デバイス管理

Citrix Endpoint Managementでは、単一の管理コンソール内で、幅広いタイプのデバイスの管理、セキュリティ保護、インベントリを行うことができます。

  • デバイスポリシーの共通セットを使用して、サポートされているデバイスを管理します。プラットフォームで利用可能なデバイスポリシーを簡単に確認するには、次の手順に従います:

    1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] に移動します。
    2. [追加] をクリックし、表示するプラットフォームを選択します。

      詳しくは、追加されたデバイスポリシーの一覧のフィルターを参照してください。

  • ID、コーポレート所有のデバイス、BYOデバイス、アプリ、データ、ネットワークに厳重なセキュリティを用いて、ビジネス情報を保護します。デバイスへの認証に使用するユーザーIDを指定します。デバイス上で企業データと個人データを分離したままにする方法を設定します。

  • デバイスやオペレーティングシステムに関係なく、あらゆるアプリをエンドユーザーに配信します。アプリレベルで情報を保護し、エンタープライズクラスのモバイルアプリケーション管理を保証します。

  • プロビジョニングと構成制御を使用してデバイスを設定します。これらのコントロールには、デバイスの登録、ポリシーの適用、アクセス権限が含まれます。

  • セキュリティおよびコンプライアンスの制御を使用して、カスタマイズされたセキュリティベースラインを実行可能なトリガーで作成します。たとえば、定められたコンプライアンス基準に違反した際には、デバイスをロック、ワイプ、またはデバイスに通知します。

  • OS更新制御を使用して、オペレーティングシステムの更新を禁止または強制します。この機能は、対象となるオペレーティングシステムの脆弱性に対するデータ損失防止のために不可欠です。

サポートされている各プラットフォームに関する記事にアクセスするには、コンテンツ一覧の[デバイス管理]セクションを展開します。これらの記事にはデバイスの各プラットフォーム固有の詳細が記載されています。本記事のこれより先は、一般的なデバイス管理タスクを実行する方法について説明します。

デバイス管理ワークフロー

このセクションのワークフロー図は、デバイス管理タスクを実行するための推奨手順を示しています。

  1. デバイスとアプリの追加において推奨される前提条件: 次のセットアップを事前に実行すると、中断することなくデバイスとアプリを構成できます。

    デバイスとアプリを追加する前の推奨手順のワークフロー図

    以下の情報も参照してください。

    ユーザーとグループの構成

    リソースの展開

    RBACを使用した役割の構成

    通知テンプレートの作成および更新

    ワークフローの作成および管理

  2. 追加するデバイス:

    デバイス追加のワークフロー図

    以下の情報も参照してください。

    デバイス登録とリソース配信の準備

    デバイスポリシー

    デリバリーグループに展開するには

    自動化された操作

  3. 登録招待状の準備: 登録招待状を使用する場合は、次のタスクを実行します。

    登録招待状の準備のワークフロー図

    以下の情報も参照してください。

    登録モードの構成

    デバイスに通知を送信する

  4. アプリの追加:

    アプリ追加のワークフロー図

    以下の情報も参照してください。

    MDX Service

    アプリの追加

    アプリケーションカテゴリの作成

    ワークフローの作成および管理

    デリバリーグループに展開するには

  5. デバイスおよびアプリの管理を継続的に実行する: Endpoint Managementダッシュボードの使用に加えて、各リリースの「新機能」のコンテンツを確認することもお勧めします。「新機能」では、新しいデバイスポリシーの設定など、必要な操作に関する情報を提供します。

    アプリとデバイス管理のワークフロー図

    以下の情報も参照してください。

    モニターとサポート

    レポート

    セキュリティ操作

    新機能

    デバイスポリシー

登録招待

ユーザーデバイスをリモートで安全に管理するため、ユーザーデバイスをEndpoint Managementに登録します。Endpoint Managementクライアントソフトウェアがユーザーデバイスにインストールされ、ユーザーのIDが認証されます。認証後、Endpoint Managementとユーザープロファイルがインストールされます。サポートされているデバイスプラットフォームの登録の詳細については、このセクションのデバイスに関する記述を参照してください。

