デバイス管理

デバイス管理では、デバイスの登録、セキュリティ対策、デバイスの監視を行います。

デバイスの登録

ユーザーデバイスをリモートで安全に管理するため、ユーザーデバイスをEndpoint Managementに登録します。Endpoint Managementクライアントソフトウェアがユーザーデバイスにインストールされ、ユーザーのIDが認証されます。認証後、Endpoint Managementとユーザープロファイルがインストールされます。サポートされているデバイスプラットフォームの登録の詳細については、このセクションのデバイスに関する記述を参照してください。

ユーザーとデバイスの構成オプションを更新するには、[管理]>[登録招待] ページを使用します。詳しくは、この記事の「登録招待の送信」を参照してください。

登録招待の送信

Endpoint Managementコンソールで、iOSデバイス、macOSデバイス、およびAndroidデバイスを使用しているユーザーに登録招待状を送信できます。iOSまたはAndroidデバイスを使用しているユーザーにインストールリンクを送信することもできます。

登録招待は次のように送信されます。

  • 1人のローカルユーザーまたはActive Directoryユーザーあての登録招待の場合:指定された電話番号と通信事業者で、ユーザーあてに招待のSMSが送信されます。

  • グループ宛ての登録招待の場合:ユーザーはSMS経由で招待を受信します。Active Directoryユーザーのメールアドレスと携帯電話番号がActive Directoryに登録されている場合、ユーザーは招待を受信します。ローカルユーザーは、ユーザープロパティで指定されたメールアドレスと電話番号で招待を受信します。

ユーザーが登録すると、そのデバイスは [管理]>[デバイス] で管理対象として表示されます。招待URLの状態は [再開] と表示されます。

前提条件

  • 構成されたLDAP
  • ローカルグループおよびローカルユーザーを使用する場合:

    • 1つまたは複数のローカルグループ。

    • ローカルグループに割り当てられたローカルユーザー。

    • デリバリーグループはローカルグループと関連付けられます。

  • Active Directoryを使用する場合:

    • デリバリーグループはActive Directoryグループと関連付けられます。

登録招待の作成

  1. Endpoint Managementコンソールで、[管理]>[登録] の順にクリックします。[登録招待] ページが開きます。

    Endpoint Managementコンソールの[登録招待状]ページの画像

  2. [追加] をクリックします。登録オプションのメニューが表示されます。

    [招待の追加]メニューの画像

    • 1人のユーザーまたは1つのグループに登録招待を送信するには、[招待の追加] をクリックします。
    • SMTPまたはSMS経由で登録インストールリンクを受信者の一覧に送信するには、[インストールリンクの送信] を選択します。

    登録招待およびインストールリンクの送信は、次の手順の後に説明します。

  3. [招待の追加] をクリックします。[登録招待] 画面が開きます。

    [登録招待]画面の画像

  4. 次の設定を構成します。

    • 宛先: [グループ] または [ユーザー] を選択します。
    • プラットフォームを選択: [宛先][グループ] の場合はすべてのプラットフォームが選択されます。プラットフォームの選択は変更可能です。[宛先][ユーザー] の場合はいずれのプラットフォームも選択されません。プラットフォームを選択します。
    • デバイス所有権: [コーポレート] または [従業員] を選択します。

    次のセクションで説明するように、ユーザーまたはグループの設定が表示されます。

登録招待をユーザーに送信するには

[登録招待]設定の画像

  1. [ユーザー] について、次の設定を構成します。

    • ユーザー名: ユーザー名を入力します。このユーザーは、Endpoint Managementサーバーのローカルユーザー、またはActive Directoryのユーザーとして存在している必要があります。ローカルユーザーの場合、通知を送信できるようにユーザーのメールプロパティを設定します。Active Directoryユーザーの場合、LDAPが構成されていることを確認します。
    • デバイス情報: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。[シリアル番号][UDID]、または [IMEI] を選択します。オプションを選択すると、デバイスに応じて値を入力できるフィールドが表示されます。
    • 電話番号: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。任意で、ユーザーの電話番号を入力します。
    • キャリア: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。ユーザーの電話番号に関連付けるキャリアを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります:
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待 URLおよび PIN
      • 招待 URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。登録用のPINはワンタイムPINとも呼ばれます。このようなPINは、ユーザーの登録時にのみ有効です。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。[登録PIN] をクリックします。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードの構成」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モード を構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が追加されます。

    [登録招待]ページの表の画像

登録招待をグループに送信するには

以下は、グループへの登録招待を構成するための設定画面です。

グループへの登録招待ページの画像

  1. 次の設定を構成します。

    • ドメイン: 招待の宛先グループのドメインを選択します。
    • グループ: 招待の宛先グループを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります:
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待 URLおよび PIN
      • 招待 URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。[登録PIN] をクリックします。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードの構成」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モードを構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が表示されます。

