デバイス ポスチャ サービス用の Citrix エンドポイント分析クライアントを管理する
Citrix Device Posture サービスは、Citrix DaaS (仮想アプリとデスクトップ) または Citrix Secure Private Access リソース (SaaS、Web アプリ、TCP、UDP アプリ) にアクセスするためにエンド デバイスが満たす必要がある特定の要件を管理者が強制するのに役立つクラウド ベースのソリューションです。
エンド デバイスでデバイス ポスチャ スキャンを実行するには、軽量アプリケーションである Citrix EndPoint Analysis (EPA) クライアントをそのデバイスにインストールする必要があります。 デバイス ポスチャ サービスは、Citrix がリリースした EPA クライアントの最新バージョンで常に実行されます。
EPAクライアントのインストール
実行時に、デバイス ポスチャ サービスは、エンド ユーザーに実行時に EPA クライアントをダウンロードしてインストールするように要求します。 詳細については、 エンドユーザーフローを参照してください。 通常、EPA クライアントをエンドポイントにダウンロードしてインストールするには、ローカル管理者権限は必要ありません。 ただし、エンド デバイスでデバイス証明書チェック スキャンを実行するには、EPA クライアントを管理者アクセス権でインストールする必要があります。 管理者アクセス権を持つ EPA クライアントのインストールの詳細については、「 エンド デバイスにデバイス証明書をインストールする」を参照してください。
Windows 用 EPA クライアントのアップグレード
EPA クライアントの新しいバージョンがリリースされると、Windows 用の EPA クライアントは最初のインストール後にデフォルトでアップグレードされます。 自動アップグレードにより、エンドユーザーのデバイスは常に、デバイス ポスチャ サービスと互換性のある EPA クライアントの最新バージョンで実行されるようになります。 自動アップグレードを行うには、EPA クライアントが管理者アクセス権でインストールされている必要があります。
EPAクライアントの配布
EPA クライアントは、Global App Configuration サービス (GACS) または Citrix Workspace アプリ インストーラーに統合された EPA、あるいはソフトウェア展開ツールを使用して配布できます。
-
Citrix Workspace アプリと統合された EPA クライアント インストーラー: EPA クライアント インストーラーは、Windows 向け Citrix Workspace アプリ 2402 LTSR と統合されています。 この統合により、エンドユーザーは Citrix Workspace アプリをインストールした後に EPA クライアントを個別にインストールする必要がなくなります。
Citrix Workspace アプリの一部として EPA クライアントをインストールするには、コマンドライン オプション
InstallEPAClient
を使用します。 たとえば、./CitrixworkspaceApp.exe InstallEPAClient
です。
注意:
- Citrix Workspace アプリの一部としての EPA クライアントのインストールは、デフォルトでは無効になっています。 コマンドライン オプション
InstallEPAClient
を使用して明示的に有効にする必要があります。- エンドデバイスに EPA クライアントがすでにインストールされており、エンドユーザーが Citrix Workspace アプリをインストールすると、既存の EPA クライアントがアップグレードされます。
- エンドユーザーが Citrix Workspace アプリをアンインストールすると、統合された EPA クライアントもデフォルトでデバイスから削除されます。 ただし、EPA クライアントが統合 Citrix Workspace アプリのインストールの一部としてインストールされなかった場合、既存の EPA クライアントはデバイスに保持されます。
- Citrix Workspace アプリに統合された EPA クライアント インストーラーは、NetScaler でも使用できます。 詳細については、「 NetScaler およびデバイス ポスチャと併用する場合の EPA クライアントの管理」を参照してください。
- GACS を使用してクライアントを配布します: GACS は、クライアント側エージェント (プラグイン) の配布を管理するために Citrix が提供するソリューションです。 GACS で利用可能な自動更新サービスにより、エンド ユーザーの介入なしにエンド デバイスが最新の EPA バージョンに保たれます。 GACS の詳細については、「 グローバル アプリ構成サービスの使用方法」を参照してください。
注意:
- GACS は、EPA クライアントの配布用に Windows デバイスでのみサポートされます。
- GACS を介して EPA クライアントを管理するには、エンド デバイスに Citrix Workspace Application (CWA) をインストールします。
- CWA がエンド ユーザーのデバイスに管理者権限でインストールされる場合、GACS は同じ管理者権限で EPA クライアントをインストールします。
- CWA がエンド ユーザー デバイスにユーザー権限でインストールされる場合、GACS は同じユーザー権限で EPA クライアントをインストールします。
ソフトウェア展開ツールを使用してクライアントを配布する: 最新の EPA クライアントは、管理者が Microsoft SCCM などのソフトウェア展開ツールを使用して配布できます。
NetScaler および Device Posture と併用する場合の EPA クライアントの管理
EPA クライアントは、次の展開で NetScaler および Device Posture と一緒に使用できます。
- EPA を使用した NetScaler ベースの適応型認証
- EPA を備えた NetScaler ベースのオンプレミス ゲートウェイ
デバイス ポスチャ サービスは、最新バージョンの EPA クライアントをエンド デバイスにプッシュします。 ただし、NetScaler では、管理者はゲートウェイ仮想サーバー上の EPA スキャンに対して次のバージョン管理を構成できます。
- 常に: エンドデバイスと NetScaler 上の EPA クライアントは同じバージョンである必要があります。
- 必須: エンドデバイス上の EPA クライアント バージョンは、NetScaler で構成された範囲内である必要があります。
- なし: エンドデバイスには、EPA クライアントの任意のバージョンを含めることができます。
詳細については、「 プラグインの動作」を参照してください。
EPA クライアントを NetScaler およびデバイス ポスチャで使用する場合の考慮事項
EPA クライアントをデバイス ポスチャ サービスおよび NetScaler と一緒に使用する場合、エンド デバイスでは最新の EPA クライアント バージョンが実行されているのに、NetScaler では異なるバージョンの EPA クライアントが実行されるというシナリオが発生する可能性があります。 これにより、NetScaler とエンド デバイスの EPA クライアント バージョンが一致しなくなる可能性があります。 その結果、NetScaler はエンドユーザーに対して、NetScaler に存在する EPA クライアント バージョンをインストールするように要求する場合があります。 この競合を回避するには、次の構成変更をお勧めします。
- EPA を Adaptive Authentication またはオンプレミス認証またはゲートウェイ仮想サーバーで構成している場合は、NetScaler 上の EPA クライアントのバージョン管理を無効にすることをお勧めします。 これは、GACS またはデバイス ポスチャ サービスが EPA クライアントの最新バージョンをエンド デバイスにプッシュしないようにするために行われます。
-
EPA バージョン コントロールは、CLI または GUI を使用して Never に設定できます。 これらの構成変更は、NetScaler 13.x 以降のバージョンでサポートされています。
- CLI: Adaptive Authentication およびオンプレミス認証仮想サーバーの CLI コマンドを使用します。
- GUI: オンプレミス ゲートウェイ仮想サーバーの GUI を使用します。 詳細については、「 Citrix Secure Access クライアントのアップグレードの制御」を参照してください。
サンプル CLI コマンド:
add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade "\"epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;\""
add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" <rewrite_action_name>
bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->