デバイスポリシーとアプリポリシー

Endpoint Managementにデバイスポリシーとアプリポリシーを適用すると、次のような要素間のバランスを最適化できます:

  • 企業セキュリティ
  • 企業データおよび資産の保護
  • ユーザーのプライバシー
  • 生産的で好ましいユーザーエクスペリエンス

これらの要素間の最適なバランスはさまざまです。たとえば、金融などの高度に規制されている組織では、ユーザーの生産性が重視される教育や小売りなどの業界よりも厳格なセキュリティ管理が求められます。

ユーザーのID、デバイス、場所、および接続タイプに基づいてポリシーを集中的に管理および構成し、企業コンテンツが悪用されるのを抑制できます。デバイスを紛失または盗まれた場合、ビジネスアプリとデータをリモートで無効にしたり、ロックやワイプを行ったりできます。総合的に見ると、従業員の満足度と生産性を向上させると同時に、セキュリティと管理者によるコントロールを保証するソリューションということになります。

この記事ではセキュリティに関連する多くのデバイスポリシーとアプリポリシーに焦点を当てます。

セキュリティリスクに対処するポリシー

Endpoint Managementのデバイスポリシーとアプリポリシーは、次のようなセキュリティリスクを引き起こす可能性のある、さまざまな状況に対応しています:

  • 信頼できないデバイスや予期しない場所からアプリやデータにアクセスしようとする場合
  • ユーザーがデバイス間でデータを渡す場合
  • 権限のないユーザーがデータにアクセスしようとした場合
  • 退社したユーザーが独自のデバイス(Bring Your Own Device:BYOD)を使用した場合
  • デバイスを紛失した場合
  • ユーザーが常に安全にネットワークにアクセスする必要がある場合
  • ユーザーが自分でデバイスを管理していて、仕事用のデータと個人用のデータを分ける必要がある場合
  • デバイスがアイドル状態で、ユーザーの資格情報の検証が再度必要な場合
  • 機密コンテンツをコピーして、保護されていないメールシステムに貼り付ける場合
  • 個人用アカウントと企業アカウントの両方があり、機密データが保存されているデバイスでメールの添付ファイルまたはWebリンクを受信した場合

企業データの保護においては、こうした事態が懸念される場面は主に2つあります。具体的にはデータが次のような状態にあるときです。

  • 保存されている
  • 転送している

Endpoint Managementによる保存データの保護

モバイルデバイスに格納されているデータは、保存データと呼ばれます。Endpoint Managementのモバイルアプリケーション管理(MAM:Mobile Application Management)機能を利用すると、Citrix業務用モバイルアプリ、MDX対応アプリ、およびそれらに関連付けられたデータに対する完全な管理、セキュリティ、および制御を実現できます。

Mobile Apps SDKは、Citrix MDXアプリコンテナ技術の使用によってEndpoint Management展開環境のアプリを有効にします。コンテナ技術はユーザーデバイス上の企業アプリとデータを個人用アプリとデータから分離します。これにより、包括的なポリシーベースの制御に基づいて、カスタム開発したモバイルアプリやサードパーティ製のモバイルアプリ、BYOモバイルアプリをすべて保護することができます。

豊富なMDXポリシーライブラリに加えて、Endpoint Managementはアプリレベルでの暗号化も備えています。Endpoint ManagementはデバイスのPINコードを必要とせずに、MDX対応アプリ内に保存されたデータを単独で暗号化します。ポリシーを適用するためにデバイスを管理する必要もありません。

ポリシーとMobile Apps SDKを使用すると次のことを実現できます:

  • ビジネス用と個人用それぞれのアプリおよびデータをセキュリティで保護されたモバイルコンテナ内で分離。
  • 暗号化やその他のモバイルデータ損失防止(Data Loss Prevention:DLP)技術でアプリを保護。

MDXポリシーは多くの操作を制御できるため、すべての通信を制御しながら、MDXでラップされたアプリ間のシームレスな統合を実現できます。このようにして、MDX対応アプリでのみデータにアクセスできるようにするなどのポリシーを適用することができます。