Endpoint Managementコンソールで、iOSデバイス、macOSデバイス、およびAndroidデバイスを使用しているユーザーに登録招待状を送信できます。iOSまたはAndroidデバイスを使用しているユーザーにインストールリンクを送信することもできます。

登録招待は次のように送信されます。

  • 1人のローカルユーザーまたはActive Directoryユーザーあての登録招待の場合:指定された電話番号と通信事業者で、ユーザーあてに招待のSMSが送信されます。

  • グループ宛ての登録招待の場合:ユーザーはSMS経由で招待を受信します。Active Directoryユーザーのメールアドレスと携帯電話番号がActive Directoryに登録されている場合、ユーザーは招待を受信します。ローカルユーザーは、ユーザープロパティで指定されたメールアドレスと電話番号で招待を受信します。

ユーザーが登録すると、そのデバイスは [管理]>[デバイス] で管理対象として表示されます。招待URLの状態は [再開] と表示されます。

前提条件

  • 構成されたLDAP
  • ローカルグループおよびローカルユーザーを使用する場合:

    • 1つまたは複数のローカルグループ。

    • ローカルグループに割り当てられたローカルユーザー。

    • デリバリーグループはローカルグループと関連付けられます。

  • Active Directoryを使用する場合:

    • デリバリーグループはActive Directoryグループと関連付けられます。

登録招待の作成

  1. Endpoint Managementコンソールで、[管理]>[登録] の順にクリックします。[登録招待] ページが開きます。

    Endpoint Managementコンソールの[登録招待状]ページの画像

  2. [追加] をクリックします。登録オプションのメニューが表示されます。

    [招待の追加]メニューの画像

    • 1人のユーザーまたは1つのグループに登録招待を送信するには、[招待の追加] をクリックします。
    • SMTPまたはSMS経由で登録インストールリンクを受信者の一覧に送信するには、[インストールリンクの送信] を選択します。

    登録招待およびインストールリンクの送信は、次の手順の後に説明します。

  3. [招待の追加] をクリックします。[登録招待] 画面が開きます。

    [登録招待]画面の画像

  4. 次の設定を構成します。

    • 宛先: [グループ] または [ユーザー] を選択します。
    • プラットフォームを選択: [宛先][グループ] の場合はすべてのプラットフォームが選択されます。プラットフォームの選択は変更可能です。[宛先][ユーザー] の場合はいずれのプラットフォームも選択されません。プラットフォームを選択します。
    • デバイス所有権: [コーポレート] または [従業員] を選択します。

    次のセクションで説明するように、ユーザーまたはグループの設定が表示されます。

登録招待をユーザーに送信するには

[登録招待]設定の画像

  1. [ユーザー] について、次の設定を構成します。

    • ユーザー名: ユーザー名を入力します。このユーザーは、Endpoint Managementサーバーのローカルユーザー、またはActive Directoryのユーザーとして存在している必要があります。ローカルユーザーの場合、通知を送信できるようにユーザーのメールプロパティを設定します。Active Directoryユーザーの場合、LDAPが構成されていることを確認します。
    • デバイス情報: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。[シリアル番号][UDID]、または [IMEI] を選択します。オプションを選択すると、デバイスに応じて値を入力できるフィールドが表示されます。
    • 電話番号: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。任意で、ユーザーの電話番号を入力します。
    • キャリア: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。ユーザーの電話番号に関連付けるキャリアを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります:
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待URLおよびPIN
      • 招待URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。登録用のPINはワンタイムPINとも呼ばれます。このようなPINは、ユーザーの登録時にのみ有効です。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。[登録PIN] をクリックします。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードの構成」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モードを構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が追加されます。

    [登録招待]ページの表の画像

登録招待をグループに送信するには

以下は、グループへの登録招待を構成するための設定画面です。

グループへの登録招待ページの画像

  1. 次の設定を構成します。

    • ドメイン: 招待の宛先グループのドメインを選択します。
    • グループ: 招待の宛先グループを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります:
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待URLおよびPIN
      • 招待URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。[登録PIN] をクリックします。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードの構成」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モードを構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が表示されます。

