エンジニアブログ Citrix DaaSとChromebookの連携
働き方改革を行う際に大きな効果がある「仮想デスクトップ(以降、VDI)は皆さんご存知だと思います。情報漏洩を防ぎ、リモートワークに最適なVDIですが、Citrix社の提供するVDIソリューションである「Citrix DaaS(Desktop-as-a-Service)」はご存知でしょうか。
Citrix DaaS(Desktop-as-a-Service)の優れた特徴として、接続元に様々なデバイスを選択できることが挙げられます。そして今話題のGoogle Chromebook(以降、Chromebook)でも、Citrix DaaSが利用できるんです。 ここではCitrix DaaSとChromebookを連携するメリットと、一部機能の活用例を皆さんにご紹介したいと思います。
新藤 花音
入社3年目のエンジニア。
1年目よりCitrix担当SEとして設計・構築業務に従事。昨年度には苦難の末、Citrix社資格のCCE-Vを取得。
1. Citrix DaaSとChromebookの連携
Citrix DaaSとは?
Citrix DaaSとはCitrix社が提供するクラウドサービスで、利用するとVDI・仮想アプリケーションを迅速かつ簡単に展開することができます。展開先としてオンプレミスだけでなく、Microsoft Azureのようなパブリッククラウドも選べます。
管理サーバーのほとんどをCitrixが管理してくれるので、管理者の負担が激減します。
Chromebookとは?
ChromebookはGoogle社が開発したChrome OSを搭載したデバイスで、各ハードウェアベンダーで製造が行われています。
優れた特徴として主に以下が挙げられます。
- 高いセキュリティ...ウィルス対策ソフトが不要、Google管理コンソールからの制御
- 可用性...ゼロタッチのキッティング、デバイス内にOSを2つ保持していて起動時間が数秒、長持ちするバッテリー
- コストパフォーマンス...デバイスの価格が他製品に比較しても安価なものもあり、かつ管理コストが削減できる
Chrome Enterpriseとは?
Citrix DaaSの接続元デバイスとしてChromebookを採用すると、先述したChromebookデバイスのいいとこどりができるので、手軽に、柔軟な管理ができるVDI環境を構築できます。さらにGoogle Cloudサービスと連携することで、より便利な運用も可能です。
Citrix DaaSとChromebookが連携
Citrix DaaSの接続元デバイスとしてChromebookを採用すると、先述したChromebookデバイスのいいとこどりができるので、手軽に、柔軟な管理ができるVDI環境を構築できます。さらにGoogle Cloudサービスと連携することで、より便利な運用も可能です。
それでは実際に、ChromebookからCitrix DaaSのVDIに接続してみましょう!
2. 今回の検証環境
検証環境構成図
■Citrix DaaS側コンポーネント
・Citrix Workspace App for Chrome OS:Chrome OSデバイスにインストールしCitrix DaaSのVDIと接続
・Citrix Workspace:許可されたリソースに接続するための統合プラットフォーム
・Citrix Gateway Service:デバイスとの間をSSLにて保護し、セキュアな接続をユーザーに提供
■オンプレミス/IaaS環境側コンポーネント
・Active Directory:ユーザー認証のため必須
・Citrix Cloud Connector(ドメイン参加):VDIが設置された環境とCitrix DaaS管理プレーンを接続
・Citrix Fas Server:Chromebookでの認証にてWindows 10へシングルサインオン(以下、SSO)を行うための仲介
・Windows 10 VDI:接続先VDI
■Google Cloud側コンポーネント
・Google Identity Platform:Googleにおけるリソースおよびアクセス管理
・Google Chrome Enterprise:Chrome OS、Chrome Webブラウザーを統合管理
Chromebookについて
本検証に利用したChromebookは、以下となります。
スペック | 詳細 |
メーカー | acer |
型番 | C871T-A38N |
OS | Chrome OS |
プロセッサー |
インテル®Core TM i3-10110U プロセッサー 2.10GHz |
メモリ容量 | 8GB |
ストレージ容量 | 32GB eMMC |
出展:https://acerjapan.com/notebook/chromebook/712/C871T-A38N#spec_area_wraq
3. デバイスを起動してからVDI接続までのSSO
設定方法
- Citrix WorkspaceとGoogle Identity Platform(以降、GIP)の連携
-AD側の代替UPNサフィックスの設定
-Google管理コンソールでのカスタム属性の定義
-ADとGIP間のユーザー情報同期
-Google管理コンソールでのSAMLアプリ設定
-SAML証明書の設定
-Workspace構成でユーザー認証設定を変更 - Google管理コンソールでWorkspace App for Chrome OSが自動的にデバイスにインストールされるよう設定
実際に接続してみた
1.Chromebookを起動するとGoogleアカウントのログイン画面が表示されます。
2.GoogleアカウントでChromebookにログオンすると、自動的にChrome Webブラウザーが起動し、Citrix Workspaceの画面が表示されます。
※Citrixアカウントの認証は必要ありません。
3.接続したいVDIのアイコンをクリックすると、VDIの画面が表示されます。
※Windows認証は必要ありません。
Googleアカウント認証1回のみで、VDIに接続できてしまいました!
Chromebookの起動後、VDI起動までに必要とされる操作は「Googleアカウント認証情報の入力」と「接続先VDIのアイコンをクリック」の2つのみとなります。
ここに注目!
