製品ドキュメント
Device Posture
PDFを表示

デバイス姿勢の概要

October 21, 2024
寄稿者: 
C

Citrix Device Posture サービスは、Citrix DaaS (仮想アプリとデスクトップ) または Citrix Secure Private Access リソース (SaaS、Web アプリ、TCP、UDP アプリ) にアクセスするためにエンド デバイスが満たす必要がある特定の要件を管理者が強制するのに役立つクラウド ベースのソリューションです。 ゼロ トラスト ベースのアクセスを実装するには、デバイスの状態をチェックしてデバイスの信頼を確立することが重要です。 Device Postureサービスは、エンドデバイスのコンプライアンス(管理対象/BYOD、およびセキュリティ態勢)をチェックすることで、エンドユーザーがログインする前にネットワークにゼロトラストの原則を適用します。

前提条件

  • ライセンス要件: Citrix Device Postureサービスの使用権は、Citrix DaaS Premium、Citrix DaaS Premium Plus、およびCitrix Secure Private Access Advancedライセンスの一部です。 他のライセンスをお持ちのお客様は、Device Posture Service の権限をアドオンとして購入できます。 アドオンの場合、お客様はスタンドアロンのアダプティブ認証 SKU を購入する必要がありますが、Device Posture サービスを使用するために必ずしもデプロイする必要はありません。

  • サポートされるプラットフォームは、以下のとおりです。

    • Windows(10および11)
    • macOS 13 Ventura
    • macOS 12 Monterey
    • iOS
    • IGEL

注意:

  • サポートされていないプラットフォームで実行されているデバイスは、デフォルトで非準拠としてマークされます。 から分類を変更することができます 非準拠 宛先 ログインが拒否されました から 設定 タブの [Device Posture] ページにあります。

  • サポートされているプラットフォームで実行されているが、事前定義されたデバイスポスチャポリシーと一致しないデバイスは、デフォルトで非準拠としてマークされます。 から分類を変更することができます 非準拠 宛先 ログインが拒否されました から 設定 タブの [Device Posture] ページにあります。

  • Device PostureサービスでのiOSサポートの場合、EPAクライアントはiOS向けCitrix Workspaceアプリの一部として組み込まれています。 バージョンの詳細については、以下を参照してください。 iOS向けCitrix Workspaceアプリ.

  • Device Posture サービスでの IGEL OS サポートの場合、EPA クライアントは IGEL OS の一部として組み込まれています。 IGEL デバイスに EPA クライアントをインストールするには、IGEL サポート チームにお問い合わせください。

  • Citrix Device Posture Client (EPA client): デバイスポスチャスキャンを実行するためにエンドポイントデバイスにインストールする必要がある軽量のアプリケーション。 このアプリケーションは、エンドポイントにダウンロードしてインストールするためにローカル管理者権限を必要としません。

注意:

デバイス証明書チェックを使用している場合は、管理者権限で EPA クライアントをインストールする必要があります。

  • サポートされているブラウザ:Chrome、Edge、Firefox。

  • ファイアウォールの設定:デバイスポスチャサービスがエンドデバイス上のEPAクライアントを更新できるようにするには、ファイアウォール/プロキシを次のドメインを許可するように設定する必要があります。

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

機能

管理者は、デバイス ポスチャ ポリシーを作成して、エンドポイント デバイスのポスチャをチェックし、エンドポイント デバイスのログインを許可するか拒否するかを決定できます。 ログインが許可されるデバイスは、さらに準拠または非準拠に分類されます。 ユーザーはブラウザまたは Citrix Workspace アプリからログインできます。

以下は、デバイスを準拠、非準拠、およびログイン拒否として分類するために使用される高レベルの条件です。

  • 準拠デバイス – 事前構成されたポリシー要件を満たし、Citrix Secure Private Access リソースまたは Citrix DaaS リソースへの完全または無制限のアクセス権を持ち、会社のネットワークにログインできるデバイス。

  • 非準拠デバイス - 事前構成されたポリシー要件を満たし、デバイスポスチャーのDaaSおよびSecure Private Access構成に基づいて、Citrix Secure Private AccessリソースまたはCitrix DaaSリソースへの部分的または制限されたアクセスで会社のネットワークにログインできるデバイス。

    • DaaS: 管理者は、配信グループを指定して、非準拠デバイスのアクセスを制限できます。 デリバリーグループへの制限付きアクセスを構成する方法の詳細については、「 デバイスポスチャを使用したCitrix DaaS構成.
    • セキュアプライベートアクセス:管理者は、これらのデバイスのアクセスを制限する特定のアプリケーションを選択できます。 特定のアプリケーションへのアクセスを制限する方法の詳細については、次を参照してください。 デバイスポスチャを使用したCitrix Secure Private Accessの構成.
  • ログイン拒否: - ポリシー要件を満たさないデバイスはログインを拒否されます。