デバイスポリシーとアプリポリシーの管理以外では、暗号化が保存データを安全に保護する方法としては最適です。

  • Endpoint Managementは、MDX対応アプリに格納されたデータに暗号化レイヤーを追加します。
  • ポリシーを使用することで、パブリックファイルの暗号化、プライベートファイルの暗号化、暗号化の除外などの機能を制御できます。
  • Mobile Apps SDKでは、保護されたCitrix Secret Vaultに保存されているキーを用いて、FIPS 140-2準拠のAES 256ビット暗号化を行います。

Endpoint Managementによる転送データの保護

ユーザーのモバイルデバイスと内部ネットワークとの間を移動するデータは、転送データと呼ばれます。MDXアプリコンテナ技術は、内部ネットワークに対するアプリケーション専用のVPNアクセスを、Citrix Gatewayを介して提供します。

従業員が、モバイルデバイスからセキュアなエンタープライズネットワークに存在するリソース(企業メールサーバー、企業イントラネット上にホストされているSSL対応のWebアプリケーション、ファイルサーバーやMicrosoft SharePointに保存されているドキュメントなど)にアクセスする場合を考えてみます。MDXを使用すると、アプリケーション専用のマイクロVPNを介して、モバイルデバイスからこれらすべての企業リソースにアクセスできます。各デバイスに専用のマイクロVPNトンネルが用意されます。

マイクロVPN機能により、信頼できないモバイルデバイスのセキュリティを脅かす可能性がある、デバイス全体でのVPNは不要になります。そのため、内部ネットワークがマルウェアや企業システム全体に感染する可能性のある攻撃にさらされることはありません。企業のモバイルアプリと個人用のモバイルアプリを、1つのデバイス上で共存させることができます。

セキュリティレベルをさらに強化するために、代替Citrix Gatewayポリシーを使用してMDX対応アプリを構成することができます。これは認証およびアプリとのマイクロVPNセッションに使用します。代替Citrix Gatewayを[マイクロVPNセッション必須とする]ポリシーと組み合わせて使用し、アプリを指定のゲートウェイで再認証するようにできます。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。

マイクロVPNは、セキュリティ機能に加えて圧縮アルゴリズムなどのデータ最適化テクノロジも提供します。圧縮アルゴリズムによって、次のことが保証されます:

  • 最小限のデータのみが転送される
  • 転送は可能な限り最短時間で行われる。スピードはユーザーエクスペリエンスを向上させるため、モバイルデバイスの導入を成功させる重要な要因です。

次のような場合は、デバイスポリシーを定期的に再評価します:

  • デバイスのオペレーティングシステムの更新がリリースされたことで、Endpoint Managementの新しいバージョンに新しいポリシーまたは更新されたポリシーが含まれる場合
  • デバイスの種類を追加する場合。 多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。そのため、iOS、Android、Windowsデバイスの間で異なるほか、Androidを実行するデバイスの製造元によっても違いがある場合があります。
  • Endpoint Managementの運用を、企業の新しいセキュリティポリシーやコンプライアンス規制など、企業や業界の変化に対して継続的に同期させる場合
  • 新しいバージョンのMDXサービスに新しいポリシーまたは更新されたポリシーが含まれている場合
  • アプリを追加または更新する場合
  • アプリや要件が新しくなった結果、ユーザー用に新しいワークフローを統合する必要がある場合

アプリポリシーとユースケースのシナリオ

Secure Hubで利用可能なアプリを選択できますが、それらのアプリがEndpoint Managementとやり取りする方法を定義しなくてはならない場合もあります。次の場合に、アプリポリシーを使用します:

  • 一定の期間が経過した後にユーザーを認証できるようにする場合。
  • ユーザーに自分の情報へのオフラインアクセスを提供する場合。

次のセクションでは、いくつかのポリシーと使用例について説明します。プラットフォームごとのMDXポリシーの一覧については、「MDXポリシーの概要」を参照してください。

認証ポリシー

  • デバイスのパスコード

    このポリシーを使用する理由: デバイスのパスコードポリシーを有効にして、デバイスのデバイスPINが有効になっている場合にのみ、ユーザーがMDXアプリにアクセスできるようにします。この機能によってデバイスレベルおよびMDXコンテナでのiOS暗号化が保証されます。

