アプリ保護
アプリ保護は、Citrix Workspaceアプリの機能であり、仮想デスクトップ、仮想アプリ、Webアプリ、SaaSアプリを使用する際に強化されたセキュリティを提供します。アプリ保護は、オンプレミスのCitrix Virtual Apps and Desktops展開、およびStoreFrontとWorkspaceを使用するCitrix DaaS(旧Citrix Virtual Apps and Desktopsサービス)でサポートされています。これは、アプリ保護がすべてのクラウド環境、オンプレミス環境、およびハイブリッド環境でサポートされていることを意味します。アプリ保護は、ADC Gatewayを介してStoreFrontまたはWorkspaceに接続している場合にもサポートされます。
アプリ保護機能の詳細については、「機能」および「構成」のセクションを参照してください。
この機能を購入したら、アプリ保護ライセンスを必ず有効にしてください。
免責事項:
アプリ保護ポリシーは、基盤となるオペレーティングシステムの必要な機能(画面キャプチャやキーボード入力に必要な特定のAPI呼び出し)へのアクセスをフィルタリングすることで機能します。これにより、アプリ保護ポリシーは、カスタムの目的で構築されたハッカーツールに対しても保護を提供できます。ただし、オペレーティングシステムが進化するにつれて、画面キャプチャやキーロギングの新しい方法が出現する可能性があります。Citrixはそれらを特定して対処し続けていますが、特定の構成や展開における完全な保護を保証することはできません。
Citrixアプリ保護ポリシーは、ICAファイルを含む基盤となるオペレーティングシステムコンポーネントと効果的に連携します。適用されるポリシーの整合性を確保するため、基盤となるコンポーネントの意図的な改ざんまたは変更が検出された場合、Citrixはサポートを提供しない場合があります。
異なる環境でのアプリ保護の動作
アプリ保護の動作は、アプリ保護ポリシーで構成されているリソースへのアクセス方法によって異なります。これらのリソースには、仮想アプリとデスクトップ、内部Webアプリ、SaaSアプリが含まれます。これらのリソースには、サポートされているネイティブのCitrix WorkspaceアプリクライアントまたはWebブラウザを使用してアクセスできます。アプリ保護は、異なる環境でさまざまな動作をします。
- サポートされていないCitrix ReceiverまたはCitrix Workspaceアプリ - アプリ保護ポリシーで構成されているリソースは利用できません。
- サポートされているCitrix Workspaceアプリのバージョン - アプリ保護ポリシーで構成されているリソースは利用可能であり、適切に起動します。
- WorkspaceストアURLを使用したハイブリッド起動 - アプリ保護ポリシーで構成されているリソースは常に利用可能です。WorkspaceストアURLを使用してWebブラウザでリソースを正常に起動するには、「Workspaceのハイブリッド起動用アプリ保護」を参照してください。
- StoreFrontストアURLを使用したハイブリッド起動 - StoreFrontのカスタマイズが展開されていない場合、アプリ保護ポリシーで構成されているリソースは利用できません。StoreFrontストアURLを使用してWebブラウザでリソースを正常に起動するには、「StoreFrontのハイブリッド起動用アプリ保護」を参照してください。
保護は以下の条件で適用されます。
- アンチスクリーンキャプチャ – Windows版Citrix WorkspaceアプリおよびMac版Citrix Workspaceアプリの場合、保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にするには、すべての保護されたウィンドウを最小化します。Linux版Citrix Workspaceアプリの場合、保護されたウィンドウがアクティブな場合に有効になります。保護を無効にするには、すべての保護されたウィンドウを閉じます。
- キーロギング対策 – 保護されたウィンドウがフォーカスされている場合に有効になります。保護を無効にするには、別のウィンドウにフォーカスを変更します。
アプリ保護は何を保護しますか
アプリ保護は、以下のCitrixウィンドウを保護します。
-
Citrix®サインインウィンドウ
-
Citrix WorkspaceアプリHDXセッションウィンドウ (例: 管理対象デスクトップ)
-
セルフサービス (ストア) ウィンドウ
-
WebおよびSaaSアプリ
-
