Gateway

Citrix 業務用モバイルアプリでモバイルデバイスからのアクセスを許可する

NetScaler ADC for XenMobile ウィザードでは、サポートされているデバイスからNetScaler Gateway を介して内部ネットワークのモバイルアプリおよびリソースにユーザーが接続できるようにするために必要な設定を構成します。ユーザーは、マイクロVPNトンネルを確立するセキュアハブ(以前のCitrix Secure Hub)を使用して接続します。ユーザーが接続すると、VPNトンネルがNetScaler Gateway に開かれ、内部ネットワークのXenMobile に渡されます。ユーザーは、XenMobile MobileからWeb、モバイル、およびSaaSアプリケーションにアクセスできます。

複数のデバイスで同時にNetScaler Gateway に接続するときに、ユーザーが単一のユニバーサルライセンスを使用できるようにするには、仮想サーバーでセッション転送を有効にします。詳細については、 仮想サーバーでの接続タイプの構成を参照してください

XenMobile 用NetScaler ADCウィザードを使用した後に構成を変更する必要がある場合は、この記事のセクションを参照してガイダンスを参照してください。設定を変更する前に、変更の影響を理解していることを確認してください。詳しくは、 XenMobile の展開に関する記事を参照してください

NetScaler Gateway でSecure Browse を構成する

Secure Browseは、グローバル設定の一部として、またはセッションプロファイルの一部として変更できます。セッションポリシーは、ユーザー、グループ、または仮想サーバーにバインドできます。Secure Browse を設定する場合は、クライアントレスアクセスも有効にする必要があります。ただし、クライアントレスアクセスでは、Secure Browse を有効にする必要はありません。クライアントレスアクセスを設定するときは、[ クライアントレスアクセス URL エンコーディング ] を [ クリア] に設定します。

Secure Browse をグローバルに設定するには:

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. グローバルNetScaler Gateway 設定 ]ダイアログボックスの[セキュリティ]タブで、[ SecureBrowse]をクリックし、[OK]をクリックします。

セッションポリシーおよびプロファイルでSecure Browseを構成するには:

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]を展開し、[ セッション]をクリックします。
  2. 詳細ウィンドウで、次のいずれかの操作を行います:
    • 新しいセッションポリシーを作成する場合は、[ Add] をクリックします。
    • 既存のポリシーを変更する場合は、ポリシーを選択して [ 開く] をクリックします。
  3. ポリシーで、プロファイルを作成するか、既存のプロファイルを変更します。これを行うには、次のいずれかを実行します:
    • リクエストプロファイル」の横にある「 新規」をクリックします。
    • リクエストプロファイル」の横にある「 変更」をクリックします。
  4. [ セキュリティ] タブで、[セキュリティSecureBrowse] の横にある [ グローバルを上書き ] をクリックし、[ セキュリティSecure Browse] を選択します。
  5. 次のいずれかを行います:
    • 新しいプロファイルを作成する場合は、[ 作成] をクリックし、ポリシーダイアログボックスで式を設定し、[ 作成 ]、[ 閉じる] の順にクリックします。
    • 既存のプロファイルを変更する場合は、選択後に「 OK」 を 2 回クリックします。

Secure Browse モードでSecure Webのトラフィックポリシーを構成するには、次の手順を実行します。

次の手順に従って、Secure WebトラフィックをSecure Browse モードでプロキシサーバ経由でルーティングするようにトラフィックポリシーを構成します。

  1. 構成ユーティリティの[ 構成 ]タブで、[ NetScaler Gateway]>[ポリシー ]の順に展開し、[ トラフィック]をクリックします。
  2. 右側のペインで、[ トラフィックプロファイル ] タブをクリックし、[ 追加] をクリックします。
  3. [ 名前] にプロファイルの名前を入力し、[ プロトコル ] として [ TCP] を選択し、残りの設定はそのままにします。
  4. [Create] をクリックします。
  5. [ トラフィックプロファイル ] タブをクリックし、[ 追加] をクリックします。
  6. [ 名前] にプロファイルの名前を入力し、[ プロトコル ] として [ HTTP] を選択します。 このトラフィックプロファイルは HTTP と SSL の両方用です。クライアントレス VPN トラフィックは、宛先ポートまたはサービスタイプに関係なく、設計上 HTTP トラフィックです。したがって、トラフィックプロファイルでは、SSL トラフィックと HTTP トラフィックの両方を HTTP として指定します。
  7. [プロキシ] に、 プロキシサーバーのIP アドレスを入力します。[ ポート] に、プロキシサーバーのポート番号を入力します。
  8. [Create] をクリックします。
  9. [ トラフィックポリシー ] タブをクリックし、[ 追加] をクリックします。
  10. トラフィックポリシーの名前を入力し 、[ 要求プロファイル(Request Profile)] で、ステップ 3 で作成したトラフィックプロファイルを選択します。 次の式を入力し 、[ 作成] をクリックします。

