XenMobile Server 10.13 の新機能
XenMobile Server 10.13 (PDF ダウンロード)
Citrix ADC から非推奨となったクラシックポリシーの継続サポート
Citrix は最近、Citrix ADC 12.0 ビルド 56.20 以降、一部のクラシックポリシーベースの機能が非推奨となることを発表しました。Citrix ADC の非推奨に関する通知は、Citrix Gateway との既存の XenMobile Server 統合には影響しません。XenMobile Server は引き続きクラシックポリシーをサポートしており、対応は不要です。
非推奨に関するお知らせ
廃止される Citrix XenMobile の機能に関する事前通知については、「非推奨」を参照してください。
エンドポイントを iOS 14.5 にアップグレードする前に
Citrix は、エンドポイントを iOS 14.5 にアップグレードする前に、アプリのクラッシュを軽減するために次のアクションを実行することを推奨します。
- Citrix Secure Mail および Secure Web を 21.2.X 以降にアップグレードします。MDX またはエンタープライズアプリのアップグレードを参照してください。
- MDX Toolkit を使用している場合は、すべてのサードパーティ製 iOS アプリケーションを MDX Toolkit 21.3.X 以降でラップします。最新バージョンについては、MDX Toolkit のダウンロードページを確認してください。
オンプレミスの Citrix ADC をアップグレードする前に
オンプレミスの Citrix ADC を特定のバージョンにアップグレードすると、シングルサインオンエラーが発生する可能性があります。ブラウザで [会社の従業員サインイン] オプションを使用して Citrix Files または ShareFile ドメイン URL にシングルサインオンすると、エラーが発生します。ユーザーはサインインできません。
この問題を回避するには、Citrix Gateway の ADC CLI から次のコマンドをまだ実行していない場合は、実行してグローバル SSO を有効にします。
`set vpn parameter SSO ON`
`bind vpn vs <vsName> -portalTheme X1`
詳細については、以下を参照してください。
回避策を完了すると、ユーザーは [会社の従業員サインイン] オプションを使用して、ブラウザで SSO を使用して Citrix Files または ShareFile ドメイン URL に認証できるようになります。[CXM-88400]
XenMobile 10.13 (オンプレミス) にアップグレードする前に
一部のシステム要件が変更されました。詳細については、「システム要件と互換性」および「XenMobile の互換性」を参照してください。
-
アップグレードする XenMobile® Server を実行している仮想マシンの RAM が 8 GB 未満の場合は、RAM を少なくとも 8 GB に増やすことをお勧めします。
-
最新バージョンの XenMobile Server 10.13 に更新する前に、Citrix License Server を 11.16 以降に更新してください。
最新バージョンの XenMobile には、Citrix License Server 11.16 (最小バージョン) が必要です。
注:
XenMobile 10.13 の Customer Success Services 日付 (以前の Subscription Advantage 日付) は 2020 年 9 月 29 日です。Citrix ライセンスの Customer Success Services 日付は、この日付より後である必要があります。
ライセンスサーバーでライセンスの横に日付を表示できます。最新バージョンの XenMobile を古いライセンスサーバー環境に接続すると、接続チェックが失敗し、ライセンスサーバーを構成できません。
ライセンスの日付を更新するには、Citrix ポータルから最新のライセンスファイルをダウンロードし、そのファイルをライセンスサーバーにアップロードします。Customer Success Servicesを参照してください。
-
クラスター環境の場合:iOS 11 以降を実行しているデバイスへの iOS ポリシーおよびアプリの展開には、次の要件があります。Citrix Gateway が SSL 永続性のために構成されている場合、すべての XenMobile Server ノードでポート 80 を開く必要があります。
-
推奨事項:XenMobile の更新をインストールする前に、VM の機能を使用してシステムのスナップショットを作成してください。また、システム構成データベースをバックアップしてください。アップグレード中に問題が発生した場合でも、完全なバックアップがあれば回復できます。
アップグレード
このリリースでは、XenMobile は VMware ESXi 7.0 をサポートしています。ESXi 7.0 をインストールまたはアップグレードする前に、10.13 にアップグレードしていることを確認してください。
XenMobile 10.12.x または 10.11.x から XenMobile 10.13 に直接アップグレードできます。アップグレードを実行するには、利用可能な最新のバイナリをダウンロードします。https://www.citrix.com/downloads にアクセスします。Citrix Endpoint Management (XenMobile) > XenMobile Server > Product Software > XenMobile Server 10 に移動します。ハイパーバイザー用の XenMobile Server ソフトウェアのタイルで、Download File をクリックします。
