セキュリティとユーザーエクスペリエンス
すべての組織にとってセキュリティは重要ですが、その一方でセキュリティとユーザーエクスペリエンスのバランスをとる必要があります。たとえば、ユーザーにとって使いにくいセキュリティが厳しい環境があります。また、ユーザーにとって使いやすいものの、アクセス制御が厳しくない環境もあります。この仮想ハンドブックの他のセクションでは、セキュリティ機能について詳しく説明します。この記事は、XenMobileで一般的なセキュリティ上の問題や利用できるセキュリティオプションの概要についてユーザーに提供することを目的とします。
各ユースケースで留意する重要な考慮事項は次のとおりです:
- 特定のアプリ、デバイス全体、またはその両方を保護しますか。
- どのような方法でユーザーのIDが認証されるようにしますか。LDAP、証明書ベースの認証、またはこの2つの組み合わせを使用しますか。
- ユーザーセッションのタイムアウトをどのように処理しますか。バックグラウンドサービス、Citrix ADC、およびオフラインでのアプリへのアクセスでは、タイムアウト値が異なることに留意してください。
- ユーザーがデバイスレベルのパスコードやアプリレベルのパスコード、あるいはその両方を設定するようにしますか。ユーザーに許容されるログオン試行回数は何回ですか。MAMで実装された追加のアプリごとの認証要件が、ユーザーエクスペリエンスにどのように影響するかを念頭に置いてください。
- ユーザーに対して、他にどのような制限を加えますか。Siriなどのクラウドサービスへのアクセスをユーザーに許可しますか。使用できるそれぞれのアプリで、ユーザーができること、およびできないことは何ですか。オフィス内にいるときに携帯データ通信プランが消費されるのを防ぐために、企業のWi-Fiポリシーを導入する必要がありますか。
アプリかデバイスか
まず考慮すべきことの1つは、モバイルアプリケーション管理(MAM:Mobile Application Management)を使用して特定のアプリのみを保護するのか、モバイルデバイス管理(MDM:Mobile Device Management)を使用してデバイス全体を管理するのかということです。一般に、デバイスレベルの制御が不要な場合は、モバイルアプリのみを管理すれば十分です。これは特に、BYOD(Bring Your Own Device)がサポートされている組織に当てはまります。
XenMobileが管理しないデバイスを持つユーザーは、アプリストアからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。ポリシーでは、設定した値に応じて、デバイスがXenMobileを定期的にチェックして、アプリの実行が引き続き許可されていることを確認する必要があります。
MDMを使用すると、デバイス上のすべてのソフトウェアのインベントリを取得する機能など、デバイス全体をセキュリティ保護できます。デバイスがジェイルブレイクされているかRoot化されている場合、安全でないソフトウェアがインストールされている場合に、登録を阻止することができます。ただし、このレベルで制御すると、ユーザーは自分が使用する個人用デバイスに対してこのような権限を許可することに慎重になり、登録率が低下する可能性があります。
認証
認証は、ユーザーエクスペリエンスの重要な部分を占めています。既にActive Directoryを実行している組織では、Active Directoryを使用することが、ユーザーをシステムにアクセスさせる最も簡単な方法です。
そのほかに、認証におけるユーザーエクスペリエンスで重要な要素となるのがタイムアウトです。高度なセキュリティ環境では、ユーザーがシステムにアクセスするたびにログオンさせる場合がありますが、このオプションはすべての組織にとって最適とは言えません。たとえば、メールにアクセスするたびに資格情報を入力しなければならないとなると、ユーザーエクスペリエンスに大きな影響を与える可能性があります。
ユーザーエントロピー
セキュリティを強化するために、ユーザーエントロピー と呼ばれる機能を有効にすることができます。Citrix Secure Hubや他のアプリでは、パスワード、PIN、および証明書などの共通データを共有することで、すべてが適正に機能するようになっています。この情報は、Secure Hub内の汎用コンテナに保存されます。[シークレットの暗号化] オプションでユーザーエントロピーを有効にすると、XenMobileはUserEntropyという名前の新しいコンテナを作成し、汎用コンテナからこの新しいコンテナに情報を移動させます。Secure Hubや他のアプリがこのデータにアクセスするには、ユーザーはパスワードまたはPINを入力する必要があります。
ユーザーエントロピーを有効にすると、複数の場所で認証が強化されます。その結果、アプリがUserEntropyコンテナ内の共有データ(証明書など)にアクセスするたびに、ユーザーがパスワードかPINを入力する必要があります。
ユーザーエントロピーについては、「MDX Toolkitについて」を参照してください。ユーザーエントロピーをオンにする場合は、関連する設定項目を [クライアントプロパティ] で見つけることができます。
ポリシー
