微软Intune / EMSおよびAndroid企业とのCitrix端点管理統合に関するリファレンスアーキテクチャ
Citrix端点管理概要
Citrix端点管理は,包括的な統合エンドポイント管理ソリューションにより,デバイスとアプリの管理を簡素化します。また,作業を指導および自動化するインテリジェンス機能など,あらゆる場所やデバイスで,生産性を高めるために必要なすべてのものにアクセスできます。Citrix虚拟应用程序和桌面には,クラウド管理オプションもあります。Citrix端点管理はCitrix云のサービスとして利用できます。これにより,お客様はインフラストラクチャを管理する必要がなくなり,デバイスポリシーとアプリケーション管理に集中できます。
Citrix端点管理充血には,モバイルデバイス管理(MDM)およびモバイルアプリ管理(MAM)の機能があります。EndEndpoint管理のMDM機能を使用すると,管理者はデバイスポリシーとアプリの展開,資産インベントリの取得,デバイスへの操作(デバイスワイプなど)を実行できます。端点管理の老妈機能により,自分のモバイルデバイスでのアプリとデータの保護,モバイルエンタープライズアプリの配信,アプリのロック,アプリデータのワイプが可能になります。
シトリックスのドキュメントを参照してください。これは,XenMobileと呼ばれていた端点管理展開のリファレンスアーキテクチャを示しています。展開シナリオには,コアアーキテクチャとしてMDMのみ,老妈のみ,およびMDM +老妈が含まれます。
製品ドキュメントを参照してください。この図には端点管理コンポーネントおよび通信フローに関する包括的なリファレンスアーキテクチャ図が示されています。また,コアリファレンスアーキテクチャ,Citrix虚拟应用程序和桌面との統合,交换ActiveSync用の端点管理コネクタ,および交换ActiveSync用のCitrix网关コネクタについても説明します。
微软EMS概述
微软EMSは,微软企业移动+安全の略です。これには,次のものが含まれます。
Azure Active Directoryプレミアム——どこからでもすべてのリソースに対してシングルサインオンを可能にする微软IDハブ。条件付きアクセスや多要素認証などのセキュリティ側面が含まれます。
微软Intune——モバイルデバイス上のユーザー,データ,アプリのセキュリティ制御を提供する微软モバイルデバイス管理およびモバイルアプリ管理ソリューションです。微软は系统中心配置管理器(SCCM)と微软Intuneモバイル管理サービスを“微软端点管理器”という新しいブランドに統合する予定です。
Azure版权管理——保護されたデータにアクセスするための権限を管理および強制するドキュメントレベルのセキュリティを提供します。
微软の高度な脅威分析——ビッグデータを活用して脅威を特定し,リスクを通知するリアルタイムのセキュリティ監視を提供
微软EMSは企業のニーズに応じて異なる機能のセットを持ついくつかの微软製品を通じてライセンスされています。EMSにはIntuneライセンスが含まれているため,すべてのEMSのお客様は,Intune MDMおよび/またはIntuneアプリ保護機能を利用できます。
Citrix端点管理と微软Intune / EMSとの統合
両方の製品間の統合の目的は,アプリケーションを任意のデバイスに安全に提供することです。微软Intune/EMSとの統合は、Citrix Endpoint Management サービスの機能であり、IntuneおよびEMS対応アプリ(Office365やその他の基幹業務アプリなど)用のオンプレミスリソースへの安全なアクセスを提供することで、Microsoft EMS + Intuneに付加価値をもたらします。IntuneおよびCitrix Endpoint Management のお客様には、セキュリティと生産性のメリットも提供されます。
エンタープライズ組織向けのモバイルアプリ展開には,次のものが含まれます。
- Office 365アプリ
- その他のネイティブモバイルアプリ
- オンプレミスでホストされるカスタムビルドアプリ
- ウェブアプリとSaaSアプリ
- オンプレミスとクラウドでホストされる仮想化アプリ