アップグレードをアップロードするには、XenMobile コンソールの Release Management ページを使用します。「Release Management ページを使用したアップグレード」を参照してください。
アップグレード後
発信接続に関する機能が動作しなくなり、接続構成を変更していない場合は、XenMobile Server ログで「Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer」などのエラーがないか確認してください。
- 証明書検証エラーは、XenMobile Server でホスト名検証を無効にする必要があることを意味します。
- デフォルトでは、Microsoft PKI サーバーを除く発信接続ではホスト名検証が有効になっています。
- ホスト名検証によって展開が中断される場合は、サーバープロパティ
disable.hostname.verificationをtrueに変更します。このプロパティのデフォルト値はfalseです。
プラットフォームサポートの更新
-
iOS 14: XenMobile Server および Citrix Mobile 生産性向上アプリは iOS 14 と互換性がありますが、現時点では新しい iOS 14 の機能はサポートしていません。MDX Toolkit 20.8.5 以降を使用するか、MAM SDK を使用してアプリを準備してください。
-
Android 11: XenMobile Server は Android 11 をサポートしています。Android 10 以降を実行しているデバイスに対する Google Device Administration API の非推奨が与える影響については、「デバイス管理から Android Enterprise への移行」を参照してください。また、この Citrix ブログも参照してください。
単一環境での複数のデバイスおよびアプリ管理モードの構成
単一の XenMobile サイトで複数の登録構成をサポートするように設定できるようになりました。登録プロファイルの役割は、デバイスおよびアプリ管理の登録設定を含むように拡張されました。
登録プロファイルは、単一の XenMobile コンソール内で複数のユースケースとデバイス移行パスをサポートします。ユースケースには以下が含まれます。
- モバイルデバイス管理 (MDM のみ)
- MDM + モバイルアプリケーション管理 (MAM)
- MAM のみ
- 企業所有デバイスの登録
- BYOD 登録 (MDM 登録をオプトアウトする機能)
- Android デバイス管理者登録から Android Enterprise 登録への移行 (完全に管理されたデバイス、仕事用プロファイル、専用デバイス)
登録プロファイルは、現在非推奨となっているサーバープロパティ xms.server.mode に代わるものです。この変更は、既存のデリバリーグループと登録済みデバイスには影響しません。
専用デバイスの登録が不要な場合は、サーバープロパティ enable.multimode.xms を false に設定することで、この機能を無効にできます。「サーバープロパティ」を参照してください。
次の表は、既存のサーバープロパティモードから新しい登録プロファイル機能への自動移行パスを示しています。
| 既存のサーバープロパティ | 新しい管理モード |
|---|---|
| ENT モード (iOS) | Citrix MAM を使用した Apple デバイス登録 |
| ENT モード (Android) | Citrix MAM を使用したレガシーデバイス管理者 |
| ENT モード (Android Enterprise) | Citrix MAM を使用した完全に管理されたデバイス上の仕事用プロファイル (以前の COPE) |
| MAM モード (iOS および Android) | Citrix MAM |
| MDM モード (iOS) | Apple デバイス登録 |
| MDM モード (Android) | レガシーデバイス管理者 |
| MDM モード (Android Enterprise) | 完全に管理されたデバイス上の仕事用プロファイル |
デリバリーグループを作成するときに、登録プロファイルをグループにアタッチできます。登録プロファイルをアタッチしない場合、XenMobile はグローバル登録プロファイルをアタッチします。
登録プロファイルは、次のデバイス管理機能を提供します。
-
Android デバイス管理者 (DA) モードから Android Enterprise への移行が容易になります。 Android Enterprise デバイスの場合、設定には、完全に管理されたデバイス、完全に管理されたデバイス上の仕事用プロファイル、専用デバイスなどのデバイス所有者モードが含まれます。「Android Enterprise」を参照してください。
このアップグレードでは、サーバーモードと [設定] > [Android Enterprise] の現在の XenMobile 構成が、新しい登録プロファイル設定に次のようにマッピングされます。
現在の構成 管理設定 デバイス所有者モード設定 Citrix MAM 設定 MDM。Managed Google Play (Android Enterprise) Android Enterprise 完全に管理されたデバイス上の仕事用プロファイル オフ MDM; G Suite (レガシー DA) レガシー DA 該当なし オフ MAM デバイスを管理しない 該当なし オン MDM+MAM。Managed Google Play (Android Enterprise) Android Enterprise* 完全に管理されたデバイス上の仕事用プロファイル オン MDM+MAM; G Suite (レガシー DA) レガシー DA* 該当なし オン * 登録が必要な場合、[ユーザーがデバイス管理を拒否することを許可する] は [オフ] です。