MDXポリシーとMDMポリシーは、組織に大きな柔軟性をもたらす一方で、ユーザーが制限される場合もあります。たとえば、さまざまな場所に機密データが送信される可能性のある、SiriやiCloudなどのクラウドアプリケーションへのアクセスを禁止する必要がある場合、これらのサービスへのアクセスを禁止するポリシーを設定できますが、このようなポリシーによって意図しない結果がもたらされる可能性もあることに注意してください。iOSのキーボード上のマイクもクラウドアクセスに依存しているため、この機能へのアクセスも禁止されることになります。
アプリ
エンタープライズモビリティ管理(EMM:Enterprise Mobility Management)は、モバイルデバイス管理(MDM:Mobile Device Management)とモバイルアプリケーション管理(MAM:Mobile Application Management)に分けられます。MDMを利用するとモバイルデバイスを保護し、制御できる一方、MAMではアプリケーションの配信と管理を簡単に行えます。BYODの導入率が増加した場合、一般的には、アプリケーション配信、ソフトウェアライセンス、構成、アプリケーションライフサイクル管理を支援するため、MAMソリューションを実装します。
XenMobileを使用すると、データの漏洩などのセキュリティ上の脅威を防ぐように特定のMAMポリシーとVPN設定を構成し、こうしたアプリの保護をさらに強化できます。XenMobileは柔軟性に優れており、以下のいずれかのソリューションを展開できます:
- MAM専用環境
- MDM専用環境
- 同じプラットフォームでMDMとMAMの両方の機能を提供する統合XenMobile Enterprise環境
XenMobileは、モバイルデバイスへのアプリ配信機能に加えて、MDXテクノロジによるアプリのコンテナ化機能も備えています。MDXでは、プラットフォームが提供するデバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリはワイプまたはロック可能であり、ポリシーベースで詳細に制御することができます。独立系ソフトウェアベンダー(ISV:Independent Software Vendor)では、Mobile Apps SDKを使用してこうした制御を行うことができます。
企業の環境では、ユーザーは職務の助けとしてさまざまなモバイルアプリを利用しています。こうしたアプリには、パブリックアプリストアのアプリや社内アプリ、ネイティブアプリも含まれます。XenMobileでは、これらのアプリは次のように分類されます:
パブリックアプリ: これらのアプリには、Apple App StoreやGoogle Playなどのパブリックアプリストアで無料または有料で提供されているアプリが含まれます。組織外のベンダーの多くは、パブリックアプリストアで自社のアプリを公開しています。こうすることで、ベンダーの顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズによっては、組織内でパブリックアプリが数多く使用される場合があります。こうしたアプリには、GoToMeeting、Salesforce、EpicCareなどがあります。
Citrixでは、パブリックアプリストアからアプリバイナリを直接ダウンロードすることおよび、こうしたバイナリを社内配布用にMDX Toolkitでラップすることはサポートしていません。MDX対応サードパーティアプリケーションをラップするには、アプリベンダーに連絡してアプリのバイナリを入手します。MDX Toolkitを使用してバイナリをラップするか、MAM SDKをバイナリと統合できます。
社内アプリ: 多くの組織には社内開発者がおり、特定の機能を備え、組織内で独自に開発および配布されるアプリを作成しています。組織によっては、ISVから提供されるアプリを導入している場合もあります。こうしたアプリは、ネイティブアプリとして展開するか、XenMobileなどのMAMソリューションを使用してコンテナ化できます。たとえば、医療機関で、医師が患者の情報をモバイルデバイスで確認できる社内アプリを作成したとします。さらに、アプリをMAM SDK対応にするまたはMDMラップすることで、患者の情報を保護するとともに、バックエンドの患者データベースサーバーへのVPNアクセスを有効化できます。
WebアプリおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスするアプリ(Webアプリ)やパブリックネットワーク経由でアクセスするアプリ(SaaS)が含まれます。XenMobileでは、さまざまなアプリコネクタを使用して、カスタムのWebアプリおよびSaaSアプリを作成することもできます。これらのアプリコネクタを利用することで、既存のWebアプリへのシングルサインオン(SSO:Single Sign-On)を簡単に行えます。詳しくは、「アプリコネクタの種類」を参照してください。たとえば、Google Apps向けのセキュリティアサーションマークアップランゲージ(SAML:Security Assertion Markup Language)を基にした、SSO用のGoogle Apps SAMLを使用できます。
業務用モバイルアプリ: Citrixが開発したアプリであり、XenMobileライセンスに含まれています。詳しくは、「業務用モバイルアプリについて」を参照してください。Citrixでは、ISVがMobile Apps SDKを使用して開発したビジネス対応アプリも提供しています。
