Citrix Endpoint Management

管理モード

管理モードには、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)が含まれます。以下の項目を構成できます。

  • AndroidデバイスとiOSデバイスをMDM、MAM、またはその両方(MDM+MAM)に登録するための登録プロファイル。MDM+MAMを選択した場合、ユーザーはMDMをオプトアウトできます。
  • Windows 10デバイスをMDMに登録するための登録プロファイル。

登録プロファイルでは、デリバリーグループに添付する登録オプションを指定します。登録オプションについては、「登録プロファイル」を参照してください 。次のセクションでは、デバイスとアプリの管理に関する考慮事項を中心に説明します。

モバイルデバイス管理(MDM)

MDMを使用すると、モバイルデバイスを設定、保護、およびサポートできます。MDMでは、システムレベルでデバイス上のデバイスとデータを保護できます。ポリシー、アクション、およびセキュリティ機能を設定できます。たとえば、デバイスが紛失や盗難にあったり、コンプライアンス違反となった場合に、デバイスを選択的にワイプできます。

デバイス上のアプリの管理を選択しなくても、パブリックアプリストアやエンタープライズアプリなどのモバイルアプリを配信できます。

以下は、MDMの一般的なユースケースです:

  • MDMは、デバイスレベルの管理ポリシーや一定の制約が必要な企業所有デバイスが考慮されています。このような制約には、完全なワイプ、選択的なワイプ、地理位置情報が含まれます。
  • 顧客が実際のデバイスの管理を必要としながら、MDXポリシーを必要としない場合。
  • ユーザーはモバイルデバイス上のネイティブメールクライアントへのメールの配信のみが必要で、Exchange ActiveSyncやクライアントアクセスサーバーにはすでに外部からアクセス可能な場合。このユースケースでは、MDMを使用してメールの配信を設定できます。
  • ネイティブエンタープライズアプリ(非MDX)、パブリックアプリストアアプリ、またはパブリックストアから配信されたMDXアプリを展開する場合。MDMソリューションだけでは、デバイス上のアプリ間の機密情報の漏洩を防止できない可能性があることを考慮してください。データ漏洩は、Office 365アプリでのコピー&ペースト操作や名前を付けて保存操作で発生する可能性があります。

モバイルアプリケーション管理(MAM)

MAMはアプリデータを保護し、アプリデータ共有を制御できるようにします。また、個人データとは別に企業のデータやリソースの管理も可能です。Endpoint ManagementをMAMに設定すると、MDXに対応したモバイルアプリを使用して、アプリごとのコンテナ化と制御を提供できます。

MDXポリシーを活用することにより、Endpoint Managementはネットワークアクセス(マイクロVPNなど)、アプリとデバイスのやり取り、データの暗号化、およびアプリへのアクセスをアプリレベルで制御します。

デバイスは管理されませんが企業データの保護は維持されるため、多くの場合MAMは私的デバイス活用(BYO)に適しています。MDXには、設定可能なMAM専用のポリシーが50以上あります。これらのポリシーは、MDM制御やデバイスパスコードによる暗号化を必要としません。

MAMモードでは、Citrix業務用モバイルアプリもサポートされます。このサポートには以下が含まれます:

  • Citrix Secure Mailへのメールの安全な配信
  • 保護対象のCitrix業務用モバイルアプリ間でのデータ共有
  • Citrix Filesの安全なデータストレージ

詳しくは、「業務用モバイルアプリ」を参照してください。

多くの場合、MAMは次の例に適しています。

  • アプリレベルで管理されているMDXアプリなどのモバイルアプリを配信する。
  • システムレベルでデバイスを管理する必要がない。

MDM + MAM

Endpoint Managementでは、ユーザーがデバイス管理をオプトアウトできるかどうかを指定できます。この柔軟性は、複数のユースケースが混在する環境で役立ちます。これらの環境では、MAMリソースへのアクセスで、MDMポリシーに基づいたデバイスの管理が必要な場合があります。

多くの場合、MDM + MAMは次の例に適しています。

  • MDMとMAMの両方が必要なユースケースが1つだけある。MAMリソースにアクセスするためにMDMが必要である。
  • MDMが必要なユースケースもあるが、そうでないユースケースもある。
  • MAMが必要なユースケースもあるが、そうでないユースケースもある。

デバイス管理とMDM登録

Endpoint Management Enterprise環境には、MAMリソースへのアクセスを許可するMDMポリシーによるデバイス管理が必要なケースなど、複数のユースケースが混在している場合があります。

Citrix業務用モバイルアプリをユーザーに展開する前に、ユースケースを十分に評価し、MDM登録を必須にするかどうかを決定してください。MDM登録の必要性を後で変更すると、ユーザーがデバイスを再登録しなければならない場合もあります。詳しくは、「登録プロファイル」を参照してください。

登録モードおよびCitrix Gatewayの詳細については、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。

次に、MDM登録を必要とする場合のメリットとデメリットを(緩和策とともに)示します。

MDM登録をオプションとする場合

長所

  • ユーザーはデバイスをMDM管理下に置くことなく、MAMリソースにアクセスできる。このオプションは、ユーザーへの導入を増やすことができます。
  • MAMリソースへのアクセスを保護し、企業データを保護できる。
  • アプリのパスコードなどのMDXポリシーで、各MDXアプリのアプリアクセスを制御できる。
  • Citrix PINと合わせてCitrix Gateway、Endpoint Management、およびアプリケーションごとのタイムアウトを構成することで、セキュリティが高まる。
  • MDMアクションはデバイスには適用されませんが、一部のMDXポリシーをMAMアクセスを拒否するのに使用できます。この拒否は、ジェイルブレイクデバイスまたはRoot化済みデバイスなどのシステム設定に基づいて行なわれます。
  • ユーザーは初回使用時に、MDMを使用してデバイスを登録するかどうかを選択できます。

短所

  • MAMリソースをMDMに登録されていないデバイスで使用できる。
  • MDMのポリシーとアクションを、MDMに登録されているデバイスでしか使用できない。

緩和オプション

  • コンプライアンスに違反した場合はユーザーが責任を負うという企業の契約条件に対して、本人の同意を得ます。管理者に「管理されないデバイス」を監視させます。
  • アプリケーションタイマーを使用して、アプリケーションアクセスとセキュリティを管理します。タイムアウト値を小さくするとセキュリティは向上しますが、ユーザーエクスペリエンスに影響する場合があります。

MDM登録を必要とする場合

長所

  • MAMリソースへのアクセスをMDMが管理するデバイスのみに制限できる。
  • MDMのポリシーとアクションを、必要に応じて環境内のすべてのデバイスに適用できる。
  • ユーザーがデバイス登録をオプトアウトすることはできない。

短所

  • すべてのユーザーをMDMに登録する必要がある。
  • 個人用デバイスの企業管理に反対するユーザーへの導入が減る可能性がある。

緩和オプション

  • デバイス上でのEndpoint Managementの実際の管理対象や、管理者がどの情報にアクセスできるかについてユーザーに説明する。

管理モード