アプリ

エンタープライズモビリティ管理(EMM:Enterprise Mobility Management)は、モバイルデバイス管理(MDM:Mobile Device Management)とモバイルアプリケーション管理(MAM:Mobile Application Management)に分けられます。MDMを利用するとモバイルデバイスを保護し、制御できる一方、MAMではアプリケーションの配信と管理を簡単に行えます。BYOD(Bring Your Own Device)の導入率が増加した場合、一般的には、アプリケーション配信、ソフトウェアライセンス、構成、アプリケーションライフサイクル管理を支援するため、Endpoint ManagementなどのMAMソリューションを実装します。

Citrix Endpoint Managementを使用すると、データの漏洩などのセキュリティ上の脅威を防ぐように特定のMAMポリシーとVPN設定を構成し、こうしたアプリの保護をさらに強化できます。Endpoint Managementは柔軟性に優れており、MAM専用環境またはMDM専用環境としてソリューションを展開することも、同一のプラットフォーム内でMDMとMAMの両方の機能を提供する統合Endpoint Management Enterprise環境として実装することも可能です。

Endpoint Managementは、モバイルデバイスへのアプリ配信機能に加えて、MDXテクノロジーによるアプリのコンテナー化機能も備えています。MDXでは、デバイスレベルの暗号化とは別の暗号化によってアプリを保護します。アプリはワイプまたはロック可能であり、ポリシーベースで詳細に制御することができます。独立系ソフトウェアベンダー(ISV:Independent Software Vendor)では、Mobile Apps SDKを使用してこうした制御を行うことができます。

企業の環境では、ユーザーは職務の助けとしてさまざまなモバイルアプリを利用しています。こうしたアプリには、パブリックアプリケーションストアのアプリや社内アプリ、場合によってはネイティブアプリも含まれます。Endpoint Managementでは、これらのアプリを次のように分類しています:

  • パブリックアプリ: これらのアプリには、iTunesやGoogle Playなど、パブリックアプリケーションストアで無料または有料で提供されているアプリが含まれます。組織外のベンダーの多くは、パブリックアプリケーションストアで自社のアプリを公開しています。こうすることで、ベンダーの顧客はインターネットから直接アプリをダウンロードできます。ユーザーのニーズによっては、組織内でパブリックアプリが数多く使用される場合があります。こうしたアプリには、GoToMeeting、Salesforce、EpicCareなどがあります。

    Citrixでは、パブリックアプリケーションストアからアプリバイナリを直接ダウンロードすることおよび、こうしたバイナリを社内配布用にMDX Toolkitでラップすることはサポートしていません。サードパーティのアプリケーションをラップする必要がある場合は、そのアプリのベンダーと協力して、MDX Toolkitでラップ可能なアプリのバイナリを入手します。

  • 社内アプリ: 多くの組織には社内開発者がおり、特定の機能を備え、組織内で独自に開発および配布されるアプリを作成しています。組織によっては、ISVから提供されるアプリを導入している場合もあります。こうしたアプリは、ネイティブアプリとして展開するか、Endpoint ManagementなどのMAMソリューションを使用してコンテナー化できます。たとえば、医療機関で、モバイルデバイスで医師が患者の情報を確認できる社内アプリを作成したとします。さらにMDXサービスまたはMDX Toolkitを使用してこのアプリをラップすることで、患者の情報を保護するとともに、バックエンドの患者データベースサーバーへのVPNアクセスを有効化できます。
  • WebアプリおよびSaaSアプリ: これらのアプリには、内部ネットワークからアクセスするアプリ(Webアプリ)やパブリックネットワーク経由でアクセスするアプリ(SaaS)が含まれます。Endpoint Managementでは、さまざまなアプリコネクタを使用して、カスタムのWebアプリおよびSaaSアプリを作成することもできます。これらのアプリコネクタを利用することで、既存のWebアプリへのシングルサインオン(SSO:Single Sign-On)を簡単に行えます。詳しくは、「アプリコネクタの種類」を参照してください。たとえば、Google Apps向けのセキュリティアサーションマークアップランゲージ(SAML:Security Assertion Markup Language)を基にした、SSO用のGoogle Apps SAMLを使用できます。
  • 業務用モバイルアプリ: Citrixが開発したアプリであり、Endpoint Managementライセンスに含まれています。詳しくは、「業務用モバイルアプリについて」を参照してください。Citrixでは、ISVがMobile Apps SDKを使用して開発したビジネス対応アプリも提供しています。
  • HDXアプリ: StoreFrontで公開される、Windowsでホストされたアプリです。XenAppおよびDesktop環境を使用している場合、こうしたアプリをEndpoint Managementに統合し、登録済みユーザーに公開することができます。