    [登録招待]の表の画像

インストールリンクを送信するには

登録インストールリンクを送信する前に、[設定] ページでチャネル(SMTPまたはSMS)を構成する必要があります。詳しくは、「通知」を参照してください。

[インストールリンクの送信]ページの画像

  1. これらの設定を構成し、[保存] をクリックします。

    • 宛先: 追加する宛先ごとに、[追加] をクリックして以下の操作を行います:
      • メール: 送信先のメールアドレスを入力します。このフィールドは必須です。
      • 電話番号: 送信先の電話番号を入力します。このフィールドは必須です。

      注:

      送信先を削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。項目を削除するには [削除] をクリックし、項目をそのままにするには [キャンセル] をクリックします。

      送信先を編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。項目を変更し、[保存] をクリックして変更した項目を保存するか、[キャンセル] をクリックして項目を変更せずそのままにします。

    • チャネル: 登録インストールリンクの送信に使用するチャネルを選択します。通知はSMTPまたはSMSで送信することができます。[通知サーバー][設定] ページでサーバー設定を構成するまでは、これらのチャネルをアクティブ化できません。詳しくは、「通知」を参照してください。
    • SMTP: 次の設定を任意で構成します。これらのフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • 差出人: オプションで送信者を入力します。
      • 件名: 任意でメッセージの件名を入力します。たとえば、「Enroll your device」などです。
      • メッセージ: 任意で、送信先に送信されるメッセージを入力します。たとえば、「Enroll your device to gain access to organizational apps and email.」などです。
    • SMS: 以下の設定を構成します。このフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • メッセージ: 送信先に送信されるメッセージを入力します。SMSベースの通知の場合、このフィールドは必須です。

        北米の場合、160文字を超えるSMSメッセージは複数のメッセージとして配信されます。

  2. [送信] をクリックします。

    注:

    環境がsAMAccountNameを使用している場合、ユーザーが招待を受け取ってリンクをクリックした後、認証を完了するには、ユーザー名を編集する必要があります。ユーザー名はsAMAccountName@domainname.comの形式で表示されます。ユーザーは「@domainname.com」の部分を削除する必要があります。

デバイス登録の制限

Endpoint Managementには、ユーザーがデバイスをいくつでも登録できるデフォルトの登録プロファイルが用意されています。デフォルトのプロファイル名はGlobalです。ユーザーが登録できるデバイスの数を制限する場合にのみ、登録プロファイルを作成します。登録プロファイルは、デリバリーグループに関連付けます。

デバイス登録の制限は、ENT、MDM、およびMAMサーバーモードに適用されます。この機能は、iOSおよびAndroidデバイスでのみ利用できます。

Endpoint Management展開にCOSUデバイスを含める場合、1人のEndpoint Management管理者、または数人の管理者グループがCOSUデバイスを多数登録することがあります。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。詳しくは、Android Enterpriseの記事で「Add a COSU enrollment profile」を参照してください。

  1. [構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

    デフォルトのGlobalプロファイルの画像

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報] ページで登録プロファイル名を入力してから、このプロファイルのメンバーが登録できるデバイスの数を選択します。

    [登録情報]の画像

  3. [次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

    [デリバリーグループ割り当て]ページの画像

  4. この登録プロファイルのデリバリーグループを選択し、[保存] をクリックします。

    [デリバリーグループ] ページが開きます。

    [デリバリーグループ]ページの画像

    デリバリーグループに関連付けられた登録プロファイルを変更するには、[構成]>[デリバリーグループ] の順に移動して、[登録プロファイル] をクリックします。

    [登録プロファイル]ページの画像

デバイス登録制限のユーザーエクスペリエンス

デバイス登録制限を設定してユーザーが新しいデバイスを登録する場合、以下の手順に従います:

  1. Secure Hubにサインインします。

  2. 登録するサーバーアドレスを入力します。

  3. 資格情報を入力します。

  4. デバイスの上限に達すると、デバイス登録の上限を超えたことを知らせるエラーメッセージがユーザーに表示されます。

    Secure Hub登録画面の画像

    Secure Hub登録画面が再度表示されます。

セキュリティ操作

[管理]>[デバイス] ページでデバイスやアプリのセキュリティの操作を実行できます。デバイスの操作には、取り消し、ロック、ロック解除、ワイプがあります。アプリのセキュリティの操作には、アプリのロック、アプリのワイプが含まれます。

  • アクティベーションロックバイパス: デバイスのライセンス認証の前に、監視対象のiOSデバイスからアクティベーションロックを解除します。このコマンドでは、Appleの個人IDやユーザーのパスワードが要求されることはありません。

  • アプリのロック: デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、アプリのロックが行われるとユーザーはEndpoint Managementにサインインできなくなります。iOSでは、ユーザーはサインインできますが、アプリにアクセスすることはできません。

  • アプリのワイプ: Androidでは、アプリのワイプを行うとEndpoint Managementからユーザーアカウントが削除されます。iOSでは、Secure Hubのユーザーアカウントが削除されます。

