システム要件
シトリックスが端点管理をプロビジョニングしている間,云连接器をインストールして端点管理の展開を準備してください。端点管理ソリューションはシトリックスがホストしていますが,一部の通信とポートの設定が必要です。これによって端点管理インフラストラクチャをActive Directoryなどの企業サービスに接続できます。
云连接器の要件
Citrixでは,云连接器を使用して端点管理アーキテクチャを既存のインフラストラクチャに統合します。云连接器は、ポート443を介してEndpoint Managementに次のリソースの場所を安全に統合します:LDAP、PKIサーバー、内部DNSクエリ、およびCitrix Workspaceの列挙。
Active Directoryドメインに参加している少なくとも2台の専用Windows Serverマシン。マシンは仮想マシンでも物理マシンでもかまいません。適切なインストールおよび操作のために,云连接器をインストールするマシンは,UTC時間と同期している必要があります。最新の要件の完全な一覧については,シトリックスアカウントチームが提供する展開資料を参照してください。
オンボードウィザードでは,これらのマシンに云连接器をインストールする方法について順を追って説明します。
プラットフォムのシステム要件にいて詳しくは,”Citrix云连接器を参照してください。
サポ,トされるActive Directoryの機能レベル
端点管理と合わせて使用することで,Citrix云连接器は,Active Directoryフォレストとドメインの以下の機能レベルをサポートします。
| フォレスト機能レベル | ドメ@ @ン機能レベル | サポトされるドメンコントロラ |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Citrix Gatewayの要件
端点管理では,次のシナリオに対応するためにリソースの場所にCitrix网关がインストールされている必要があります:
- 基幹業務アプリのために内部ネットワクリソスにアクセスするには,マクロvpnが必要。これらのアプリは,シトリックスのmdxテクノロジでラップされています。マイクロVPNは,内部バックエンドインフラストラクチャに接続するためにCitrix网关が必要です。
- Citrix業務用モバ电子邮箱ルアプリ(Citrix Secure Mailなど)を使用する予定。
- 端点管理と微软端点管理器を統合する予定である。
以下は要件です:
- ドメesc escン(ldap)認証
- Citrix Gateway 12.1以降。プラットフォムラセンスまたはユニバサルラセンスが必要
詳しくは,”ラ@ @センスを参照してください。
- パブリックssl証明書。
詳しくは,”Citrix ADCアプラaaplアンスでのSSL証明書の作成と使用を参照してください。
- Citrix Gateway仮想サ,バ,の未使用のパブリックIPアドレス。
- Citrix Gateway仮想サ.バ.のパブリックに解決可能な完全修飾ドメ.ン名(FQDN)
- クラウドでホストされた端点管理の中間証明書とルート証明書(スクリプトバンドルで提供)
- プロキシロドバランサip用の未使用の内部プラベトipアドレス
- ポ、ト要件に、いては、後述の”Citrix Gatewayのポ,ト要件を参照してください。
- Citrix端点管理と微软端点管理との統合
- Microsoft AzureでCitrix ADC VPX aaplンスタンスを展開する
Citrix网关の要件については,シトリックスアカウントチームが提供する展開資料を参照してください。
Android企业の要件にいて詳しくは,”Android的企业セクションを参照してください。
Citrix Filesの要件
端点管理优质服务オファリングでは,Citrix文件のファイル同期と共有サービスを利用できます。存储区域控制器を使用すると,Citrix文件アカウントでプライベートデータストレージを使用できるようになり,Citrix文件SaaS(软件即服务)のクラウドストレージが拡張されます。
存储区域控制器の要件:
- 専用の物理マシンまたは仮想マシン
- Windows Server 2012 R2またはWindows Server 2016
- 2のvCPU
- 4gbのram
- 50gbのハ,ドディスクスペ,ス
Webサバ(IIS)のサバの役割:
- アプリケ,ション展開:asp .;4.5.2净
- セキュリティ:基本認証
- セキュリティ:Windows認証
Citrix Filesのプラットフォ,ム要件:
- Citrix Files文件ンスト,ラ,には,Windows Serverの管理者権限が必要です
- Citrix Files管理ユ,ザ,名
ポ,ト要件
デバイスとアプリが端点管理と通信できるようにするには,ファイアウォールの特定のポートを開きます。次の図は,端点管理のトラフィックフロ,です。
次のセクションに,開く必要があるポ,トを一覧で示します。業務用モバesc esc esc esc esc esc esc esc esc機能フラグ管理を参照してください。
Citrix Gatewayのポ,ト要件
Citrix安全中心およびCitrix工作区からCitrix网关経由でユーザーが接続できるようにするポートを開きます:
- 端点管理
- 店面
- @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @
Citrix Gatewayにいて詳しくは,Citrix Gatewayドキュメントの"端点管理環境の設定の構成を参照してください。IPアドレスにいては,Citrix Gatewayのドキュメントで"Citrix GatewayがIPアドレスを使用する方法を参照してください。
| tcpポト | 説明 | 接続元 | 接続先 |
|---|---|---|---|
| 53 (tcpとudp) | dns接続に使用されます。 | Citrix Gateway SNIP | DNSサバ |