    REQ.HTTP.HEADER HOST contains ActiveSyncServer || REQ.HTTP.HEADER User-Agent CONTAINS WorxMail || REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise || REQ.HTTP.HEADER User-Agent CONTAINS Citrix Secure Hub || REQ.HTTP.URL CONTAINS AGServices || REQ.HTTP.URL CONTAINS StoreWeb
    <!--NeedCopy-->
    

    このルールは、ホストヘッダーに基づいてチェックを実行します。プロキシからのアクティブ同期トラフィックをバイパスするには、ActiveSyncServerを適切なActive Syncサーバ名で置き換えます。

  11. [ トラフィックポリシー ] タブをクリックし、[ 追加] をクリックします。 トラフィックポリシーの名前を入力し 、[ 要求プロファイル(Request Profile)] で、ステップ 6 で作成したトラフィックプロファイルを選択します。 次の式を入力し 、[ 作成] をクリックします。

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  12. [ トラフィックポリシー ] タブをクリックし、[ 追加] をクリックします。 トラフィックポリシーの名前を入力し 、[ 要求プロファイル(Request Profile)] で、ステップ 6 で作成したトラフィックプロファイルを選択します。 次の式を入力し 、[ 作成] をクリックします。

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  13. NetScaler Gateway]>[仮想サーバー]に移動し、右側のペインで仮想サーバーを選択して、[ 編集]をクリックします。
  14. [ ポリシー ] 行で、[ +] をクリックします。
  15. [ポリシーの選択 ] メニューから、[ トラフィック] を選択します。
  16. [続行] をクリックします。
  17. [ ポリシーのバインド] で、 [ポリシーの選択]の横にある [ **] をクリックします。
  18. ステップ 10 で作成したポリシーを選択し、 OKをクリックします。
  19. [Bind] をクリックします。
  20. [ ポリシー] で、[ トラフィックポリシー] をクリックします。
  21. [ VPN 仮想サーバトラフィックポリシーのバインド] で、[ **バインドの追加**] をクリックします。
  22. [ ポリシーバインド] で、 [ポリシーの選択 ] メニューの横にある [ ** ] をクリックしてポリシーリストを表示します。
  23. ステップ 11 で作成したポリシーを選択し、[ OK]をクリックします。
  24. [Bind] をクリックします。
  25. [ ポリシー] で、[ トラフィックポリシー] をクリックします。
  26. [ VPN 仮想サーバトラフィックポリシーのバインド] で、[ **バインドの追加**] をクリックします。
  27. [ ポリシーバインド] で、 [ポリシーの選択 ] メニューの横にある [ ** ] をクリックしてポリシーリストを表示します。
  28. ステップ 12 で作成したポリシーを選択し、[ OK]をクリックします。
  29. [Bind] をクリックします。
  30. [閉じる] をクリックします。
  31. [完了] をクリックします。

必ずXenMobileコンソールでSecure Web(WorxWeb)アプリを構成してください。[ 構成]>[アプリ]の順に選択し、Secure Webアプリを選択して[ 編集]をクリックし、次の変更を行います。

  • [ アプリ情報 ] ページで、[ 初期 VPN モード ] を [Secure Browse]に変更します。
  • iOS ページで、[ 初期 VPN モード ] を [Secure Browse]に変更します。
  • [ Android ] ページで、[ 優先 VPN モード ] を [Secure Browse]に変更します。

アプリケーションと MDX トークンのタイムアウトを構成する

ユーザーがiOSまたはAndroidデバイスからログオンすると、アプリケーショントークンまたはMDXトークンが発行されます。トークンはSecure Ticket Authority (STA) に似ています。

トークンをアクティブにする秒数または分数を設定できます。トークンの有効期限が切れると、ユーザーはアプリケーションやウェブページなどの要求されたリソースにアクセスできなくなります。

トークンのタイムアウトはグローバル設定です。この設定を構成すると、NetScaler Gateway にログオンするすべてのユーザーに適用されます。

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. グローバルNetScaler Gateway 設定 ]ダイアログボックスの[ クライアントエクスペリエンス ]タブで、[ 詳細設定]をクリックします。
  4. [ 全般 ] タブの [ アプリケーショントークンのタイムアウト (秒) ] に、トークンの有効期限が切れるまでの秒数を入力します。デフォルトは 100 秒です。
  5. MDXトークンのタイムアウト (分)]に、トークンの有効期限が切れるまでの分数を入力し、[ OK]をクリックします。デフォルトは 10 分です。

モバイルデバイスのエンドポイント分析を無効にする

エンドポイント分析を設定する場合は、エンドポイント分析スキャンが Android または iOS モバイルデバイスで実行されないようにポリシー式を設定する必要があります。エンドポイント分析スキャンは、モバイルデバイスではサポートされていません。

エンドポイント分析ポリシーを仮想サーバにバインドする場合は、モバイルデバイス用のセカンダリ仮想サーバを作成する必要があります。事前認証ポリシーまたは認証後ポリシーをモバイルデバイス仮想サーバーにバインドしないでください。

