This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
スマートカード
スマートカードおよび同等のテクノロジは、このアーティクルに記載されているガイドライン内でサポートされています。 XenAppまたはXenDesktopでスマートカードを使用するには、以下を行う必要があります:
- 所属する組織における、スマートカードの使用に関するセキュリティポリシーを理解します。たとえば、スマートカードがどのように発行され、ユーザーがそれをどのように保護するかについてこれらのポリシーで規定してあることがあります。XenAppおよびXenDesktopの環境では、これらのポリシーの一部の変更が必要になる場合があります。
- どのユーザーデバイスの種類、オペレーティングシステム、および公開アプリケーションがスマートカードとともに使用されるかを決定します。
- スマートカードテクノロジ全般および選択したスマートカードベンダーのハードウェアとソフトウェアについて理解します。
- 分散環境でのデジタル証明書の展開管理方法について理解します。
スマートカードの種類
エンタープライズ向けとコンシューマー向けのスマートカードは、寸法も電気コネクタも同じで、同じスマートカードリーダーを使用できます。
エンタープライズ向けのスマートカードにはデジタル証明書が含まれています。これらのスマートカードはWindowsログオンをサポートしていて、ドキュメントや電子メールのデジタル署名と暗号化のためのアプリケーションと連携して使用できます。XenAppおよびXenDesktopは、これらの用途をサポートしています。
コンシューマー向けのスマートカードにはデジタル証明書は含まれていませんが、共有シークレットが含まれています。これらのスマートカードは、支払い(チップと署名、チップとPINクレジットカードなど)をサポートできます。これらのスマートカードは、Windowsログインや一般的なWindowsアプリケーションをサポートしていません。これらのスマートカードと合わせて使用するには、特別なWindowsアプリケーションと、適切なソフトウェアインフラストラクチャ(支払いカードネットワークへの接続など)が必要です。XenAppまたはXenDesktopでのこのような特別なアプリケーションのサポートについて詳しくは、Citrix担当者にお問い合わせください。
エンタープライズ向けスマートカードには、互換性のある同等のものが存在し、類似した方法で使用できます。
- スマートカードと同等のUSBトークンはUSBポートに直接接続します。これらのUSBトークンは通常USBフラッシュドライブのサイズですが、携帯電話で使用されるSIMカードと同じくらい小さいものもあります。それらは、スマートカードとUSBスマートカードリーダーの組み合わせとして表示されます。
- Windowsトラステッドプラットフォームモジュール(TPM:Trusted Platform Module)を使用する仮想スマートカードは、スマートカードとして表示されます。これらの仮想スマートカードは、Citrix Receiver 4.3以上を使用して、Windows 8およびWindows 10でサポートされます。
- XenAppおよびXenDesktopの7.6 FP3よりも前のバージョンは、仮想スマートカードをサポートしていません。
- 仮想スマートカードについて詳しくは、「Virtual Smart Card Overview」を参照してください。
注:「仮想スマートカード」という用語は、単にユーザーコンピューターに保存されたデジタル証明書についても使用されます。これらのデジタル証明書は、厳密にはスマートカードと同等ではありません。
XenAppおよびXenDesktopのスマートカードのサポートは、MicrosoftのPC/SC(Personal Computer/Smart Card)標準仕様に基づいています。スマートカードおよびスマートカードデバイスは、使用するWindowsオペレーティングシステムでサポートされており、Microsoft WHQL(Windows Hardware Quality Lab)により承認されている必要があります。PC/SCに準拠しているハードウェアについては、Microsoft社のドキュメントを参照してください。 その他のタイプのユーザーデバイスは、PS/SC標準に準拠していることがあります。詳しくは、Citrix Readyプログラム(https://www.citrix.com/ready/)を参照してください。
通常、各ベンダーのスマートカードまたは同等のものには、別々のデバイスドライバーが必要です。ただし、スマートカードがNIST Personal Identity Verification(PIV)標準などの標準に準拠している場合、一定範囲のスマートカードに単一のデバイスドライバーを使用できる場合があります。デバイスドライバーをユーザーデバイスとVirtual Delivery Agent(VDA)の両方にインストールする必要があります。多くの場合、デバイスドライバーはCitrixパートナーから入手可能なスマートカードミドルウェアパッケージの一部として提供されます。スマートカードミドルウェアパッケージにより、高度な機能が提供されます。デバイスドライバーは、暗号化サービスプロバイダー(CSP:Cryptographic Service Provider)、キーストレージプロバイダー(KSP:Key Storage Provider)、ミニドライバーとして説明されることもあります。
