認証ポリシーの投稿
重要:
エンドポイント分析は、あらかじめ決められたコンプライアンス基準に照らしてユーザーデバイスを分析することを目的としており、エンドユーザーデバイスのセキュリティを強制または検証するものではありません。ローカル管理者による攻撃からデバイスを保護するには、エンドポイントセキュリティシステムを使用することをお勧めします。
認証後ポリシーは、セッションをアクティブに保つためにユーザーデバイスが満たす必要がある汎用ルールのセットです。ポリシーが失敗すると、NetScaler Gateway への接続は終了します。認証後ポリシーを構成すると、条件付きに設定できるユーザー接続の設定を構成できます。
セッションポリシーを使用して、認証後のポリシーを設定します。まず、ポリシーを適用するユーザーを作成します。次に、ユーザーをグループに追加します。次に、セッション、トラフィックポリシー、およびイントラネットアプリケーションをグループにバインドします。
また、グループを承認グループとして指定することもできます。このタイプのグループでは、セッションポリシー内のクライアントデバイスチェック式に基づいてユーザーをグループに割り当てることができます。
また、ユーザーデバイスがポリシーの要件を満たしていない場合にユーザーを検疫グループに入れるように、認証後ポリシーを構成することもできます。シンプルなポリシーには、クライアントデバイスのチェック表現とメッセージが含まれます。ユーザーが検疫グループに属している場合、ユーザーはNetScaler Gateway にログオンできますが、ネットワークリソースへのアクセスは制限されます。
同じセッションプロファイルとポリシーを使用して、認可グループと検疫グループを作成することはできません。認証後ポリシーを作成する手順は同じです。セッションポリシーを作成するときは、承認グループまたは検疫グループを選択します。2 つのセッションポリシーを作成し、各ポリシーをグループにバインドできます。
認証後のポリシーは SmartAccess でも使用されます。SmartAccess 詳細については、「 NetScaler Gateway でのSmartAccess 構成」を参照してください。
注:
この機能は、Citrix Secure Accessエージェントでのみ動作します。ユーザーがCitrix Workspace アプリでログオンした場合、エンドポイント分析スキャンはログオン時にのみ実行されます。
認証後ポリシーを構成する
セッションポリシーを使用して、認証後ポリシーを設定します。シンプルなポリシーには、クライアントデバイスのチェック表現とメッセージが含まれます。
GUI を使用して認証後ポリシーを設定するには
- NetScaler Gateway > ポリシーを展開して 、「 セッション」をクリックします。
- 詳細ペインの [ ポリシー ] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [セキュリティ] タブの [ 詳細設定] をクリックします。
- [ クライアントセキュリティ] で、[ グローバルを上書き] をクリックし、 [ 新規] をクリックします。
- クライアントデバイスのチェック式を設定し、「 作成」をクリックします。
- [ クライアントセキュリティ] の [隔離グループ] で、グループを選択します。
- [ エラーメッセージ] に、認証後のスキャンが失敗した場合にユーザーに受信させたいメッセージを入力します。
- [承認グループ] で、[ グローバルを上書き] をクリックし、グループを選択し、[ 追加]、[ OK]、[ 作成] の順にクリックします。
- [ セッションポリシーの作成 ] ダイアログボックスで、[名前付き式] の横にある [ 一般] を選択し、[ True value] を選択し、[ 式の追加] をクリックして [ 作成] をクリックし、[ 閉じる] をクリックします。
認証後スキャンの頻度を構成する
指定した間隔で認証後ポリシーを実行するようにNetScaler Gateway を構成できます。たとえば、クライアントデバイスチェックポリシーを構成し、それをユーザーデバイス上で10分ごとに実行したいとします。この頻度は、ポリシー内にカスタム式を作成することで設定できます。
注:
認証後ポリシーの頻度チェック機能は、Citrix Secure Accessエージェントでのみ機能します。ユーザーがCitrix Workspace アプリでログオンした場合、エンドポイント分析スキャンはログオン時にのみ実行されます。
「 認証後ポリシーの設定」の手順に従って、クライアントデバイスチェックポリシーを設定する頻度(分単位)を設定できます。次の図は、「式の追加」( Add Expression ) ダイアログボックスの頻度の値を入力できる場所を示しています。
検疫グループと承認グループ
ユーザーがNetScaler Gateway にログオンするときに、NetScaler Gateway またはセキュリティで保護されたネットワーク内の認証サーバーで構成するグループにユーザーを割り当てます。ユーザが認証後スキャンに失敗した場合、ユーザを検疫グループと呼ばれる制限されたグループに割り当てることができます。このグループは、ネットワークリソースへのアクセスを制限します。
また、承認グループを使用して、ネットワークリソースへのユーザーアクセスを制限することもできます。たとえば、メールサーバーとファイル共有にのみアクセスできる契約担当者のグループがあるとします。ユーザーデバイスがNetScaler Gateway で定義したデバイスチェック要件に合格すると、ユーザーは動的にグループのメンバーになることができます。
