリからサインアウトし、再度サインインします。EPAスキャン条件を満たす信頼されたデバイスから、保護されたリソースを起動します。App Protectionポリシーが適用されていないことがわかります。信頼されていないデバイスから同じリソースを起動します。App Protectionポリシーが適用されていることがわかります。

シナリオ 2
May 20, 2026
寄稿者: 
C C
May 20, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.