    ユーザーの例: このポリシーを有効にすると、iOSデバイスでPINコードを設定しない限りは、MDXアプリにアクセスできないようになります。

  • アプリのパスコード

    このポリシーを使用する理由: アプリのパスコードポリシーを有効にすると、Secure Hubで管理対象アプリを認証しない限りは、アプリを開いてデータにアクセスできないようになります。Endpoint Managementコンソールで、[設定]>[クライアントプロパティ]で 構成する内容に応じて、ユーザーはActive Directoryのパスワード、Citrix PIN、またはiOS TouchIDで認証できます。クライアントのプロパティで非アクティブタイマーを設定すると、タイマーが切れるまでの間にSecure Hubが管理対象アプリの再認証をユーザーに求めないようにすることができます。

    アプリのパスコードは、デバイスのパスコードとは異なります。デバイスパスコードポリシーがデバイスにプッシュされると、Secure HubはユーザーにパスコードまたはPINの構成を要求します。ユーザーがデバイスの電源をオンにしたとき、または無通信タイマーが期限切れになったときに、デバイスのロックを解除する必要があります。詳しくは、「Endpoint Managementでの認証」を参照してください。

    ユーザーの例: デバイス上でCitrix Secure Webアプリケーションを開くときに非アクティブ期間が過ぎていると、Citrix PINを入力しない限りはWebサイトを参照できなくなります。

  • マイクロVPNセッションを必須とする

    このポリシーを使用する理由: アプリケーションの実行にWebアプリ(Webサービス)へのアクセスが必要な場合は、このポリシーを有効にします。Endpoint Managementは、アプリを使用する前に、エンタープライズネットワークに接続するか、アクティブなセッションがあることを確認するようユーザーに要求します。

    ユーザーの例:[マイクロVPNセッションを必須とする]ポリシーが有効になっているMDXアプリをユーザーが開こうとすると、ネットワークに接続しない限り、アプリを使用できなくなります。接続には、携帯ネットワークまたはWi-Fiサービスを使用する必要があります。

  • 最大オフライン期間

    このポリシーを使用する理由: このポリシーを追加のセキュリティオプションとして使用します。このポリシーでは、指定した期間にわたってアプリをオフラインで実行するユーザーが、アプリのユーザー権を再確認し、ポリシーを更新することが必要になります。

    ユーザーの例: 最大オフライン期間を適用したMDXアプリを構成すると、オフラインタイマー期間が終了するまでの間、ユーザーはオフラインでアプリを開いて使用できます。期間が終了した時点で、ユーザーは携帯電話またはWi-Fiサービス経由でネットワークに接続し、プロンプトが表示されたら再認証する必要があります。

その他のアクセスポリシー

  • アプリ更新猶予期間(時間)

    このポリシーを使用する理由: アプリ更新猶予期間とは、アプリストアにリリースされている新しいバージョンのアプリを更新するまでの間、ユーザーが利用できる時間です。猶予期間が終了した時点で、ユーザーはアプリを更新しない限り、アプリ内のデータにアクセスできなくなります。この値を設定する場合には、モバイルワーカーのニーズ、特に海外旅行で長期間オフラインの状態になる可能性があるユーザーのニーズを考慮してください。

    ユーザーの例: アプリストアに新しいバージョンのSecure Mailをロードしてから、アプリ更新猶予期間を6時間に設定します。Secure Hubユーザーが6時間を超えてもSecure Mailをアップグレードしないと、アプリストアにルーティングされます。

  • アクティブなポーリング周期(分)

    このポリシーを使用する理由: アクティブなポーリング周期とは、Endpoint ManagementがアプリのApp LockやApp Wipeなどのセキュリティアクションを実行するタイミングをチェックする間隔のことです。

    ユーザーの例: アクティブなポーリング期間ポリシーを60分に設定した場合、App Lockコマンドを送信すると、最後のポーリングが行われてから60分以内にロックが発生します。

暗号化ポリシー

これらのポリシーを使用する理由: Endpoint Managementには、Secret VaultとCitrix業務用モバイルアプリが機密データの保持に使用する強力な暗号化レイヤーが含まれます。パスワードや暗号化キーなどのデータは、プラットフォーム固有のキーストアに依存することなく、デバイス上で暗号化されます。そのため、デバイスが何らかの形で侵害された場合、企業データはMDXコンテナ内で暗号化された状態が維持されます。このデータはコンテナの外に転送される前にEndpoint Managementによって難読化されます。