デバイスの分類 ( 準拠非準拠ログイン拒否 ) は、Citrix DaaS および Citrix Secure Private Access サービスに渡され、これらのサービスではデバイス分類を使用してスマート アクセス機能が提供されます。

デバイスの姿勢の使用例

注意:

  • デバイス ポスチャ ポリシーは、プラットフォームごとに個別に構成する必要があります。 たとえば、macOS の場合、管理者は特定の OS バージョンを搭載したデバイスへのアクセスを許可できます。 同様に、Windows の場合、管理者は特定の認証ファイルやレジストリ設定などを含めるようにポリシーを構成できます。
  • デバイス ポスチャ スキャンは、事前認証中またはログイン前にのみ実行されます。
  • 「準拠」および「非準拠」の定義については、 定義を参照してください。

デバイスポスチャでサポートされるスキャン

Citrix Device Posture Serviceでは、次のスキャンがサポートされています:

| Windows | macOS | iOS | IGEL | | ——————————— | ————————- | ————————- | ——————— | | Citrix Workspaceアプリのバージョン | Citrix Workspaceアプリのバージョン | Citrix Workspaceアプリのバージョン | - | | オペレーティングシステムのバージョン | オペレーティングシステムのバージョン | オペレーティングシステムのバージョン | - | | ファイル (存在、ファイル名、およびパス) | ファイル (存在、ファイル名、およびパス) | - | ファイル (存在、ファイル名、およびパス) | | Geolocation | Geolocation | - | - | | ネットワークの場所 | ネットワークの場所 | - | - | | MACアドレス | MACアドレス | - | - | | プロセス(存在) | プロセス(存在) | - | - | | Microsoft エンドポイント マネージャー | Microsoft エンドポイント マネージャー | - | - | | クラウドストライク | クラウドストライク | - | - | | デバイス証明書 | デバイス証明書 | - | - | | Webブラウザー | Webブラウザー | - | - | | アンチウイルス | アンチウイルス | - | - | | 数値以外のレジストリ (32 ビット) | - | - | - | | 数値以外のレジストリ (64 ビット) | - | - | - | | 数値レジストリ (32 ビット) | - | - | - | | 数値レジストリ (64 ビット) | - | - | - | | Windows Update のインストールの種類 | - | - | - | | Windows Update のインストールに関する最終更新の確認 | - | - | - |

注意:

Device PostureサービスでのiOSサポートの場合、EPAクライアントはiOS向けCitrix Workspaceアプリの一部として組み込まれています。 バージョンの詳細については、以下を参照してください。 iOS向けCitrix Workspaceアプリ.

デバイスの姿勢とサードパーティの統合

Device Posture サービスによって提供されるネイティブ スキャンに加えて、このサービスは Windows および macOS 上の次のサードパーティ ソリューションと統合することもできます。

既知の制限事項

  • デバイスのポスチャ トグル ボタンをオンまたはオフにした後、デバイスのポスチャ機能を有効または無効にするのにかかる時間は、数分から 1 時間かかる場合があります。
  • デバイスのポスチャ設定の変更は、すぐには有効になりません。 変更が反映されるまでに約 10 分かかる場合があります。
  • Citrix Workspaceでサービス継続性オプションを有効にしている場合、デバイスポスチャサービスがダウンすると、ユーザーがWorkspaceにサインインできないことがあります。 これは、Citrix Workspaceがユーザーデバイス上のローカルキャッシュに基づいてアプリとデスクトップを列挙するためです。
  • Citrix Workspaceで長期間有効なトークンとパスワードを構成した場合、この構成ではデバイスポスチャスキャンは機能しません。 デバイスは、ユーザーがCitrix Workspaceにログインしたときにのみスキャンされます。
  • 各プラットフォームには最大 10 個のポリシーを設定でき、各ポリシーには最大 10 個のルールを設定できます。
  • ロールベースのアクセスは、Device Posture サービスではサポートされていません。

サービス品質

  • パフォーマンス: 理想的な条件下では、Device Posture サービスによってログイン中にさらに 2 秒の遅延が追加されます。 この遅延は、Microsoft Intuneなどのサードパーティの統合などの追加の構成によっては増加する可能性があります。
  • 回復性: Device Posture サービスは、ダウンタイムが発生しないように、複数の POP に対して高い回復性を備えています。

定義

Device Posture サービスに関する “準拠” と “非準拠” という用語は、次のように定義されています。

  • 準拠デバイス – 事前構成されたポリシー要件を満たし、Citrix Secure Private Access リソースまたは Citrix DaaS リソースへの完全または無制限のアクセス権を持ち、会社のネットワークにログインできるデバイス。
  • 非準拠デバイス - 事前構成されたポリシー要件を満たし、Citrix Secure Private Access リソースまたは Citrix DaaS リソースへの部分的または制限付きアクセスで会社のネットワークにログインできるデバイス。
デバイス姿勢の概要
October 21, 2024
寄稿者: 
C
October 21, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.