- すぐに立ち上がり、すぐに接続
- ローカルPCと変わらない使い心地
起動までに必要な操作、かかる時間が少ないため、ストレスフリー。他のVDI環境を操作した経験のある人も、簡単さを実感できるはず!
Chromebookを完全なVDI接続用端末(シンクライアント端末)として運用することも可能です。新しくVDI環境を利用する方でも、感じるギャップが少なくなります。
4. スクリーンキャプチャの制御
設定方法
Google管理コンソールでスクリーンキャプチャの取得を無効にする
実際にスクリーンキャプチャを撮ってみる
1.Chromebookを起動し、「Ctrl」+「Shift」+「□||」キーを押します。
2.『コンテンツをキャプチャできません』とエラーメッセージが表示され、スクリーンキャプチャがブロックされます。
--------------------------------------------------------------------------------------------------------------------------------
コンテンツをキャプチャできません
管理者が設定したポリシーにより、スクリーンキャプチャは無効になっています
--------------------------------------------------------------------------------------------------------------------------------
Chromeポリシーから禁止しているため、実際にスクリーンキャプチャを取得しようとすると上記のようなメッセージが表示され、取得できません。
ここに注目!
- VDIだけでなくデバイス上で表示される画面すべてのスクリーンキャプチャを制限
- 他にも使えるポリシーは300以上
VDI画面のスクリーンキャプチャの制御はCitrixの機能でもありますが、Googleポリシー制御を利用すればローカル画面の範囲もカバーできてしまいます!ここで紹介した以外にもChrome OSデバイス、Chrome Webブラウザーを制御する300以上のポリシーがあり、痒い所に手が届く細かな制御が可能です。
5. デバイスのアクセス制御
設定方法
- Citrix WorkspaceとGIPとの連携
- Google管理コンソールでデバイスのアクセス制限
-「エンドポイントの確認」をオン
-Endpoint Verificationが自動的にデバイスにインストールされるよう設定
-Citrix Workspaceへのアクセスレベルを「承認済みのChromeOS」で必須に
-Google管理コンソールにて、Chromebookのシリアル番号を含むCSVファイルをインポート
実際に未登録のデバイスで接続してみる
1.Chromeポリシーに未登録のデバイスでWebブラウザーを開き、Citrix WorkspaceのURLを入力します。
2.『アクセス権がありません』とエラーメッセージが表示され、アクセスがブロックされます。
Chromeポリシーに未登録のデバイスからWorkspaceのURLにアクセスすると、アクセスがブロックされます。
もちろんChromeポリシーにシリアルナンバーを登録したデバイスであれば、問題なくアクセスできます。
ここに注目!
- デバイス単位のアクセス制御でより安心
- トータルのコストを抑制
本検証では"承認された""Chrome OS"のみをWorkspace Appにアクセスできるよう設定しました。デバイスのOSやデバイスポリシー、IPサブネットなどの複数の条件を、アプリケーションごとに設定することができるので、セキュリティをより強固にできます。
またChromebookも機種によっては購入費用が抑えられます。デバイス自体のセキュリティもGoogle管理コンソールからの統合管理なことから、デバイス管理にかかるトータルコストも抑えられるのはないでしょうか。
6. Teams最適化
設定方法
- VDIにMicrosoft Teamsをインストールする
- Citrix Workspace App for Chrome OSのバージョンが「2105.5」以上であることを確認
- Citrixポリシーで「Microsoft Teams リダイレクト」を許可
- Google管理コンソールで画面共有を有効にする
-Citrix Workspaceの「拡張機能ポリシー」に設定を貼り付ける
実際にTeamsを使ってみる
1.Chromebookを起動し、VDIに接続します。
2.Microsoft Teamsを起動します。
3.ウィンドウ上部の「...」をクリックし、「情報」>「バージョン」の順にクリックします。
4.ウィンドウ上部に『Citrix HDXは最適化されています。』とメッセージが表示されます。
Windows OSやMac OS同様、ChromebookからアクセスしたVDI上のMicrosoft Teams利用時に、音声、ビデオ、画面共有の処理をデバイス側にオフロードすることで快適に利用することできます。動画を画面共有するといった処理の重い動作も軽快に動作することが確認できます。
注意点として、Google管理ポリシーで「デスクトップ画面の共有」がデフォルトで禁止されているため、画面共有機能を利用したい場合にはこのポリシーを許可に変更する必要があります。
ここに注目!
- VDIでもTeamsを快適に使える
- 専用のプラグイン等は不要
VDI上でも、音声、ビデオ、画面共有処理をデバイス側にオフロードすることで、快適にTeamsが利用できます。
追加のコンポーネントやプラグイン等も不要で、Citrixポリシーが有効になっていれば自動的に利用可能です。ただ、Teamsにて画面共有を利用する場合には、Google管理コンソールにて許可をする必要があります。
7. まとめ
Citrix DaaSとChromebookを組み合わせると、操作性、セキュリティ、コストの面で様々なメリットがあります。そして今回ご紹介した運用方法はほんの一例に過ぎません。
より手軽に、安全なDaaS環境を、Chromebookと一緒に実現しませんか?日商エレクトロニクスではお客様のご要望に合わせ提案、支援致します。ぜひご相談ください!
- #ネットワーク・セキュリティ
エンジニアブログ
NELabに関するお問い合わせは、
こちらのフォームからご連絡ください。