ユーザーの例: デバイスの所有者がデバイスのPINを設定しなかった場合、またはデバイスのPINが侵害された場合、Secure Hubコンテナ内の企業データはセキュリティで保護された状態が維持されます。

アプリ相互作用ポリシー

これらのポリシーを使用する理由: アプリ相互作用ポリシーを使用して、MDXアプリからデバイス上の他のアプリへのドキュメントおよびデータの流れを制御します。たとえば、ユーザーが以下を実行できないようにします:

  • コンテナの外の個人アプリにデータを移動する
  • コンテナの外からコンテナ化されたアプリにデータを貼り付ける

ユーザーの例: アプリ相互作用ポリシーを[制限]に設定すると、ユーザーはSecure MailからSecure Webにテキストをコピーできます。コンテナの外にある個人のSafariやChromeブラウザーにそのデータをコピーすることはできません。また、添付ドキュメントをSecure MailからCitrix FilesまたはQuickEditで開くことができます。ユーザーは、添付されたドキュメントをコンテナの外にある自分の個人用ファイル表示アプリで開くことはできません。

アプリ制限ポリシー

これらのポリシーを使用する理由: アプリ制限ポリシーは、MDXアプリが開いている間にユーザーがアプリからアクセスできる機能を制御するために使用します。この制限により、アプリの実行中に悪意のある行為が発生しないようにすることができます。アプリ制限ポリシーは、iOSとAndroidでわずかに異なります。たとえばiOSでは、MDXアプリの実行中にiCloudへのアクセスをブロックできます。Androidでは、MDXアプリの実行中に近距離無線通信(NFC)の使用を停止できます。

ユーザーの例: アプリ制限ポリシーを有効にしてMDXアプリでのiOSの音声入力をブロックすると、ユーザーはMDXアプリの実行中に、iOSキーボードの音声入力機能を使用できなくなります。そのため、ユーザーの音声入力データが、セキュリティで保護されていないサードパーティのクラウド音声入力サービスに渡されることはありません。ユーザーがコンテナの外で個人のアプリを開いた場合、ユーザーが個人的な通信手段として使用する音声入力のオプションは、変わらず利用できます。

アプリのネットワークアクセスポリシー

これらのポリシーを使用する理由: アプリのネットワークアクセスポリシーは、デバイスのコンテナ内のMDXアプリから社内ネットワークにあるデータへのアクセスを提供するために使用します。[内部ネットワークへトンネル] オプションを設定して、MDXアプリからCitrix Gateway経由での、バックエンドのWebサービスまたはデータストアへのマイクロVPNを自動化します。

ユーザーの例: トンネリングが有効になっているMDXアプリをユーザーが開くと、Webブラウザーがイントラネットサイトを開きます。ユーザーがVPNを開始する必要はありません。アプリは、マイクロVPN技術を使用して内部サイトに自動的にアクセスします。

アプリの地理位置情報およびジオフェンシングポリシー

これらのポリシーを使用する理由: アプリの地理位置情報およびジオフェンシングを制御するポリシーには、中心点経度、中心点緯度、およびRADIUSが含まれます。これらのポリシーの対象には、特定の地理的領域にあるMDXアプリのデータに対するアクセスが含まれます。このポリシーでは緯度および経度座標の半径によって地理的エリアを定義します。定義された半径外にあるアプリをユーザーが使用しようとしても、アプリはロックされたままで、アプリデータにはアクセスできません。

ユーザーの例: ユーザーが自分の職場がある場所にいる間はM&Aのデータにアクセスできますが、オフィスの外に移動すると、この機微なデータにアクセスできなくなります。

Secure Mailアプリポリシー

  • バックグラウンドネットワークサービス

    このポリシーを使用する理由: Secure Mailのバックグラウンドネットワークサービスは、Secure Ticket Authority(STA)を利用します。これは、事実上Citrix Gateway経由で接続するSOCKS5プロキシです。STAは長時間の接続をサポートしており、マイクロVPNに比べてバッテリー寿命が長くなります。そのため、STAは常に接続しておくメールに最適です。Secure Mailではこれらの設定を構成することをお勧めします。NetScaler for XenMobileウィザードでは、Secure MailのSTAが自動的に設定されます。

