ユーザー登録オプション

ユーザーがiOSデバイスをEndpoint Managementに追加できるようにする方法は数多くあります。詳細を検討する前に、環境内のデバイスをエンタープライズモード(MDM + MAM)、MDMモード、またはMAMモード(MAM-onlyモードとも呼ばれます)のどれで登録するかを決定する必要があります。管理モードの詳細については、「Management Modes(管理モード)」を参照してください。

最も高いレベルには、次の4つの登録オプションがあります。

  • 登録招待状: ユーザーに登録招待状や招待リンクを送信します。
  • Self Help Portal: ユーザーがアクセスするポータルを設定します。このポータルではSecure Hubをダウンロードしてデバイスを登録したり、自分に登録招待状を送信したりすることができます。
  • 手動登録: システムが起動していて登録可能であることをユーザーに知らせるメール、ハンドブック、その他の通信を送信します。ユーザーはSecure Hubをダウンロードし、デバイスを手動で登録します。
  • エンタープライズ: デバイス登録のもう1つの選択肢は、Apple Device Enrollment Program(DEP)とGoogle Android Enterpriseによる登録です。これらの各プログラムを通して、従業員が使用する準備が整った事前設定済みデバイスを購入できます。詳細については、Apple Device Enrollment Program(DEP)およびGoogle Android Enterpriseに関するページを参照してください。

登録招待状

iOS、macOS、またはAndroidデバイスを使用するユーザーに登録招待状メールを送信できます。また、iOS、macOS、Android、Windowsデバイスを使用するユーザーに、SMTPまたはSMSを使用してインストールリンクを送信することもできます。詳しくは、「デバイスの登録」を参照してください。

登録招待状による方法を選択した場合:最大7つの登録モード(プラットフォームによって異なります)から選択可能で、モードを任意に組み合わせて使用できます。Endpoint Managementの設定ページからモードを有効にしたり無効にしたりできます。ユーザー名およびパスワード、2要素、ユーザー名およびPINからデフォルトを選択できます。各登録モードについては、「登録モードの構成」を参照してください。

証明書ベースを選択した場合は、許可されるオプションからユーザー名およびパスワードによる従来の認証を除外することを検討してください。このモードは利用環境のオンボーディング面での手薄さをさらすことになり、強制されたセキュリティ品質を無効にする可能性があります。

招待状は多くの目的にかないます。招待状の最も一般的な使用方法は、システムが利用でき、登録可能であることをユーザーに通知することです。招待URLは一意的なものです。ユーザーが招待URLを使用すると、そのURLは2度と使用できなくなります。このプロパティを使用して、システムに登録するユーザーやデバイスを制限できます。

次のいずれかの方法で、iOSユーザーが登録時に資格情報を提供できるようにEndpoint Managementを設定できます:

  • ユーザーが登録時に資格情報を入力する。

  • ユーザーが派生資格情報プロバイダーのスマートカードをデスクトップに接続されたリーダーに挿入する。派生資格情報について詳しくは、「iOSの派生資格情報」を参照してください。

Endpoint Managementコンソールでは、登録プロファイルのオプションを選択することもできます。これを使用すると、特定のユーザーが登録できるデバイスの数をActive Directoryのグループに基づいて制御できます。たとえば、財務部門でユーザーごとに1つのデバイスしか許可しない場合には、登録プロファイルを使用してそのシナリオを構成できます。

特定の登録オプションを選ぶことで発生する追加コストや潜在的な危険に注意してください。SMSを使用して招待状を送信する場合は、追加のインフラストラクチャを設定する必要があります。詳しくは、「通知」を参照してください。

また、招待状をメールで送信しようとしている場合は、ユーザーがSecure Hub以外のメールにアクセスする方法があることを確認してください。MDM登録用のActive Directoryパスワードの代わりに、ワンタイムパスワード(OTP)登録モードを使用できます。OTPはiOSとAndroidデバイスでのみ使用可能で、現在Windowsデバイスでは使用できません。

Self Help Portal

ユーザーはSelf Help Portalから登録招待状を要求できます。デフォルトモードはユーザー名およびパスワードですが、その要件を2要素やユーザー名およびPINに変更することもできます。Self Help Portalの設定について詳しくは、「登録モードの構成」を参照してください。