Windows向けCitrix WorkspaceアプリおよびMac向けCitrix Workspaceアプリ - WebおよびSaaSアプリはCitrix Enterprise Browserで開きます。アプリがCitrix Secure Private Accessを介してアプリ保護ポリシーを持つように構成されている場合、アプリ保護はタブごとに適用されます。
-
Linux版Citrix Workspaceアプリ - シトリックス エンタープライズ ブラウザはサポートされていません。
-
注:
アプリ保護ソリューションを提供するために、
ctxapclient32.dllやctxapclient64.dllなどのCitrix署名付きDLLがすべてのプロセスに挿入されます。Windows向けCitrix Workspaceアプリバージョン2405.12および2402 CU3までは、追加のDLLであるFeatureFlagHelper32.dllとFeatureFlagHelper64.dllが挿入されていました。これらのDLLは無害であり、他のプロセスのログファイルにこれらのDLLの痕跡があっても安全です。
App Protectionで保護されないもの
-
ナビゲーションバーのCitrix Workspaceアプリのアイコンの下にある次の項目:
- 接続センター
- [高度な設定]の下にあるすべてのリンク
- パーソナライズ
- 更新の確認
- サインアウト
-
仮想デスクトップを画面キャプチャ防止で保護することを選択した場合でも、ユーザーは仮想デスクトップ内のアプリから画面共有できます。ただし、仮想デスクトップ外のアプリの場合、スクリーンショットを撮ったり、仮想デスクトップを記録したりすることはできません。
制限事項
設計上、以下の制限事項があります。
- App Protectionが有効な仮想アプリおよびデスクトップは、RDPセッション内でアクセスされると起動がブロックされます。
- RDPセッション内では、Citrix Enterprise Browserを使用して開かれたWebアプリおよびSaaSアプリでApp Protectionはサポートされません。
- サポートされていないバージョンのCitrix WorkspaceアプリまたはCitrix Receiverを使用している場合、App Protectionはサポートされません。その場合、リソースは非表示になります。
- App Protection機能が仮想アプリおよびデスクトップに適用されている場合、最適化が使用されていると、送信画面共有に影響が出る可能性があります。
- App Protectionが有効なCitrix Workspaceアプリは、同様の基盤技術を使用する他のセキュリティソリューションやアプリと互換性がない場合があります。
- シトリックス セキュア ブラウザ内から、またはリモート ブラウザ アイソレーションを使用してリソースを起動する場合、アプリ保護はサポートされていません。
- Linux版Citrix Workspaceアプリでは、App Protectionがインストールされている場合、snapアプリケーションを使用できません。
- MacでDisplayLinkを使用して外部モニターに接続すると、画面キャプチャ防止が有効なリソースは灰色で表示されます。これは、Mac上のDisplayLinkが画面をキャストするために画面録画技術を使用しており、App Protectionによってブロックされるためです。代替策として、エンドユーザーはケーブルベースのコネクタ(例:USB Type C)を使用して外部モニターに接続できます。
コンテキスト アプリ保護
コンテキストApp Protectionは、ユーザー、そのデバイス、およびネットワークの状況に基づいて、App Protectionポリシーをユーザーのサブセットに条件付きで適用するためのきめ細かな柔軟性を提供します。詳細については、以下の記事を参照してください。
ハイブリッド起動向けApp Protection
Citrix Virtual Apps and Desktopsのハイブリッド起動は、ブラウザ(Citrix Workspace for Web)を介してCitrix Workspaceアプリにログインし、ネイティブのCitrix Workspaceアプリを介してアプリケーションを使用する場合を指します。ハイブリッドという用語は、ユーザーがCitrix Workspace for WebとネイティブのCitrix Workspaceアプリを組み合わせてリソースに接続し、使用することに由来します。App Protectionは、WorkspaceおよびStoreFrontでのハイブリッド起動をサポートしています。詳細については、以下の記事を参照してください。