セキュリティの技術概要

次の図はCitrix虚拟应用程序和桌面标准Azureのコンポーネントを示しています。この例では,VNetピア接続を使用します。

Citrix虚拟应用程序和桌面标准Azureでは,デスクトップとアプリケーションを配信するお客様の仮想配信エージェント(VDA)とCitrix云连接器がCitrixが管理するAzureサブスクリプションおよびテナントに展開されます。

Citrixクラウドベースのコンプライアンス

2021年1月時点で,さまざまなCitrix虚拟应用程序和桌面サービスエディションおよび工作区保险费+でのCitrix Azure管理能力の使用は,Citrix SOC 2(タイプ1または2),ISO 27001, HIPAA,またはその他のクラウドコンプライアンスの要件に対して評価されていません。Citrix云の認定について詳しくは,”Citrix信托中心“を参照してください。また,頻繁に更新を確認してください。

Citrix責任

ドメインに参加していないカタログ用のCitrix云连接器

Citrix虚拟应用程序和桌面标准Azureでは,各リソースの場所に少なくとも2つの云连接器がデプロイされます。一部のカタログは,同じ顧客の他のカタログと同じリージョンにある場合,リソースの場所を共有することがあります。

Citrixは,ドメインに参加していないカタログ云连接器に対する次のセキュリティ操作を担当します。

• オペレーティングシステムの更新とセキュリティパッチの適用
• ウイルス対策ソフトウェアのインストールとメンテナンス
• 云连接器ソフトウェアアップデートの適用

お客様は云连接器にアクセスできません。したがって,ドメインに参加していないカタログ云连接器のパフォーマンスについては,Citrixが全面的に責任を負います。

AzureサブスクリプションとAzure Active Directory

Citrixは,お客様用に作成されたAzureサブスクリプションとAzure Active Directory (AAD)のセキュリティを担当します。Citrix ではテナントの分離が保証されるため、各顧客には独自の Azure サブスクリプションと AAD が割り当てられ、異なるテナント間のクロストークが防止されます。また、Citrix は、AADへのアクセスを、Citrix Virtual Apps and Desktops Standard for AzureサービスおよびCitrix 運用担当者のみに制限します。Citrix による各顧客の Azure サブスクリプションへのアクセスは監査されます。

ドメインに参加していないカタログをご利用のお客様は,Citrix工作区での認証手段として,Citrixが管理するAADを使用できます。これらのお客様のために,CitrixはCitrixが管理するAADに限定された権限ユーザーアカウントを作成します。ただし,顧客のユーザーも管理者も,Citrixが管理するAAD上でアクションを実行することはできません。これらのお客様が代わりに独自のAADを使用することを選択した場合,そのセキュリティについて完全に責任を負います。

仮想ネットワークとインフラストラクチャ

お客様のCitrix管理Azureサブスクリプション内で,Citrixはリソースの場所を分離するための仮想ネットワークを作成します。これらのネットワーク内で,Citrixは,ストレージアカウント,キーボールト,およびその他のAzureリソースに加えて,共识,云连接器,およびイメージビルダーマシン用の仮想マシンを作成します。Citrixは,微软と協力して,仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティを担当します。

Citrixは,デフォルトのAzureファイアウォールポリシー(ネットワークセキュリティグループ)が,VNetピアリングおよびSD-WAN接続のネットワークインターフェイスへのアクセスを制限するように構成されていることを確認します。通常,これはVDAおよび云连接器への着信トラフィックを制御します。詳しくは,次のページを参照してください:

• Azure VNetピア接続用のファイアウォールポリシー
• SD-WAN接続のファイアウォールポリシー

お客様は,このデフォルトのファイアウォールポリシーを変更することはできませんが,Citrixが作成したVDAマシンに追加のファイアウォールルールを展開できます。たとえば,発信トラフィックを部分的に制限できます。Citrixが作成したVDAマシンに、仮想プライベートネットワーククライアントまたはファイアウォールルールをバイパスできるその他のソフトウェアをインストールするお客様は、発生する可能性のあるセキュリティリスクに対して責任を負うものとします。