  • ASM DEPアクティベーションロック: Apple School Manager DEPに登録されているiOSデバイスのアクティベーションロックバイパスコードを作成します。

  • 制限の解除: 監視対象のiOSデバイスでこのコマンドを使用すると、ユーザーによって構成された制限パスワードと制限設定をEndpoint Managementで解除できるようになります。

  • 紛失モードを有効化/無効化: 監視対象のiOSデバイスを紛失モードにして、デバイスに表示されるメッセージ、電話番号、補足説明を送信します。2回目にこのコマンドを送信すると、デバイスの紛失モードは無効になります。

  • フルワイプ: デバイスからメモリカードを含むすべてのデータとアプリを直ちに消去します。

    • Androidデバイスの場合、メモリカードをワイプするオプションをこの要求に含めることができます。

    • iOS、macOS、tvOSデバイスの場合、デバイスがロックされていても直ちにワイプが実行されます。

      iOS 11デバイス(最小バージョン)の場合:フルワイプを確認したら、携帯データネットワークプランをデバイスに保存することができます。

      iOS 11.3デバイス(最小バージョン)の場合:フルワイプを確認したら、iOSデバイスが近接セットアップを実行するのを防ぐことができます。新しいiOSデバイスを設定する場合、通常ユーザーは既に構成済みのiOSデバイスを使用して自分のデバイスを設定できます。ワイプ済みのEndpoint Management管理対象デバイスについて、近接セットアップを禁止することができます。

    • Windows Phoneデバイスの場合、フルワイプを実行すると、すべてのEndpoint Management情報に加え、すべてのユーザーデータが削除されます。削除されるユーザーデータには、アプリ、メール、連絡先、メディアなど個人的な内容が含まれます。

    • メモリカードの内容が削除される前にユーザーがデバイスの電源をオフにした場合、ユーザーはデバイスのデータにまだアクセスできる場合があります。

    • ワイプの要求がデバイスに送信されるまでは、要求をキャンセルできます。

  • 検索: [管理]>[デバイス] ページの、[デバイス詳細]>[全般] で、デバイスを検索してデバイスの場所(マップなど)を報告します。

  • ロック: デバイスをリモートでロックします。これは、デバイスを紛失し、デバイスが盗まれたかどうかわからない場合に便利です。その後、Endpoint ManagementによってPINコードが生成されてデバイスに設定されます。デバイスにアクセスするには、PINコードを入力します。Endpoint Managementコンソールからロックを解除するには [ロックのキャンセル] を使用します。

  • ロックおよびパスワードのリセット: デバイスをリモートロックしてパスワードをリセットします。

  • 通知(通知音): Androidデバイスで通知音を鳴らします。

  • 再起動: Windows 10デバイスを再起動します。WindowsタブレットおよびPCでは、「システムを再起動します」という内容のメッセージが表示されて、5分以内に再起動が実行されます。Windows Phoneでは、ユーザーに警告メッセージは表示されず、数分後に再起動が実行されます。

  • AirPlayミラーリングの要求/停止: 監視対象のiOSデバイスで、AirPlayミラーリングを開始および停止します。

  • 再起動/シャットダウン: 監視対象のデバイスを直ちに再起動またはシャットダウンします。tvOSにより再起動はサポートされますが、シャットダウンはサポートされません。

  • 取り消し: デバイスからEndpoint Managementへの接続を禁止します。

  • 取り消し/認証(iOS、macOS、tvOS): 選択的なワイプと同じ操作を実行します。取り消し後に、デバイスを再承認して再登録できます。

  • 警報: 監視対象のiOSデバイスが紛失モードの場合に、デバイスで警告音を鳴らします。警告音は、デバイスの紛失モードが解除されるか、ユーザーがサウンドを無効にするまで鳴り続けます。

  • 選択的なワイプ: 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。選択的なワイプ後に、ユーザーはデバイスを再登録できます。

    • Androidデバイスを選択的にワイプしても、Device Managerや社内ネットワークから切断されることはありません。デバイスがDevice Managerにアクセスしないようにするには、デバイス証明書を失効させる必要もあります。
    • Samsung KNOX APIに対応している場合、デバイスを選択的にワイプするには、Samsung KNOXコンテナも削除する必要があります。
    • iOSデバイスおよびmacOSデバイスでは、このコマンドにより、MDMを通じてインストールされたすべてのプロファイルが削除されます。
    • Windowsデバイスに対して選択的ワイプを実行した場合、その時点でサインオンしているすべてのユーザーのプロファイルフォルダーの内容も削除されます。選択的なワイプでは、構成を介してユーザーに配信したWebクリップは削除されません。Webクリップを削除するには、ユーザーはデバイスを手動で登録解除します。選択的にワイプされたデバイスを再登録することはできません。
    • Windows Phoneデバイスを選択的にワイプすると、Endpoint Managementがデバイスにアプリをインストールために必要なエンタープライズトークンが削除されます。また、このワイプによって、デバイスに展開済みのEndpoint Managementの証明書と構成もすべて削除されます。選択的にワイプされたWindows Phoneデバイスを再登録することはできません。
    • Androidデバイスを選択的にワイプしてもデバイスが取り消されます。デバイスの再登録は、デバイスを再認証するか、コンソールから削除した場合にのみ行えます。
  • ロック解除: デバイスがロックされたときに送信されたパスコードをクリアします。このコマンドによってデバイスがロック解除されることはありません。