グローバル設定またはセッションポリシーを使用して、ユーザー、グループ、または仮想サーバーにバインドされた検疫および承認グループを構成します。セッションポリシー内のクライアントデバイスチェック式に基づいて、ユーザーをグループに割り当てることができます。ユーザーがグループのメンバーである場合、NetScaler Gateway はグループメンバーシップに基づいてセッションポリシーを適用します。
権限付与グループの設定
Endpoint Analysis スキャンを設定すると、ユーザーデバイスがスキャンに合格したときに、ユーザーを承認グループに動的に追加できます。たとえば、ユーザーデバイスのドメインメンバーシップをチェックする Endpoint Analysis スキャンを作成するとします。NetScaler Gateway で、ドメインに参加しているコンピューターというローカルグループを作成し、スキャンに合格したすべてのユーザーの承認グループとして追加します。ユーザーがグループに参加すると、ユーザーはグループに関連付けられたポリシーを継承します。
認可ポリシーは、グローバルにバインドすることも、仮想サーバにバインドすることもできません。ユーザーがNetScaler Gateway の別のグループのメンバーになるように構成されていない場合、承認グループを使用して、承認ポリシーのデフォルトセットを提供できます。
セッションポリシーを使用して認可グループを構成するには
- NetScaler Gateway > ポリシーに移動し 、「 セッション」をクリックします。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [セキュリティ] タブの [ 詳細設定] をクリックします。
- 「承認グループ」で、「 グローバルをオーバーライド 」をクリックし、ドロップダウンリストからグループを選択します。
- 「 追加」をクリックし、「 OK」 をクリックし、「 作成」をクリックします。
- [ セッションポリシーの作成 ] ダイアログボックスで、[名前付き式] の横にある [ 一般] を選択し、[ True value] を選択し、[ 式の追加] をクリックして [ 作成] をクリックし、[ 閉じる] をクリックします。
セッションポリシーを作成したら、ユーザー、グループ、または仮想サーバーにバインドできます。
グローバル権限グループを構成するには
- NetScaler Gateway を展開し、「 グローバル設定」をクリックします。
- 詳細ペインの [設定] で、[ グローバル設定の変更] をクリックします。
- [セキュリティ] タブの [ 詳細設定] をクリックします。
- 「承認グループ」で、ドロップダウンリストからグループを選択します。
- 「 追加」をクリックし、 「 OK」をクリックします。
承認グループをグローバルに、またはセッションポリシーから削除する場合は、[セキュリティ設定-詳細設定] ダイアログボックスで、一覧から承認グループを選択し、[ 削除] をクリックします。
検疫グループの設定
隔離グループを設定する場合、セッションプロファイル内の [セキュリティ設定-詳細設定] ダイアログボックスを使用してクライアントデバイスのチェック式を設定します。
検疫グループのクライアントデバイスチェック式を設定するには
- Citrix Gateway > ポリシーに移動し 、「 セッション」をクリックします。
- 詳細ペインの [ポリシー] タブで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [名前] に、プロファイルの名前を入力します。
- [セキュリティ] タブの [ 詳細設定] をクリックします。
- [ クライアントセキュリティ] で、[ グローバルを上書き] をクリックし、 [ 新規] をクリックします。
- クライアントエクスプレッションダイアログボックスで 、クライアントデバイスのチェックエクスプレッションを設定し、「 作成」をクリックします。
- 「 隔離グループ」で、グループを選択します。
- [エラーメッセージ] に、問題を説明するメッセージをユーザーに入力し、[ 作成] をクリックします。
- [ セッションポリシーの作成 ] ダイアログボックスの [名前付き式] の横で [ 一般] を選択し、[ True value] を選択して [ 式の追加] をクリックします。
- [ 作成] をクリックし、 [ 閉じる] をクリックします。
セッションポリシーを作成したら、ユーザー、グループ、または仮想サーバーにバインドします。
注:
Endpoint Analysis スキャンが失敗し、ユーザーが検疫グループに配置された場合、検疫グループにバインドされたポリシーは、検疫グループにバインドされたポリシーと同等またはそれ以下の優先度番号を持つユーザーに直接バインドされたポリシーがない場合にのみ有効です。
グローバル検疫グループを設定するには
- NetScaler Gateway を展開し、「 グローバル設定」をクリックします。
- 詳細ペインの [設定] で、[ グローバル設定の変更] をクリックします。
- [ セキュリティ ] タブの [ 詳細設定] をクリックします。
- Client Securityで、クライアントデバイスのチェック式を設定します。
- 「 隔離グループ」で、グループを選択します。
- 「 エラー・メッセージ」に、問題を説明するメッセージをユーザーに入力し、「 OK」をクリックします。