最近の組織は,自分のデバイス持ち込み(BYOD)または会社所有デバイス(COD)用のエンタープライズモビリティ管理およびOffice365アプリを展開しており,微软EMS / Intuneが含まれています。最も人気のあるOffice365アプリは,ワード,エクセル,前景,およびPowerPointです。365年微软SharePointや微软动态など,他のOffice 365アプリもあります。エンドユーザーは,デバイス上でこれらの生産性アプリにアクセスする必要があります。エンタープライズ組織は,これらのアプリを監視し,アプリがユーザーデバイス上のデータを処理する方法を,最高のユーザーエクスペリエンスで監視する必要があります。
Citrix安全数字工作区の一部として,ITEndpoint管理はMicroVPN接続を構成し,モバイルアプリケーションに適用することができます。デバイス上の各管理対象モバイルアプリには,独自のプライベートMicro-VPNがあります。このマイクロVPNから,アプリケーションデータは,エンドポイントからファイアウォールの内側にある企業リソースロケーションに安全にフローできます。Citrix端点管理は,Office 365アプリと組織アプリ間でデータやドキュメントを交換する機能も提供します。Citrix网关の助けを借りて,Citrix端点管理はアプリケーションごとのマイクロVPNを提供して,動作中のデータを保護することができます。
この統合により,Citrix端点管理(CEM)は微软Intuneデバイスコンプライアンスサービスを通じて,デバイスコンプライアンスステータスをAzure Active Directoryプレミアムにプッシュできます。杰姆では,微软IntuneデバイスコンプライアンスサービスとAzure Active Directory条件付きアクセスを通じて,企業リソースへのアクセスに関する適切な条件が満たされていることを確認します。
概念アーキテクチャ
EMS / Intuneとの杰姆統合のメリット
Citrix端点管理を使用すると,企業のデータとアプリを個人用アプリやエンドポイントデバイス上のデータを保護し,隔離することができます。Citrix端点管理には,エンタープライズ向けに設計されたセキュアなプライベートアプリストアであるアプリストアが付属しています。このアプリストアでは,它部門は企業アプリとパブリックアプリを提供できます。
杰姆は,Citrix端点マイクロVPNの価値を,微软Intune対応のアプリケーション(微软管理浏览器など)にもたらします。また,企業は自社の基幹業務アプリをIntuneおよびCitrixでラップし,Intuneモバイルアプリ管理(MAM)コンテナ内でマイクロVPN機能を提供します。Citrix端点Micro-VPNを使用すると,モバイルアプリがオンプレミスのリソースにアクセスできます。
那部門は,Office 365アプリ,基幹業務アプリ,Citrix安全邮件を1つのコンテナで管理および配信し,セキュリティとユーザーの生産性を最大限に高めることができます。MicroVPNは,杰姆/ XenMobile SDKに統合されたアプリを介して,市場をリードするCitrix网关のリモートアクセス機能をモバイルデバイスに提供します。安全中心がモバイルデバイス上で開始するオンデマンドアプリケーションVPN接続で,企業のネットワーク・サイトまたはリソースにアクセスします。
Intuneと杰姆統合のユースケースの例
杰姆Micro-VPN機能を使用すると,ユーザーはIntuneブラウザーを使用して内部リソースにアクセスできます。このブラウザーには杰姆/ XenMobile Micro-VPN SDKが組み込まれており,デバイスレベルのVPNやMDMの完全登録は必要ありません。
杰姆Micro-VPN機能を使用すると,它管理者は,デバイスレベルのVPNを設定したり,MDMの完全登録を行わなくても,オンプレミスでホストされている基幹業務アプリサーバーにアクセスできるようになります。
展開モード
Citrix端点管理微软EMSはさまざまな方法で連携できます。ここでは,Intuneデプロイメントモデルまたはシナリオとの統合に焦点を当てています。以下のセクションでは,端点管理とIntuneで考えられるモビリティ管理のシナリオを示します。適切な導入モデルの選択は,モビリティ要件や現在のライセンス投資など,いくつかの要因によって異なります。各展開モデルには独自のメリットがあります。目標は,Citrixと微软が共同で提供する”最高のもの”を提供するソリューションを強調することです。