Citrix虚拟应用程序和桌面标准Azureのイメージビルダーを使用して新しいマシンイメージを作成およびカスタマイズする場合,Citrixが管理するVNetでポート3389 - 3390が一時的に開かれ,新しいマシンイメージを含むマシンにRDPしてカスタマイズできます。

Azure VNetピア接続を使用する場合のCitrixスの責任

Citrix虚拟应用程序和桌面标准AzureのVDAがオンプレミスのドメインコントローラ,ファイル共有,またはその他のイントラネットリソースに接続するために,Citrix虚拟应用およびAzureは桌面标准,接続オプションとしてVNetピアリングワークフローを提供します。お客様のCitrixが管理する仮想ネットワークは,顧客管理のAzure仮想ネットワークとピアリングされます。カスタマーマネージド仮想ネットワークは,Azure ExpressRouteやIPsecトンネルなど,お客様が選択したクラウドからオンプレミスの接続ソリューションを使用して,お客様のオンプレミスリソースとの接続を有効にできます。

VNetピアリングに対するシトリックスの責任は,Citrixとカスタマー管理のVNet間のピアリング関係を確立するためのワークフローおよび関連するAzureリソース構成のサポートに限定されます。

Azure VNetピア接続用のファイアウォールポリシー

Citrixは,VNetピア接続を使用する受信トラフィックと送信トラフィックに対して,次のポートを開閉します。

ドメインに参加していないマシンを持つCitrixが管理する联接

• インバウンドルール
  • VDAから云连接器,および云连接器からVDAへのポート80443年,1494年,および2598の受信を許可します。
  • 監視シャドウ機能で使用されるIP範囲からVDAへのポート49152 ~ 65535での受信を許可します。「Citrixテクノロジで使用される通信ポート“を参照してください。
  • その他すべてのインバウンドを拒否します。これには,VDAからVDAへのVNet内トラフィック,およびVDAから云连接器へのVNetトラフィックが含まれます。
• アウトバウンドルール
  • すべてのトラフィックアウトバウンドを許可します。

Citrixが管理するドメインに参加したマシンを持つ联接

• インバウンドルール:
  • VDAから云连接器,および云连接器からVDAへのポート80443年,1494年,および2598の受信を許可します。
  • 監視シャドウ機能で使用されるIP範囲からVDAへのポート49152 ~ 65535での受信を許可します。「Citrixテクノロジで使用される通信ポート“を参照してください。
  • その他すべてのインバウンドを拒否します。これには,VDAからVDAへのVNet内トラフィック,およびVDAから云连接器へのVNetトラフィックが含まれます。
• アウトバウンドルール
  • すべてのトラフィックアウトバウンドを許可します。

ドメインに参加したマシンを使用したカスタマーマネージド联接

• VNetを正しく構成するかどうかは,お客様次第です。これには,ドメイン参加のために次のポートを開くことが含まれます。
• インバウンドルール:
  • 内部起動のために,クライアントIPから443、1494、2598のインバウンドを許可します。
  • Citrix VNet(お客様が指定したIP範囲)からの53岁,88123135 - 139389445636年での受信を許可します。
  • プロキシ構成で開かれたポートでのインバウンドを許可します。
  • 顧客が作成したその他のルール。
• アウトバウンドルール:
  • 443、1494、2598のCitrix VNet(お客様が指定したIP範囲)への内部起動を許可します。
  • 顧客が作成したその他のルール。

SD-WAN接続を使用する場合のCitrixの責任範囲

シトリックスは,仮想Citrix SD-WANインスタンスを展開する完全に自動化された方法をサポートし,Citrix虚拟应用程序和桌面标准Azureおよびオンプレミスリソース間の接続を可能にします。Citrix SD-WAN接続には,VNetピアリングと比較して次のような多くの利点があります。

VDA -データセンターおよびVDA間ブランチ(ICA)接続の高い信頼性とセキュリティ。

• 高度なQoS機能とVoIP最適化により,オフィスワーカーにとって最高のエンドユーザーエクスペリエンス。
• Citrix HDXネットワークトラフィックやその他のアプリケーションの使用状況を検査,優先順位付け,レポートする機能が組み込まれています。

