More Related Content
Similar to シトリックス テクニカル トレーナーが語る、XenMobile 10技術概要とベストプラクティス (20)
More from Citrix Systems Japan (20)
シトリックス テクニカル トレーナーが語る、XenMobile 10技術概要とベストプラクティス
- 2. 2 © 2015 Citrix.
本セッションの内容
• XenMobile 10.x 技術概要
• モビリティソリューション
• アーキテクチャーと要件
• XenMobile ベストプラクティス
• 会社支給デバイスと個人所有デバイスのMDMポリシー
• モバイルメールソリューションのユースケース
• セキュリティとユーザビリティの両立
- 3. 3 © 2015 Citrix.
本セッションの目的:
XenMobile初めての方
→技術的側面から製品について理解する
XenMobileすでにご存知の方
→ベストプラクティスについて理解する
- 6. 6 © 2015 Citrix.
数字で見るエンタープライズモビリティ
3
ユーザーの
平均デバイス
所有数
モバイル
デバイス
65%
複数の場所で
働く従業員の
割合
モバイル
ワークスタイル
>200
アプリの
増加
シトリックス
顧客の平均
アプリ数
>80%
フォーチュン500の
オンライン
ストレージ利用率
管理されて
いないデータ
- 7. 7 © 2015 Citrix.
M
D
M
M
C
M
デバイス登録と監視
ポリシー適用
デバイスの機能制限
常時ファイルにアクセス
PCとのファイル同期
社内外とのファイル共有
E
M
M
M
A
M
企業アプリとデータの管理
データと通信の暗号化
情報漏洩防止
ユーザー認証とSSO
モバイル端末を業務で使いこなすための機能群
EMM: Enterprise Mobility Management
MAM: Mobile Application Management
MCM: Mobile Contents Management
MDM: Mobile Device Management
- 8. 8 © 2015 Citrix.
アプリケーション管理
(MAM)
デバイス管理
(MDM)
データ管理
(MCM)
MDM Edition
Advanced
Edition
Enterprise Edition
- 10. 10 © 2015 Citrix.
Linux Appliance
Tomcat
AppMgmt
AdminUI
Auth
Store
DB
HA/Cluster Logic
Windows
Tomcat
HA/Cluster Logic
DB
DevMgmt
AdminUI
Auth
Store
Dep Engine
Localusers
App Controler Device Manager
XenMobile アーキテクチャーの概要 (XM9.0まで)
- 11. 11 © 2015 Citrix.
Linux Appliance
Tomcat
AppMgmt
Auth
Store
Tomcat
HA/Cluster Logic
DB
DevMgmt
Dep Engine
Localusers
XenMobile 10.x アーキテクチャーの概要
- 12. 12 © 2015 Citrix.
Linux Appliance
Tomcat
AppMgmt
AdminUI
Auth
Store
HA/Cluster Logic
DB
DevMgmt
Dep Engine
Localusers
XenMobile 10.x アーキテクチャーの概要
- 13. 13 © 2015 Citrix.
XenMobile MDM Edition
– 基本的なモバイルデバイス管理機能: 登録されたデバイスのセキュリティ制御と企業ネット
ワークへのセキュアな接続を実現
- 14. 14 © 2015 Citrix.
XenMobile Advanced Edition
– MDM Editionのすべての機能に加え、MDXによるアプリケーション管理機能
– アプリのラッピングのためのMDX Toolkitとセキュアなアプリ展開のためのポリシー制御機能
- 15. 15 © 2015 Citrix.
XenMobile Enterprise Edition
– Advanced Editionsのすべての機能に加え、Worxアプリスイートを含めた完全版
– ShareFile Enterprise、WorxNotes、WorxTasks、WorxDesktop
- 16. 16 © 2015 Citrix.
XenMobileの前提要件
VM要件
XenMobile Server 10.1
• 2 vCPU
• 4 GB RAM
• 50 GB disk space
NetScaler Gateway 10.5
• 2 vCPU
• 2 GB RAM
• 20 GB disk space
Hyper-V
XMSとNSGはともに同じハイパーバイザープラットフォームでサポートされます。
- 17. 17 © 2015 Citrix.