HDXアプリ: StoreFrontで公開される、Windowsでホストされたアプリです。Citrix Virtual Apps and Desktops環境を使用している場合、こうしたアプリをXenMobileに統合し、登録済みユーザーに公開することができます。
基になる構成およびアーキテクチャは、XenMobileで展開および管理するモバイルアプリの種類によって異なります。たとえば、1つのアプリを権限レベルの異なる複数のユーザーグループが使用する場合、このアプリを2つのバージョンで展開するには、別々のデリバリーグループが必要となる可能性があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認する必要もあります。
iOSアプリケーションのライセンスは、Appleの一括購入で管理することもできます。この方法を使用するには、XenMobileコンソールでAppleの一括購入に登録し、一括購入ライセンスでアプリを配信するようにXenMobileの設定を構成する必要があります。ユースケースは多様であるため、XenMobile環境を実装する前に、MAM戦略を評価し計画することが重要です。MAM戦略の計画は、次の事柄を定義することから始めることをお勧めします。
アプリの種類: サポートするアプリの種類を一覧にし、分類します(例:パブリックアプリ、ネイティブアプリ、業務用モバイルアプリ、Webアプリ、社内アプリ、ISVアプリなど)。また、iOSやAndroidなどのデバイスプラットフォームごとにもアプリを分類します。このように分類することで、アプリの種類ごとに必要なXenMobileの設定を調整しやすくなります。たとえば、一部のアプリをラップの対象から除外する場合や、ほかのアプリとのやり取りのための特別なAPIを有効にするために、Mobile Apps SDKが必要となる場合があります。
ネットワーク要件: アプリには、適切に設定した明確なネットワークアクセス要件を構成します。たとえば、VPN経由で内部ネットワークにアクセスする必要があるアプリもあれば、DMZ経由でアクセスをルーティングするためにインターネットアクセスが必要なアプリもあります。こうしたアプリが必要なネットワークに接続できるようにするには、さまざまな設定を適切に構成しなければなりません。アプリごとのネットワーク要件を定義することで、アーキテクチャに関する決定事項を早期に確定し、実装プロセス全体の効率を高めることができます。
セキュリティ要件: 個々またはすべてのアプリに適用されるセキュリティ要件を定義することが重要です。この計画により、XenMobile Serverをインストールするときに適切な構成を作成できます。MDXポリシーなどの設定は個々のアプリに適用されますが、セッションと認証の設定はすべてのアプリに適用されます。また、アプリによっては、展開を簡単に行うため、暗号化、コンテナ化、ラップ化、認証、ジオフェンシング、パスコード、あるいはデータ共有に関する特定の要件を事前に定める必要があります。
展開の要件: 公開したアプリを適合したユーザーのみがダウンロードできるように、ポリシーベースの展開を使用する必要のある場合があります。たとえば、特定のアプリで次の要件を適用できます:
- デバイスのプラットフォームベースの暗号化が有効になっている
- デバイスが管理されている
- デバイスがオペレーティングシステムの最小バージョンに対応している
- 特定のアプリはコーポレートユーザーのみが使用可能
また、特定のアプリをコーポレートユーザーだけに利用可能にする必要のある場合もあります。適切な展開ルールまたはアクションを構成できるように、こうした要件の概要を事前に定めます。
ライセンス要件: アプリ関連のライセンス要件の記録を維持します。こうした記録により、ライセンスの使用状況を効率的に管理できるとともに、XenMobileで特定のライセンス管理支援機能を構成するかを判断できます。たとえば、無料または有料のiOSアプリを展開した場合、AppleによりユーザーにiTunesアカウントへのサインインが求められ、アプリにライセンス要件が適用されます。こうしたアプリは、Appleの一括購入に登録することで、XenMobile経由で配信および管理できます。一括購入を利用することで、ユーザーは各自のiTunesアカウントにサインインすることなくアプリをダウンロードできるようになります。さらに、Samsung SAFEやSamsung Knoxなどのツールには、機能を展開する前に履行する必要のある特殊なライセンス要件が備わっています。
許可リストと禁止リストの要件:ユーザーがアプリをインストールまたは使用するのを阻止できます。デバイスがコンプライアンス違反になるアプリの許可リストを作成します。次に、デバイスが非準拠になったときにトリガーするポリシーを設定します。一方で、使用が容認されるアプリが、なんらかの理由で禁止リストに該当する可能性もあります。このような場合には、許可リストにそのアプリを追加し、アプリは使用してもよいが必須ではないと示すことができます。また、新しいデバイスにあらかじめインストールされているアプリの中には、オペレーティングシステムには含まれていないものの一般的に使用されているアプリもあります。こうしたアプリは、禁止リストの方針に抵触する可能性があります。