Citrixでは,Citrix SD-WANネットワークを管理するためにSD-WAN协调器を使用してCitrix虚拟应用程序和桌面标准AzureのCitrix SD-WAN接続を利用する必要があります。

次の図は,SD-WAN接続を使用したCitrix虚拟应用程序和桌面标准Azureに追加されたコンポーネントを示しています。

Citrix虚拟应用程序和桌面标准AzureのCitrix SD-WAN展開は,Citrix SD-WANの標準のAzure展開構成に似ています。詳しくは。”AzureにCitrix SD-WANスタンダードエディションインスタンスをデプロイする“を参照してください。高可用性構成では,Azureロードバランサーを備えたSD-WANインスタンスのアクティブ/スタンバイペアが,VDAと云连接器を含むサブネットとインターネットの間のゲートウェイとしてデプロイされます。非HA構成では1つのSD-WANインスタンスのみがゲートウェイとしてデプロイされます。仮想SD-WANアプライアンスのネットワークインターフェイスには,2つのサブネットに分割された個別の小さなアドレス範囲からアドレスが割り当てられます。

SD-WAN接続を構成する場合,Citrixは上記の管理対象デスクトップのネットワーク構成にいくつかの変更を加えます。特に,インターネット宛先へのトラフィックを含むVNetからのすべての発信トラフィックは,クラウドSD-WANインスタンスを介してルーティングされます。SD-WANインスタンスは,Citrixが管理するVNetのDNSサーバーとしても構成されています。

仮想SD-WANインスタンスへの管理アクセスには,管理者ログインとパスワードが必要です。SD-WANの各インスタンスには,SD-WAN协调器UI,仮想アプライアンス管理UI,およびCLIによるリモートログインおよびトラブルシューティングにSD-WAN管理者が使用できる,一意のランダムセキュアパスワードが割り当てられます。

他のテナント固有のリソースと同様に,特定のカスタマーVNetにデプロイされた仮想SD-WANインスタンスは,他のすべてのVNetから完全に隔離されます。

お客様がCitrix SD-WAN接続を有効にすると,Citrix虚拟应用程序和桌面标准Azureで使用される仮想SD-WANインスタンスの初期展開を自動化し,基盤となるAzureリソース(仮想マシン,ロードバランサなど)を維持し,安全で効率的なすぐに利用できます。仮想SD-WANインスタンスの初期設定のデフォルト設定で,SD-WAN协调器による継続的なメンテナンスとトラブルシューティングを有効にします。また,SD-WANネットワーク構成の自動検証,既知のセキュリティリスクの確認,SD-WAN协调器による対応する警告の表示など,合理的な対策を講じています。

SD-WAN接続のファイアウォールポリシー

Citrixは,Azureファイアウォールポリシー(ネットワークセキュリティグループ)とパブリックIPアドレスの割り当てを使用して,仮想SD-WANアプライアンスのネットワークインターフェイスへのアクセスを制限します。

• WANと管理インターフェイスだけがパブリックIPアドレスを割り当てられ,インターネットへのアウトバウンド接続が許可されます。
• Citrixが管理するVNetのゲートウェイとして機能する局域网インターフェイスは,同じ联接上の仮想マシンとのネットワークトラフィックの交換のみ許可されます。
• WANインターフェイスは,着信トラフィックをUDPポート4980(仮想パス接続のためにCitrix SD-WANによって使用される)に制限し,VNetへのアウトバウンドトラフィックを拒否します。
• 管理ポートは,ポート443 (HTTPS)および22 (SSH)へのインバウンドトラフィックを許可します。
• HAインターフェイスは,相互に制御トラフィックを交換することだけが許可されます。

インフラストラクチャへのアクセス

Citrixは,お客様のCitrix管理インフラストラクチャ(云连接器)にアクセスして,ログの収集(Windowsイベントビューアを含む)やサービスの再起動などの特定の管理タスクを実行することがあります。Citrixは,これらのタスクを安全かつ安全に実行し,お客様への影響を最小限に抑える責任があります。Citrixは,ログファイルを安全かつ安全に取得,移送,および処理することを保証する責任もあります。カスタマーVDAにはこの方法ではアクセスできません。