3つの主要な統合シナリオを見ていきましょう。
Citrix MDM + Intune MAM + mVPN SDK
推奨される導入モデル。主要な利点をすべて単一のソリューションにまとめます。Citrixコンソール内の微软图形APIへのアクセスにより,優れた管理者エクスペリエンスを提供します。すべてのCitrixアプリはIntune啓発されているため,DLPを使用して単一のコンテナ内でデータを安全に共有できます。また,すべてのMicroVPN付加価値が含まれており,優れたユーザーエクスペリエンスを提供します。このモデルはIntune老妈,Office 365アプリと安全邮件を使用した包括的なCitrix統合端点管理を適用します。
Intune MDM + MAM + mVPN SDK
この展開モデルは,IntuneをMDM(登録済みデバイス)として使用している既存の微软EMSのお客様にとって一般的なシナリオです。マイクロVPNを使用したCitrix端点管理では,いくつかの分野で付加価値を提供します。これには,啓発されたShareFile,安全的邮件,XenMobile SDKを使用した微软管理Intuneブラウザ,Citrix网关南汽,Intune EMSとの杰姆統合によるIntune構成を容易にする杰姆統合が含まれます。さらに,再登録は必要ありません。したがって,それは瞬時に価値を追加します。
Intune老妈のみ+ mVPN SDK
この展開モデルは,MDM登録が邪魔になり,サードパーティのVPNソリューションを使用してファイアウォールの背後にある企業リソースにアクセスするIntuneのお客様にとって優れた価値を提供します。ただし,サードパーティ製のVPNソリューションの欠点は,メンテナンスの増加,一貫性のない,高価なインフラストラクチャ,ライセンス,運用コストが必要になることです。さらに,アプリごとのVPNソリューションに加えて,デバイスのVPNソリューションは,一般的にモバイルデバイスにとって効率的ではなく,バッテリーの消耗の原因となります。一方,Citrix独自のMicro-VPNはクライアントレスであり,Citrix网关の構成によって適切に制御されます。現在,Intune MDMの有無にかかわらず,微软の管理されたIntuneブラウザを使用しているIntuneのお客様は,Citrix Micro-VPNを使用してイントラネットリソースにアクセスできるようになりました。
デバイスの登録やデバイスレベルVPNは必要ありません。Citrixは,IntuneアプリまたはIntuneラップアプリ用のマイクロVPNを提供する唯一のベンダーです。MDM登録やレガシーデバイスVPNクライアントを使用する必要はありません。
この展開モデルは,IntuneとCitrixラップアプリケーションの両方にデュアル老妈コンテナを利用したいお客様を対象としています。マイクロVPNを使用したMDMおよび老妈は,内容合作、安全邮件,XenMobile SDKを使用した微软管理Intuneブラウザ,Citrix网关NACなど,いくつかの分野で付加価値を提供します。Intune EMSウィザードとの杰姆統合により,Intune構成が容易になります。安全邮件がデフォルトでCitrix老妈コンテナに設定することが重要です。
統合の開始
統合を準備するためのシステム要件と前提条件については,シトリックスのドキュメントを参照してください。また,こちらガイドも参照してください。ここでは,微软Intune / EMSとCitrix端点管理との統合をセットアップして,Azureから任意のデバイスにアプリを安全に配信する方法について説明します。
Intune統合の概要
Citrixと微软はアプリケーションとデータを安全に配信するための柔軟なシナリオを提供するいくつかのイノベーションを提供しています。ここでは,適切なシナリオを選択することが成功の鍵です。シトリックスが共通する目標は,Citrixと微软が連携して提供できる最高のものを提供することで,組織の要件を満たすソリューションを提供することです。