アプリの使用例
ある医療機関 が、同機関のモバイルアプリ向けのMAMソリューションとしてXenMobileを導入する予定を立てました。モバイルアプリは、コーポレートユーザーおよびBYODユーザーに配信されます。IT部門は、次のアプリを配信および管理することを決定しました。
- 業務用モバイルアプリ: Citrixが提供するiOSアプリおよびAndroidアプリ。
- Secure Mail: メール、カレンダー、連絡先アプリ。
- Secure Web: インターネットとイントラネットサイトへのアクセスを提供するセキュアなWebブラウザー。
- Citrix Files: 共有データにアクセスし、ファイルを共有、同期、編集するためのアプリ。
パブリックアプリストア
- Secure Hub: すべてのモバイルデバイスでXenMobileとの通信に使用するクライアント。IT部門では、Secure Hubクライアントを経由してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidデバイスおよびiOSデバイスは、Secure Hub経由でXenMobileに登録されます。
- Citrix Receiver: Virtual Apps and Desktopsでホストされているアプリケーションをユーザーがモバイルデバイス上で開くことができるモバイルアプリ。
- GoToMeeting: ほかのコンピューターユーザー、顧客、クライアント、同僚とインターネット経由でリアルタイムに話し合うことができる、オンライン会議、デスクトップ共有、ビデオ会議用クライアント。
- Salesforce1: モバイルデバイスからSalesforceへのアクセスを可能にし、あらゆるSalesforceユーザーが統一されたエクスペリエンスでChatter、CRM、カスタムアプリ、およびビジネスプロセスを利用できるようにするモバイルアプリ。
- RSA SecurID: 2要素認証用のソフトウェアベーストークン。
-
EpicCareアプリ: 医療従事者がモバイルデバイスで患者のカルテおよびリスト、スケジュールに安全にアクセスし、メッセージを通信できるようにするアプリ。
- Haiku: iPhoneおよびAndroidスマートフォン向けのモバイルアプリ。
- Canto: iPad用モバイルアプリ
- Rover: iPhoneおよびiPad用のモバイルアプリ。
HDX: これらのアプリは、Citrix Virtual Apps and Desktops経由で配信されます。
- Epic Hyperspace: 電子カルテ管理用のEpicのクライアントアプリケーション。
ISV
- Vocera: iPhoneやAndroidスマートフォンで時間や場所を問わずVocera音声技術を利用できるようにする、HIPAAに準拠したボイスオーバーIPおよびメッセージ用モバイルアプリ。
社内アプリ
- HCMail: 暗号化されたメッセージを作成し、内部メールサーバー上のアドレス帳を検索して、暗号化されたメッセージをメールクライアントで連絡先へ送信できるアプリ。
社内Webアプリ
- PatientRounding: 複数の部署で患者の健康情報の記録に使用するWebアプリケーション。
- Outlook Web Access: Webブラウザー経由でメールにアクセスできるようになります。
- SharePoint: 組織全体でのファイルおよびデータの共有に使用します。
次の表に、MAMの構成に必要な基本情報を示します。
アプリ名 | アプリの種類 | MDXによるラップ | iOS | Android |
Secure Mail | XenMobileアプリ | バージョン10.4.1以降では× | はい | はい |
Secure Web | XenMobileアプリ | バージョン10.4.1以降では× | はい | はい |
Citrix Files | XenMobileアプリ | バージョン10.4.1以降では× | はい | はい |
Secure Hub | パブリックアプリ | - | はい | はい |
Citrix Receiver | パブリックアプリ | - | はい | はい |
GoToMeeting | パブリックアプリ | - | はい | はい |
Salesforce1 | パブリックアプリ | - | はい | はい |
RSA SecurID | パブリックアプリ | - | はい | はい |
Epic Haiku | パブリックアプリ | - | はい | はい |
Epic Canto | パブリックアプリ | - | はい | いいえ |
Epic Rover | パブリックアプリ | - | はい | いいえ |
Epic Hyperspace | HDXアプリ | - | はい | はい |
Vocera | ISVアプリ | はい | はい | はい |
HCMail | 社内アプリ | はい | はい | はい |
PatientRounding | Webアプリ | - | はい | はい |
Outlook Web Access | Webアプリ | - | はい | はい |
SharePoint | Webアプリ | - | はい | はい |
次の表に、XenMobileでのMAMポリシーの構成の参考要件を示します。