[管理]>[デバイス][デバイス詳細] ページには、デバイスの[セキュリティ]プロパティも表示されます。これらのプロパティには、[Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、およびプラットフォームの種類に関するその他の情報などが含まれます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

一部の操作を自動化することができます。詳しくは、「自動化された操作」を参照してください。

Endpoint Managementコンソールからのデバイスの削除

重要:

Endpoint Managementコンソールからデバイスを削除しても、管理対象アプリとデータはそのデバイスに残ります。デバイスから管理対象アプリとデータを削除するには、この記事で後述する「デバイスの削除」を参照してください。

Endpoint Managementコンソールからデバイスを削除するには、[管理]>[デバイス]の順に選択し、管理対象デバイスを選択して [削除] をクリックします。

[削除]オプションの画像

デバイスの選択的なワイプ

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、[選択的なワイプ] をクリックします。

  3. Androidデバイスのみ、デバイスをワイプした後、[セキュリティ操作][取り消し] をクリックして、社内ネットワークからデバイスを切断します。

    選択的ワイプ要求が実行される前にその要求を取り消すには、[セキュリティ操作] で、[選択的なワイプのキャンセル] をクリックします。

デバイスの削除

この手順では、管理対象アプリとデータをデバイスから削除し、Endpoint Managementコンソールの[デバイス]一覧からデバイスを削除します。

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [選択的なワイプ] をクリックします。プロンプトが表示されたら、[選択的なワイプの実行] をクリックします。

  3. ワイプコマンドが成功したことを確認するには、[管理]>[デバイス] を更新します。[モード] 列でMDMとMAMが黄色の場合は、ワイプコマンドが成功したことを示します。

    ワイプコマンドが成功した画像

  4. [管理]>[デバイス] に移動し、デバイスを選択して [削除] をクリックします。プロンプトが表示されたら、再び [削除] をクリックします。

アプリのロック、ロック解除、ワイプ、ワイプ解除

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、アプリの操作をクリックします。

    [セキュリティ操作] ボックスは、アカウントが無効になっているか、Active Directoryから削除されているユーザーのデバイスの状態を確認するために使用することもできます。アプリロック解除またはアプリワイプ解除アクションが存在する場合、アプリがロックまたはワイプされていることを意味します。

iOSデバイスのロック

iOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示することができます。

ロックされたデバイスでメッセージと電話番号を表示するには、Endpoint Managementコンソールで [パスコード] ポリシーがtrueに設定されている必要があります。あるいは、デバイス上でパスコードを手動で有効化できます。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. ロックするiOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニューの画像

    オプションメニューの画像

  3. オプションメニューの [保護] を選択します。[セキュリティ操作] ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックスの画像

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面の画像

  5. 必要に応じて、デバイスのロック画面に表示するメッセージと電話番号を入力します。

    iOSは「Lost iPad」という文字列をユーザーが [メッセージ] フィールドに入力した内容に追加します。

    [メッセージ] フィールドを空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

  6. [デバイスのロック] をクリックします。

iOSデバイスを紛失モードにする

Endpoint Managementの紛失モードデバイスプロパティで、iOSデバイスを紛失モードにします。Appleのマネージド紛失モードと異なり、Endpoint Managementの紛失モードでは、ユーザーは自分のデバイスを探せるようにするために、次のどちらの操作も実行する必要がありません: [iPhone/iPadを探す] 設定を構成するか、またはCitrix Secure Hubの位置情報サービスを有効化する。

ただし、Endpoint Managementの紛失モードでは、デバイスのロックを解除できるのはEndpoint Managementだけです。一方、Endpoint Managementのデバイスロック機能を使用すると、ユーザーは管理者から提供されたPINコードを使用して、直接デバイスをロック解除できます。

紛失モードを有効または無効にするには: [管理]>[デバイス] に移動し、監視対象デバイスを選択して [保護] をクリックします。次に、[紛失モードを有効化] または [紛失モードを無効化] をクリックします。

紛失モードオプションの画像

[紛失モードを有効化] をクリックした場合は、デバイスが紛失モードになったときにデバイスに表示される情報を入力します。

デバイスに表示される情報の画像

次のいずれかの方法を使って紛失モードの状態を確認する:

  • [セキュリティ操作] ウィンドウで、ボタンが [紛失モードを無効化] であることを確認します。
  • [管理]>[デバイス] から、[セキュリティ][一般] タブで、[紛失モードを有効化]または[紛失モードを無効化]の最後の操作を確認します。