    ユーザーの例: STAが有効になっていないときにAndroidユーザーがSecure Mailを開くと、VPNを開くように求められ、デバイス上で開かれたまま維持されます。STAが有効になっているときにAndroidユーザーがSecure Mailを開くと、Secure MailはVPNを必要とせずシームレスに接続されます。

  • デフォルトの同期間隔

    このポリシーを使用する理由: この設定では、ユーザーがSecure Mailに初めてアクセスしたときに、メールがSecure Mailと同期する既定の日数を指定します。メールの2週間は3日間よりも同期に時間がかかります。同期するデータが増えると、ユーザーのセットアッププロセスが長くなります。

    ユーザーの例: ユーザーが最初にSecure Mailを設定したときのデフォルトの同期間隔が3日に設定されているとします。ユーザーは、過去3日間に受信した受信トレイ内の任意のメールを表示できます。4日以上経過したメールを見たい場合は、検索することができます。そうすることでサーバーに保存されている古いメールがSecure Mailに表示されます。Secure Mailのインストール後に、ユーザーはそれぞれのニーズに合わせてこの設定を変更できます。

デバイスポリシーとユースケースの動作

Endpoint Managementがデバイスをどのように管理するかは、デバイスポリシー(MDMポリシーとも呼ばれます)によって決まります。多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。以下の一覧ではデバイスポリシーの一部と、その使用方法について説明します。すべてのデバイスポリシーの一覧については、「デバイスポリシー」を参照してください。

  • アプリインベントリポリシー

    このポリシーを使用する理由: ユーザーがインストールしたアプリを表示するには、アプリインベントリポリシーをデバイスに展開します。ポリシーを展開しない場合、ユーザーがアプリストアからインストールしたアプリのみが表示され、個人的にインストールしたアプリは表示されません。特定のアプリが企業デバイスで実行されないようにブラックリストに追加するには、このポリシーを使用します。

    ユーザーの例: MDM管理デバイスを使用するユーザーがこの機能を無効にすることはできません。ユーザーが個人的にインストールしたアプリケーションは、Endpoint Management管理者に表示されます。

  • アプリのロックポリシー

    このポリシーを使用する理由: Android用のアプリのロックポリシーを使用すると、アプリをブラックリストまたはホワイトリストに追加できます。たとえば、アプリをホワイトリストに追加するとキオスクデバイスを構成できます。ユーザーがインストールできるアプリが制限されるため、通常は企業所有のデバイスにのみアプリのロックポリシーを展開します。上書きパスワードを設定すると、ブロックされているアプリにユーザーがアクセスできます。

    ユーザー例: Angry Birdsアプリをブロックするというアプリのロックポリシーを展開するとします。ユーザーはGoogle PlayからAngry Birdsアプリをインストールできますが、アプリを開くと管理者がアプリをブロックした旨のメッセージが表示されます。

  • 接続のスケジューリングポリシー

    このポリシーを使用する理由: 接続のスケジューリングポリシーはWindows MobileデバイスがMDM管理、アプリのプッシュ、およびポリシーの展開を行うためにEndpoint Managementに接続できるようにします。Android、Android Enterprise、およびChrome OSデバイスの場合、GoogleのFirebase Cloud Messaging(FCM)を使用します。FCMはEndpoint Managementへの接続を制御します。スケジューリングオプションは次のとおりです:

    • しない: 手動で接続します。ユーザーがデバイス上のEndpoint Managementから接続を開始する必要があります。デバイスにセキュリティポリシーを展開できなくなるため、実稼働環境ではこのオプションはお勧めしません。このオプションを選択すると、ユーザーに新規アプリやポリシーが配信されなくなります。デフォルトでは、[しない] オプションは有効になっています。

    • 毎: 指定された間隔で接続します。ロックやワイプなどのセキュリティポリシーを送信すると、このポリシーは次回デバイスが接続されたときにEndpoint Managementによって処理されます。

    • スケジュールを定義: Endpoint Managementは、ネットワーク接続が失われるとユーザーデバイスをEndpoint Managementサーバーに再接続しようとします。また、指定した期間にわたり、一定の間隔でコントロールパケットを送信することで接続を監視します。