| **アプリ名** | **VPNの要否** | **相互作用** | **相互作用** | **デバイスのプラットフォームベースの暗号化** | | | | (コンテナ外のアプリに対して)| (コンテナ外のアプリから)| | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | Y | 選択的に許可 | 許可 | 不要 | | Secure Web | Y | 許可 | 許可 | 不要 | | Citrix Files | Y | 許可 | 許可 | 不要 | | Secure Hub | Y | - | - | - | | Citrix Receiver | Y | - | - | - | | GoToMeeting | N | - | - | - | | Salesforce1 | N | - | - | - | | RSA SecurID | N | - | - | - | | Epic Haiku | Y | - | - | - | | Epic Canto | Y | - | - | - | | Epic Rover | Y | - | - | - | | Epic Hyperspace | Y | - | - | - | | Vocera | Y | 禁止 | 禁止 | 不要 | | HCMail | Y | 禁止 | 禁止 | 必須 | | PatientRounding | Y | - | - | 必須 | | Outlook Web Access | Y | - | - | 不要 | | SharePoint | Y | - | - | 不要 |
アプリ名 | プロキシのフィルタリング | ライセンス | ジオフェンシング | Mobile Apps SDK | オペレーティングシステムの最小バージョン |
---|---|---|---|---|---|
Secure Mail | 必須 | - | 選択的に必須化 | - | 適用する |
Secure Web | 必須 | - | 不要 | - | 適用する |
Citrix Files | 必須 | - | 不要 | - | 適用する |
Secure Hub | 不要 | 一括購入 | 不要 | - | 適用しない |
Citrix Receiver | 不要 | 一括購入 | 不要 | - | 適用しない |
GoToMeeting | 不要 | 一括購入 | 不要 | - | 適用しない |
Salesforce1 | 不要 | 一括購入 | 不要 | - | 適用しない |
RSA SecurID | 不要 | 一括購入 | 不要 | - | 適用しない |
Epic Haiku | 不要 | 一括購入 | 不要 | - | 適用しない |
Epic Canto | 不要 | 一括購入 | 不要 | - | 適用しない |
Epic Rover | 不要 | 一括購入 | 不要 | - | 適用しない |
Epic Hyperspace | 不要 | - | 不要 | - | 適用しない |
Vocera | 必須 | - | 必須 | 必須 | 適用する |
HCMail | 必須 | - | 必須 | 必須 | 適用する |
PatientRounding | 必須 | - | 不要 | - | 適用しない |
Outlook Web Access | 必須 | - | 不要 | - | 適用しない |
SharePoint | 必須 | - | 不要 | - | 適用しない |
ユーザーコミュニティ
すべての組織は、異なる機能的役割を持つ多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのモバイルデバイスを通して提供されるさまざまなリソースを使用して、さまざまなタスクを実行しオフィス機能を果たします。ユーザーは、提供されたモバイルデバイスを使用して、自宅やリモートオフィスで作業する場合もあります。また、特定のセキュリティコンプライアンスルールの対象となるツールへのアクセスが許可された個人のモバイルデバイスを使用する場合もあります。
モバイルデバイスを使用するユーザーコミュニティが増えるにつれ、データ漏洩を防止し、セキュリティ制限を実施するために、エンタープライズモビリティ管理(EMM)が非常に重要になります。効率的で高度なモバイルデバイス管理を実現するために、ユーザーコミュニティを分類することができます。そうすることにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーを適切なユーザーに適用できます。
次の例は、医療機関のユーザーコミュニティにおけるEMM向けの分類方法を示したものです。
ユーザーコミュニティの使用例
この医療機関の例では、ネットワークやアフィリエイトの従業員、ボランティアなどの複数のユーザーに技術リソースやアクセスを提供します。この組織はEMMソリューションを非幹部ユーザーのみに展開することを選択しました。
この医療機関のユーザー役割と機能は、医療、医療以外、契約社員などのサブグループに分けられます。指定されたグループのユーザーが企業のモバイルデバイスを受け取ります。その他のユーザーは個人のデバイスから限られた企業リソースにアクセスできます。適切なレベルのセキュリティ制限を実施し、データ漏洩を防止するために、この組織では、登録された各デバイス(企業所有のデバイスまたはBYOD(Bring Your Own Device))を企業のIT部門が管理することに決定しました。また、ユーザーが登録できるデバイスは1台のみです。