[一般]タブの画像

  • [管理]>[デバイス] から [プロパティ] タブで、[MDMの紛失モードの有効化] の設定値が正しいことを確認します。

[MDMの紛失モードの有効化]設定の画像

iOSデバイスでEndpoint Managementの紛失モードを有効化すると、Endpoint Managementコンソールも以下のように変更されます:

  • [構成]>[操作][操作] 一覧には、自動化された操作 [デバイスを失効][デバイスの選択的なワイプ][デバイスを完全にワイプ] は含まれません。
  • [管理]>[デバイス][セキュリティ操作] 一覧に、[失効] および [選択的なワイプ] デバイス操作が含まれなくなりました。必要に応じて、セキュリティ操作を使ってフルワイプを実行することは引き続き可能です。

iOSは「Lost iPad」という文字列をユーザーが [セキュリティ操作] 画面の [メッセージ] に入力した内容に追加します。

[メッセージ] を空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

iOSアクティベーションロックのバイパス

アクティベーションロックは、紛失したり盗まれたりした管理対象デバイスが再アクティブ化されないようにすることを目的とした[iPhone/iPadを探す]の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードを入力してからでないと、以下の操作を実行することはできません:[iPhone/iPadを探す]をオフにする、デバイスを消去する、またはデバイスを再アクティブ化する。組織所有のデバイスの場合は、デバイスのリセットや再割り当てなどを行う際にアクティベーションロックをバイパスする必要があります。

アクティベーションロックを有効にするには、Endpoint ManagementのMDMオプションデバイスポリシーを構成し、展開します。これにより、ユーザーのApple資格情報なしで、Endpoint Managementコンソールからデバイスを管理できるようになります。アクティベーションロックで必要なApple資格情報の入力を省略するには、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行します。

たとえば、紛失したiPhoneがユーザーによって返却された場合や、フルワイプの前後にデバイスを設定する場合、iPhoneでiTunesアカウントの資格情報を求められた際に、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行することでこの手順を省略することができます。

アクティベーションロックバイパスのデバイス要件

  • Apple ConfiguratorまたはApple DEPによる監視対象である
  • iCloudアカウントで構成済みである
  • [iPhone/iPadを探す]が有効になっている
  • Endpoint Managementに登録済みである
  • MDMオプションデバイスポリシー(アクティベーションロックが有効になっている)がデバイスに展開されている

デバイスのフルワイプを発行する前にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  2. デバイスをワイプします。デバイスの設定時に、アクティベーションロック画面は表示されません。

デバイスのフルワイプを発行した後にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. デバイスをリセットまたはワイプします。デバイスの設定時に、アクティベーションロック画面が表示されます。
  2. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  3. デバイスの[戻る]ボタンをタップします。ホーム画面が開きます。

次の点に注意してください:

  • ユーザーが「iPhone/iPadを探す」をオフにしないようアドバイスしてください。デバイスからフルワイプを実行しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後にすべてのコンテンツと設定が消去されると、iPhone/iPadのアクティブ化画面がユーザーに表示されなくなります。
  • デバイスでアクティベーションロックバイパスコードを作成済みであり、アクティベーションロックが有効になっている場合は、フルワイプ後に[iPhone/iPadのアクティブ化]ページを省略できなくても、Endpoint Managementからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに連絡することで、デバイスのブロックを直接解除することができます。
  • ハードウェアインベントリの際に、Endpoint Managementはデバイスのアクティベーションロックバイパスコードの照会を行います。バイパスコードが使用可能な場合は、デバイスからEndpoint Managementにバイパスコードが送信されます。その後、バイパスコードをデバイスから削除するには、Endpoint Managementコンソールから[アクティベーションロックバイパス]セキュリティ操作を送信します。この時点で、Endpoint ManagementとAppleに、デバイスのブロック解除に必要なバイパスコードが存在します。
  • [アクティベーションロックバイパス]のセキュリティ操作は、Appleのサービスの可用性に依存しています。操作がうまくいかない場合は、次の手順を実行してデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、[ユーザー名]フィールドは空のままにして、[パスワード]フィールドにバイパスコードを入力します。バイパスコードを見つけるには、[管理]>[デバイス] に移動し、デバイスを選択して [編集][プロパティ] の順にクリックします。[セキュリティ情報] の下に [アクティベーションロックバイパスコード] があります。

デバイス情報の取得

Endpoint Managementのデータベースには、モバイルデバイスの一覧が保存されます。各モバイルデバイスは、一意のシリアル番号またはIMEI(International Mobile Station Equipment Identity)/MEID(Mobile Equipment Identifier)識別番号によって定義されます。Endpoint Managementコンソールにデバイスを追加するには、手動でデバイスを追加するか、ファイルからデバイスの一覧をインポートします。デバイスプロビジョニングファイル形式について詳しくは、「デバイスプロビジョニングファイル形式」を参照してください。

Endpoint Managementコンソールの [管理]>[デバイス] ページには、各デバイスと以下の情報が表示されます:

  • 状態: デバイスがジェイルブレイクされているか、管理されているか、ActiveSync Gatewayが使用可能か、およびデバイスの展開環境の状態などを示すアイコンです。
  • モード: MDMまたはMAM+MDMなどのデバイスモードを示します。
  • ほかに、次のようなデバイスの情報を表示できます:ユーザー名デバイスプラットフォーム最終アクセス日時非アクティブ日数。これらの見出しは、デフォルトで表示されます。

[デバイス] の表をカスタマイズするには、見出しの右端の下向き矢印をクリックします。次に、その表に表示する追加の見出しをオンにするか、または削除する見出しをオフにします。

[デバイス]表のカスタマイズオプションの画像

手動によるデバイスの追加、デバイスプロビジョニングファイルからのデバイスのインポート、デバイスの詳細の編集、セキュリティの操作の実行、デバイスへの通知の送信を行うことができます。デバイス表のデータ全体を.csvファイルにエクスポートして、このファイルからカスタムレポートを作成することもできます。サーバーはすべてのデバイス属性をエクスポートします。フィルターを適用している場合、Endpoint Managementは.csvファイルの作成時にそのフィルターを使用します。

手動によるデバイスの追加

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. [Add] をクリックします。[デバイスの追加] ページが開きます。

    [デバイス]ページの画像

  3. 次の設定を構成します。

    • プラットフォーム選択: [iOS] または [Android] を選択します。
    • シリアル番号: デバイスのシリアル番号を入力します。
    • IMEI/MEID: Androidデバイスに限り、任意で、デバイスのIMEi/MEID情報を入力します。
  4. [Add] をクリックします。[デバイス] の表に示される一覧の一番下に、追加したデバイスが表示されます。デバイスの詳細を表示して確認するには:追加したデバイスを選択して表示されるメニューで [編集] をクリックします。

    注:

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    • 構成されたLDAP

    • ローカルグループおよびローカルユーザーを使用する場合:

      • 1つまたは複数のローカルグループ。

      • ローカルグループに割り当てられたローカルユーザー。

      • デリバリーグループはローカルグループと関連付けられます。

    • Active Directoryを使用する場合:

      • デリバリーグループはActive Directoryグループと関連付けられます。

      [デバイス詳細]一覧の画像

  5. [一般] ページには、シリアル番号やプラットフォームの種類に関するその他の情報など、デバイスの識別子が表示されます。[デバイス所有権] で、[コーポレート] または [BYOD] を選択します。

    [一般] ページには、デバイスの [セキュリティ] プロパティ([Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、プラットフォームの種類に関するその他の情報など)も表示されます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

  6. [プロパティ] ページには、Endpoint Managementがプロビジョニングするデバイスのプロパティが表示されます。この一覧は、デバイスの追加に使用されるプロビジョニングファイルに含まれるデバイスのプロパティを表示します。プロパティを追加するには、[追加] をクリックして一覧からプロパティを選択します。各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。

    プロパティを追加すると、最初に追加したカテゴリに表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切な一覧に表示されます。

    プロパティを削除するには、項目の上にマウスカーソルを置いて、右側の [X] をクリックします。Endpoint Managementデバイスによりその項目が削除されます。

  7. 残りの [デバイス詳細] セクションには、デバイスの概要が表示されます。

    • ユーザープロパティ: ユーザーのRBACの役割、グループメンバーシップ、VPPアカウント、およびプロパティを表示します。このページでインベントリからVPPアカウントを削除できます。
    • 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を含む、割り当て済みポリシーの数が表示されます。各ポリシーの名前、種類、最新展開の情報が表示されます。
    • アプリ: インストール済み、保留中、失敗のアプリ展開数を含む、最新のインベントリ時点のアプリ数が表示されます。アプリ名、ID、種類、その他の情報が表示されます。HasUpdateAvailable などのiOSおよびmacOSのインベントリキーの説明については、「モバイルデバイス管理(MDM)プロトコル」を参照してください。
    • メディア: 展開済み、保留中、失敗のメディア展開数を含む、最新のインベントリ時点のメディア数が表示されます。
    • 操作: 展開済み、保留中、失敗のアクション数を含む、アクション数が表示されます。最新展開のアクション名と時間が表示されます。
    • デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数が表示されます。各展開のデリバリーグループ名と展開時間が表示されます。デリバリーグループを選択すると、状態、アクション、チャネル、またはユーザーなどの詳細な情報を表示できます。
    • iOSプロファイル: 名前、種類、組織、説明など、最新のiOSプロファイルインベントリが表示されます。
    • iOSプロビジョニングプロファイル: UUID、有効期限、管理対象かどうかなど、エンタープライズ配布プロビジョニングプロファイルの情報を表示します。
    • 証明書: 有効な証明書と期限切れまたは失効した証明書が表示され、種類、プロバイダー、発行者、シリアル番号、期限切れまでの残日数などの情報も表示されます。
    • 接続: 最初の接続状態と最後の接続状態が表示されます。各接続のユーザー名、最後から2番目の認証時間、最後の認証時間が表示されます。
    • MDMステータス: MDMステータス、最後のプッシュ時間、最後のデバイス応答時間などの情報が表示されます。
    • TouchDown: (Androidデバイスのみ)最後のデバイス認証と最後のユーザー認証の情報が表示されます。それぞれ該当するポリシー名とポリシー値が表示されます。