杰姆とEMSとの統合により,アプリケーション単位のVPNオプションにより,より高いレベルのセキュリティが提供されます。また,動作中のデータと保存中のデータのセキュリティも提供します。これにより,モバイルデバイス管理およびモバイルアプリケーション管理のポリシーをきめ細かく設定できます。すべてのOffice 365アプリとCitrix安全邮件とのシームレスな統合。さまざまなデバイスやプラットフォームを1つのペインで管理し,さまざまなサポート対象のデバイスやプラットフォームを管理できます。また,すべての企業アプリケーションに対応するエンタープライズアプリストアがあります。
Citrix端点管理を搭載したAndroid的企业
Android企业ズの概要
谷歌は2019年のAndroidリリースでデバイス管理者の廃止を発表しました。デバイス管理者権限を使用したデバイス管理は,Androidデバイスのレガシー管理アプローチと見なされます。Android企业は最新の管理プラットフォームです。
Android企业は谷歌Androidデがバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。このプログラムは,開発者がAndroidのサポートをCitrix端点管理管理などのエンタープライズモビリティ管理(EMM)ソリューションに統合するためのAPIやその他のツールを提供します。
Android企业では:
- お客様は端点管理を使用して,企業所有のAndroidデバイスを管理し,自分の(自带食物)Androidデバイスを管理できます。
- お客様は,デバイス全体を管理することも,デバイス上の別の仕事用プロファイルを管理することもできます。個別の仕事用プロファイルは,ビジネスアカウント,アプリ,データを個人アカウント,アプリ,データから分離します。
- お客様は,在庫管理など,使い捨て専用のデバイスを管理することもできます。
端点管理が管理対象の谷歌玩と統合され,組織内でAndroid企业を使用することを”エンタープライズ”と呼びます。谷歌は,企業が組織とモバイル管理(EMM)ソリューションとの間の拘束力であると定義しています。电解加工組織がソリューションを通じて管理するすべてのユーザーとデバイスは,その企業に属します。端点管理がAndroid企业と統合されている場合,完全なソリューションには次のコンポーネントがあります。
- Citrix端点管理:Citrix端点管理充血は,セキュアなデジタルワークスペースのための統合エンドポイント管理です。端点管理は,管理者が組織のデバイスとアプリを管理する手段を提供します。
- Citrix安全中心:Citrix DPCアプリ。安全中心は端点管理のランチパッドです。安全中心はデバイスにポリシーを適用します。
- 管理された谷歌玩:Citrix端点管理とそのAPIと統合する谷歌エンタープライズアプリプラットフォームで,アプリポリシーを設定し,アプリを配布します。
Citrix端点管理を使用したAndroid企业ズの利点
企業所有または従業員所有のどちらでも,Citrix端点管理充血およびAndroid企业では,組織の情報を保護しながらユーザーの生産性を高めるために必要なコントロールを提供します。Citrix端点管理はBYOD (Androidの仕事用プロファイル)と企業プロファイルなど,各Android企业管理モードをサポートしています。これには应付(会社所有/個人有効),科博(会社所有/ビジネスのみ),COSU(企業所有,シングルユース)のユースケースが含まれます。BYODユーザーの場合,Citrix端点管理ユーザーが管理するAndroid企业では,安心と個人のプライバシーを確保しながら,它部門はデータのセキュリティとコンプライアンスの恩恵を受けることができます。
Citrix端点管理によって管理されている場合,Android企业は企業情報を柔軟に保護できます。強化されたセキュリティや谷歌玩保護などのAndroidセキュリティの複数のレイヤーを適用し,Citrix端点管理管理から高度なデバイスおよびアプリ管理コントロールを拡張します。