    [登録招待]の表の画像

インストールリンクを送信するには

登録インストールリンクを送信する前に、[設定] ページでチャネル(SMTPまたはSMS)を構成する必要があります。詳しくは、「通知」を参照してください。

[インストールリンクの送信]ページの画像

  1. これらの設定を構成し、[保存] をクリックします。

    • 宛先: 追加する宛先ごとに、[追加] をクリックして以下の操作を行います:
      • メール: 送信先のメールアドレスを入力します。このフィールドは必須です。
      • 電話番号: 送信先の電話番号を入力します。このフィールドは必須です。

      注:

      送信先を削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。項目を削除するには [削除] をクリックし、項目をそのままにするには [キャンセル] をクリックします。

      送信先を編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。項目を変更し、[保存] をクリックして変更した項目を保存するか、[キャンセル] をクリックして項目を変更せずそのままにします。

    • チャネル: 登録インストールリンクの送信に使用するチャネルを選択します。通知はSMTPまたはSMSで送信することができます。[通知サーバー][設定] ページでサーバー設定を構成するまでは、これらのチャネルをアクティブ化できません。詳しくは、「通知」を参照してください。
    • SMTP: 次の設定を任意で構成します。これらのフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • 差出人: オプションで送信者を入力します。
      • 件名: 任意でメッセージの件名を入力します。たとえば、「Enroll your device」などです。
      • メッセージ: 任意で、送信先に送信されるメッセージを入力します。たとえば、「Enroll your device to gain access to organizational apps and email.」などです。
    • SMS: 以下の設定を構成します。このフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • メッセージ: 送信先に送信されるメッセージを入力します。SMSベースの通知の場合、このフィールドは必須です。

        北米の場合、160文字を超えるSMSメッセージは複数のメッセージとして配信されます。

  2. [送信] をクリックします。

    注:

    環境がsAMAccountNameを使用している場合、ユーザーが招待を受け取ってリンクをクリックした後、認証を完了するには、ユーザー名を編集する必要があります。ユーザー名はsAMAccountName@domainname.comの形式で表示されます。ユーザーは「@domainname.com」の部分を削除する必要があります。

デバイス登録の制限

Endpoint Managementには、ユーザーがデバイスをいくつでも登録できるデフォルトの登録プロファイルが用意されています。デフォルトのプロファイル名はGlobalです。ユーザーが登録できるデバイスの数を制限する場合にのみ、登録プロファイルを作成します。登録プロファイルは、デリバリーグループに関連付けます。

デバイス登録制限は、iOSおよびAndroidデバイスでのみ利用可能です。

Endpoint Management展開にAndroid Enterprise専用デバイス(COSUデバイスとも呼ばれる)を含める場合、1人のEndpoint Management管理者、または数人の管理者グループがデバイスを多数登録することがあります。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。詳しくは、「Android Enterprise」の「専用(COSU)登録プロファイルの追加」を参照してください。

  1. [構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

    デフォルトのGlobalプロファイルの画像

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報] ページで登録プロファイル名を入力してから、このプロファイルのメンバーが登録できるデバイスの数を選択します。

    [登録情報]の画像

  3. [次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

    [デリバリーグループ割り当て]ページの画像

  4. この登録プロファイルのデリバリーグループを選択し、[保存] をクリックします。

    [デリバリーグループ] ページが開きます。

    [デリバリーグループ]ページの画像

    デリバリーグループに関連付けられた登録プロファイルを変更するには、[構成]>[デリバリーグループ] の順に移動して、[登録プロファイル] をクリックします。

    [登録プロファイル]ページの画像

デバイス登録制限のユーザーエクスペリエンス

デバイス登録制限を設定してユーザーが新しいデバイスを登録する場合、以下の手順に従います:

  1. Secure Hubにサインインします。

  2. 登録するサーバーアドレスを入力します。

  3. 資格情報を入力します。

  4. デバイスの上限に達すると、デバイス登録の上限を超えたことを知らせるエラーメッセージがユーザーに表示されます。

    Secure Hub登録画面の画像

    Secure Hub登録画面が再度表示されます。

セキュリティ操作

[管理]>[デバイス] ページでデバイスやアプリのセキュリティの操作を実行できます。デバイスの操作には、取り消し、ロック、ロック解除、ワイプがあります。アプリのセキュリティの操作には、アプリのロック、アプリのワイプが含まれます。