    ユーザーの例: 登録されたデバイスにパスコードポリシーを展開する場合。スケジューリングポリシーを利用することで、デバイスは一定の間隔でサーバーに接続し、新しいポリシーを収集できます。

  • 資格情報ポリシー

    このポリシーを使用する理由: 多くはWi-Fiポリシーとともに使用されますが、この資格情報ポリシーを利用することで、証明書による認証が必要な内部リソースの認証に使用する証明書を展開できます。

    ユーザーの例: デバイスにワイヤレスネットワークを構成するWi-Fiポリシーを展開します。Wi-Fiネットワークには認証用の証明書が必要です。資格情報ポリシーが証明書を展開すると、証明書はオペレーティングシステムのキーストアに格納されます。それによりユーザーは、内部リソースに接続したときに証明書を選択できます。

  • Exchangeポリシー

    このポリシーを使用する理由: Endpoint Managementには、Microsoft Exchange ActiveSyncのメールを配信する2つのオプションがあります。

    • Secure Mailアプリ: パブリックアプリストアまたはアプリストアから配布するSecure Mailアプリを使用してメールを配信します。

    • ネイティブメールアプリ: デバイス上のネイティブメールクライアントでActiveSyncメールを有効にできます。Active Directory属性からマクロでユーザーデータを取得して入力できます。${user.username}ならユーザー名、${user.domain}ならユーザードメインのように、ユーザーデータを入力できます。

    ユーザーの例: Exchangeポリシーをプッシュすると、Exchange Serverの詳細がデバイスに送信されます。次にSecure Hubはユーザーに認証を求め、メールの同期を開始します。

  • 場所ポリシー

    このポリシーを使用する理由: 場所ポリシーでは、デバイスのGPSがSecure Hubで有効になっている場合に、地図上でそのデバイスの場所を検出できます。このポリシーを展開し、Endpoint Managementからlocateコマンドを送信すると、デバイスは場所の座標を返します。

    ユーザーの例: 場所ポリシーが展開され、GPSがデバイスで有効になっている場合にユーザーがデバイスを紛失したときは、Endpoint Management Self Help Portalにログオンして[検索]オプションを選択すると、デバイスの場所を地図上に表示できます。ユーザーは、Secure Hubに位置情報サービスの使用を許可するかを選択します。ユーザーがデバイスを自分で登録した場合に、位置情報サービスの使用を強制することはできません。このポリシーを使用するときにもう1つ考慮すべき事項は、バッテリー寿命への影響です。

  • パスコードポリシー

    このポリシーを使用する理由: パスコードポリシーを使用すると、管理対象デバイスにPINコードまたはパスワードを適用できます。このパスコードポリシーでは、デバイス上でパスコードの複雑さやタイムアウトを設定できます。

    ユーザー例: パスコードポリシーを管理対象デバイスに展開すると、Secure HubはユーザーにパスコードまたはPINの構成を要求します。起動時、または無通信タイマーの期限が切れたときに、パスコードまたはPINによってユーザーはデバイスにアクセスできます。

  • プロファイル削除ポリシー

    このポリシーを使用する理由: ユーザーのグループにポリシーを展開した後で、そのポリシーをユーザーのサブセットから削除する必要があるとします。プロファイル削除ポリシーを作成することで、選択したユーザーのポリシーを削除できます。次に、展開規則を使用して、指定したユーザーのみにプロファイル削除ポリシーを展開します。

    ユーザーの例: プロファイル削除ポリシーをユーザーデバイスに展開すると、ユーザーは変更に気付かない可能性があります。たとえば、デバイスカメラを無効にする制限がプロファイル削除ポリシーによって削除された場合、ユーザーにはその変更は表示されません。ユーザーエクスペリエンスに影響を及ぼす変更については、ユーザーに通知することを検討してください。

  • 制限ポリシー

    このポリシーを使用する理由: 制限ポリシーによって、管理対象デバイスの機能をロックダウンおよび制御するさまざまなオプションを使用できます。サポートされているデバイスに対して、何百もの制限オプションを有効にできます。制限オプションの例:デバイスでのカメラやマイクの無効化、ローミング規則の適用、アプリストアのようなサードパーティサービスへのアクセスの適用。