XenMobileの前提要件
XenMobile Enterpriseを導入するにあたり以下が必要です。
・Active Directory (ドメインコントローラー / Global Catalog Servers, DNS)
・メールサーバー (Exchange, etc.)
・SQL Server (PostgresはPoC用)
・ライセンス (新規インストールには30日の評価ライセンスあり)
・ロードバランサー (NetScalerが推奨)
・2つのパブリックIPアドレスとそれらに紐づくFQDN
- デバイス管理用とアプリ管理用にそれぞれ1つずつ
- 18. 18 © 2015 Citrix.
XenMobileの前提要件
証明書
プライベート証明書
– インターナルの通信用(NetScalerとXenMobile Serverや、その他社内リソースへ
のアクセス)
– 自己署名またはプライベートCA
パブリック証明書
– デバイスからのセキュアアクセス用
– エンロール前にデバイスに必要なのでパブリックCAによる証明書が推奨
– 一般的には中間証明書も必要
APNS証明書
– Apple Push Notification Service用の証明書
– Appleのサイトから入手
- 20. 20 © 2015 Citrix.
会社支給デバイスと個人所有デバイス
推奨されるMDMポリシー
- 21. 21 © 2015 Citrix.
会社支給デバイスにはまずMDMをしっかりと!
• デバイスのパスコード
• カメラの無効化
• ジオフェンシング
• キオスクモード
• ブラウザーの制限
• AppStoreの無効化
• Jailbreak/Root化検知
• フルワイプ
などセキュリティを重視!
- 22. 22 © 2015 Citrix.
BYOD(個人所有デバイス)にはMAMを中心に!
• 業務用アプリへのアクセス
• アプリレベル認証
• セキュアメール(WorxMail)
• セキュアブラウザー(WorxWeb)
• データ漏えい対策
• セレクティブワイプ
• 最小限のデバイスレベル制限
などユーザビリティも考慮!
+
- 23. 23 © 2015 Citrix.
[機能]
•パスコードを有効化することでデバイスの紛失時や盗難時のデータ漏えいを防ぐことが可能。ま
た、デバイスレベルの暗号化も有効化される。
[設定できる主な内容]
•自動ロックまでの期間
•パスコードの強度
- アルファベットと数字の組み合わせ
- パスコードの最低文字数
- パスコード履歴 など
•[使用例]
•会社支給/BYOD関わらず常に使用
Passcodeポリシー
- 24. 24 © 2015 Citrix.
[機能]
•JailBreak/Root化端末について検知をし、社内リソースへのアクセス制御を行うことが可能。
[設定できる主な内容]
•業務領域のワイプ(セレクティブワイプ)
•デバイスの無効化
•アプリケーション毎の利用可否 など
[使用例]
•会社支給/BYOD関わらず常に使用
JailBreak/Root化検知ポリシー
- 25. 25 © 2015 Citrix.
[機能]
•デバイスにインストール済みのアプリケーション情報を取得することが可能。
[設定できる主な内容]
•業務領域のワイプ(セレクティブワイプ)
•アプリケーション毎の利用可否 など
•[使用例]
•会社支給
•業務に関係のないアプリ使用の検出
•アプリのブラックリスト/ホワイトリスト化
App Inventoryポリシー
- 26. 26 © 2015 Citrix.
[機能]
•デバイスのGPS機能を活用し、位置情報を収集することが可能。
[設定できる主な内容]
•デバイスのトラッキング
•ジオフェンシング(設定した場所にのみ使用を限定) など
[使用例]
•会社支給
•盗難/紛失時の対応
Location Servicesポリシー
- 27. 27 © 2015 Citrix.
[機能]
•デバイスネイティブの機能の制限を行うことが可能。
[設定できる主な内容]
•カメラ/スクリーンショットの禁止
•アプリのインストールの禁止
•AirDropの禁止 など
[使用例]
•会社支給
•iOSの監視モードと併用
Restrictionsポリシー
- 28. 28 © 2015 Citrix.
モバイルメールソリューション
ユースケースごとのベストプラクティス
- 29. 29 © 2015 Citrix.
Source: Citrix Mobility Survey, Q4 2013
企業・組織における重要なモバイルアプリの傾向
- 30. 30 © 2015 Citrix.
Citrix WorxMail
• メール、カレンダー、連絡先
• MDXアプリ
• iOS、Android、Windows Phoneに対応
• コンテナ化されたメールと添付ファイル
• オープンインの制御によるデータ漏えい保護
• ShareFile連携によるファイル送信
• Exchangeサーバーの外部公開不要
- 31. 31 © 2015 Citrix.
Internet
WorxMail – メールフロートポロジー
1. WorxMailはNetScaler Gatewayによって内部
Exchange CASのFQDNを解決してアクセス。認証は
WorxHomeが行う。
2. マイクロVPNによってActiveSyncトラフィックがSSL
暗号化。
3. NetScalerがWorxMail ActiveSyncトラフィックを暗
号化し、メールリクエストをExchangeサーバーに
フォワード。
NetScaler Gateway
010101100 – ActiveSync SSL Traffic – 01101001
- 32. 32 © 2015 Citrix.
XenMobile NetScaler Connector (XNC)
モバイルデバイスのネイティブメールクライアントを
使用した企業のメール、カレンダー、連絡先へのアクセ
ス制御を行うための機能。
デバイスの状態によってアクセスの許可禁止を自動的
に管理することが可能。
XMSからNetScalerにアクセス許可されているデバイス
の情報を伝え、NetScalerがデバイスのアクセス制御を
行う。
- 33. 33 © 2015 Citrix.
XenMobile NetScaler Connector (XNC)
WorxHome
NetScaler
DMZ
XMS
email
3G / 4G
LTE
XNC
Active Sync
Filter
- 34. 34 © 2015 Citrix.
XenMobile Mail Manager (XMM)
モバイルデバイスのネイティブメールクライアントを
使用した企業のメール、カレンダー、連絡先へのアクセ
ス制御を行うための機能。
デバイスの状態によってアクセスの許可禁止を自動的
に管理することが可能。
Office 365でも使用可能。
NetScalerが無くても使用可能。
- 35. 35 © 2015 Citrix.
XenMobile Mail Manager (XMM)
WorxHome
DMZ
XMS
Exchange/365
XM MAIL
MANAGER
- 36. 36 © 2015 Citrix.
XenMobile メールソリューションの比較
オプション 機能性 / UX セキュリティ ActiveSync サポート
WorxMail 高い / 高い
最高の機能性・ユーザビリ
ティとセキュリティを実現
一番高い
• Exchange (2007 SP1, 2010 SP2+,
2013)
• Lotus Domino Mail (8.5.3 FP3+)
• Lotus Notes (8.5.3 UP2 IF4+)
• Office 365
• Google Apps
XNC 中 / 高い 高い
• Exchange Server 2007以降
• Lotus Traveller
• どのActiveSyncプロトコルもサポー
ト
XMM 中 / 高い 中程度
• Exchange ActiveSync 2007以降
• Office 365をサポート
Native
ActiveSync
中 / 高い 低い ネイティブメールクライアント
- 37. 37 © 2015 Citrix.
どのメールオプションを選択すべきか
1. まずWorxMailが導入可能かどうか
• 一番セキュリティが高い、データのコンテナ化、SSL暗号化、MDX Policyによる制御、他の
MDXアプリとの連携
• XenMobile Advanced以上またはWorkspaces Suiteが必要
• 外部に公開されていないExchangeサーバーにアクセス可能
2. XNCのシナリオ
• WorxMailのUXでは不十分な場合や、NetScalerによる負荷分散を活用する場合に検討
• すでにNetScalerをXenApp/XenDesktop環境用に導入済みの場合に検討
• ネイティブのActiveSyncメールクライアントを使用する場合に検討
3. XMMのシナリオ
• NetScalerを導入しない場合 (例: F5やCASを導入済み)
• WorxMailとネイティブメールのハイブリッド導入も可能
• ネイティブのActiveSyncメールクライアントを使用する場合に検討
- 38. 38 © 2015 Citrix.