  • アクティベーションロックバイパス: デバイスのライセンス認証の前に、監視対象のiOSデバイスからアクティベーションロックを解除します。このコマンドでは、Appleの個人IDやユーザーのパスワードが要求されることはありません。

  • アプリのロック: デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、アプリのロックが行われるとユーザーはEndpoint Managementにサインインできなくなります。iOSでは、ユーザーはサインインできますが、アプリにアクセスすることはできません。

  • アプリのワイプ: Androidでは、アプリのワイプを行うとEndpoint Managementからユーザーアカウントが削除されます。iOSでは、Secure Hubのユーザーアカウントが削除されます。

  • ASM DEPアクティベーションロック: Apple School Manager DEPに登録されているiOSデバイスのアクティベーションロックバイパスコードを作成します。

  • 証明書の書き換え: サポートされているiOSデバイス、macOSデバイス、およびAndroidデバイスの場合、セキュリティ操作[証明書の書き換え]により証明書の書き換えが開始されます。次回デバイスがEndpoint Managementに接続すると、Endpoint Managementサーバーは新しいCAに基づいて新しいデバイス証明書を発行します。

  • 制限の解除: 監視対象のiOSデバイスでこのコマンドを使用すると、ユーザーによって構成された制限パスワードと制限設定をEndpoint Managementで解除できるようになります。

  • 紛失モードを有効化/無効化: 監視対象のiOSデバイスを紛失モードにして、デバイスに表示されるメッセージ、電話番号、補足説明を送信します。2回目にこのコマンドを送信すると、デバイスの紛失モードは無効になります。

  • 追跡を有効にする: Androidデバイスでは、このコマンドによってEndpoint Managementが指定された頻度で特定のデバイスの場所をポーリングできます。

  • フルワイプ: デバイスからメモリカードを含むすべてのデータとアプリを直ちに消去します。

    • Androidデバイスの場合、メモリカードをワイプするオプションをこの要求に含めることができます。

    • iOS、macOS、tvOSデバイスの場合、デバイスがロックされていても直ちにワイプが実行されます。

      iOS 11デバイス(最小バージョン)の場合:フルワイプを確認したら、携帯データネットワークプランをデバイスに保存することができます。

      iOS 11.3デバイス(最小バージョン)の場合:フルワイプを確認したら、iOSデバイスが近接セットアップを実行するのを防ぐことができます。新しいiOSデバイスを設定する場合、通常ユーザーは既に構成済みのiOSデバイスを使用して自分のデバイスを設定できます。ワイプ済みのEndpoint Management管理対象デバイスについて、近接セットアップを禁止することができます。

    • Windows Phoneデバイスの場合、フルワイプを実行すると、すべてのEndpoint Management情報に加え、すべてのユーザーデータが削除されます。削除されるユーザーデータには、アプリ、メール、連絡先、メディアなど個人的な内容が含まれます。

    • メモリカードの内容が削除される前にユーザーがデバイスの電源をオフにした場合、ユーザーはデバイスのデータにまだアクセスできる場合があります。

    • ワイプの要求がデバイスに送信されるまでは、要求をキャンセルできます。

  • 検索: [管理]>[デバイス] ページの、[デバイス詳細]>[全般] で、デバイスを検索してデバイスの場所(マップなど)を報告します。Android Enterpriseデバイスの場合、位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] または [バッテリー節約] に設定されていない限り、この要求は失敗します。

  • ロック: デバイスをリモートでロックします。これは、デバイスを紛失し、デバイスが盗まれたかどうかわからない場合に便利です。その後、Endpoint ManagementによってPINコードが生成されてデバイスに設定されます。デバイスにアクセスするには、PINコードを入力します。Endpoint Managementコンソールからロックを解除するには [ロックのキャンセル] を使用します。