以下のセクションでは、各サブグループの役割と機能の概要について説明します。
医療
- 看護師
- 医師(医師、外科医など)
- スペシャリスト(栄養士、麻酔医、放射線科医、心臓病専門医、がん専門医など)
- 外部の医師(外来の医師とリモートオフィスで作業するオフィスワーカー)
- 在宅医療サービス(患者の往診で医療サービスを行うオフィスワーカーとモバイルワーカー)
- 研究スペシャリスト(医薬における問題解決のための臨床研究を行う6つの研究機関のナレッジワーカーとパワーユーザー)
- 教育と訓練(教育と訓練に従事する看護師、医師、スペシャリスト)
医療以外
- 共通サービス(人事、給与、財務、サプライチェーンサービスなどのさまざまなバックオフィス機能を果たすオフィスワーカー)
- 医療サービス(管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、総合的健康管理、患者アクセスソリューション、収益サイクルソリューションなどの、さまざまな医療管理、管理サービス、ビジネスプロセスソリューションをプロバイダーに提供するオフィスワーカー)
- サポートサービス(福利厚生管理、医療の統合、コミュニケーション、報酬および業績管理、施設および土地サービス、ヒューマンリソーステックシステム、情報サービス、内部監査およびプロセス改善など、医療以外のさまざまな機能を果たすオフィスワーカー)
- 慈善プログラム(慈善プログラムを支援するさまざまな機能を果たすオフィスワーカーとモバイルワーカー)
契約社員
- メーカーやベンダーのパートナー(オンサイト、またはサイト間VPN経由でリモート接続された、医療以外のさまざまなサポート機能を提供する人々)
上記の情報に基づいて、この医療機関では以下のエンティティを作成しました。XenMobileのデリバリーグループについて詳しくは、「リソースの展開」を参照してください。
Active Directory組織単位(OU)とグループ
OU = XenMobileリソース:
- OU =医療; グループ=
- XM-看護師
- XM-医師
- XM-スペシャリスト
- XM-外部の医師
- XM-在宅医療サービス
- XM-研究スペシャリスト
- XM-教育と訓練
- OU =医療以外; グループ=
- XM-共通サービス
- XM-医療サービス
- XM-サポートサービス
- XM-慈善プログラム
XenMobileのローカルユーザーとグループ
グループ=契約社員、ユーザー=
- ベンダー1
- ベンダー2
- ベンダー3
- …ベンダー10
XenMobileデリバリーグループ
- 医療-看護師
- 医療-医師
- 医療-スペシャリスト
- 医療-外部の医師
- 医療-在宅医療サービス
- 医療-研究スペシャリスト
- 医療-教育と訓練
- 医療以外-共通サービス
- 医療以外-医療サービス
- 医療以外-サポートサービス
- 医療以外-慈善プログラム
デリバリーグループとユーザーグループのマッピング
Active Directoryグループ | XenMobileデリバリーグループ |
XM-看護師 | 医療-看護師 |
XM-医師 | 医療-医師 |
XM-スペシャリスト | 医療-スペシャリスト |
XM-外部の医師 | 医療-外部の医師 |
XM-在宅医療サービス | 医療-在宅医療サービス |
XM-研究スペシャリスト | 医療-研究スペシャリスト |
XM-教育と訓練 | 医療-教育と訓練 |
XM-共通サービス | 医療以外-共通サービス |
XM-医療サービス | 医療以外-医療サービス |
XM-サポートサービス | 医療以外-サポートサービス |
XM-慈善プログラム | 医療以外-慈善プログラム |
デリバリーグループとリソースのマッピング
次の表は、この使用例で各デリバリーグループに割り当てられたリソースを示しています。最初の表は、モバイルアプリの割り当てを示しています。2番目の表はパブリックアプリ、HDXアプリ、デバイス管理リソースを示しています。
XenMobileデリバリーグループ | Citrixモバイルアプリ | パブリックモバイルアプリ | HDXモバイルアプリ |
医療-看護師 | X | ||
医療-医師 | |||
医療-スペシャリスト | |||
医療-外部の医師 | X | ||
医療-在宅医療サービス | X | ||
医療-研究スペシャリスト | X | ||
医療-教育と訓練 | X | X | |
医療以外-共通サービス | X | X | |
医療以外-医療サービス | X | X | |
医療以外-サポートサービス | X | X | X |
医療以外-慈善プログラム | X | X | X |
契約社員 | X | X | X |
XenMobileデリバリーグループ | パブリックアプリ:RSA SecurID | パブリックアプリ:EpicCare Haiku | HDXアプリ:Epic Hyperspace | パスコードポリシー | デバイスの制限 | 自動化された操作 | Wi-Fiポリシー |
医療-看護師 | X | ||||||
医療-医師 | X | ||||||
医療-スペシャリスト | |||||||
医療-外部の医師 | |||||||
医療-在宅医療サービス | |||||||