デバイスプロビジョニングファイルからのデバイスのインポート

モバイル事業者やデバイス製造元が提供するファイルをインポートしたり、独自のデバイスプロビジョニングファイルを作成したりすることができます。詳しくは、「デバイスプロビジョニングファイル形式」を参照してください。

  1. [管理]、[デバイス] に移動して、[インポート] を選択します。[プロビジョニングファイルのインポート] ダイアログボックスが開きます。

    [プロビジョニングファイルのインポート]ダイアログボックスの画像

  2. [ファイルの選択] を選択して、インポートするファイルまで移動します。

  3. [インポート] をクリックします。インポートされたファイルが [デバイス] の表に追加されます。

  4. デバイスの情報を編集するには、[デバイス詳細]を選択して [編集] をクリックします。[デバイス詳細] ページについて詳しくは、「手動によるデバイスの追加」を参照してください。

デバイスへの通知の送信

[デバイス]ページで、デバイスに通知を送信できます。通知について詳しくは、「通知」を参照してください。

  1. [管理]>[デバイス] ページで、通知を送信するデバイスを選択します。

  2. [通知] をクリックします。[通知] ダイアログボックスが開きます。[受信者] フィールドに、通知を受信するすべてのデバイスの一覧が表示されます。

    [通知]ダイアログボックスの画像

  3. 次の設定を構成します。

    • テンプレート: 一覧から、送信する通知の種類を選択します。[アドホック] を選択した場合を除き、[件名] フィールドおよび [メッセージ] フィールドには、選択したテンプレートで構成済みのテキストが入力されます。
    • チャネル: メッセージの送信方法を選択します。デフォルトは [SMTP] および [SMS] です。各チャネルのメッセージの形式を表示するには、タブをクリックします。
    • 差出人: オプションで送信者を入力します。
    • 件名: [アドホック] メッセージの場合、件名を入力します。
    • メッセージ: [アドホック] メッセージの場合、メッセージを入力します。
  4. [通知] をクリックします。

[デバイス]の表のエクスポート

  1. エクスポートファイルで表示する内容によって、[デバイス] の表にフィルターを適用します。

  2. [デバイス] の表の上にある [エクスポート] をクリックします。Endpoint Managementによって [デバイス] 表の情報が抽出され、.csvファイルに変換されます。

  3. .csvファイルを開くか、保存します。

ユーザーデバイスの手動タグ付け

Endpoint Managementでは、次のいずれかの方法でデバイスに手動でタグ付けすることができます:

  • 招待状に基づく登録処理中
  • Self Help Portal登録処理中
  • デバイスの所有権をデバイスプロパティとして追加する

組織または個人所有のいずれかとして、デバイスにタグ付けするオプションが用意されています。Self Help Portalを使ってデバイスを自動登録するときに、組織または個人所有のいずれかとして、デバイスにタグを付けることができます。以下のように手動でデバイスにタグを付けることもできます。

  1. Endpoint Managementコンソールの [デバイス] タブで、プロパティをデバイスに追加します。
  2. [所有者] という名前のプロパティを追加し、[コーポレート][BYOD](個人所有)のいずれかを選択します。

    [所有者]プロパティ設定の画像

デバイスの検索

高速検索の場合、デフォルト検索のスコープには、次のデバイスプロパティのみが含まれています:

  • シリアル番号
  • IMEI
  • Wi-Fi MACアドレス
  • Bluetooth MAC アドレス
  • Active Sync ID
  • ユーザー名

新しいサーバープロパティinclude.device.properties.during.searchを使用して検索スコープを構成できます。デフォルトはfalseです。デバイス検索にすべてのデバイスプロパティを含めるには、[設定]>[サーバープロパティ] に移動し、設定をtrueに変更します。

デバイスプロビジョニングファイル形式

携帯電話会社またはデバイス製造業者の多くが公認のモバイルデバイスの一覧を提供しています。この一覧を使用することで、モバイルデバイスの長い一覧を手動で入力することを避けることができます。Endpoint Managementは、Android、iOS、Windowsの3種類のサポート対象デバイスすべてに共通のインポートファイル形式をサポートしています。

Endpoint Managementへのデバイスのインポートに使用するプロビジョニングファイルを手動で作成する場合、次の形式に従う必要があります:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

次の点に注意してください:

  • 各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。
  • UTF-8形式の文字セットを使用します。
  • プロビジョニングファイル内では、フィールドをセミコロン(;)で区切ります。フィールドの一部としてセミコロンが含まれる場合は、バックスラッシュ文字(\)を使ってエスケープする必要があります。