  • ロックおよびパスワードのリセット: デバイスをリモートロックしてパスコードをリセットします。

    • Android 7.0より前のバージョンのAndroidを実行する、仕事用プロファイルモードでAndroid Enterpriseに登録されているデバイスではサポートされていません。
    • Android 7.0以降を実行する、仕事用プロファイルモードでAndroid Enterpriseに登録されている端末の場合:
      • 送信されたパスコードによって仕事用プロファイルはロックされます。デバイスはロックされません。
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たさず、仕事用プロファイルに設定済みのパスコードがない場合:デバイスはロックされます。
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていないが、仕事用プロファイルにパスコードが設定済みの場合:仕事用プロファイルはロックされますが、デバイスはロックされません。
  • 通知(通知音): Androidデバイスで通知音を鳴らします。

  • 再起動: Windows 10デバイスを再起動します。WindowsタブレットおよびPCでは、「システムを再起動します」という内容のメッセージが表示されて、5分以内に再起動が実行されます。Windows Phoneでは、ユーザーに警告メッセージは表示されず、数分後に再起動が実行されます。

  • AirPlayミラーリングの要求/停止: 監視対象のiOSデバイスで、AirPlayミラーリングを開始および停止します。

  • 再起動/シャットダウン: 監視対象のデバイスを直ちに再起動またはシャットダウンします。tvOSにより再起動はサポートされますが、シャットダウンはサポートされません。

  • 取り消し: デバイスからEndpoint Managementへの接続を禁止します。

  • 取り消し/認証(iOS、macOS、tvOS): 選択的なワイプと同じ操作を実行します。取り消し後に、デバイスを再承認して再登録できます。

  • 警報: 監視対象のiOSデバイスが紛失モードの場合に、デバイスで警告音を鳴らします。警告音は、デバイスの紛失モードが解除されるか、ユーザーがサウンドを無効にするまで鳴り続けます。

  • 選択的なワイプ: 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。選択的なワイプ後に、ユーザーはデバイスを再登録できます。

    • Androidデバイスを選択的にワイプしても、Device Managerや社内ネットワークから切断されることはありません。デバイスがDevice Managerにアクセスしないようにするには、デバイス証明書を失効させる必要もあります。
    • Samsung Knox APIに対応している場合、デバイスを選択的にワイプするには、Samsung Knoxコンテナも削除する必要があります。
    • iOSデバイスおよびmacOSデバイスでは、このコマンドにより、MDMを通じてインストールされたすべてのプロファイルが削除されます。
    • Windowsデバイスに対して選択的ワイプを実行した場合、その時点でサインオンしているすべてのユーザーのプロファイルフォルダーの内容も削除されます。選択的なワイプでは、構成を介してユーザーに配信したWebクリップは削除されません。Webクリップを削除するには、ユーザーはデバイスを手動で登録解除します。選択的にワイプされたデバイスを再登録することはできません。
    • Windows Phoneデバイスを選択的にワイプすると、Endpoint Managementがデバイスにアプリをインストールために必要なエンタープライズトークンが削除されます。また、このワイプによって、デバイスに展開済みのEndpoint Managementの証明書と構成もすべて削除されます。選択的にワイプされたWindows Phoneデバイスを再登録することはできません。
    • Androidデバイスを選択的にワイプしてもデバイスが取り消されます。デバイスの再登録は、デバイスを再認証するか、コンソールから削除した場合にのみ行えます。
  • ロック解除: デバイスがロックされたときに送信されたパスコードをクリアします。このコマンドによってデバイスがロック解除されることはありません。

[管理]>[デバイス][デバイス詳細] ページには、デバイスの[セキュリティ]プロパティも表示されます。これらのプロパティには、[Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、およびプラットフォームの種類に関するその他の情報などが含まれます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

一部の操作を自動化することができます。詳しくは、自動化された操作を参照してください。

Endpoint Managementコンソールからのデバイスの削除

重要:

Endpoint Managementコンソールからデバイスを削除しても、管理対象アプリとデータはそのデバイスに残ります。デバイスから管理対象アプリとデータを削除するには、この記事で後述する「デバイスの削除」を参照してください。

Endpoint Managementコンソールからデバイスを削除するには、[管理]>[デバイス]の順に選択し、管理対象デバイスを選択して [削除] をクリックします。