医療-研究スペシャリスト | |||||||
医療-教育と訓練 | X | X | |||||
医療以外-共通サービス | X | X | |||||
医療以外-医療サービス | X | X | |||||
医療以外-サポートサービス | X | X |
注意事項と考慮事項
- XenMobileは初期構成時に「すべてのユーザー」というデフォルトのデリバリーグループを作成します。このデリバリーグループを無効にしないと、すべてのActive DirectoryユーザーにXenMobileへの登録権限が付与されます。
- XenMobileは、LDAPサーバーとの動的接続によりActive Directoryのユーザーとグループをオンデマンドで同期します。
- ユーザーがXenMobileにマップされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、XenMobileはユーザーをXenMobileにマップされているグループにのみ分類します。
- MDMの登録を必須にするには、XenMobileコンソールで[サーバープロパティ]の[登録が必要]オプションを [はい] に設定する必要があります。詳しくは、「サーバープロパティ」を参照してください。
- XenMobileデリバリーグループからユーザーグループを削除するには、dbo.userlistgrps内にあるSQL Serverデータベースのエントリを削除します。 注意: この操作を実行する前に、XenMobileとデータベースのバックアップを作成してください。
XenMobileのデバイスの所有権について
ユーザーデバイスの所有者に応じてユーザーをグループ化できます。デバイスの所有権には、企業所有のデバイスと、BYOD(Bring Your Own Device)とも呼ばれるユーザー所有のデバイスがあります。XenMobileコンソールの2つの場所:[設定] ページの各リソースタイプの[展開規則]とサーバープロパティで、BYODデバイスをネットワークに接続する方法を制御できます。展開規則について詳しくは、XenMobileのドキュメントの「展開規則の構成」を参照してください。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
すべてのBYODユーザーに対して企業によるデバイス管理を受け入れてからアプリにアクセスするように要求できます。または、ユーザーのデバイスを管理せずに、ユーザーに企業アプリへのアクセス権を付与することもできます。
サーバー設定 wsapi.mdm.required.flag を true に設定すると、XenMobileがすべてのBYODデバイスを管理し、登録を拒否したユーザーはアプリへのアクセスが拒否されます。XenMobileにユーザーのデバイスが登録されることによって実現する高いセキュリティと優れたユーザーエクスペリエンスを企業のITチームが必要とする環境では、wsapi.mdm.required.flag をtrueに設定することを検討してください。
wsapi.mdm.required.flag をデフォルト設定のfalseのままにした場合、ユーザーは登録を拒否できますが、引き続きXenMobile Storeを通じてデバイス上のアプリにアクセスできます。プライバシー、法律、または規制上の制約によりデバイスの管理が不要で、エンタープライズアプリの管理のみが必要な環境では、wsapi.mdm.required.flagをfalseに設定することを検討してください。
XenMobileが管理しないデバイスを持つユーザーは、XenMobile Storeからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。ポリシーでは、設定した値に応じて、デバイスがXenMobile Serverを定期的にチェックして、アプリの実行が引き続き許可されていることを確認する必要があります。
セキュリティ要件
XenMobile環境を展開する場合は、セキュリティ上のさまざまな点を考慮する必要が生じてきます。さまざまな部分や設定が連動しています。スムーズに開始して許容できる保護レベルを選択できるように、以下の表で、高いセキュリティ、より高いセキュリティ、および最高のセキュリティに関する推奨事項を概説します。
展開モードを選択する際は、セキュリティ以外のことも考慮する必要があります。展開モードを選択する前に、ユースケースの要件を確認して、セキュリティの問題を軽減できるかどうかを判断することが重要です。
高: この設定を使用すると、ほとんどの組織で許容可能な基本レベルのセキュリティを維持しながら、最適なユーザーエクスペリエンスを実現できます。
より高い: この設定では、セキュリティとユーザービリティ間でよりバランスがとれています。
最高: この推奨事項に従うと、高いレベルのセキュリティが実現しますが、ユーザービリティとユーザーへの導入が犠牲になります。
展開モードのセキュリティに関する考慮事項
次の表は、各セキュリティレベルでの展開モードを示しています。
高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
MAMまたはMDM | MDM + MAM | MDM + MAM、プラスFIPS |
メモ:
- 使用例によっては、MDMのみ、またはMAMのみの展開でセキュリティ要件を満たし、優れたユーザーエクスペリエンスを提供できる場合もあります。