アップグレード後、現在の登録プロファイルはこれらのマッピングを反映します。レガシー DA から移行する際に、新しいユースケースを処理するために他の登録プロファイルを作成するかどうかを検討してください。
-
iOS 管理が容易になります。 iOS デバイスの場合、設定には、デバイスを管理対象として登録するか、管理対象外として登録するかの選択肢が含まれます。
このアップグレードでは、以前の構成が新しい登録プロファイル設定に次のようにマッピングされます。
サーバーモード 管理設定 Citrix MAM 設定 MDM デバイス登録 オフ MAM デバイスを管理しない オン MDM+MAM デバイス登録 オン 登録が必要な場合、[ユーザーがデバイス管理を拒否することを許可する] は [オフ] です。
拡張登録プロファイルには、次の制限があります。
- 拡張登録プロファイル機能は、ワンタイム PIN または 2 要素認証の登録招待では利用できません。
Enrollment profilesを参照してください。
最新のHTTP/2ベースAPNsプロバイダーAPIのサポート
Apple Push Notificationサービスレガシーバイナリプロトコルに対するAppleのサポートは、2021年3月31日をもって終了します。Appleは、代わりにHTTP/2ベースのAPNsプロバイダーAPIを使用することを推奨しています。XenMobile Serverは、HTTP/2ベースのAPIをサポートするようになりました。詳細については、https://developer.apple.com/のニュース更新「Apple Push Notification Service Update」を参照してください。APNsへの接続確認については、Connectivity checksを参照してください。
XenMobile Serverの以下のバージョンでは、HTTP/2ベースのAPIのサポートがデフォルトで有効になっています。
- XenMobile Server 10.13
- XenMobile Server 10.12 Rolling Patch 5以降
XenMobile Serverの以下のバージョンを使用している場合は、サポートを有効にするためにサーバープロパティ apple.apns.http2 を追加する必要があります。
- XenMobile Server 10.12 Rolling Patch 2~4以降
- XenMobile Server 10.11 Rolling Patch 5以降
XenMobile Server 10.11はサポートされなくなりました。最新バージョンへのアップグレードを推奨します。
多数のiOSデバイスでのデバイス証明書ベースのIPsec VPNの使用
デバイス証明書ベースのIPsec VPNを必要とする各iOSデバイスに対してVPNデバイスポリシーと資格情報デバイスポリシーを構成する代わりに、プロセスを自動化します。
- 接続タイプを Always on IKEv2 に設定してiOS VPNデバイスポリシーを構成します。
- デバイス認証方法として Device certificate based on device identity を選択します。
- 使用する Device identity type を選択します。
- REST APIを使用してデバイス証明書を一括インポートします。
VPNデバイスポリシーの構成について詳しくは、VPN device policyを参照してください。証明書の一括インポートについて詳しくは、Upload certificates in bulk using the REST APIを参照してください。
Apple Volume Purchaseアプリの自動更新
Volume Purchaseアカウントを追加する際(Settings > iOS Settings)、すべてのiOSアプリの自動更新を有効にできるようになりました。Apple Volume Purchaseの App Auto Update 設定を参照してください。
ローカルユーザーアカウントのパスワード要件
XenMobileコンソールでローカルユーザーアカウントを追加または編集する際は、最新のパスワード要件に従っていることを確認してください。
詳しくは、To add a local user accountを参照してください。
-
パスワード要件: XenMobile Serverコンソールでローカルユーザーアカウントを追加または編集する際は、最新のパスワード要件に従ってください。To add a local user accountを参照してください。
-
ローカルユーザーアカウントのロック: ユーザーが連続して無効なログイン試行の最大回数に達すると、ローカルユーザーアカウントは30分間ロックされます。システムは、ロックアウト期間が終了するまで、それ以降のすべての認証試行を拒否します。XenMobile Serverコンソールでアカウントのロックを解除するには、[管理]>[ユーザー] の順に移動し、ユーザーアカウントを選択して [ローカルユーザーのロック解除] をクリックします。To unlock a local user accountを参照してください。
デバイスポリシー
Android Enterpriseデバイス向けに、新しいデバイスポリシーとデバイスポリシー設定が追加されました。
Android Enterpriseデバイスでのトレイバーアイコンの非表示
Android Enterpriseデバイスのトレイバーアイコンを非表示にするか表示するかを選択できるようになりました。XenMobile options device policyを参照してください。
