Gateway

アクセスシナリオフォールバックのポリシーの作成

アクセスシナリオのフォールバック用にNetScaler Gateway を構成するには、次の方法でポリシーとグループを作成する必要があります:

  • エンドポイント分析スキャンが失敗した場合にユーザーが配置される検疫グループを作成します。
  • エンドポイント分析スキャンが失敗した場合に使用されるグローバルWeb InterfaceまたはStoreFront 設定を作成します。
  • グローバル設定を上書きするセッションポリシーを作成し、そのセッションポリシーをグループにバインドします。
  • エンドポイント分析が失敗した場合に適用されるグローバルクライアントセキュリティポリシーを作成します。

アクセスシナリオフォールバックを設定するときは、次のガイドラインに従ってください:

  • クライアント選択またはアクセスシナリオフォールバックを使用するには、すべてのユーザーに Endpoint Analysis プラグインが必要です。エンドポイント分析を実行できない場合、またはスキャン中にスキャンをスキップを選択した場合、ユーザーはアクセスを拒否されます。 注:スキャンをスキップするオプションは、NetScaler Gateway 10.1、ビルド120.1316.eで削除されました
  • クライアント選択を有効にすると、ユーザーデバイスがエンドポイント分析スキャンに失敗すると、ユーザーは検疫グループに配置されます。ユーザーは、NetScaler Gateway プラグインまたはCitrix Receiverのいずれかを使用して、引き続きWeb InterfaceまたはStoreFront にログオンできます。 注:クライアントの選択を有効にする場合は、検疫グループを作成しないことをお勧めします。エンドポイント分析スキャンに失敗して隔離されたユーザーデバイスは、エンドポイントスキャンに合格したユーザーデバイスと同じように扱われます。
  • エンドポイント分析スキャンが失敗し、ユーザーが検疫グループに配置された場合、検疫グループにバインドされたポリシーは、検疫グループにバインドされたポリシーと同等またはそれ以下の優先度番号を持つユーザーに直接バインドされたポリシーがない場合にのみ有効です。
  • Access Interfaceと、Web InterfaceまたはStoreFront に異なるWebアドレスを使用できます。ホームページを構成すると、NetScaler Gateway プラグインではAccess Interfaceのホームページが優先され、Web Interfaceユーザーの場合はWeb Interfaceホームページが優先されます。StoreFront では、Receiverのホームページが優先されます。

検疫グループを作成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ユーザー管理]の順に展開し、[ AAAグループ]をクリックします。
  2. 詳細ペインで、[Add] をクリックします。
  3. [グループ名] にグループの名前を入力し、[作成] をクリックし、[閉じる] をクリックします。 重要:検疫グループの名前は、ユーザーが所属する可能性のあるドメイングループの名前と一致してはなりません。検疫グループが Active Directory グループ名と一致する場合、ユーザーデバイスがエンドポイント分析セキュリティスキャンに合格しても、ユーザーは隔離されます。

グループを作成した後、ユーザーデバイスがエンドポイント分析スキャンに失敗した場合にWeb InterfaceにフォールバックするようにNetScaler Gateway を構成します。

ユーザー接続を検疫するための設定を構成するには

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[NetScaler Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ペインの [ 設定] で、[グローバル設定の変更] をクリックします。
  3. [ グローバルNetScaler Gateway 設定 ]ダイアログボックスの[ 公開アプリケーション ]タブで、[ ICAプロキシ]の横にある[ オフ]を選択します。
  4. [ Web Interfaceアドレス]の横に、StoreFront またはWeb InterfaceのWebアドレスを入力します。
  5. 「シングル・サインオン・ドメイン」の横に、Active Directory ドメインの名前を入力し、「OK」をクリックします。

グローバル設定を構成したら、グローバルICAプロキシ設定を上書きするセッションポリシーを作成し、セッションポリシーを検疫グループにバインドします。

アクセスシナリオフォールバックのセッションポリシーを作成するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ポリシー ]を展開し、[セッション]をクリックします。
  2. 詳細ペインで、[Add] をクリックします。
  3. [名前] に、ポリシーの名前を入力します。
  4. 「リクエストプロファイル」の横にある「 新規」をクリックします。
  5. 「公開アプリケーション」タブの「ICA Proxy」の横にある「グローバル上書き」をクリックし、「オン」を選択して「作成」をクリックします。
  6. [ セッションポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある [一般] を選択し、[ True value] を選択し、[ 式の追加] をクリックして [ 作成 ] をクリックし、[ 閉じる] をクリックします。

セッションポリシーを作成したら、ポリシーを検疫グループにバインドします。

セッションポリシーを検疫グループにバインドするには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ NetScaler Gateway]>[ユーザー管理]の順に展開し、[ AAAグループ]をクリックします。
  2. 詳細ペインでグループを選択し、[開く] をクリックします。
  3. [セッション] をクリックします。
  4. 「ポリシー」タブで「セッション」を選択し、「ポリシーの挿入」をクリックします。
  5. [ポリシー名]でポリシーを選択し、[ OK]をクリックします。

NetScaler Gateway でWeb InterfaceまたはStoreFront を有効にするセッションポリシーとプロファイルを作成したら、グローバルクライアントセキュリティポリシーを作成します。

グローバルクライアントセキュリティポリシーを作成するには

  1. ナビゲーションペインにある、[Configuration]タブの構成ユーティリティで、[NetScaler Gateway]を展開し、[Global Settings]をクリックします。
  2. 詳細ペインの [ 設定] で、[グローバル設定の変更] をクリックします。
  3. [セキュリティ] タブの [ 詳細設定] をクリックします。
  4. [ クライアントセキュリティ] に式を入力します。システム式の構成の詳細については、「システム式の設定」および「 [複合クライアントセキュリティ式の構成](/ja-jp/netscaler-gateway/12-1/vpn-user-config/endpoint-policies/ng-endpoint-expressions-compound-con.html)」を参照してください
  5. 「隔離グループ」で、グループ手順で設定したグループを選択し、「OK」を 2 回クリックします。
アクセスシナリオフォールバックのポリシーの作成