[削除]オプションの画像

デバイスの選択的なワイプ

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、[選択的なワイプ] をクリックします。

  3. Androidデバイスのみ、デバイスをワイプした後、[セキュリティ操作][取り消し] をクリックして、社内ネットワークからデバイスを切断します。

    選択的ワイプ要求が実行される前にその要求を取り消すには、[セキュリティ操作] で、[選択的なワイプのキャンセル] をクリックします。

デバイスの削除

この手順では、管理対象アプリとデータをデバイスから削除し、Endpoint Managementコンソールの[デバイス]一覧からデバイスを削除します。

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [選択的なワイプ] をクリックします。プロンプトが表示されたら、[選択的なワイプの実行] をクリックします。

  3. ワイプコマンドが成功したことを確認するには、[管理]>[デバイス] を更新します。[モード] 列でMDMとMAMが黄色の場合は、ワイプコマンドが成功したことを示します。

    ワイプコマンドが成功した画像

  4. [管理]>[デバイス] に移動し、デバイスを選択して [削除] をクリックします。プロンプトが表示されたら、再び [削除] をクリックします。

アプリのロック、ロック解除、ワイプ、ワイプ解除

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、アプリの操作をクリックします。

    [セキュリティ操作] ボックスは、アカウントが無効になっているか、Active Directoryから削除されているユーザーのデバイスの状態を確認するために使用することもできます。アプリロック解除またはアプリワイプ解除アクションが存在する場合、アプリがロックまたはワイプされていることを意味します。

デバイス情報の取得

Endpoint Managementのデータベースには、モバイルデバイスの一覧が保存されます。各モバイルデバイスは、一意のシリアル番号またはIMEI(International Mobile Station Equipment Identity)/MEID(Mobile Equipment Identifier)識別番号によって定義されます。Endpoint Managementコンソールにデバイスを追加するには、手動でデバイスを追加するか、ファイルからデバイスの一覧をインポートします。デバイスプロビジョニングファイル形式について詳しくは、後述の「デバイスプロビジョニングファイル形式」を参照してください。

Endpoint Managementコンソールの [管理]>[デバイス] ページには、各デバイスと以下の情報が表示されます:

  • 状態: デバイスがジェイルブレイクされているか、管理されているか、ActiveSync Gatewayが使用可能か、およびデバイスの展開環境の状態などを示すアイコンです。
  • モード: MDMやMDM+MAMなどのデバイスモードを示します。
  • ほかに、次のようなデバイスの情報を表示できます:ユーザー名デバイスプラットフォーム最終アクセス日時非アクティブ日数。これらの見出しは、デフォルトで表示されます。

[デバイス] の表をカスタマイズするには、見出しの右端の下向き矢印をクリックします。次に、その表に表示する追加の見出しをオンにするか、または削除する見出しをオフにします。

[デバイス]表のカスタマイズオプションの画像

手動によるデバイスの追加、デバイスプロビジョニングファイルからのデバイスのインポート、デバイスの詳細の編集、セキュリティの操作の実行、デバイスへの通知の送信を行うことができます。デバイス表のデータ全体を.csvファイルにエクスポートして、このファイルからカスタムレポートを作成することもできます。サーバーはすべてのデバイス属性をエクスポートします。フィルターを適用している場合、Endpoint Managementは.csvファイルの作成時にそのフィルターを使用します。

デバイスプロビジョニングファイルからのデバイスのインポート

モバイル事業者やデバイス製造元が提供するファイルをインポートしたり、独自のデバイスプロビジョニングファイルを作成したりすることができます。詳しくは、後述の「デバイスプロビジョニングファイル形式」を参照してください。

  1. [管理]、[デバイス] に移動して、[インポート] を選択します。[プロビジョニングファイルのインポート] ダイアログボックスが開きます。

    [プロビジョニングファイルのインポート]ダイアログボックスの画像

  2. [ファイルの選択] を選択して、インポートするファイルまで移動します。

  3. [インポート] をクリックします。インポートされたファイルが [デバイス] の表に追加されます。

  4. デバイスの情報を編集するには、[デバイス詳細]を選択して [編集] をクリックします。[デバイス詳細] ページについて詳しくは、「デバイス情報の取得」を参照してください。