ワークプロファイルモードまたは完全管理モードのAndroid Enterpriseデバイス向け証明書管理機能の追加
管理対象キーストアに証明機関をインストールするだけでなく、以下の機能を管理できるようになりました。
- 特定の管理対象アプリで使用される証明書の構成。 Android Enterpriseの資格情報デバイスポリシーに、Apps to use the certificates 設定が追加されました。このポリシーで選択された資格情報プロバイダーによって発行されたユーザー証明書を使用するアプリを指定できます。アプリは実行時に証明書へのアクセスをサイレントに許可されます。すべてのアプリで証明書を使用するには、アプリリストを空白のままにします。Credentials device policyを参照してください。
- 管理対象キーストアからの証明書のサイレント削除、またはすべての非システムCA証明書のアンインストール。 Credentials device policyを参照してください。
- ユーザーが管理対象キーストアに保存されている資格情報を変更できないようにする。 Android Enterpriseの制限デバイスポリシーに、Allow user to configure user credentials 設定が追加されました。デフォルトでは、この設定は On です。Restrictions device policyを参照してください。
管理対象構成での証明書エイリアスのより簡単な使用
資格情報 デバイスポリシーの新しい Certificate alias 設定を 管理対象構成 デバイスポリシーと組み合わせて使用します。これにより、ユーザーの操作なしでアプリがVPNで認証できるようになります。アプリログで資格情報エイリアスを見つける代わりに、資格情報エイリアスを作成します。管理対象構成 デバイスポリシーの Certificate alias フィールドにエイリアスを入力して作成します。次に、資格情報 デバイスポリシーの Certificate alias 設定に同じ証明書エイリアスを入力します。Managed configurations policyおよびCredentials device policyを参照してください。
Android Enterpriseデバイスでの「Use one lock」設定の制御
パスコード デバイスポリシーの新しい Enable unified passcode 設定により、デバイスとワークプロファイルに個別のパスコードが必要かどうかを制御できます。この設定が導入される前は、ユーザーはデバイスの Use one lock 設定でこの動作を制御していました。Enable unified passcode が On の場合、ユーザーはデバイスとワークプロファイルに同じパスコードを使用できます。Enable unified passcode が Off の場合、ユーザーはデバイスとワークプロファイルに同じパスコードを使用できません。デフォルトは Off です。Enable unified lock 設定は、Android 9.0以降を実行しているAndroid Enterpriseデバイスで利用できます。Passcode device policyを参照してください。
コンプライアンスに準拠していないAndroid Enterpriseデバイスでのアプリとショートカットの表示
Android Enterpriseのパスコードデバイスポリシーに、新しい設定 Show apps and shortcuts while passcode is not in compliance が追加されました。この設定を有効にすると、デバイスのパスコードが準拠しなくなった場合でも、アプリとショートカットが表示されたままになります。Citrixは、パスコードが準拠していない場合にデバイスを非準拠としてマークする自動アクションを作成することを推奨します。Passcode device policyを参照してください。
Android Enterpriseワークプロファイルデバイスまたは完全管理デバイスでの印刷機能の無効化
制限デバイスポリシーの Don’t allow printing 設定により、ユーザーがAndroid Enterpriseデバイスからアクセス可能なプリンターに印刷できるかどうかを指定できます。Android Enterprise settingsを参照してください。
キオスクポリシーでのパッケージ名の追加による専用デバイスでのアプリの許可
Android Enterpriseプラットフォームで許可するパッケージ名を入力できるようになりました。Android Enterprise settingsを参照してください。
Android Enterpriseワークプロファイルおよび完全管理デバイスのキーガード機能の管理
Androidキーガードは、デバイスとワークチャレンジのロック画面を管理します。キーガード管理デバイスポリシーを使用して、以下を制御します。
- ワークプロファイルデバイスでのキーガード管理。デバイスキーガードとワークチャレンジキーガードのロックを解除する前にユーザーが利用できる機能を指定できます。たとえば、デフォルトでは、ユーザーは指紋認証によるロック解除を使用し、ロック画面で編集されていない通知を表示できます。キーガード管理ポリシーを使用して、Android 9.0以降を実行しているデバイスのすべての生体認証を無効にすることもできます。
- 完全管理デバイスおよび専用デバイスでのキーガード管理。信頼エージェントやセキュアカメラなど、キーガード画面のロックを解除する前に利用できる機能を指定できます。または、すべてのキーガード機能を無効にすることもできます。
Keyguard Management device policyを参照してください。