ドメインに参加していないカタログのバックアップ

Citrixは,ドメインに参加していないカタログのバックアップを実行する責任を負いません。

マシンイメージのバックアップ

シトリックスはCitrix虚拟应用程序和桌面标准Azureにアップロードされたすべてのマシンイメージ(イメージビルダーで作成されたイメージを含む)のバックアップを担当します。Citrixはこれらのイメージにローカル冗長ストレージを使用します。

ドメインに参加していないカタログの踏み台

Citrix運用担当者は,必要に応じて,お客様が問題を認識する前に,お客様の問題を診断および修復するために,お客様のCitrixが管理するAzureサブスクリプションにアクセスするための踏み台を作成できます。Citrixは,踏み台の作成に顧客の同意を必要としません。Citrixが要塞を作成すると、Citrix は要塞に対して強力なランダムに生成されたパスワードを作成し、Citrix NAT IPアドレスへのRDPアクセスを制限します。要塞が不要になった場合、Citrix はそれを破棄し、パスワードは無効になります。踏み台（およびそれに付随する RDP アクセスルール）は、操作が完了すると、廃棄されます。Citrix は、踏み台を持つお客様のドメインに参加していないCloud Connectorsにのみアクセスできます。Citrix には、ドメインに参加していないVDAまたはドメインに参加しているCloud ConnectorおよびVDAにログインするためのパスワードがありません。

トラブルシューティングツールを使用する場合のファイアウォールポリシー

お客様がトラブルシューティングのために踏み台マシンの作成を要求すると,Citrixが管理するVNetに次のセキュリティグループが変更されます。

• お客様が指定したIP範囲から踏み台への3389インバウンドを一時的に許可します。
• 要塞IPアドレスからVNet (VDAおよび云连接器)の任意のアドレスへの3389の受信を一時的に許可します。
• 云连接器、VDAおよびその他のVDA間のRDPアクセスを引き続きブロックします。

お客様がトラブルシューティングのためにRDPアクセスを有効にすると,Citrixが管理するVNetに次のセキュリティグループが変更されます。

• ユーザーが指定したIP範囲からVNet (VDAおよび云连接器)の任意のアドレスへの3389の受信を一時的に許可します。
• 云连接器、VDAおよびその他のVDA間のRDPアクセスを引き続きブロックします。

カスタマー管理サブスクリプション

カスタマー管理サブスクリプションの場合,CitrixはAzureリソースのデプロイ時に上記の責任に従います。デプロイ後は,お客様がAzureサブスクリプションの所有者であるため,上記のすべてがお客様の責任に該当します。

お客様の責任

VDAとマシンイメージ

お客様は,VDAマシンにインストールされているソフトウェアのすべての側面について責任を負います。これには以下が含まれます。

• オペレーティングシステムの更新とセキュリティパッチ
• ウイルス対策とマルウェア対策
• VDAソフトウェアアップデートとセキュリティパッチ
• 追加のソフトウェアファイアウォールルール(特にアウトバウンドトラフィック)
• Citrixのセキュリティに関する考慮事項とベストプラクティスに従ってください

Citrixは,出発点として用意されたイメージを提供します。このイメージは,概念実証やデモンストレーションの目的で,または独自のマシンイメージを構築するためのベースとして使用できます。Citrixは,この準備されたイメージのセキュリティを保証しません。Citrix は、準備されたイメージのオペレーティングシステムとVDAソフトウェアを最新の状態に保ち、これらのイメージでWindows Defenderを有効にします。

VNetピアリングを使用する際のお客様の責任

お客様は,ドメインに参加したマシンを使用したカスタマーマネージド联接で指定されたすべてのポートを開く必要があります。

VNetピアリングを構成する場合,お客様は,独自の仮想ネットワークのセキュリティと,オンプレミスリソースへの接続について責任を負います。お客様は,Citrixが管理するピアリング仮想ネットワークからの着信トラフィックのセキュリティについても責任を負います。Citrix は、Citrixが管理する仮想ネットワークからお客様のオンプレミスリソースへのトラフィックをブロックするアクションは実行しません。