基になる構成およびアーキテクチャは、Endpoint Managementで展開および管理するモバイルアプリの種類によって異なります。たとえば、1つのアプリを権限レベルの異なる複数のユーザーグループが使用する場合、別々のデリバリーグループを作成して、このアプリを2つのバージョンで展開する必要があります。さらに、ユーザーデバイスでのポリシーの不一致を避けるため、ユーザーグループのメンバーシップが相互に排他的であることを確認する必要もあります。

iOSアプリケーションのライセンスは、AppleのVolume Purchase Program(VPP)を使用して管理することもできます。この方法を使用するには、Endpoint ManagementコンソールでVPPプログラムを登録し、VPPライセンスでアプリを配信するようにEndpoint ManagementのVPP設定を構成する必要があります。このようにユースケースは多様であるため、Endpoint Management環境を実装する前に、MAM戦略を評価し計画することが重要です。MAM戦略の計画は、次の事柄を定義することから始めることをお勧めします。

  • アプリの種類: パブリックアプリ、ネイティブアプリ、Worxアプリ、Webアプリ、社内アプリ、ISVアプリなど、サポート予定のアプリの種類をリストアップして分類します。また、iOSやAndroidなどのデバイスプラットフォームごとにもアプリを分類します。このように分類することで、アプリの種類ごとに必要なEndpoint Managementの設定を調整しやすくなります。たとえば、一部のアプリをラップの対象から除外する場合や、いくつかのアプリでほかのアプリとのやりとりを行うために、Mobile Apps SDKを使用して特殊なAPIを有効化する必要のある場合があります。
  • ネットワーク要件: アプリには、適切に設定した明確なネットワークアクセス要件を構成する必要があります。たとえば、VPN経由で内部ネットワークにアクセスする必要のあるアプリもあれば、DMZ経由でアクセスをルーティングするためにインターネットアクセスが必要なアプリもあります。こうしたアプリが必要なネットワークに接続できるようにするには、さまざまな設定を適切に構成しなければなりません。アプリごとのネットワーク要件を定義することで、アーキテクチャに関する決定事項を早期に確定し、実装プロセス全体の効率を高めることができます。
  • セキュリティ要件: 個々またはすべてのアプリに適用されるセキュリティ要件を定義することが重要です。MDXポリシーなどの設定は個々のアプリに適用されますが、セッションと認証の設定はすべてのアプリに適用されます。また、アプリによっては、展開を簡単に行うため、暗号化、コンテナ化、ラップ化、認証、ジオフェンシング、パスコード、あるいはデータ共有に関する特定の要件を事前に定める必要があります。Endpoint Managementのセキュリティの詳細については、「セキュリティとユーザーエクスペリエンス」を参照してください。
  • 展開の要件: 公開したアプリを適合したユーザーのみがダウンロードできるように、ポリシーベースの展開を使用する必要のある場合があります。たとえば、特定のアプリについて、デバイスの暗号化が有効であるかデバイスが管理対象であること、またはデバイスがオペレーティングシステムの最小バージョンを満たしていることを必須にできます。また、特定のアプリをコーポレートユーザーだけに利用可能にする必要のある場合もあります。適切な展開ルールまたはアクションを構成できるように、こうした要件の概要を事前に定める必要があります。
  • ライセンス要件: アプリ関連のライセンス要件を記録することをお勧めします。こうした記録により、ライセンスの使用状況を効率的に管理できるとともに、Endpoint Managementで特定のライセンス管理支援機能を構成する必要があるかを判断できます。たとえば、iOSアプリを展開した場合、そのアプリが無料か有料かにかかわらず、AppleによりユーザーにiTunesアカウントへのサインインが求められ、アプリにライセンス要件が適用されます。こうしたアプリは、Apple VPPに登録することで、Endpoint Management経由で配信および管理できます。VPPを利用することで、ユーザーは各自のiTunesアカウントにサインインすることなくアプリをダウンロードできるようになります。さらに、Samsung SAFEやSamsung KNOXなどのツールには、機能を展開する前に履行する必要のある特殊なライセンス要件が備わっています。
  • ブラックリスト/ホワイトリストの要件: ユーザーにインストールや使用を禁止する必要のあるアプリも存在します。ブラックリストを作成すると、コンプライアンス違反イベントを定義できます。その後、コンプライアンス違反が起きた場合にトリガーされるようにポリシーを設定できます。一方で、使用が容認されるアプリが、なんらかの理由でブラックリストに該当する可能性もあります。このような場合には、ホワイトリストにそのアプリを追加し、アプリは使用してもよいが必須ではないと示すことができます。また、新しいデバイスにあらかじめインストールされているアプリの中には、オペレーティングシステムには含まれていないものの一般的に使用されているアプリもあります。こうしたアプリは、ブラックリスト化の方針に抵触する可能性があります。

使用例

ある医療機関が、モバイルアプリ向けのMAMソリューションとしてEndpoint Managementを導入する予定を立てました。モバイルアプリは、コーポレートユーザーおよびBYODユーザーに配信されます。IT部門は、次のアプリを配信および管理することを決定しました。