    ユーザーの例: iOSデバイスに制限を展開すると、ユーザーはiCloudまたはApple App Storeにアクセスできなくなることがあります。

  • 契約条件ポリシー

    このポリシーを使用する理由: デバイスを管理することの法的な意味を、ユーザーに知らせる必要がある場合があります。また、企業データをデバイスにプッシュするときの、セキュリティ上のリスクをユーザーに認識させる場合もあります。契約条件文書では、ユーザー登録の前に規則および通知を公開できます。

    ユーザーの例: 登録処理中に契約条件の情報をユーザーに表示します。指定された条件の受け入れを拒否した場合、登録処理は終了し、ユーザーは企業データにアクセスすることはできません。レポートを生成してHR/法務/コンプライアンスチームに提供し、条件を了承または拒否した対象者を確認できます。

  • VPNポリシー

    このポリシーを使用する理由: VPNポリシーは、古いVPNゲートウェイ技術を使用するバックエンドシステムへのアクセスを提供するために使用します。このポリシーではさまざまなVPNプロバイダー(Cisco AnyConnect、Juniper、Citrix VPN)がサポートされています。また、このポリシーをCAにリンクして、オンデマンドでVPNを有効にできます(VPNゲートウェイがこのオプションをサポートしている場合)。

    ユーザーの例: VPNポリシーを有効にすると、ユーザーのデバイスは、ユーザーが内部ドメインにアクセスしたときにVPN接続を開きます。

  • Webクリップポリシー

    このポリシーを使用する理由: Webクリップポリシーは、Webサイトが直接開かれるアイコンをデバイスにプッシュする場合に使用します。WebクリップにはWebサイトへのリンクが含まれており、カスタムアイコンを加えることができます。デバイス上では、Webクリップはアプリのアイコンのように見えます。

    ユーザーの例: ユーザーがWebクリップアイコンをクリックしてインターネットのサイトを開き、必要なサービスにアクセスできます。Webリンクを使用する方が、Webブラウザーアプリを開いてリンクアドレスを入力するよりも便利です。

  • Wi-Fiポリシー

    このポリシーを使用する理由: Wi-Fiポリシーを使用すると、SSID、認証データ、および設定データなどのWi-Fiネットワークの詳細を管理対象デバイスに展開できます。

    ユーザーの例: Wi-Fiポリシーを展開すると、デバイスが自動的にWi-Fiネットワークに接続してユーザー認証を行うことで、ユーザーがネットワークにアクセスできるようになります。

  • Windows Information Protectionのポリシー

    このポリシーを使用する理由: Windows Information Protection(WIP)ポリシーは、企業データの潜在的な漏洩を防止するために使用します。設定した適用レベルのWindows Information Protectionが求められるアプリを指定できます。たとえば、不適切なデータ共有のブロックや警告を行ったり、ユーザーにポリシーの上書きを許可したりすることができます。不適切なデータ共有を記録しながら許可し、サイレントでWIPを実行できます

    ユーザーの例: 不適切なデータ共有をブロックするようにWIPポリシーを構成するとします。ユーザーが保護されたファイルを、保護されていない場所にコピーまたは保存すると、この場所に保護された作業コンテンツを置くことはできない、という旨のメッセージが表示されます。

  • Endpoint Management Storeポリシー

    このポリシーを使用する理由: このアプリストアは、ユーザーが必要とするすべての企業アプリとデータリソースを、管理者が公開できる一元化されたアプリストアです。管理者は、次の項目を追加できます:

    • Webアプリ、SaaSアプリ、MDXでラップされたアプリ
    • Citrix業務用モバイルアプリ
    • .ipaまたは.apkファイルなどのネイティブモバイルアプリ
    • Apple App StoreアプリとGoogle playアプリ
    • Webリンク
    • Citrix StoreFrontを使用して公開されたCitrix Virtual Apps

    ユーザーの例: ユーザーがデバイスをEndpoint Managementに登録すると、Citrix Secure Hubアプリ経由で、またはCitrix Workspaceを使用している場合はワークスペースでアプリストアにアクセスします。ユーザーは、利用可能なすべての企業アプリとサービスを表示できます。ユーザーはアプリをクリックすると、インストール、データへのアクセス、アプリの評価とレビュー、アプリストアからのアプリの更新プログラムのダウンロードを実行できます。