お客様には,着信トラフィックを制限するための以下のオプションがあります。

• Citrixが管理する仮想ネットワークに,お客様のオンプレミスネットワークまたは顧客管理の接続仮想ネットワーク内の他の場所で使用されていないIPブロックを指定します。これはVNetピアリングに必要です。
• Azureネットワークセキュリティグループとファイアウォールをお客様の仮想ネットワークとオンプレミスネットワークに追加して,Citrix管理のIPブロックからのトラフィックをブロックまたは制限します。
• お客様の仮想ネットワークとオンプレミスネットワークに,侵入防御システム,ソフトウェアファイアウォール,行動分析エンジンなどの対策をCitrixが管理するIPブロックをターゲットに展開します。

SD-WAN接続を使用する場合のお客様の責任

SD-WAN接続が構成されている場合,お客様は,Citrix虚拟应用程序和桌面标准Azureで使用する仮想SD-WANインスタンスをネットワーク要件に従って構成できます。ただし,Citrix管理対象VNetでのSD-WANの正しい動作を保証するために必要ないくつかの要素を除きます。お客様の責任には以下が含まれます。

• DNSおよびインターネットトラフィックブレークアウトのルールを含む,ルーティングルールとファイアウォールルールの設計と構成。
• SD-WANネットワーク設定のメンテナンス。
• ネットワークの動作ステータスのモニタリング。
• Citrix SD-WANソフトウェアアップデートまたはセキュリティ修正プログラムをタイムリーに展開顧客ネットワーク上のCitrix SD-WANのすべてのインスタンスは,同じバージョンのSD-WANソフトウェアを実行する必要があるため,Azure SD-WANインスタンスのCitrix虚拟应用程序和桌面标准Azure SD-WANインスタンスへの更新されたソフトウェアバージョンの展開は,ネットワークのメンテナンススケジュールと制約に従って顧客によって管理する必要があります。

SD-WANルーティングとファイアウォールルールの不適切な構成,またはSD-WAN管理パスワードの管理ミスにより,Citrix虚拟应用程序和桌面标准Azureの仮想リソースと,Citrix SD-WAN仮想パスを介して到達可能なオンプレミスのリソースの両方にセキュリティリスクが発生する可能性があります。もう1つのセキュリティリスクは,Citrix SD-WANソフトウェアを最新のパッチリリースに更新しないことによるものです。SD-WAN协调器およびその他のCitrix云サービスはこのようなリスクに対処する手段を提供しますが,最終的には仮想SD-WANインスタンスが適切に構成されていることを確認する責任があります。

プロキシ

お客様は,VDAからのアウトバウンドトラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合,お客様は以下について責任を負います。

• VDAマシンイメージのプロキシ設定,またはVDAがドメインに参加している場合は,Active Directoryグループポリシーを使用してプロキシ設定を構成します。
• プロキシのメンテナンスとセキュリティ。

プロキシはCitrix云连接器または他のCitrixが管理するインフラストラクチャで使用することはできません。

カタログの復元力

Citrixは,回復力のレベルが異なる3種類のカタログを提供しています。

• 静的：各ユーザーは単一のVDAに割り当てられます。このカタログタイプは高可用性を提供しません。ユーザーのVDAがダウンした場合は,回復するために新しいVDAに配置する必要があります。Azureはシングルインスタンス仮想マシンに99.5% SLAを提供します。ユーザーは引き続きユーザープロファイルをバックアップできますが,VDAに対するカスタマイズ(プログラムのインストールやWindowsの構成など)は失われます。
• ランダム:各ユーザーは起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは,冗長性によって高可用性を実現します。VDAがダウンしても,ユーザーのプロフィールが別の場所にあるため,情報は失われません。
• Windows 10のマルチセッション:このカタログタイプはランダムタイプと同じ方法で動作しますが,サーバーVDAの代わりにWindows 10ワークステーションVDAを使用します。

ドメインに参加しているカタログのバックアップ

お客様がVNetピアリングでドメインに参加しているカタログを使用する場合,お客様はユーザープロファイルをバックアップする責任があります。オンプレミスのファイル共有を構成し,Active DirectoryまたはVDAにポリシーを設定して,これらのファイル共有からユーザープロファイルをプルすることをお勧めします。お客様は,これらのファイル共有のバックアップと可用性について責任を負います。