Windowsシステムでは、以下のスマートカードとミドルウェアでのCitrixの動作確認が行われています。ただし、そのほかのスマートカードおよびミドルウェアも使用できます。Citrix互換のスマートカードとミドルウェアについて詳しくは、https://www.citrix.com/readyを参照してください。
| ミドルウェア | スマートカード |
|---|---|
| ActivClient 7.0(DoDモード有効) | DoD CACカード |
| PIVモードのActivClient 7.0 | NIST PIVカード |
| Microsoftミニドライバー | NIST PIVカード |
| GemAlto Mini Driver for .NETカード | GemAlto .NET v2+ |
| Microsoftネイティブドライバー | 仮想スマートカード(TPM) |
他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。
他の種類のデバイスでのスマートカード使用法について詳しくは、そのデバイスに関するCitrix Receiverのドキュメントを参照してください。
リモートPCアクセス
オフィスで動作する、物理的なWindow 10、Windows 8、またはWindows 7マシンにリモートアクセスする場合は、スマートカードがサポートされます。Windows XPマシンへのリモートアクセスでは、スマートカードはサポートされません。
以下のスマートカードが、リモートPCアクセス機能でテストされています。
| ミドルウェア | スマートカード |
|---|---|
| Gemalto .NETミニドライバー | Gemalto .NET v2+ |
| ActivIdentity ActivClient 6.2 | NIST PIV |
| ActivIdentity ActivClient 6.2 | CAC |
| Microsoftミニドライバー | NIST PIV |
| Microsoftネイティブドライバー | 仮想スマートカード |
スマートカードリーダーの種類
スマートカードリーダーはユーザーデバイス内に作成されることもありますし、別にユーザーデバイスに(通常はUSBまたはBluetoothで)接続することもあります。 USB Chip/Smart Card Interface Devices(CCID)仕様に準拠する接触カードリーダーがサポートされます。これらのカードリーダーでは、ユーザーがスマートカードをスロットに挿入したりスワイプしたりします。Deutsche Kreditwirtschaft(DK)標準は、接触カードリーダーの4つのクラスを定義しています。
- Class 1スマートカードリーダーは最も一般的で、通常1つのみのスロットを備えています。Class 1スマートカードリーダーは通常、オペレーティングシステム付属の標準CCIDデバイスドライバーでサポートされます。
- Class 2スマートカードリーダーには、ユーザーデバイスがアクセスできない安全なキーパッドも含まれています。 Class 2スマートカードリーダーは、内蔵の安全なキーパッドがあるキーボードに搭載される場合があります。Class 2スマートカードリーダーについては、Citrixの担当者に連絡してください。安全なキーパッドの機能を有効化するには、リーダー固有のデバイスドライバーが必要になる場合があります。
- Class 3スマートカードリーダーには、安全なディスプレイも含まれます。 Class 3スマートカードリーダーはサポートされません。
- Class 4スマートカードリーダーには、安全なトランザクションモジュールも含まれます。Class 4スマートカードリーダーはサポートされません。
注:スマートカードリーダーのクラスは、USBデバイスのクラスには無関係です。
スマートカードリーダーは、対応するデバイスドライバーとともにユーザーデバイスにインストールする必要があります。
サポートされているスマートカードリーダーについては、使用しているCitrix Receiverのマニュアルを参照してください。サポートされているバージョンは、通常、Citrix Receiverのドキュメントでスマートカードの記事でまたはシステム要件に関する記事に掲載されています。
ユーザーエクスペリエンス
スマートカードのサポートは、デフォルトで有効な特定のICA/HDXスマートカード仮想チャネルを使用して、XenAppおよびXenDesktopに統合されています。
重要:スマートカードリーダーでは汎用USBリダイレクトを使用しないでください。 一部のスマートカードリーダーではこれはデフォルトで無効にされており、有効化した場合サポートされなくなります。
同一ユーザーデバイス上で、複数のスマートカードやスマートカードリーダーを使用することは可能ですが、パススルー認証を使用する場合は1枚のスマートカードを挿入した状態で仮想デスクトップまたはアプリケーションを開始する必要があります。アプリケーション内でスマートカードを使用する場合(デジタル署名または暗号化機能など)、スマートカードの挿入またはPINの入力を求めるメッセージが表示されることがあります。これは、同時に複数のスマートカードが挿入されている場合に発生します。
- 適切なスマートカードを挿入しているにもかかわらずスマートカードの挿入を求めるメッセージが表示された場合は、[キャンセル]をクリックするよう通知します。
- ただし、PINの入力が求められた場合は、PINを再入力する必要があります。
Microsoft社のベーススマートカード暗号化サービスプロバイダー(CSP)によるスマートカードを使用する場合、Windows Server 2008または2008 R2が動作するサーバー上のアプリケーションにユーザーがアクセスすると、ほかのユーザーがスマートカードでログオンできなくなります。これについての詳細および修正プログラムについては、https://support.microsoft.com/kb/949538を参照してください。