迅速なオンボーディングと登録のために,Citrix端点管理充血は,EMMトークン,ゼロタッチ登録,NFC, QRコードなど,Android企业が提供するさまざまなプロビジョニングオプションをサポートしています。Citrix端点管理によって管理されるAndroid企业に加えて,ユーザーは管理された谷歌玩を通じてAndroidビジネスアプリにシームレスにアクセスできます。Citrix工作区と組み合わせると,ユーザーは仮想,SaaS、Webなどの他のすべてのアプリにもアクセスできます。また,ユーザーは,統合されたワークフローを使用したCitrix安全邮件やCitrix内容协作など,Citrix業務用モバイルアプリを使用してより多くの作業を行うことができます。
デバイス管理の廃止の影響
谷歌は,以下のデバイス管理APIを廃止すると発表しました。安全中心をアップグレードしてAndroid问のAPIレベルを対象にした後,これらのAPIはAndroid问を実行しているデバイスでは動作しません。
- カメラの無効化:デバイスのカメラへのアクセスを制御します。
- 键盘守卫機能:生体認証やパターンなど,デバイスのロックに関連する機能を制御します。
- パスワードの有効期限:設定可能な時間が経過すると,ユーザーがパスワードを変更するように強制します。
- パスワードの制限:パスワードの制限の要件を設定します。
- このAPIの廃止は,Citrix MAM-onlyモードで登録されたデバイスには影響ありません。
エンタープライズ環境におけるAndroidデバイスのニーズの増加とそのユースケースの拡大に伴い,谷歌Androidは企业に最新の管理モード(仕事用プロファイル,完全管理,専用デバイス)を導入しました。ユースケースとプロファイルの詳細については,谷歌開発者向けドキュメントを参照してください。
Citrix端点管理を使用したAndroid企业リファレンスアーキテクチャ
电解加工コンソールから新規顧客を登録するには,企業を作成する必要があります。Android企业展開では,企業では,ユーザーの個人データからの作業関連情報の分離,環境用の承認済みアプリの事前設定,デバイス機能の無効化(カメラなど)など,ユーザーデバイスのさまざまな側面を制御できます。谷歌ドキュメントを参照してください。
杰姆サーバーでは,Android企业用电解加工のパートナーとしてCitrixをバインドします(3ステップのプロセス)。杰姆は,谷歌APIを介してデータを管理するために使用されるエンタープライズサービスアカウントを作成します。谷歌玩インフラストラクチャは,マネージド型のプライベートエンタープライズアプリデリバリーストアを含むサービスを提供します。
統合が設定されると,Citrix端点管理対象の谷歌玩がシームレスに連携し,組織のAndroidデバイスおよび必要なパブリックアプリまたは企業アプリの保護,構成,管理を行います。
电解加工管理者はコンソールを使用して,デバイス設定やアプリの構成など,さまざまなタスクを実行します。DPCは安全中心,インストールされているデバイス上で作業用プロファイルを作成し,管理します。仕事用プロファイルは,仕事関連の情報を暗号化し,ユーザーの個人用アプリやデータから分離します。仕事用プロファイルを作成する前に,DPCは,デバイスで使用するために管理された谷歌玩アカウントをプロビジョニングすることもできます。
仕事用プロファイルまたは完全に管理されたデバイス用のAndroid企业では,ユーザーは管理対象の谷歌玩ストア経由でアプリを受け取ります。电解加工管理者は,パブリックアプリの使用を承認し,管理された谷歌玩ストアにプライベートアプリを追加することもできます。Citrix端点管理とのOrgIDバインディングは,管理対象の谷歌玩ストアを通じて承認され,その組織に登録されているデバイスのプライベートアプリの表示を制御します。
安全中心は組織の要件と制約を満たすために,管理者が設定したデバイスポリシーを適用します。たとえば,セキュリティポリシーでは,パスワード試行が一定回数失敗した後,デバイスのロックが必要になる場合があります。, DPCは現在のポリシーについてEMMコンソールに照会し,そのポリシーを適用します
プロビジョニング方法:
完全に管理されたデバイスプロビジョニング方式