障害回復

Azureのデータ損失が発生した場合,CitrixはCitrixが管理するAzureサブスクリプション内のリソースをできるだけ多くリカバリします。Citrixは,云连接器とVDAの回復を試みます。Citrix がこれらのアイテムのリカバリに失敗した場合、お客様は新しいカタログを作成する責任があります。Citrix では、マシンイメージがバックアップされ、ユーザーがユーザープロファイルをバックアップし、カタログを再構築できるものと見なします。

Azureリージョン全体が失われた場合,お客様は,新しいリージョンで顧客管理仮想ネットワークを再構築し,Citrix虚拟应用程序和桌面标准Azure内で新しいVNetピアリングまたは新しいSD-WANインスタンスを作成する責任があります。

Citrixとお客様共通の責任

ドメインに参加しているカタログ用のCitrix云连接器

Citrix虚拟应用程序和桌面标准Azureでは,各リソースの場所に少なくとも2つの云连接器がデプロイされます。一部のカタログは,同じ顧客の他のカタログと同じリージョン,VNetピアリング,およびドメインに存在する場合,リソースの場所を共有することがあります。Citrixは,イメージの次のデフォルトのセキュリティ設定に対して,お客様のドメインに参加している云连接器を構成します。

• オペレーティングシステムの更新とセキュリティパッチ
• アンチウイルスソフトウェア
• 云连接器のソフトウェアアップデート

お客様は,通常云连接器にアクセスできません。ただし,カタログのトラブルシューティング手順を使用してドメイン資格情報を使用してログインすることで,アクセスを取得できます。踏み台からログインする際に行われた変更については,お客様が責任を負うものとします。

お客様は,Active Directoryグループポリシーを使用して,ドメインに参加している云连接器を制御することもできます。お客様は,云连接器に適用されるグループポリシーが安全かつ賢明であることを保証する責任があります。たとえば,お客様がグループポリシーを使用してオペレーティングシステムの更新を無効にすることを選択した場合,お客様は云连接器でオペレーティングシステムの更新を実行する責任があります。お客様は,グループポリシーを使用して,別のウイルス対策ソフトウェアをインストールするなど,云连接器のデフォルトよりも厳格なセキュリティを適用することもできます。一般的に,Citrixでは,Citrixが使用するデフォルトを問題なく適用できるため,ポリシーなしで云ConnectCitrix年代を独自のActive Directory ory組織単位に配置することをお勧めします。

トラブルシューティング

Citrix虚拟应用と桌面标准Azureでカタログで問題が発生した場合,トラブルシューティングには2つのオプションがあります。踏み台の使用とRDPアクセスの有効化です。どちらのオプションでも,お客様にセキュリティリスクがもたらされます。お客様は,これらのオプションを使用する前に、このリスクを引き受けることに理解し、同意する必要があります。

Citrixは,トラブルシューティング操作を実行するために必要なポートを開閉し,これらの操作中にアクセスできるマシンを制限する責任があります。

踏み台またはRDPアクセスのいずれかで,操作を実行するアクティブユーザーは,アクセスされているマシンのセキュリティを担当します。お客様がRDP経由でVDAまたは云连接器にアクセスし,誤ってウイルスに感染した場合,その責任はお客様の責任となります。Citrixサポート担当者がこれらのマシンにアクセスする場合,安全に操作を実行するのは担当者の責任です。展開内の踏み台または他のマシンにアクセスするユーザーによって公開された脆弱性に対する責任(たとえば,許可リストにIP範囲を追加するお客様の責任,IP範囲を正しく実装するCitrixの責任)については,このドキュメントの他の部分で説明します。

どちらのシナリオでもCitrix RDPトラフィックを許可するファイアウォールの例外を正しく作成する必要があります。シトリックスは,お客様が要塞を処分した後,またはCitrix VCitrix虚拟应用程序和桌面标准Azureを介したRDPアクセスを終了した後で,これらの例外を取り消す責任もあります。