カード管理システムまたはベンダーのユーティリティを使ってPINをリセットできます。
重要
XenAppまたはXenDesktopセッションでは、Microsoftリモートデスクトップ接続アプリケーションでのスマートカードの使用はサポートされません。これは「ダブルホップ」の使用と呼ばれることがあります。
スマートカードを展開する前の確認事項
- スマートカードリーダーのデバイスドライバーを入手して、ユーザーデバイスにインストールする必要があります。Microsoftにより提供されるCCIDデバイスドライバーは、多くのスマートカードリーダーで使用できます。
- スマートカードベンダーからデバイスドライバーと暗号化サービスプロバイダー(CSP)ソフトウェアを入手して、ユーザーデバイスと仮想デスクトップの両方にインストールします。このドライバーとCSPソフトウェアは、XenAppやXenDesktopと互換性がある必要があります。詳しくは、ベンダーのドキュメントを参照してください。ミニドライバーモデルのスマートカードを使用する仮想デスクトップでは、スマートカードミニドライバーが自動的にダウンロードされます。また、https://catalog.update.microsoft.comまたはベンダーから入手することもできます。さらに、PKCS#11ミドルウェアが必要な場合は、カードベンダーから入手してください。
- 重要:Citrixソフトウェアをインストールする前に、物理的なコンピューターにドライバーとCSPソフトウェアをインストールしてテストすることをお勧めします。
- Windows 10で実行するInternet Explorerでスマートカードを実行するユーザーの信頼済みサイトの一覧にCitrix Receiver for Web URLを追加します。Windows 10では、Internet Explorerは信頼済みサイトのデフォルトで保護モードでは実行しません。
- PKI(Public Key Infrastructure:公開キー基盤)が適切に構成されていることを確認します。つまり、アカウントマッピングのための証明書がActive Directory環境に対して正しく構成されており、ユーザー証明書の検証を正しく実行できることを確認します。
- Citrix ReceiverやStoreFrontなど、スマートカードで使用するほかのCitrixコンポーネントのシステム要件を満たしていることを確認します。
- サイト内の以下のサーバーにアクセスできることを確認します。
- スマートカード上のログオン証明書に関連付けられているユーザーアカウント用のActive Directoryドメインコントローラー
- Delivery Controller
- Citrix StoreFront
- Citrix NetScaler Gateway/Citrix Access Gateway 10.x
- VDA
- Microsoft Exchange Server(リモートPCアクセスの場合はオプション)
スマートカード使用の有効化
手順1:カードの発行ポリシーに従って、ユーザーにスマートカードを発行します。
手順2:必要に応じて、ユーザーがリモートPCアクセスを実行できるようにスマートカードをセットアップします。
手順3:Delivery ControllerとStoreFrontをインストールして(未インストールの場合)、スマートカードのリモート処理用に構成します。
手順4:StoreFrontで、スマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
手順5:NetScaler Gateway/Access Gatewayで、スマートカードの使用を有効にします。詳しくは、NetScalerドキュメントの「認証と承認の構成」および「Web Interfaceでのスマートカードアクセスの構成」を参照してください。
手順6:VDAsで、スマートカードの使用を有効にします。
- VDAに必要なアプリケーションおよび更新がインストール済みであることを確認します。
- ミドルウェアをインストールします。
- ユーザーデバイス上のCitrix Receiverと仮想デスクトップセッション間でスマートカードデータ通信が行われるように、スマートカードのリモート処理をセットアップします。
手順7:ユーザーデバイス(ドメインに属しているマシンと属していないマシンを含む)でスマートカードの使用を有効にします。詳しくは、StoreFrontドキュメントの「スマートカード認証の構成」を参照してください。
- 証明機関のルート証明書とその証明機関の証明書をデバイスのキーストア内にインポートします。
- ベンダーが提供するスマートカードミドルウェアをインストールします。
- Citrix Receiver for Windowsをインストールおよび構成して、グループポリシー管理コンソールを使ってicaclient.admをインポートします。また、スマートカード認証を有効にします。
手順8. 展開をテストします。テストユーザーのスマートカードで仮想デスクトップを起動して、展開が正しく構成されていることを確認します。すべてのアクセス方法(たとえば、Internet ExplorerおよびCitrix Receiverを介したデスクトップアクセスなど)をテストします。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.