XenMobileコンソールでのAndroid Enterprise向けエンタープライズアプリの公開
Android Enterpriseプライベートアプリを追加する際に、Google Play開発者アカウントに登録する必要がなくなりました。XenMobileコンソールは、APKファイルをアップロードして公開するための管理対象Google PlayストアUIを開きます。詳細については、Add an enterprise appを参照してください。
XenMobileコンソールでのAndroid Enterprise向けWebアプリの公開
XenMobile向けAndroid Enterprise Webアプリを公開するために、管理対象Google PlayまたはGoogle Developerポータルにアクセスする必要がなくなりました。[構成]>[アプリ]>[Webリンク] で [アップロード] をクリックすると、ファイルをアップロードして保存するための管理対象Google PlayストアUIが開きます。アプリの承認と公開には約10分かかる場合があります。詳細については、Add a Web linkを参照してください。
XenMobile Server REST APIを使用したiOSデバイスへの証明書の一括アップロード
証明書を1つずつアップロードするのが実用的でない場合は、XenMobile Server REST APIを使用してiOSデバイスに証明書を一括アップロードします。
- 接続タイプを Always on IKEv2 に設定してiOS VPNデバイスポリシーを構成します。
- デバイス認証方法として Device Certificate Based on Device Identity を選択します。
- 使用する Device identity type を選択します。
- REST APIを使用してデバイス証明書を一括インポートします。
VPNデバイスポリシーの構成について詳しくは、VPN device policyを参照してください。証明書の一括インポートについて詳しくは、Upload certificates to iOS devices in bulk with the REST APIを参照してください。
暗号化キーの更新
XenMobile CLIの高度な設定に Refresh encryption keys オプションが追加されました。このオプションを使用して、暗号化キーを一度に1つのノードで更新できます。System optionsを参照してください。
ESXi 7.0のサポート
このリリースにより、XenMobileはVMware ESXi 7.0をサポートします。ESXi 7.0をインストールまたはアップグレードする前に、10.13にアップグレードしていることを確認してください。
新しいサーバープロパティ
以下のサーバープロパティが利用可能になりました。
- Allow hostnames for iOS App Store links: コンソールではなくパブリックAPIを使用してiOS用のパブリックApp Storeアプリを追加する場合、必要に応じて許可されたホスト名のリストを構成します。
- Local user account lockout limit: ローカルユーザーのアカウントがロックされるまでのサインイン試行回数を構成します。
- Local user account lockout time: ログイン試行失敗が多すぎた後にローカルユーザーがロックアウトされる期間を構成します。
- Maximum size of file upload restriction enabled: アップロードされるファイルの最大ファイルサイズを制限することを有効にします。
- Maximum size of file upload allowed: アップロードされるファイルの最大ファイルサイズを設定します。
これらのプロパティの詳細については、Server propertiesを参照してください。
セルフサービスディスククリーンアップ
トラブルシューティングメニュー に Disk Usage という新しいコマンドラインインターフェイスオプションが追加されました。このオプションを使用すると、コアダンプファイルとサポートバンドルファイルのリストを表示できます。リストを表示した後、コマンドラインを介してそれらのファイルをすべて削除することを選択できます。コマンドラインインターフェイスツールについて詳しくは、Command-line interface optionsを参照してください。
この記事の概要
- Citrix ADC から非推奨となったクラシックポリシーの継続サポート
- 非推奨に関するお知らせ
- エンドポイントを iOS 14.5 にアップグレードする前に
- オンプレミスの Citrix ADC をアップグレードする前に
- XenMobile 10.13 (オンプレミス) にアップグレードする前に
- アップグレード
- アップグレード後
- プラットフォームサポートの更新
- 単一環境での複数のデバイスおよびアプリ管理モードの構成
- 最新のHTTP/2ベースAPNsプロバイダーAPIのサポート
- 多数のiOSデバイスでのデバイス証明書ベースのIPsec VPNの使用
- Apple Volume Purchaseアプリの自動更新
- ローカルユーザーアカウントのパスワード要件
- デバイスポリシー
- XenMobileコンソールでのAndroid Enterprise向けエンタープライズアプリの公開
- XenMobileコンソールでのAndroid Enterprise向けWebアプリの公開
- XenMobile Server REST APIを使用したiOSデバイスへの証明書の一括アップロード
- 暗号化キーの更新
- ESXi 7.0のサポート
- 新しいサーバープロパティ
- セルフサービスディスククリーンアップ