デバイスに通知を送信する

[デバイス]ページで、デバイスに通知を送信できます。通知について詳しくは、「通知」を参照してください。

  1. [管理]>[デバイス] ページで、通知を送信するデバイスを選択します。

  2. [通知] をクリックします。[通知] ダイアログボックスが開きます。[受信者] フィールドに、通知を受信するすべてのデバイスの一覧が表示されます。

    [通知]ダイアログボックスの画像

  3. 次の設定を構成します。

    • テンプレート: 一覧から、送信する通知の種類を選択します。[アドホック] を選択した場合を除き、[件名] フィールドおよび [メッセージ] フィールドには、選択したテンプレートで構成済みのテキストが入力されます。
    • チャネル: メッセージの送信方法を選択します。デフォルトは [SMTP] および [SMS] です。各チャネルのメッセージの形式を表示するには、タブをクリックします。
    • 差出人: オプションで送信者を入力します。
    • 件名: [アドホック] メッセージの場合、件名を入力します。
    • メッセージ: [アドホック] メッセージの場合、メッセージを入力します。
  4. [通知] をクリックします。

[デバイス]の表のエクスポート

  1. エクスポートファイルで表示する内容によって、[デバイス] の表にフィルターを適用します。

  2. [デバイス] の表の上にある [エクスポート] をクリックします。Endpoint Managementによって [デバイス] 表の情報が抽出され、.csvファイルに変換されます。

  3. .csvファイルを開くか、保存します。

ユーザーデバイスの手動タグ付け

Endpoint Managementでは、次のいずれかの方法でデバイスに手動でタグ付けすることができます:

  • 招待状に基づく登録処理中
  • Self Help Portal登録処理中
  • デバイスの所有権をデバイスプロパティとして追加する

組織または個人所有のいずれかとして、デバイスにタグ付けするオプションが用意されています。Self Help Portalを使ってデバイスを自動登録するときに、組織または個人所有のいずれかとして、デバイスにタグを付けることができます。以下のように手動でデバイスにタグを付けることもできます。

  1. Endpoint Managementコンソールの [デバイス] タブで、プロパティをデバイスに追加します。
  2. [所有者] という名前のプロパティを追加し、[コーポレート][BYOD](個人所有)のいずれかを選択します。

    [所有者]プロパティ設定の画像

デバイスの検索

高速検索の場合、デフォルト検索のスコープには、次のデバイスプロパティのみが含まれています:

  • シリアル番号
  • IMEI
  • Wi-Fi MACアドレス
  • Bluetooth MACアドレス
  • Active Sync ID
  • ユーザー名

新しいサーバープロパティinclude.device.properties.during.searchを使用して検索スコープを構成できます。デフォルトはfalseです。デバイス検索にすべてのデバイスプロパティを含めるには、[設定]>[サーバープロパティ] に移動し、設定をtrueに変更します。

デバイスプロビジョニングファイル形式

携帯電話会社またはデバイス製造業者の多くが公認のモバイルデバイスの一覧を提供しています。この一覧を使用することで、モバイルデバイスの長い一覧を手動で入力することを避けることができます。Endpoint Managementは、次のサポート対象デバイスに共通のインポートファイル形式をサポートしています:Android、iOS、Windows。

Endpoint Managementへのデバイスのインポートに使用するプロビジョニングファイルを手動で作成する場合、次の形式に従う必要があります:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

次の点に注意してください:

  • 各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。
  • UTF-8形式の文字セットを使用します。
  • プロビジョニングファイル内では、フィールドをセミコロン(;)で区切ります。フィールドの一部としてセミコロンが含まれる場合は、バックスラッシュ文字(\)を使ってエスケープする必要があります。

    例えば、このプロパティの場合は次のようになります:

    propertyV;test;1;2

    以下のようにエスケープします:

    propertyV\;test\;1\;2

  • シリアル番号はiOSデバイスの識別子であるため、iOSデバイスにはシリアル番号が必須です。
  • その他のデバイスプラットフォームの場合、シリアル番号またはIMEIが必要です。
  • OperatingSystemFamilyの有効な値は、WINDOWSANDROIDiOSのいずれかです。

デバイスプロビジョニングファイルの例:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

ファイルの各行にデバイスの説明が含まれています。そのサンプルの最初のエントリは以下を意味しています:

  • シリアル番号: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • オペレーティングシステムファミリ: WINDOWS
  • プロパティ名: propertyN
  • プロパティ値: propertyV\;test\;1\;2;prop 2

共有デバイス

Endpoint Managementでは、複数のユーザーで共有可能なデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。

共有デバイスに関する注意点

サポートされているiOSデバイスとAndroidデバイスのいずれかを共有デバイスとして使用できます。現在サポートされているデバイスの一覧については、「サポートされるデバイスオペレーティングシステム」を参照してください。

MDMモード

  • iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。Endpoint Management Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用します。
  • サポートされない認証の種類:クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証。

MDM+MAMモード

  • iOSおよびAndroidタブレットでのみ使用できます。
  • Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
  • クライアント証明書認証、Secure Hubのパスコード、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
  • MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
  • Secure Mail、Secure Web、Citrix Filesモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
  • サポートされるユーザーは、Active Directoryユーザーのみです。ローカルユーザーおよびグループはサポートされません。
  • 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
  • ユーザーはデバイス上でネイティブアプリを共有できません。
  • 最初の登録時にCitrix業務用モバイルアプリをダウンロードすれば、新しいユーザーがデバイスにログオンするたびにこのアプリがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
  • セキュリティのためにAndroid上で各ユーザーのデータを隔離する場合は、Endpoint Managementコンソールで [Root化済みデバイスの禁止] ポリシーを有効にします。

共有デバイスの登録の前提条件

共有デバイスを登録する前に、以下の操作を行う必要があります。

MDM+MAMモードの前提条件

  1. Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
  2. 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。

共有デバイスを構成する

以下の手順に従って、共有デバイスを構成します。

  1. Endpoint Managementコンソールで、右上隅にある歯車をクリックします。[設定] ページが開きます。
  2. [役割ベースのアクセス制御][追加] の順にクリックします。[役割の追加] ページが開きます。
  3. [承認済みのアクセス][共有デバイスの登録機能] 権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[コンソールの機能][デバイス] を展開し、[デバイスの選択的なワイプ] をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。

    [適用権限] で、デフォルト設定の [すべてのユーザーグループ] を保持するか、特定のActive Directoryユーザーグループに [特定のユーザーグループ] で権限を割り当てます。

    [適用権限]オプションの画像

    [次へ] をクリックして [割り当て] 画面に進みます。作成した共有デバイス登録の役割を、共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図で citrix.lab はActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。

    [割り当て]ページの画像

  4. ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリ、アクションを含むデリバリーグループを作成します。次に、そのデリバリーグループを共有デバイス登録ユーザーのActive Directoryグループに関連付けます。

    デリバリーグループ設定の画像

  5. 共有デバイスにSecure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してEndpoint Managementにデバイスを登録します。これで、Endpoint Managementコンソールでデバイスを表示および管理できるようになります。

  6. 認証されたユーザーに異なるポリシーを適用したり、追加のアプリを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは、リソースの展開を参照してください。

  7. デバイスの共有を停止するには、選択的なワイプを実行して、共有デバイス登録ユーザーアカウントをデバイスから削除します。また、選択的なワイプにより、デバイスに展開されているアプリとポリシーも削除されます。

共有デバイスのユーザーエクスペリエンス

MDMモード

ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録されているものを除いて、ポリシーおよびアプリは削除されます。共有デバイス登録リソースはそのまま保持されます。

MDM+MAMモード

共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。

Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリ、データが削除されている間、新しいユーザーはサインオンできません。

共有デバイス登録によって、アプリのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリをアップグレードできます。

推奨されるSecure Mailポリシー

  • Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて [同期の最大期間] を設定します。無制限同期を許可することは推奨されません。
デバイスを共有するユーザーの数 推奨される[同期の最大期間]
21〜25 1週間以内
6〜20 2週間以内
5以下 1か月以内
  • [連絡先のエクスポートの有効化] を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。

  • iOSでは、次の設定のみをユーザーごとに設定できます。その他の設定は、デバイスを共有するユーザー間で共通です。

    • 通知
    • 署名
    • 不在
    • メールの同期期間
    • S/MIME
    • スペルチェック