    例えば、このプロパティの場合は次のようになります:

    propertyV;test;1;2

    以下のようにエスケープします:

    propertyV\;test\;1\;2

  • シリアル番号はiOSデバイスの識別子であるため、iOSデバイスにはシリアル番号が必須です。
  • その他のデバイスプラットフォームの場合、シリアル番号またはIMEIが必要です。
  • OperatingSystemFamilyの有効な値は、WINDOWSANDROIDiOSのいずれかです。

デバイスプロビジョニングファイルの例:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

ファイルの各行にデバイスの説明が含まれています。そのサンプルの最初のエントリは以下を意味しています:

  • シリアル番号: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • オペレーティングシステムファミリ: WINDOWS
  • プロパティ名: propertyN
  • プロパティ値: propertyV\;test\;1\;2;prop 2

共有デバイス

Endpoint Managementでは、複数のユーザーで共有可能なデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。

共有デバイスに関する注意点

サポートされているiOSデバイスとAndroidデバイスのいずれかを共有デバイスとして使用できます。サポートされているデバイスのリストについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。

MDMモード

  • iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。Endpoint Management Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用します。
  • サポートされない認証の種類:クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証。

MDM+MAMモード

  • iOSおよびAndroidタブレットでのみ使用できます。
  • Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
  • クライアント証明書認証、Secure Hubのパスコード、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
  • MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
  • Secure Mail、Secure Web、Citrix Filesモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
  • サポートされるユーザーは、Active Directoryユーザーのみです。ローカルユーザーおよびグループはサポートされません。
  • 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
  • ユーザーが共有できるのはCitrix業務用モバイルアプリおよびMDXラップしたアプリのみであり、デバイスのネイティブのアプリは共有できません。
  • 最初の登録時にCitrix業務用モバイルアプリをダウンロードすれば、新しいユーザーがデバイスにログオンするたびにこのアプリがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
  • セキュリティのためにAndroid上で各ユーザーのデータを隔離する場合は、Endpoint Managementコンソールで [Root化済みデバイスの禁止] ポリシーを有効にします。

共有デバイスの登録の前提条件

共有デバイスを登録する前に、以下の操作を行う必要があります。

MDM+MAMモードの前提条件

  1. Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
  2. 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。

共有デバイスを構成する

以下の手順に従って、共有デバイスを構成します。

  1. Endpoint Managementコンソールで、右上隅にある歯車をクリックします。[設定] ページが開きます。
  2. [役割ベースのアクセス制御][追加] の順にクリックします。[役割の追加] ページが開きます。
  3. [承認済みのアクセス][共有デバイスの登録機能] 権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[コンソールの機能][デバイス] を展開し、[デバイスの選択的なワイプ] をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。

    [適用権限] で、デフォルト設定の [すべてのユーザーグループ] を保持するか、特定のActive Directoryユーザーグループに [特定のユーザーグループ] で権限を割り当てます。

    [適用権限]オプションの画像

    [次へ] をクリックして [割り当て] 画面に進みます。作成した共有デバイス登録の役割を、共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図でcitrix.labはActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。

    [割り当て]ページの画像

  4. ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリ、アクションを含むデリバリーグループを作成します。次に、そのデリバリーグループを共有デバイス登録ユーザーのActive Directoryグループに関連付けます。

    デリバリーグループ設定の画像

  5. 共有デバイスにSecure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してEndpoint Managementにデバイスを登録します。これで、Endpoint Managementコンソールでデバイスを表示および管理できるようになります。詳しくは、「デバイスの登録」を参照してください。

  6. 認証されたユーザーに異なるポリシーを適用したり、追加のアプリを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは、「リソースの展開」を参照してください。

  7. デバイスの共有を停止するには、選択的なワイプを実行して、共有デバイス登録ユーザーアカウントをデバイスから削除します。また、選択的なワイプにより、デバイスに展開されているアプリとポリシーも削除されます。

共有デバイスのユーザーエクスペリエンス

MDMモード

ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録されているものを除いて、ポリシーおよびアプリは削除されます。共有デバイス登録リソースはそのまま保持されます。

MDM+MAMモード

共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。

Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリ、データが削除されている間、新しいユーザーはサインオンできません。

共有デバイス登録によって、アプリのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリをアップグレードできます。

推奨されるSecure Mailポリシー

  • Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて [同期の最大期間] を設定します。無制限同期を許可することは推奨されません。
デバイスを共有するユーザーの数 推奨される[同期の最大期間]
21〜25 1週間以内
6〜20 2週間以内
5以下 1か月以内
  • [連絡先のエクスポートの有効化] を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。

  • iOSでは、次の設定のみをユーザーごとに設定できます。その他の設定は、デバイスを共有するユーザー間で共通です。

    • 通知
    • 署名
    • 不在
    • メール期間の同期
    • S/MIME
    • スペルチェック