- アプリのコンテナ化、マイクロVPN、またはアプリ固有のポリシーが不要な場合は、デバイスの管理と保護にMDMを使用すれば十分です。
- アプリのコンテナ化のみでビジネスとセキュリティ上のすべての要件が満たされるBYODのような使用例では、MAMのみのモードをお勧めします。
- 高セキュリティ環境(および企業がデバイスを支給)の場合、利用可能なすべてのセキュリティ機能を利用するためにMDM + MAMをお勧めします。必ずMDM登録を適用してください。
- FIPSは、連邦政府などの、最高水準のセキュリティが求められる環境向けのオプションです。
FIPSモードを有効にする場合は、SQLトラフィックを暗号化するようにSQL Serverを構成する必要があります。
Citrix ADCとCitrix Gatewayのセキュリティに関する考慮事項
次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。
高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
Citrix ADCは推奨。Citrix GatewayはMAMとENTに必須、MDMに推奨。 | XenMobileがDMZ内にある場合は、SSLブリッジを使用した標準のCitrix ADC for XenMobileウィザード構成。XenMobile Serverが内部ネットワークにあり、セキュリティの標準を満たす必要がある場合には、SSLオフロードを使用します。 | エンドツーエンド暗号化によるSSLオフロード |
メモ:
- XenMobile Serverを、NATや、既存のサードパーティプロキシおよびロードバランサーを介してインターネットに公開することは、MDMのオプションになります。ただし、この設定ではSSLトラフィックがXenMobile Server上で終端する必要があるため、セキュリティ上のリスクが発生する可能性があります。
- 高度なセキュリティ環境を実現するには、通常、Citrix ADCとデフォルトのXenMobile構成の組み合わせがセキュリティ要件を満たしているか、それ以上の条件を備えている必要があります。
- 最高水準のセキュリティが求められるMDM環境を実現するには、SSLの終端をCitrix ADCにすることで、エンドツーエンドのSSL暗号化を維持しながら境界でトラフィックを検査できます。
- SSL/TLS暗号を定義するオプション。
- SSL FIPS Citrix ADCハードウェアも利用できます。
- 詳しくは、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。
登録のセキュリティに関する考慮事項
次の表は、各セキュリティレベルのCitrix ADCおよびCitrix Gatewayの推奨事項を示しています。
高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 | 招待のみの登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 | デバイスIDに関連付けられた登録セキュリティモード。Active Directoryグループメンバーシップのみ。すべてのユーザーデリバリーグループが無効になっています。 |
メモ:
- 事前定義されたActive Directoryグループ内のユーザーのみに登録を制限することをお勧めします。そのためには、組み込みのすべてのユーザーデリバリーグループを無効にする必要があります。
- 登録招待状を使用すると、招待状を持つユーザーだけが登録できるように制限できます。登録招待状は、Windowsデバイスでは利用できません。
- 2要素認証ソリューションとしてワンタイムPIN(OTP)による登録招待状を使用し、ユーザーが登録できるデバイス数を制御できますOTPの招待状はWindowsデバイスでは利用できません。
デバイスのパスコードのセキュリティに関する考慮事項
次の表は、各セキュリティレベルでのデバイスのパスコードの推奨事項を示しています。
高セキュリティ | より高いセキュリティ | 最高のセキュリティ |
推奨。デバイスレベルの暗号化には高いセキュリティが必要です。MDMを使用して適用されます。MDXポリシー、非準拠のデバイスの動作を使用して、MAMのみで必要な高セキュリティに設定できます。 | MDM、MDXポリシー、またはその両方を使用して適用されます。 | MDMおよびMDXポリシーを使用して適用されます。MDMの複雑なパスコードポリシー。 |
メモ:
- デバイスのパスコードを使用することをお勧めします。
- MDMポリシーを使用してデバイスのパスコードを適用できます。
- MDXポリシーを使用して、管理対象アプリの使用にデバイスのパスコードを必須にすることができます。たとえば、BYODに使用する場合です。
- MDM + MAM環境では、セキュリティを強化するためにMDMとMDXのポリシーオプションを組み合わせることをお勧めします。
- セキュリティ要件が最も高い環境では、複雑なパスコードポリシーを構成し、MDMでこのポリシーを適用できます。デバイスがパスコードポリシーに準拠していない場合は、管理者に通知したり、デバイスの選択的またはフルワイプを発行したりする自動アクションを構成できます。