Citrixは2016年5月、Microsoftとの戦略的パートナーシップの拡大を発表し、その一環としてCitrix NetScalerとMicrosoft Enterprise Mobility + Security (EMS)との統合を共同で進めてきました。
今回は2017年1月に弊社プロダクトマーケティング部門のAkhilesh Dhawanが執筆したブログ「Better Together: NetScaler Unified Gateway & Microsoft EMS」の概要を、関連情報を交えて日本語で紹介します。
Citrix NetScaler Unified Gatewayは、2016年12月リリースのソフトウエア(11.1.51)にて、ログイン時にデバイスがMicrosoft Enterprise Mobility + Security (以下、EMS)に登録されているかどうかを確認する機能をサポートしました。これにより、Citrix NetScaler Unified GatewayとEMSの連携が実現しました。
NetScaler Unified GatewayとEMSの連携により、モバイルユーザーに対する条件付きアクセスを実現できます。条件付きアクセスを利用すると、モバイルユーザーのセキュリティ強度を高めると共に、外部の脅威からオンプレミス環境の様々なリソースを守ることが可能になります。クラウド基盤上のNetScaler VPXにUnified Gateway機能を設定し、EMSと連携させることにより、クラウドに置かれた社内リソースに対しても同様のアクセス制御を提供します。
【ソリューション概要とメリット】
EMS は、デバイスの構成や管理を簡素化し、どのユーザーがどのデバイスからどのデータにアクセスできるのかを制御します。これにより、ユーザー認証、デバイス、アプリケーション、データを適切に管理、保護することができます。
Citrix NetScaler Unified Gatewayは、あらゆるアプリケーションに対して、セキュアなアクセスとシングルサインオンを提供します。
この2つの製品を組み合わせることで、IT管理者は、エンドユーザーが利用するモバイルデバイスの状態に基づいたアクセス制御ポリシーを定義することができます。ユーザーセッションを確立する前に、このポリシーを元にモバイルデバイスがMicrosoft Intuneに登録されているか、および、あらかじめ定義したセキュリティポリシーを満たしているかどうかを確認します。そしてこの結果に基づき、アクセス許可または拒否の判断を下します。
このソリューションには以下の3つのメリットがあります。
メリットその1 コスト削減
SSL VPNトンネルを終端する他社製品の中には、ハードウエアとソフトウエアライセンスに加え、1トンネル単位で追加ライセンスの購入が必要な機器があります。NetScalerは、11.1.49以降のソフトウエアを利用することで、以下の数のSSL VPNトンネル数を追加ライセンスなく処理できます。
- Standard Edition: 500トンネル
- Enterprise Edition: 1000トンネル
- Platinum Edition: 無制限(ハードウエアの性能上限まで)
メリットその2 条件付きアクセスの提供
IT管理者は、Microsoft Exchange、SharePoint、その他のアプリケーションに対して、モバイルデバイスの状態に応じたアクセス制御ポリシーを適用することで、セキュリティを強化できます。モバイルデバイスが社内リソースにアクセスするためにはMicrosoft Intuneへ登録されている必要があります。
メリットその3 デバイスのセキュリティ向上
モバイルデバイスの条件付きアクセス機能に加え、デバイス側の状態に応じてより細かなアクセス制御も可能です。デバイスがジェイルブレイクやルート化されている場合、最新版のウイルス定義データベースに更新されていない場合、マルウェアがインストールされている場合など、デバイス自体のセキュリティが疑われるケースでは、社内リソースへのアクセスを拒否することが可能です。
さらに、NetScaler Unified Gatewayでサポートしているポリシーベースの多要素認証機能を併用することができます。RADIUSやKerberosを利用したユーザー認証への対応はもちろんのこと、ユーザーの属性や接続場所などに応じた認証ポリシーの柔軟な設定も可能です。
今回ご紹介しているソリューションには、ポリシーをユーザーが手動で設定するのではなくIT管理者側からプッシュ形式で設定できるメリットもあります。iOSとAndroidの両方に対応し、どちらのOSを利用する場合でも同じ使い勝手を提供します。
【連携時のワークフロー】
初めに、ユーザーデバイスをMicrosoft Intuneへ登録します(①)。その後、ユーザーがオンプレミス環境に置かれたサーバなどの社内リソースに対してアクセスを試みます(②)。②をトリガとして、NetScaler Unified GatewayはEMSに対し、条件付きアクセスポリシーの内容を照会します(③)。EMSは、デバイス登録状況や、セキュリティコンプライアンス条件を返します(④)。この応答に基づき、NetScaler Unified Gatewayはアクセス許可・拒否の結果をデバイス側に戻します(⑤)。
【最後に】
NetScaler Unified Gatewayは、リモートアクセスやシングルサインオン機能も備えています。現在XenApp/XenDesktopを、NetScalerもしくはNetScaler Unified Gatewayと組み合わせてご利用中のお客様、又はデータセンターやクラウド内のあらゆるアプリケーションに対してシングルサインオン機能をご利用のお客様であれば、既存のNetScalerを活用する形でEMSとの連携によりモバイルデバイス管理(MDM)を実現できます。NetScaler Unified Gatewayはリモートアクセスやゲートウエイ機能を集約し、あらゆるアプリケーションに対するセキュアなアクセスを提供します。
さらに、NetScaler Unified Gatewayの運用管理を支援するNetScaler Management and Analytics System (MAS)の Gateway Insight機能を利用することで、エンドツーエンドでの通信可視化が可能になり、アプリケーションにアクセスする際の不具合、例えば遅延が起きた場合の原因究明と適切な対処をより迅速に行えるようになります。
【参考リンク】
NetScaler Unified Gateway製品概要
https://www.citrix.co.jp/products/netscaler-unified-gateway/
NetScaler Management and Analytics System製品概要
https://www.citrix.co.jp/products/netscaler-management-and-analytics-system/
Microsoft Intune連携の設定方法(英語)
https://docs.citrix.com/en-us/netscaler-gateway/11-1/microsoft-intune-integration.html