QRコード——Android 9以降のデバイスには,QRコードリーダーが内蔵されています。この方法では,ユーザーは単にデバイスの電源をオンにし,ようこそ画面を6回タップし,QRコードをスキャンします。QRコードは、管理プロファイルにアクセスするためにGoogle Play に接続して登録プロビジョニングプロセスを自動的に開始します。
Androidゼロタッチ——它管理者は,Androidゼロタッチ登録を使用して,UEM構成を作成,編集,削除できます。これにより,登録が完了した状態でデバイスまたはデバイスのグループを出荷できます。ユーザーが行う必要があるのは,デバイスの電源を入れ,wi - fiに接続し,パスワードを入力することです。
电解加工トークン——この方法では,ユーザーの它部門がトークンを提供します。Citrix端点管理の場合,トークンはafw # xenmobileです。このトークンは,ユーザーが”電子メールまたは電話”を求められたときに,新しいデバイスの電源がオンになった後に入力する必要があります。电解加工正しいトークンを入力すると,Citrix端点管理デバイスポリシーコントローラーアプリがダウンロードされるため,ユーザーは資格情報を入力するだけでセットアップできます。
NFCバンプ- - - - - - NFCバンプ方式では,“近接フィールド通信“を使用してデバイスをプロビジョニングします。NFCバンプを使用して、新しいデバイスが別のデバイスに (4 センチメートル) 近くになければなりません。企業が発行したデバイスの一括登録は、常にIT部門にとって大きな課題となっています。NFCバンプ登録では、IT部門はマスター・デバイスを登録し、MDMサーバの詳細情報を伝達し、デバイスを他の未登録デバイスにタップするだけで自動登録プロセスを開始します。一括登録が簡単になりました!
BYODプロビジョニング方法
上記の[工作管理]オプションに加えて,BYODメソッドは,個人所有のデバイスを使用する作業者に人気があります。この方法では,部門はビジネスデータ(Androidの仕事用プロファイル)を管理し,すべての個人データとアプリケーションを非公開にします。言い換えれば,は作業アプリケーションの可視性と制御のみを持ち,他には何もありません。この方法では,デバイス管理はなく,モバイルアプリケーション管理(MAM)のみになります。
企业设备管理からAndroidへの移行
| サイトの詳細 | デフォルトの登録プロファイル | コメント/推奨 |
|---|---|---|
| 新しいサイト | Android企业——完全管理/仕事用プロファイル | 新しいサイトはすべてAndroid企业(AE)にデフォルト設定されます。推奨事項:AEをセットアップしてデバイスをAEに登録していない場合は,デバイス管理はレガシーモードです。 |
| Android企业(AE)セットアップの既存のサイト | Android企业——完全管理/仕事用プロファイル | AEが構成されているサイトは,デフォルトでAndroid企业に設定されます。推奨事項:a)サイトがAEで,デバイス管理者の登録がない(変更不要)b)サイトにデバイス管理者モードの登録がある場合——これらのデバイスの登録プロファイルをレガシー(デバイス管理者)をポイントするように更新してください。 |
| 既存のサイトがAndroid企业でセットアップされない | レガシ(デバイス管理者) | Android企业が設定されていないサイトは,デフォルトでレガシー(デバイス管理者)に設定されます。推奨事項:Android企业を設定して移行を計画する |
Android企业では,完全管理デバイスモードと仕事用プロファイルデバイスモードがサポートされます。谷歌のドキュメント”Android企业迁移蓝皮书“で従来のデバイス管理とAndroid企业の違いについて詳しく説明しています。谷歌からの移行アプローチを読むことをお勧めします。また,昇格した企業要件を満たすAndroid推奨デバイスのリストについては,Android企业ソリューションディレクトリを参照してください。詳細については,シトリックスのAndroid企业製品ページを参照してください。
ソース
このリファレンスアーキテクチャの目的は,お客様独自の実装計画を支援することです。この作業を容易にするために,独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソースダイアグラム。