デバイスポリシーとアプリポリシー
Citrix Endpoint Managementにデバイスポリシーとアプリポリシーを適用すると、次のような要素間のバランスを最適化できます:
- 企業セキュリティ
- 企業データおよび資産の保護
- ユーザーのプライバシー
- 生産的で好ましいユーザーエクスペリエンス
これらの要素間の最適なバランスはさまざまです。たとえば、金融などの高度に規制されている組織では、ユーザーの生産性が重視される教育や小売りなどの業界よりも厳格なセキュリティ管理が求められます。
ユーザーのID、デバイス、場所、および接続タイプに基づいてポリシーを集中的に管理および構成し、企業コンテンツが悪用されるのを抑制できます。デバイスを紛失または盗まれた場合、ビジネスアプリケーションとデータをリモートで無効にしたり、ロックやワイプを行ったりできます。総合的に見ると、従業員の満足度と生産性を向上させると同時に、セキュリティと管理者によるコントロールを保証するソリューションということになります。
この記事ではセキュリティに関連する多くのデバイスポリシーとアプリポリシーに焦点を当てます。
セキュリティリスクに対処するポリシー
Citrix Endpoint Managementのデバイスポリシーとアプリポリシーは、次のようなセキュリティリスクを引き起こす可能性のある、さまざまな状況に対応しています:
- 信頼できないデバイスや予期しない場所からアプリやデータにアクセスしようとする場合
- ユーザーがデバイス間でデータを渡す場合
- 権限のないユーザーがデータにアクセスしようとした場合
- 退社したユーザーが独自のデバイス(Bring Your Own Device:BYOD)を使用した場合
- デバイスを紛失した場合
- ユーザーが常に安全にネットワークにアクセスする必要がある場合
- ユーザーが自分でデバイスを管理していて、仕事用のデータと個人用のデータを分ける必要がある場合
- デバイスがアイドル状態で、ユーザーの資格情報の検証が再度必要な場合
- 機密コンテンツをコピーして、保護されていないメールシステムに貼り付ける場合
- 個人用アカウントと企業アカウントの両方があり、機密データが保存されているデバイスでメールの添付ファイルまたはWebリンクを受信した場合
企業データの保護においては、こうした事態が懸念される場面は主に2つあります。具体的にはデータが次のような状態にあるときです。
- 保存されている
- 転送している
Citrix Endpoint Managementによる保存データの保護
モバイルデバイスに格納されているデータは、保存データと呼ばれます。Citrix Endpoint Managementは、iOSおよびAndroidプラットフォームによって提供されるデバイス暗号化を使用します。Citrix Endpoint Managementは、Citrix MAM SDKによって利用できるコンプライアンスチェックなどの機能でプラットフォームベースの暗号化を補完します。
Citrix Endpoint Managementのモバイルアプリケーション管理(MAM:Mobile Application Management)機能を利用すると、Citrix業務用モバイルアプリ、MDX対応アプリ、およびそれらに関連付けられたデータに対する完全な管理、セキュリティ、および制御を実現できます。
Mobile Apps SDKは、Citrix MDXアプリコンテナ技術の使用によってCitrix Endpoint Management展開環境のアプリを有効にします。コンテナ技術はユーザーデバイス上の企業アプリとデータを個人用アプリとデータから分離します。これにより、包括的なポリシーベースの制御に基づいて、カスタム開発したモバイルアプリやサードパーティ製のモバイルアプリ、BYOモバイルアプリをすべて保護することができます。
Citrix Endpoint Managementには、アプリレベルの暗号化も含まれています。Citrix Endpoint Managementはデバイスのパスコードを必要とせずに、MDX対応アプリ内に保存されたデータを単独で暗号化します。ポリシーを適用するためにデバイスを管理する必要もありません。
- iOSデバイスの場合、Citrix Endpoint Managementは、FIPSで検証された強力な暗号化サービスとキーチェーンなどのライブラリを使用します。
- OpenSSLは、さまざまなデバイスプラットフォーム用のFIPS検証済みモジュールを提供します。OpenSSLは、移行中のデータと、デバイスの管理と登録に必要な証明書をさらに保護します。
- Citrix Endpoint Managementは、MAM SDKの共有コンテナAPIを使用して、同じキーチェーンアクセスグループを持つアプリ間で管理対象コンテンツを共有します。たとえば、登録されたアプリを介してユーザー証明書を共有できるため、アプリはセキュアなコンテナから証明書を取得できます。
- Citrix Endpoint Managementは、プラットフォームによって提供されるデバイス暗号化を使用します。
- アプリレベルのCitrix Endpoint Management MAMコントロールは、コンプライアンスチェックを実行して、アプリの起動時にデバイスの暗号化が有効になっていることを検証します。
Citrix Endpoint Managementによる転送データの保護
ユーザーのモバイルデバイスと内部ネットワークとの間を移動するデータは、転送データと呼ばれます。MDXアプリコンテナ技術は、内部ネットワークに対するアプリケーション専用のVPNアクセスを、NetScaler Gatewayを介して提供します。
従業員がモバイルデバイスからセキュアなエンタープライズネットワーク上の次のリソースにアクセスしようとする状況を想定します:
- 企業のメールサーバー
- 企業イントラネットでホストされているSSL対応のWebアプリケーション
- ファイルサーバーまたはMicrosoft SharePointに保存されているドキュメント
MDXを使用すると、アプリケーション専用のマイクロVPNを介して、モバイルデバイスからこれらすべての企業リソースにアクセスできます。各デバイスに専用のマイクロVPNトンネルが用意されます。
マイクロVPN機能により、信頼できないモバイルデバイスのセキュリティを脅かす可能性がある、デバイス全体でのVPNは不要になります。そのため、内部ネットワークがマルウェアや企業システム全体に感染する可能性のある攻撃にさらされることはありません。企業のモバイルアプリと個人用のモバイルアプリを、1つのデバイス上で共存させることができます。
セキュリティレベルをさらに強化するために、代替NetScaler Gatewayポリシーを使用してMDX対応アプリを構成することができます。これは認証およびアプリとのマイクロVPNセッションに使用します。代替NetScaler Gatewayを[マイクロVPNセッション必須とする]ポリシーと組み合わせて使用し、アプリを指定のゲートウェイで再認証するようにできます。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。
セキュリティ機能に加え、マイクロVPN機能も圧縮アルゴリズムなどのデータ最適化テクノロジを提供します。圧縮アルゴリズムによって、次のことが保証されます:
- 最小限のデータのみが転送される
- 転送は可能な限り最短時間で行われる。スピードはユーザーエクスペリエンスを向上させるため、モバイルデバイスの導入を成功させる重要な要因です。
次のような場合は、デバイスポリシーを定期的に再評価します:
- デバイスのオペレーティングシステムの更新がリリースされたことで、Citrix Endpoint Managementの新しいバージョンに新しいポリシーまたは更新されたポリシーが含まれる場合
-
デバイスの種類を追加する場合:
多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。そのため、iOS、Android、Windowsデバイスの間で異なるほか、Androidデバイスの製造元によっても違いがある場合があります。
- Citrix Endpoint Managementの運用を、企業の新しいセキュリティポリシーやコンプライアンス規制など、企業や業界の変化に対して継続的に同期させる場合
- 新しいバージョンのMAM SDKに新しいポリシーまたは更新されたポリシーが含まれている場合
- アプリを追加または更新する場合
- アプリや要件が新しくなった結果、ユーザー用に新しいワークフローを統合する必要がある場合
アプリポリシーとユースケースのシナリオ
Citrix Secure Hubで利用可能なアプリを選択できますが、それらのアプリがCitrix Endpoint Managementとやり取りする方法を定義しなくてはならない場合もあります。次の場合に、アプリポリシーを使用します:
- 一定の期間が経過した後にユーザーを認証できるようにする場合。
- ユーザーに自分の情報へのオフラインアクセスを提供する場合。
次のセクションでは、いくつかのポリシーと使用例について説明します。
- MAM SDKを使用してiOSアプリやAndroidアプリに統合できるサードパーティポリシーの一覧については、「MAM SDKの概要」を参照してください。
- プラットフォームごとのMDXポリシーの一覧については、「MDXポリシーの概要」を参照してください。
認証ポリシー
-
デバイスのパスコード
このポリシーを使用する理由: デバイスのパスコードポリシーを有効にして、デバイスのデバイスパスコードが有効になっている場合にのみ、ユーザーがMDXアプリにアクセスできるようにします。この機能によってデバイスレベルでのiOS暗号化が保証されます。
ユーザーの例: このポリシーを有効にすると、iOSデバイスでパスコードを設定しない限りは、MDXアプリにアクセスできないようになります。
-
アプリのパスコード
このポリシーを使用する理由: アプリのパスコードポリシーを有効にすると、Citrix Secure Hubで管理対象アプリを認証しない限りは、アプリを開いてデータにアクセスできないようになります。Citrix Endpoint Managementコンソールで、[設定]>[クライアントプロパティ]で 構成する内容に応じて、ユーザーはActive Directoryのパスワード、Citrix PIN、またはiOS TouchIDで認証できます。クライアントのプロパティで非アクティブタイマーを設定すると、タイマーが切れるまでの間にCitrix Secure Hubが管理対象アプリの再認証をユーザーに求めないようにすることができます。
アプリのパスコードは、デバイスのパスコードとは異なります。デバイスパスコードポリシーがデバイスにプッシュされると、Citrix Secure HubはユーザーにパスコードまたはPINの構成を要求します。ユーザーがデバイスの電源をオンにしたとき、または無通信タイマーが期限切れになったときに、デバイスのロックを解除する必要があります。詳しくは、Citrix Endpoint Managementでのユーザー認証についての記事を参照してください。
ユーザーの例: デバイス上でCitrix Secure Webアプリケーションを開くときに非アクティブ期間が過ぎていると、Citrix PINを入力しない限りはWebサイトを参照できなくなります。
-
マイクロVPNセッションを必須とする
このポリシーを使用する理由: アプリケーションの実行にWebアプリ(Webサービス)へのアクセスが必要な場合は、このポリシーを有効にします。Citrix Endpoint Managementは、アプリを使用する前に、エンタープライズネットワークに接続するか、アクティブなセッションがあることを確認するようユーザーに要求します。
ユーザーの例:[マイクロVPNセッションを必須とする]ポリシーが有効になっているMDXアプリをユーザーが開こうとすると、ネットワークに接続しない限り、アプリを使用できなくなります。接続には、携帯ネットワークまたはWi-Fiサービスを使用する必要があります。
-
最大オフライン期間
このポリシーを使用する理由: このポリシーを追加のセキュリティオプションとして使用します。このポリシーでは、指定した期間にわたってアプリをオフラインで実行するユーザーが、アプリのユーザー権を再確認し、ポリシーを更新することが必要になります。
ユーザーの例: 最大オフライン期間を適用したMDXアプリを構成すると、オフラインタイマー期間が終了するまでの間、ユーザーはオフラインでアプリを開いて使用できます。期間が終了した時点で、ユーザーは携帯電話またはWi-Fiサービス経由でネットワークに接続し、プロンプトが表示されたら再認証する必要があります。
その他のアクセスポリシー
-
アプリ更新猶予期間 (時間)
このポリシーを使用する理由: アプリ更新猶予期間とは、アプリストアにリリースされている新しいバージョンのアプリを更新するまでの間、ユーザーが利用できる時間です。猶予期間が終了した時点で、ユーザーはアプリを更新しない限り、アプリ内のデータにアクセスできなくなります。この値を設定する場合には、モバイルワーカーのニーズ、特に海外旅行で長期間オフラインの状態になる可能性があるユーザーのニーズを考慮してください。
ユーザーの例: アプリストアに新しいバージョンのCitrix Secure Mailをロードしてから、アプリ更新猶予期間を6時間に設定します。Citrix Secure Hubユーザーが6時間を超えてもCitrix Secure Mailをアップグレードしないと、アプリストアにルーティングされます。
-
アクティブなポーリング周期 (分)
このポリシーを使用する理由: アクティブなポーリング周期とは、Citrix Endpoint ManagementがアプリのApp LockやApp Wipeなどのセキュリティアクションを実行するタイミングをチェックする間隔のことです。
ユーザーの例: アクティブなポーリング期間ポリシーを60分に設定した場合、App Lockコマンドを送信すると、最後のポーリングが行われてから60分以内にロックが発生します。
非準拠デバイスの動作ポリシー
デバイスが最小コンプライアンス要件を下回ると、非準拠デバイスの動作ポリシーによって、実行する操作を次の中から選択することができます:詳しくは、「非準拠デバイスの動作」を参照してください。
アプリ相互作用ポリシー
これらのポリシーを使用する理由: アプリ相互作用ポリシーを使用して、MDXアプリからデバイス上の他のアプリへのドキュメントおよびデータの流れを制御します。たとえば、ユーザーが以下を実行できないようにします:
- コンテナの外の個人アプリにデータを移動する
- コンテナの外からコンテナ化されたアプリにデータを貼り付ける
ユーザーの例: アプリ相互作用ポリシーを[制限]に設定すると、ユーザーはCitrix Secure MailからCitrix Secure Webにテキストをコピーできます。コンテナの外にある個人のSafariやChromeブラウザーにそのデータをコピーすることはできません。また、添付ドキュメントをCitrix Secure MailからCitrix FilesまたはQuickEditで開くことができます。ユーザーは、添付されたドキュメントをコンテナの外にある自分の個人用ファイル表示アプリで開くことはできません。
アプリ制限ポリシー
これらのポリシーを使用する理由: アプリ制限ポリシーは、MDXアプリが開いている間にユーザーがアプリからアクセスできる機能を制御するために使用します。この制限により、アプリの実行中に悪意のある行為が発生しないようにすることができます。アプリ制限ポリシーは、iOSとAndroidでわずかに異なります。たとえばiOSでは、MDXアプリの実行中にiCloudへのアクセスをブロックできます。Androidでは、MDXアプリの実行中に近距離無線通信(NFC)の使用を停止できます。
ユーザーの例: アプリ制限ポリシーを有効にしてMDXアプリでのiOSの音声入力をブロックすると、ユーザーはMDXアプリの実行中に、iOSキーボードの音声入力機能を使用できなくなります。そのため、ユーザーの音声入力データが、セキュリティで保護されていないサードパーティのクラウド音声入力サービスに渡されることはありません。ユーザーがコンテナの外で個人のアプリを開いた場合、ユーザーが個人的な通信手段として使用する音声入力のオプションは、変わらず利用できます。
アプリのネットワークアクセスポリシー
これらのポリシーを使用する理由: アプリのネットワークアクセスポリシーは、デバイスのコンテナ内のMDXアプリから社内ネットワークにあるデータへのアクセスを提供するために使用します。トンネル-Web SSOオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。このオプションは、HTTPおよびHTTPSトラフィックとPKINIT認証にシングルサインオン(SSO)を提供します。
ユーザーの例: トンネリングが有効になっているMDXアプリをユーザーが開くと、Webブラウザーがイントラネットサイトを開きます。ユーザーがVPNを開始する必要はありません。アプリは、マイクロVPN技術を使用して内部サイトに自動的にアクセスします。
アプリの地理位置情報およびジオフェンシングポリシー
これらのポリシーを使用する理由: アプリの地理位置情報およびジオフェンシングを制御するポリシーには、中心点経度、中心点緯度、およびRADIUSが含まれます。これらのポリシーの対象には、特定の地理的領域にあるMDXアプリのデータに対するアクセスが含まれます。このポリシーでは緯度および経度座標の半径によって地理的エリアを定義します。定義された半径外にあるアプリをユーザーが使用しようとしても、アプリはロックされたままで、アプリデータにはアクセスできません。
ユーザーの例: ユーザーが自分の職場がある場所にいる間はM&Aのデータにアクセスできますが、オフィスの外に移動すると、この機微なデータにアクセスできなくなります。
Citrix Secure Mailアプリポリシー
-
バックグラウンドネットワークサービス
このポリシーを使用する理由: Citrix Secure Mailのバックグラウンドネットワークサービスは、Citrix Secure Ticket Authority(STA)を利用します。これは、事実上NetScaler Gateway経由で接続するSOCKS5プロキシです。STAは長時間の接続をサポートしており、マイクロVPNに比べてバッテリー寿命が長くなります。そのため、STAは常に接続しておくメールに最適です。Citrix Secure Mailではこれらの設定を構成することをお勧めします。NetScaler for XenMobileウィザードでは、Citrix Secure MailのSTAが自動的に設定されます。
ユーザーの例: STAが有効になっていないときにAndroidユーザーがCitrix Secure Mailを開くと、VPNを開くように求められ、デバイス上で開かれたまま維持されます。STAが有効になっているときにAndroidユーザーがCitrix Secure Mailを開くと、Citrix Secure MailはVPNを必要とせずシームレスに接続されます。
-
デフォルトの同期間隔
このポリシーを使用する理由: この設定では、ユーザーがCitrix Secure Mailに初めてアクセスしたときに、メールがCitrix Secure Mailと同期する既定の日数を指定します。メールの2週間は3日間よりも同期に時間がかかります。同期するデータが増えると、ユーザーのセットアッププロセスが長くなります。
ユーザーの例: ユーザーが最初にCitrix Secure Mailを設定したときのデフォルトの同期間隔が3日に設定されているとします。ユーザーは、過去3日間に受信した受信トレイ内の任意のメールを表示できます。4日以上経過したメールを見たい場合は、検索することができます。そうすることでサーバーに保存されている古いメールがCitrix Secure Mailに表示されます。Citrix Secure Mailのインストール後に、ユーザーはそれぞれのニーズに合わせてこの設定を変更できます。
デバイスポリシーとユースケースの動作
Citrix Endpoint Managementがデバイスをどのように管理するかは、デバイスポリシー(MDMポリシーとも呼ばれます)によって決まります。多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。以下の一覧ではデバイスポリシーの一部と、その使用方法について説明します。すべてのデバイスポリシーの一覧については、「デバイスポリシー」を参照してください。
-
アプリインベントリポリシー
このポリシーを使用する理由: ユーザーがインストールしたアプリを表示するには、アプリインベントリポリシーをデバイスに展開します。ポリシーを展開しない場合、ユーザーがアプリストアからインストールしたアプリのみが表示され、個人的にインストールしたアプリは表示されません。特定のアプリが企業デバイスで実行されないようにするには、このポリシーを使用します。
ユーザーの例: MDM管理デバイスを使用するユーザーがこの機能を無効にすることはできません。ユーザーが個人的にインストールしたアプリケーションは、Citrix Endpoint Management管理者に表示されます。
-
アプリのロックポリシー
このポリシーを使用する理由: Android用のアプリのロックポリシーを使用すると、アプリを許可リストまたは禁止リストに追加できます。たとえば、許可されたアプリの場合、キオスクデバイスを構成できます。ユーザーがインストールできるアプリが制限されるため、通常は企業所有のデバイスにのみアプリのロックポリシーを展開します。上書きパスワードを設定すると、ブロックされているアプリにユーザーがアクセスできます。
ユーザー例: Angry Birdsアプリをブロックするというアプリのロックポリシーを展開するとします。ユーザーはGoogle PlayからAngry Birdsアプリをインストールできますが、アプリを開くと管理者がアプリをブロックした旨のメッセージが表示されます。
-
接続のスケジューリングポリシー
このポリシーを使用する理由: 接続のスケジューリングポリシーはWindows MobileデバイスがMDM管理、アプリのプッシュ、およびポリシーの展開を行うためにCitrix Endpoint Managementに接続できるようにします。AndroidおよびAndroid Enterpriseデバイスの場合、GoogleのFirebase Cloud Messaging(FCM)を使用します。FCMはCitrix Endpoint Managementへの接続を制御します。スケジューリングオプションは次のとおりです:
-
しない: 手動で接続します。ユーザーがデバイス上のCitrix Endpoint Managementから接続を開始する必要があります。デバイスにセキュリティポリシーを展開できなくなるため、実稼働環境ではこのオプションはお勧めしません。このオプションを選択すると、ユーザーに新規アプリやポリシーが配信されなくなります。デフォルトでは、[しない] オプションは有効になっています。
-
毎: 指定された間隔で接続します。ロックやワイプなどのセキュリティポリシーを送信すると、このポリシーは次回デバイスが接続されたときにCitrix Endpoint Managementによって処理されます。
-
スケジュールを定義: Citrix Endpoint Managementは、ネットワーク接続が失われるとユーザーデバイスをCitrix Endpoint Managementサーバーに再接続しようとします。また、指定した期間にわたり、定期的にコントロールパケットを送信することで接続を監視します。
ユーザーの例: 登録されたデバイスにパスコードポリシーを展開する場合。スケジューリングポリシーを利用することで、デバイスは一定の間隔でサーバーに接続し、新しいポリシーを収集できます。
-
-
資格情報ポリシー
このポリシーを使用する理由: 多くはネットワークポリシーとともに使用され、この資格情報ポリシーを利用することで、証明書による認証が必要な内部リソースの認証に使用する証明書を展開できます。
ユーザーの例: デバイスにワイヤレスネットワークを構成するネットワークポリシーを展開します。Wi-Fiネットワークには認証用の証明書が必要です。資格情報ポリシーが証明書を展開すると、証明書はオペレーティングシステムのキーストアに格納されます。それによりユーザーは、内部リソースに接続したときに証明書を選択できます。
-
Exchangeポリシー
このポリシーを使用する理由: Citrix Endpoint Managementには、Microsoft Exchange ActiveSyncのメールを配信する2つのオプションがあります。
-
Citrix Secure Mailアプリ: パブリックアプリストアまたはアプリストアから配布するCitrix Secure Mailアプリを使用してメールを配信します。
-
ネイティブメールアプリ: デバイス上のネイティブメールクライアントでActiveSyncメールを有効にできます。Active Directory属性からマクロでユーザーデータを取得して入力できます。
${user.username}ならユーザー名、${user.domain}ならユーザードメインのように、ユーザーデータを入力できます。
ユーザーの例: Exchangeポリシーをプッシュすると、Exchange Serverの詳細がデバイスに送信されます。次にCitrix Secure Hubはユーザーに認証を求め、メールの同期を開始します。
-
-
場所ポリシー
このポリシーを使用する理由: 場所ポリシーでは、デバイスのGPSがCitrix Secure Hubで有効になっている場合に、地図上でそのデバイスの場所を検出できます。このポリシーを展開し、Citrix Endpoint Managementからlocateコマンドを送信すると、デバイスは場所の座標を返します。
ユーザーの例: 場所ポリシーが展開され、GPSがデバイスで有効になっている場合にユーザーがデバイスを紛失したときは、Citrix Endpoint Management Self Help Portalにログオンして[検索]オプションを選択すると、デバイスの場所を地図上に表示できます。ユーザーは、Citrix Secure Hubに位置情報サービスの使用を許可するかを選択します。ユーザーがデバイスを自分で登録した場合に、位置情報サービスの使用を強制することはできません。このポリシーを使用するときにもう1つ考慮すべき事項は、バッテリー寿命への影響です。
-
パスコードポリシー
このポリシーを使用する理由: パスコードポリシーを使用すると、管理対象デバイスにPINコードまたはパスワードを適用できます。このパスコードポリシーでは、デバイス上でパスコードの複雑さやタイムアウトを設定できます。
ユーザー例: パスコードポリシーを管理対象デバイスに展開すると、Citrix Secure HubはユーザーにパスコードまたはPINの構成を要求します。起動時、または無通信タイマーの期限が切れたときに、パスコードまたはPINによってユーザーはデバイスにアクセスできます。
-
プロファイル削除ポリシー
このポリシーを使用する理由: ユーザーのグループにポリシーを展開した後で、そのポリシーをユーザーのサブセットから削除する必要があるとします。プロファイル削除ポリシーを作成することで、選択したユーザーのポリシーを削除できます。次に、展開規則を使用して、指定したユーザーのみにプロファイル削除ポリシーを展開します。