業務用モバイルアプリ: Citrixが提供するiOSアプリおよびAndroidアプリ。詳しくは、「業務用モバイルアプリ」を参照してください。

Citrix Secure Hub: すべてのモバイルデバイスでEndpoint Managementとの通信に使用するクライアント。IT部門では、Secure Hubを経由してセキュリティ設定、構成、およびモバイルアプリをモバイルデバイスにプッシュします。AndroidデバイスおよびiOSデバイスは、Secure Hub経由でEndpoint Managementに登録されます。

Citrix Workspaceアプリ: Citrix XenAppでホストされているモバイルデバイスアプリ上で開くことのできるモバイルアプリ。

GoToMeeting: ほかのコンピューターユーザー、顧客、クライアント、同僚とインターネット経由でリアルタイムに話し合うことができる、オンライン会議、デスクトップ共有、ビデオ会議用クライアント。

SalesForce1: モバイルデバイスからSalesforceへのアクセスを可能にし、あらゆるSalesforceユーザーが統一されたエクスペリエンスでChatter、CRM、カスタムアプリ、およびビジネスプロセスを利用できるようにするモバイルアプリ。

RSA SecurID: 2要素認証用のソフトウェアベーストークン。

EpicCareアプリ: 医療従事者がモバイルデバイスで患者のカルテおよびリスト、スケジュールに安全にアクセスし、メッセージを通信できるようにするアプリ。

Haiku: iPhoneおよびAndroidスマートフォン向けのモバイルアプリ。

Canto: iPad用モバイルアプリ

Rover: iPhoneおよびiPad用のモバイルアプリ。

HDX: XenApp経由で配信されるアプリ。

  • Epic Hyperspace: 電子カルテ管理用のEpicのクライアントアプリケーション。

ISV:

  • Vocera: iPhoneやAndroidスマートフォンで時間や場所を問わずVocera音声技術を利用できるようにする、HIPAAに準拠したボイスオーバーIPおよびメッセージ用モバイルアプリ。

社内アプリ:

  • HCMail: 暗号化されたメッセージを作成し、内部メールサーバー上のアドレス帳を検索して、暗号化されたメッセージをメールクライアントで連絡先へ送信できるアプリ。

社内Webアプリ:

  • PatientRounding: 複数の部署で患者の健康情報の記録に使用するWebアプリケーション。
  • Outlook Web Access: Webブラウザー経由でメールにアクセスできるようになります。
  • SharePoint: 組織全体でのファイルおよびデータの共有に使用します。

次の表に、MAMの構成に必要な基本情報を示します。

         
アプリ名 アプリの種類 MDXによるラップ iOS Android
Secure Mail 業務用モバイルアプリ 不可
Secure Web 業務用モバイルアプリ 不可
Secure Notes 業務用モバイルアプリ 不可
ShareFile 業務用モバイルアプリ 不可
Secure Hub パブリックアプリ -
Citrix Workspaceアプリ パブリックアプリ -
GoToMeeting パブリックアプリ -
SalesForce1 パブリックアプリ -
RSA SecurID パブリックアプリ -
Epic Haiku パブリックアプリ -
Epic Canto パブリックアプリ - 不可
Epic Rover パブリックアプリ - 不可
Epic Hyperspace HDXアプリ -
Vocera ISVアプリ
HCMail 社内アプリ
PatientRounding Webアプリ -
Outlook Web Access Webアプリ -
SharePoint Webアプリ -

次の表に、Endpoint ManagementでのMAMポリシーの構成の参考要件を示します。

アプリ名 VPNの要否 通信(コンテナ外のアプリに対して) 通信(コンテナ外のアプリから) デバイスの暗号化 プロキシのフィルタリング ライセンス ジオフェンシング Mobile Apps SDK オペレーティングシステムの最小バージョン
Secure Mail はい 選択的に許可 許可 不要 必須 - 選択的に必須化 - 適用する
Secure Web はい 許可 許可 不要 必須 - 不要 - 適用する
Secure Notes はい 許可 許可 不要 必須 - 不要 - 適用する
ShareFile はい 許可 許可 不要 必須 - 不要 - 適用する
Secure Hub はい - - - 不要 VPP 不要 - 適用しない
Citrix Workspaceアプリ はい - - - 不要 VPP 不要 - 適用しない
GoToMeeting 未サポート - - - 不要 VPP 不要 - 適用しない
SalesForce1 未サポート - - - 不要 VPP 不要 - 適用しない
RSA SecurID 未サポート - - - 不要 VPP 不要 - 適用しない
Epic Haiku はい - - - 不要 VPP 不要 - 適用しない
Epic Canto はい - - - 不要 VPP 不要 - 適用しない
Epic Rover はい - - - 不要 VPP 不要 - 適用しない
Epic Hyperspace はい - - - 不要 - 不要 - 適用しない
Vocera はい 禁止 禁止 不要 必須 - 必須 必須 適用する
HCMail はい 禁止 禁止 必須 必須 - 必須 必須 適用する
PatientRounding はい - - 必須 必須 - 不要 - 適用しない
Outlook Web Access はい - - 不要 必須 - 不要 - 適用しない
SharePoint はい - - 不要 必須 - 不要 - 適用しない

アプリ

In this article