| 80/443 | Citrix网关は2番目のファイアウォールを介してマイクロVPN接続を内部ネットワークリソースに渡します。 | Citrix Gateway SNIP | ▪▪▪▪ントラネットWebサ▪▪▪▪ト |
| 123 (tcpとudp) | ネットワークタイムプロトコル(网络时间协议:国家结核控制规划)サービスに使用されます。 | Citrix Gateway SNIP | ntpサバ |
| 389 | セキュリティで保護されないldap接続に使用されます。 | Citrix Gateway NSIP(ロ、ドバランサ、を使用する場合はSNIP) | LDAP認証サ,バ,またはMicrosoft Active Directory |
| 443 | 思杰工作空间からStoreFrontへの接続,思杰虚拟应用程序和桌面への接続に使用されます。 | ンタ,ネット | Citrix网关 |
| 443 | 网络,モバイル,およびSaaSアプリの配信のための端点管理への接続に使用されます。 | ンタ,ネット | Citrix网关 |
| 443 | 云连接器通信に使用- LDAP, DNS, PKI, Citrix工作区の列挙 | 云连接器サ,バ, | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | 端点管理自助门户が有効な場合に,Webブラウザーからアクセスするために使用されます。 | アクセスポント(ブラウザ) | 端点管理(https:// < sitename > / zdm /轴马力) |
| 636 | セキュリティで保護されるldap接続に使用されます。 | Citrix Gateway NSIP(ロ、ドバランサ、を使用する場合はSNIP) | LDAP認証サ,バ,またはActive Directory |
| 1494 | 内部ネットワ,ク内のWindowsベ,スのアプリケ,ションへのICAコネクションに使用されます。このポ,トは開いたままにしておくことをお勧めします。 | Citrix Gateway SNIP | Citrix虚拟应用程序和桌面 |
| 1812 | radius接続に使用されます。 | Citrix Gateway NSIP | 半径認証サ,バ, |
| 2598 | セッション画面の保持を使用した内部ネットワーク内のWindowsベースのアプリケーションへの接続に使用されます。このポ,トは開いたままにしておくことをお勧めします。 | Citrix Gateway SNIP | Citrix虚拟应用程序和桌面 |
| 3269 | 微软全球目录のセキュリティで保護されるLDAP接続に使用されます。 | Citrix Gateway NSIP(ロ、ドバランサ、を使用する場合はSNIP) | LDAP認証サ,バ,またはActive Directory |
| 4443 | 管理者がブラウザーを使用して端点管理コンソールにアクセスする場合に使用されます。 | アクセスポント(ブラウザ) | 端点管理 |
| 8443 | 登録,アプリストア,モバルアプリケション管理(mam)に使用されます。 | Citrix Gateway SNIP | 端点管理 |
| 8443 | 安全邮件認証トークンに使用される安全票权威(STA)ポート | Citrix Gateway SNIP | 端点管理 |
ネットワクとファアウォルの要件
デバイスとアプリが端点管理と通信できるようにするには,ファイアウォールの特定のポートを開きます。次の表に,これらのポ,トの一覧を示します。
内部ネットワ,クからCitrix Cloudへのポ,トを開く:
| tcpポト | 接続元ip | 説明 | 接続先 | 接続先ip |
|---|---|---|---|---|
| 443 | 云连接器 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | 管理コンソ,ル | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | Webブラウザー経由の端点管理自助门户アクセス(ポータルが有効な場合) | 端点管理 | ||
| 4443 | Webブラウザからの端点管理コンソルへのアクセス | 端点管理 |
@ @ @ @ @ @ @ @ @ @ @ @ @ @
| tcpポト | 説明 | 接続元ip | 接続先 | 接続先ip |
|---|---|---|---|---|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | Citrix网关IP | ||
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | 思杰网关VIP | ||
| 443 | Citrix FilesパブリックIP | CTX208318 | 思杰网关VIP |
dmzから内部ネットワ,クへのポ,トを開く:
| tcpポト | 説明 | 接続元ip | 接続先 | 接続先ip |
|---|---|---|---|---|
| 389または | Citrix Gateway NSIP | Active Directory IP | ||
| 53 (UDP) | Citrix Gateway NSIP | dnsサバip | ||
| 443 | Citrix Gateway SNIP | Exchange(EAS)サ,バ,IP | ||
| 443 | Citrix Gateway SNIP | 内部Webアプリ/サビス | ||
| 443 | Citrix Gateway SNIP | 存储区域控制器IP |
内部ネットワクからdmzへのポトを開く:
| tcpポト | 説明 | 接続元ip | 接続先 | 接続先ip |
|---|---|---|---|---|
| 443 | 管理クラ@ @アント | Citrix Gateway NSIP |
内部ネットワ、クから、ンタ、ネットへのポ、トを開く:
| tcpポト | 説明 | 接続元ip | 接続先 | 接続先ip |
|---|---|---|---|---|
| 443 | Exchange(EAS)サ,バ,IP | 端点管理プッシュ通知リスナ(1) | ||