事前認証ポリシーでポリシー式を構成する場合は、Android または iOS を除外する User-Agent 文字列を追加します。ユーザーがこれらのデバイスのいずれかからログオンし、デバイスタイプを除外すると、エンドポイント分析は実行されません。

たとえば、次のポリシー式を作成して、User-Agent に Android が含まれているかどうか、アプリケーション virus.exe が存在しないかどうかを確認し、事前認証プロファイルを使用してプロセス keylogger.exe が実行されている場合はプロセスを終了します。ポリシー式は次のようになります。

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains

事前認証ポリシーとプロファイルを作成したら、ポリシーを仮想サーバにバインドします。ユーザーが Android または iOS デバイスからログオンすると、スキャンは実行されません。ユーザーが Windows ベースのデバイスからログオンすると、スキャンが実行されます。

事前認証ポリシーの設定の詳細については、 エンドポイントポリシーの設定を参照してください

Android デバイスの DNS サフィックスを使用して DNS クエリをサポートする

ユーザーがAndroidデバイスからマイクロVPN接続を確立すると、NetScaler Gateway はスプリットDNS設定をユーザーデバイスに送信します。NetScaler Gateway は、構成するスプリットDNS設定に基づくスプリットDNSクエリをサポートします。NetScaler Gateway は、アプライアンスに構成したDNSサフィックスに基づくスプリットDNSクエリもサポートできます。ユーザーがAndroidデバイスから接続する場合は、NetScaler Gateway でDNS設定を構成する必要があります。

スプリット DNS は、次のように動作します。

  • スプリット DNS を [ ローカル] に設定すると、Android デバイスはすべての DNS リクエストをローカル DNS サーバに送信します。
  • スプリットDNSをリモートに設定すると、すべてのDNS要求は、解決のためにNetScaler Gateway(リモートDNSサーバー)で構成されたDNSサーバーに送信されます。
  • スプリット DNS を [ 両方] に設定すると、Android デバイスは DNS リクエストタイプをチェックします。
    • DNS 要求タイプが「A」でない場合、DNS 要求パケットはローカルおよびリモート DNS サーバの両方に送信されます。
    • DNSリクエストタイプが「A」の場合、AndroidプラグインはクエリFQDNを抽出し、そのFQDNをNetScaler ADCアプライアンスに構成されたDNSサフィックスリストと照合します。DNS 要求の FQDN が一致すると、DNS 要求はリモート DNS サーバーに送信されます。FQDN が一致しない場合、DNS 要求はローカル DNS サーバーに送信されます。

次の表は、タイプ A のレコードとサフィックスリストに基づいて動作するスプリット DNS をまとめたものです。

スプリット DNS 設定 タイプAのレコードですか 接尾辞リストに載ってるの? DNS リクエストの送信先
ローカル はいまたはいいえの両方 はいまたはいいえの両方 ローカル
リモート はいまたはいいえの両方 はいまたはいいえの両方 リモート
両方 いいえ - 両方
両方 はい はい リモート
両方 はい いいえ ローカル

DNS サフィックスを設定するには、次の手順を実行します。

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー ]を展開し、[ セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、セッションポリシーを選択し、[ 開く] をクリックします。
  3. リクエストプロファイル」の横にある「 変更」をクリックします。
  4. [ ネットワーク構成 ] タブで、[ 詳細設定] をクリックします。
  5. イントラネット IP DNS サフィックス」の横にある「 グローバルを上書き」をクリックし、DNS サフィックスを入力して「OK」を 3 回クリックします。

NetScaler Gateway でスプリットDNSをグローバルに構成するには:

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway ]を展開し、[ グローバル設定]をクリックします。
  2. 詳細ペインの [ 設定] で、[ グローバル設定の変更] をクリックします。
  3. クライアントエクスペリエンス 」タブで、「 詳細設定」をクリックします。
  4. 全般 ]タブの[ スプリット DNS]で[ 両方]、[ リモート]、または[ ローカル ]を選択し、[ OK]をクリックします

NetScaler Gateway のセッションポリシーでスプリットDNSを構成するには:

  1. 構成ユーティリティの[ 構成 ]タブのナビゲーションペインで、[ Citrix Gateway]>[ポリシー]を展開し、[ セッション]をクリックします。
  2. 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
  3. [名前] に、ポリシーの名前を入力します。
  4. リクエストプロファイル」の横にある「 新規」をクリックします。
  5. [名前] に、プロファイルの名前を入力します。
  6. クライアントエクスペリエンス 」タブで、「 詳細設定」をクリックします。
  7. 全般 ]タブで、[ スプリット DNS]の横にある[ グローバルを上書き]をクリックし、[ 両方]、[ リモート]、または[ ローカル ]を選択して[ OK]
  8. [ セッションポリシーの作成 ] ダイアログボックスで、[ 名前付き式] の横にある [ 全般]、[ True]、[ 式の追加]、[ 作成]、 [ 閉じる] の順にクリックします。
Citrix 業務用モバイルアプリでモバイルデバイスからのアクセスを許可する