メールのその他考慮事項
• セキュアメールはXenMobileを導入するお客様にとってクリティカル
• ActiveSyncをインターネットに公開しないケースが多い
• メールオプションを理解することが重要
• WorxMailが常に最適とは限らない
• ネイティブの方が使い慣れているユーザー多い
• セキュリティとユーザビリティのバランス
• あとから修正は難しい
• 最初にしっかりとしたソリューション展開が重要
• メールがうまくいかないとモビリティ戦略が行き詰まりやすい
- 39. 39 © 2015 Citrix.
セキュリティとユーザビリティの両立
トレードオフとならないオプション紹介
- 40. 40 © 2015 Citrix.
NetScaler Gateway
二要素認証
AD + 証明書
認証タイプの選択
- 41. 41 © 2015 Citrix.
強く推奨!
ADパスワードの代わ
り
ユーザー証明書
Worx PINの活用
- 42. 42 © 2015 Citrix.
Inactivity Timer
• コンテナ単位のタイムアウト
Max Offline Period
• アプリ単位のタイムアウト
STA Timeout
• XMSセッション単位のタイムアウト
Session Timeout
• MicroVPN単位のタイムアウト
Forced Session
Timeout
• MicroVPN単位のタイムアウト
タイムアウト
- 43. 43 © 2015 Citrix.
バランス型
Inactivity Timer: 15分
Max Offline Period: 8時間
STA Timeout: 8時間
Session Timeout: 8時間
Forced Session Timeout:
なし
セキュリティ重視
Inactivity Timer: 10分
Max Offline Period: 1時間
STA Timeout: 1時間
Session Timeout: 1時間
Forced Session Timeout:
1時間
ユーザビリティ重視
Inactivity Timer: なし
Max Offline Period: 7日間
STA Timeout: 7日間
Session Timeout: 7日間
Forced Session Timeout:
なし
タイムアウトの例
3パターン
- 44. 44 © 2015 Citrix.
XenMobile Serverの配置(DMZ vs 内部ネットワーク)
XMSをDMZネットワークに配置すべきか、内部ネットワークに配置すべきかはケースバ
イケース。ただし一般的にはDMZが推奨。
• 理由
• XMSはセキュリティ強化されたLinuxアプライアンス(Windowsではない)
• NetScalerとXMSの間のネットワーク設計が簡単
• 考慮事項
• DMZに仮想化インフラがない場合
- 45. 45 © 2015 Citrix.
その他Tips
自動検出(auto-discovery)機能を活用する
• ユーザーが自身で登録しやすい
• MITMからの保護
• MDMのみ、MAMのみでも使用可能
STAタイムアウトは最大オフライン期間と同等もしくは長くする
• STAがタイムアウトするとメールの取得は止まるため
• STAチケットはオンラインログインごとに更新される
NetScalerセッションタイムアウトは最大オフライン期間と同等もしくは長くする
• ユーザーセッションをクリーンアップするため
• セッションクッキーはオンラインログイン時に更新される
- 46. 46 © 2015 Citrix.
まとめ
モビリティ = MDM + MAM + MCM
モビリティのポイント = セキュリティ + ユーザビリティ
ユースケースごとにセキュリティとユーザビリティの
バランスを取ることが重要
- 47. 47 © 2015 Citrix.
関連するセッション
V0 9:30-10:15
「いまさら聞けないシトリックス製品のすべて」
M1 13:20-14:00
「ここまで使える!最新Worxアプリ徹底活用術」
M3 16:00-16:40
「ShareFileを徹底的にセキュアに使う方法
~利用可能端末の限定やファイルの封じ込めなど~」
- 48. 48 © 2015 Citrix.
WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.