| 443 | 存储区域控制器IP | Citrix Filesコントロ,ルプレ,ン | CTX208318 |
(1) useast -1.mailboxlistener.xm.citrix.com, eu-西-1.mailboxlistener.xm.citrix.com, ap-东南-1.mailboxlistener.xm.citrix.com
企業Wi-Fiからンタネットへのポトを開く:
| tcpポト | 説明 | 接続元ip | 接続先 | 接続先ip |
|---|---|---|---|---|
| 8443/443 | 终端管理クラ▪▪アントデバ▪▪ス | 端点管理 | ||
| 5223 | 终端管理クラ▪▪アントデバ▪▪ス | Apple APNSサ,バ, | 17.0.0.0/8 |
|
| 5228 | 终端管理クラ▪▪アントデバ▪▪ス | Firebase云消息 | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | 终端管理クラ▪▪アントデバ▪▪ス | Firebase云消息 | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | 终端管理クラ▪▪アントデバ▪▪ス | Firebase云消息 | android.apis.google.com, fcm.googleapis.com |
|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | Firebase云消息 | fcm.googleapis.com |
|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | Windowsプッシュ通知サ,ビス | * .notify.windows.com |
|
| 443/80 | 终端管理クラ▪▪アントデバ▪▪ス | 苹果iTunes应用商店 | Ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443/80 | 终端管理クラ▪▪アントデバ▪▪ス | 谷歌玩 | Play.google.com android.clients.google.com android.l.google.com android.com m.giftsix.com |
|
| 443/80 | 终端管理クラ▪▪アントデバ▪▪ス | 微软アプリストア | login.live.com, .notify.windows.com * |
|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | iOSおよびAndroid向けEndpoint Management AutoDiscoveryサ,ビス | discovery.cem.cloud.us |
|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | Windows向けEndpoint Management AutoDiscoveryサ,ビス | enterpriseenrollment.mycompany.com,discovery.cem.cloud.us |
|
| 443 | 存储区域控制器IP | Citrix Filesコントロ,ルプレ,ン | CTX208318 | |
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | 谷歌移动管理,谷歌API,谷歌播放ストアAPI | * .googleapis.com |
|
| 443 | 终端管理クラ▪▪アントデバ▪▪ス | CloudDPC v470より前の接続性チェック。N MR1以降のAndroid接続性チェックでは,https://www.google.com/generate_204にアクセスできるか,指定されたwi - fiネットワークでアクセス可能なPACファイルが指定されている必要があります。 |
connectivitycheck.android.com, www.google.com |
自动发现サ,ビスの接続のポ,ト要件
このポート構成では,安全中心为Androidから接続するAndroidデバイスで内部ネットワークから端点管理AutoDiscoveryサービス(广告)にアクセスできるようにします。广告を介して利用可能なセキュリティ更新プログラムをダウンロードするとき,广告にアクセスする能力は重要です。
注:
ads接続ではプロキシサ,バ,がサポ,トされない可能性があります。このシナリオでは,广告接続がプロキシサ,バ,をバ,パスすることを可能にします。
証明書ピン留めを有効にする場合は,次の前提条件を完了します。
- Endpoint Managementサ,バ,とCitrix Gatewayの証明書を収集する:証明書はpem形式で,秘密キではなく公開証明書である必要があります。
- シトリックスサポ,トに証明書ピン留めの有効化を依頼する:このプロセスで,証明書の提出を求められます。
証明書ピン留めでは,デバaaplスを登録前にadsに接続する必要があります。この要件により,最新のセキュリティ情報が安全集线器で利用できることが保証されます。安全集线器でデバaapl . exeスを登録する場合,デバaapl . exeスがADSにアクセスできる必要があります。したがって,内部ネットワーク内で广告アクセスを可能にすることは,デバイスの登録を有効にするために重要です。
安全中心为Android / iOSに广告へのアクセスを許可するには,以下のFQDNのポート443を開放します:
| 完全修飾ドメ@ @ン名 | ポト | ipとポトの使用 |
|---|---|---|
discovery.cem.cloud.us |
443 | 安全中心- CloudFront経由のADS通信 |
サポトされているipアドレスにいては,awsのクラウドベスのストレジセンタを参照してください。
Android Enterpriseのネットワ,ク要件
Android企业のネットワーク環境設定時に考慮すべき発信接続について詳しくは,谷歌のサポート記事Android企业网络需求を参照してください。