手動登録

手動登録では、ユーザーはAutodiscoveryまたはサーバー情報の入力によってEndpoint Managementに接続します。Autodiscoveryを利用する場合、ユーザーはメールアドレス、またはユーザープリンシパル名形式のActive Directory資格情報のみを使用してサーバーにログオンします。Autodiscoveryを利用しない場合、サーバーアドレスとActive Directoryの資格情報を入力する必要があります。Autodiscoveryのセットアップについて詳しくは、「Endpoint Management AutoDiscoveryサービスのセットアップ」を参照してください。

手動登録は、さまざまな方法で簡単に行うことができます。ガイドを作成してユーザーに配布し、自身で登録してもらうことができます。IT部門に依頼して、特定の時間枠でユーザーのグループを手動で登録してもらうこともできます。または、ユーザーが資格情報やサーバー情報を入力する必要がある同様の方法を利用することもできます。

ユーザーオンボーディング

環境を設定したら、どのようにしてユーザーを環境に取り込むかを決定する必要があります。この記事の前のセクションで、ユーザー登録モードの詳細について説明しています。このセクションでは、ユーザーにアプローチする方法について説明します。

オープン登録と選択的招待

ユーザーのオンボーディング時には、次の2つの基本的な方法で登録を許可できます:デフォルトでは、LDAP資格情報とEndpoint Management環境の情報を持つユーザーが登録できるオープン登録を許可できます。または、招待状を持つユーザーのみが登録できるようにして、ユーザー数を制限できます。さらに、Active Directoryグループごとにオープン登録を制限することもできます。

招待状による方法を使用すると、ユーザーが登録できるデバイスの数を制限することもできます。ほとんどの場合、オープン登録を適用できますが、考慮すべき点がいくつかあります。

  • MAM環境を展開している場合、Active Directoryグループメンバーシップを通して簡単に登録を制限できます。
  • MDM環境では、登録を制限する唯一の方法は、Active Directoryグループメンバーシップに基づいて登録できるデバイスの数を制限することです。環境内で企業デバイスのみを許可する場合は、これは問題ではありません。ただし、環境内のデバイス数を制限するBYODワークプレースでは、この方法を検討することをお勧めします。
  • ユーザーライセンスまたはデバイスライセンスがあるかどうかも念頭に置いてください。ユーザーライセンスでは、各ユーザーは複数のデバイスを所有できますが、使用するのは1つのライセンスのみです。デバイスライセンスでは、登録されたデバイスごとに1つのライセンスを使用します。

選択的招待は通常、必要な作業がオープン登録よりも少し多いため、オープン登録ほど頻繁に行なわれません。ユーザーが自分のデバイスを環境に登録するには、各ユーザーに固有の招待状を送信する必要があります。登録招待状を送信する方法については、「登録招待の送信」を参照してください。

環境に登録するユーザーまたはグループごとに招待状を送信する必要があるため、組織の規模によっては時間がかかることがあります。Active Directoryグループを使用して一括して招待状を作成することも可能ですが、この方法は間をおいて何度も行う必要があります。

ユーザーとの最初の連絡

オープン登録を使用するか選択的招待を使用するかを決定し、それらの環境を設定したら、ユーザーに登録オプションを知らせる必要があります。

選択的招待の方法を使用する場合は、メールとSMSメッセージが対応に含まれます。オープン登録の場合も、Endpoint Managementコンソールからメールを送信できます。詳しくは、「登録招待の送信」を参照してください。

どちらの場合も、メール用のSMTPサーバーが必要となります。テキストメッセージの場合は、SMSサーバーが必要です。これらは、決定の際に追加費用として考慮すべき場合があります。また、方法を選択する前に、新しいユーザーがメールなどの情報にアクセスする方法を検討してください。すべてのユーザーがEndpoint Managementからメールにアクセスする場合には、招待メールの送信が問題になります。

また、オープン登録環境の場合、ユーザーがSecure Hubアプリを入手できる場所や登録に使用する方法などのすべての関連情報が含まれていれば、Endpoint Management以外の別の方法で通信を送信することもできます。Autodiscoveryを無効にしている場合は、Endpoint Managementサーバーのアドレスも伝える必要があります。Autodiscoveryについて詳しくは、「Endpoint Management AutoDiscoveryサービスのセットアップ」(/ja-jp/citrix-endpoint-management/device-management.html)を参照してください。

ユーザー登録オプション