バスティオンズ

Citrixは,お客様のCitrixが管理するサブスクリプション内で,お客様のCitrixが管理する仮想ネットワークに踏み台を作成して,プロアクティブに(お客様への通知なし),またはお客様が提起した問題に対応して,問題の診断と修復を行うことができます。踏み台は,お客様がRDPを介してアクセスし,RDPを介してVDAおよび(ドメイン参加カタログの場合)云连接器にアクセスして,ログの収集,サービスの再起動,その他の管理タスクの実行に使用できるマシンです。デフォルトでは,踏み台を作成すると,外部ファイアウォールルールが開き,お客様が指定した範囲のIPアドレスから踏み台マシンへのRDPトラフィックを許可します。また,内部ファイアウォールルールを開き,RDPを介して云连接器とVDAへのアクセスを許可します。これらのルールを開くと,大きなセキュリティリスクが生じます。

お客様は,ローカルのWindowsアカウントに使用する強力なパスワードを提供する責任があります。お客様は,踏み台へのRDPアクセスを許可する外部IPアドレス範囲を提供する責任もあります。お客様がIP範囲を提供しない(誰でもRDPアクセスを許可する)を選択した場合は,悪質なIPアドレスによって試みられるアクセスについてお客様が責任を負うものとします。

トラブルシューティングの完了後,踏み台を削除する責任もお客様にあります。要塞ホストは追加の攻撃面を公開するため,Citrixはマシンの電源投入後8時間後に自動的にシャットダウンします。ただし,Citrixは踏み台を自動的に削除することはありません。お客様が踏み台を長期間使用することを選択した場合,その踏み台をパッチ適用および更新する責任があります。踏み台を削除する前に,数日間だけ踏み台の使用をお勧めします。お客様が最新の踏み台が必要な場合は,現在の踏み台を削除してから新しい踏み台を作成できます。これにより,最新のセキュリティパッチを使用して新しいマシンをプロビジョニングできます。

RDPアクセス

ドメインに参加しているカタログでは,お客様のVNetピアリングが機能している場合,ピアリングされたVNetからCitrixが管理するVNetへのRDPアクセスを有効にできます。お客様がこのオプションを使用する場合,お客様はVNetピアリングを介してVDAと云连接器にアクセスする責任があります。送信元IPアドレスの範囲を指定することで,お客様の内部ネットワーク内であってもRDPアクセスをさらに制限できます。お客様は,ドメイン資格情報を使用してこれらのマシンにログインする必要があります。お客様がCitrixサポートと協力して問題を解決している場合,お客様はこれらの認証情報をサポート担当者と共有する必要がある場合があります。問題が解決した後,お客様はRDPアクセスを無効にする責任があります。お客様のピアリングまたはオンプレミスネットワークからRDPアクセスをオープンに保つと,セキュリティリスクが生じます。

ドメイン資格情報

お客様がドメインに参加したカタログの使用を選択した場合,お客様は,Citrix虚拟应用程序和桌面标准Azureに対して,マシンをドメインに参加するための権限を持つドメインアカウント(ユーザー名とパスワード)を提供する責任があります。ドメインの資格情報を提供する場合,お客様は,次のセキュリティ原則を遵守する責任があります。

• 監査可能：アカウントが使用される対象を簡単に監査できるように,Citrix虚拟应用程序和桌面标准Azure専用にアカウントを作成する必要があります。
• スコープ付き:このアカウントでは,マシンをドメインに参加させるためのアクセス許可のみが必要です。完全なドメイン管理者であってはなりません。
• セキュア:強力なパスワードをアカウントに配置する必要があります。

Citrixは,お客様のCitrixが管理するAzureサブスクリプション内のAzure关键库にこのドメインアカウントの安全なストレージを担当します。アカウントは,操作でドメインアカウントのパスワードが必要な場合にのみ取得されます。

詳細情報

関連情報については,以下を参照してください。

• セキュリティで保護されたCitrix云プラットフォームの展開ガイド: Citrix云プラットフォームのセキュリティ情報。
• セキュリティの技術概要: Citrix虚拟应用程序和桌面サービスのセキュリティ情報
• サードパーティ通知