ユーザーの例: プロファイル削除ポリシーをユーザーデバイスに展開すると、ユーザーは変更に気付かない可能性があります。たとえば、デバイスカメラを無効にする制限がプロファイル削除ポリシーによって削除された場合、ユーザーにはその変更は表示されません。ユーザーエクスペリエンスに影響を及ぼす変更については、ユーザーに通知することを検討してください。
-
制限ポリシー
このポリシーを使用する理由: 制限ポリシーによって、管理対象デバイスの機能をロックダウンおよび制御するさまざまなオプションを使用できます。サポートされているデバイスに対して、何百もの制限オプションを有効にできます。制限オプションの例:デバイスでのカメラやマイクの無効化、ローミング規則の適用、アプリストアのようなサードパーティサービスへのアクセスの適用。
ユーザーの例: iOSデバイスに制限を展開すると、ユーザーはiCloudまたはApple App Storeにアクセスできなくなることがあります。
-
契約条件ポリシー
このポリシーを使用する理由: デバイスを管理することの法的な意味を、ユーザーに知らせる必要がある場合があります。また、企業データをデバイスにプッシュするときの、セキュリティ上のリスクをユーザーに認識させる場合もあります。契約条件文書では、ユーザー登録の前に規則および通知を公開できます。
ユーザーの例: 登録処理中に契約条件の情報をユーザーに表示します。指定された条件の受け入れを拒否した場合、登録処理は終了し、ユーザーは企業データにアクセスすることはできません。レポートを生成してHR/法務/コンプライアンスチームに提供し、条件を了承または拒否した対象者を確認できます。
-
VPNポリシー
このポリシーを使用する理由: VPNポリシーは、古いVPNゲートウェイ技術を使用するバックエンドシステムへのアクセスを提供するために使用します。このポリシーではさまざまなVPNプロバイダー(Cisco AnyConnect、Juniper、Citrix VPN)がサポートされています。また、このポリシーをCAにリンクして、オンデマンドでVPNを有効にできます(VPNゲートウェイがこのオプションをサポートしている場合)。
ユーザーの例: VPNポリシーを有効にすると、ユーザーのデバイスは、ユーザーが内部ドメインにアクセスしたときにVPN接続を開きます。
-
Webクリップポリシー
このポリシーを使用する理由: Webクリップポリシーは、Webサイトが直接開かれるアイコンをデバイスにプッシュする場合に使用します。WebクリップにはWebサイトへのリンクが含まれており、カスタムアイコンを加えることができます。デバイス上では、Webクリップはアプリのアイコンのように見えます。
ユーザーの例: ユーザーがWebクリップアイコンをクリックしてインターネットのサイトを開き、必要なサービスにアクセスできます。Webリンクを使用する方が、Webブラウザーアプリを開いてリンクアドレスを入力するよりも便利です。
-
ネットワークポリシー
このポリシーを使用する理由: ネットワークポリシーを使用すると、SSID、認証データ、および設定データなどのWi-Fiネットワークの詳細を管理対象デバイスに展開できます。
ユーザーの例: ネットワークポリシーを展開すると、デバイスが自動的にWi-Fiネットワークに接続してユーザー認証を行うことで、ユーザーがネットワークにアクセスできるようになります。
-
Endpoint Management Storeポリシー
このポリシーを使用する理由: このアプリストアは、ユーザーが必要とするすべての企業アプリとデータリソースを、管理者が公開できる一元化されたアプリストアです。管理者は、次の項目を追加できます:
- Webアプリ、SaaSアプリ、MAM SDK対応アプリ、またはMDXでラップされたアプリ
- Citrix業務用モバイルアプリ
- .ipaまたは.apkファイルなどのネイティブモバイルアプリ
- Apple App StoreアプリとGoogle Playアプリ
- Webリンク
- Citrix StoreFrontを使用して公開されたCitrix Virtual Apps
ユーザーの例: デバイスをCitrix Endpoint Managementに登録すると、ユーザーはCitrix Secure Hubアプリを通じてアプリストアにアクセスし、利用できるすべての企業アプリとサービスを表示できます。ユーザーはアプリをクリックすると、インストール、データへのアクセス、アプリの評価とレビュー、アプリストアからのアプリの更新プログラムのダウンロードを実行できます。