Product Documentation

デバイス管理

デバイス管理では、デバイスの登録、セキュリティ対策、デバイスの監視を行います。

Endpoint Management Autodiscoveryサービス

多くのEndpoint Management展開で、Autodiscoveryは重要な要素となります。自動検出を使用するとユーザーの登録処理が簡単になります。ユーザーは、ネットワークユーザー名とActive Directoryパスワードを使用してデバイスを登録できます。Endpoint Managementの詳細を入力する必要はありません。ユーザーは、ユーザー名をユーザープリンシパル名(UPN)形式で入力します(例:user@mycompany.com)。Endpoint Management AutoDiscoveryサービスを使用すると、シトリックスサポートの補助を受けずに自動検出レコードを作成または編集できます。

Endpoint Management AutoDiscoveryサービスにアクセスするには、https://xenmobiletools.citrix.comにアクセスして [Request Auto Discovery] をクリックします。

AutoDiscoveryサービスの画像

AutoDiscoveryのリクエスト

  1. AutoDiscoveryサービスのページでは、まずドメインを指定する必要があります。[Add Domain]をクリックします。

    [Add Domain]画面の画像

  2. 表示されたダイアログボックスで、お使いのEndpoint Management環境のドメイン名を入力してから [Next] をクリックします。

    [Domain name]フィールドの画像

  3. 次の手順では、ユーザーがドメインの所有者であることを確認するための手順が示されます。

    • Endpoint Managementツールポータルに表示されたDNSトークンをコピーします。

    • ドメインホスティングプロバイダーポータルで、ドメインのゾーンファイルにDNS TXTレコードを作成します。

      DNS TXTレコードを作成するには、上の手順2で追加したドメインのドメインホスティングプロバイダーポータルにログインする必要があります。ドメインホスティングポータルでは、ドメインネームサーバーレコードを編集したり、カスタムのTXTレコードを追加したりできます。サンプルドメインdomain.comのホスティングポータルでのDNS TXTエントリの追加の例。

    • DNS TXTレコードにドメイントークンを貼り付け、ドメインネームサーバーレコードを保存します。

    • Endpoint Managementツールポータルに戻って [Done] をクリックし、DNSチェックを開始します。

    作成したDNS TXTレコードが検出されます。または、[I’ll update later] をクリックして、レコードを保存することもできます。[Waiting]レコードを選択して [DNS Check] をクリックするまで、DNSチェックは開始されません。

    このチェックにかかる時間は最短で約1時間ですが、応答が返されるまでに最大2日かかることがあります。さらに、ステータスの変更を確認するには、ポータルを閉じてから再びアクセスする必要がある場合もあります。

    [Verify your Domain]ダイアログボックスの画像

  4. ドメインを指定すると、AutoDiscoveryサービス情報を入力できるようになります。自動検出をリクエストするドメインレコードを右クリックしてから、[Add ADS]をクリックします。

    ドメインに既にAutoDiscoveryレコードがある場合、シトリックステクニカルサポートに事例を記録して、必要に応じて詳細を変更します。

    [add ADS]オプションの画像

  5. 要求された情報を入力し、[次へ]をクリックします。不明な場合、デフォルトインスタンスの「zdm」を追加します。

    Endpoint Management情報オプションの画像

    注:

    上のスクリーンショットのWorx Homeは、現在ではSecure Hubと呼ばれている点に注意してください。

  6. Secure Hubに次の情報を入力して、[Next] をクリックします。

    • User ID Type: ユーザーがサインオンに使用するIDの種類(メールアドレスまたはUPN)を選択します。

      UPNは、ユーザーのUPN(ユーザープリンシパル名)がメールアドレスと同じである場合に使用されます。どちらの方法も、サーバーアドレスを検出するために入力したドメインを使用します。メールアドレスの場合、ユーザーはユーザー名とパスワードを入力するよう求められます。UPNの場合はパスワードを入力するよう求められます。

    • HTTPS Port: HTTPSでSecure Hubにアクセスする時に使用するポートを入力します。通常、これはポート443です。

    • iOS Enrollment Port: iOSの登録でSecure Hubにアクセスする時に使用するポートを入力します。通常、これはポート8443です。

    • Required Trusted CA for Endpoint Management: Endpoint Managementへアクセスする際に信頼された機関からの証明書が必要かどうかを指定します。このオプションは、必要に応じて [OFF] または [ON] にできます。現時点では、この機能のために証明書をアップロードすることはできません。この機能を使用する場合は、Citrixサポートに電話して自動検出のセットアップを依頼する必要があります。証明書ピン留めについて詳しくは、Citrix業務用モバイルアプリのドキュメントの「Secure Hub」にある、証明書ピン留めについてのセクションを参照してください。証明書ピン留めを使用するために必要なポートについては、サポート記事「Endpoint Management Port Requirements for ADS Connectivity」を参照してください。

    Worx Home(Secure Hub)情報設定の画像

    注: 上のスクリーンショットのWorx Homeは、現在ではSecure Hubと呼ばれている点に注意してください。

  7. 概要ページに、これまでの手順で入力したすべての情報が表示されます。データが正しいことを確認し、[Save]をクリックします。

    [Summary]ページの画像

    注: 上のスクリーンショットのWorx Homeは、現在ではSecure Hubと呼ばれている点に注意してください。

自己検出の有効化

自動検出を使用するとユーザーの登録処理が簡単になります。ユーザーは、ネットワークユーザー名とActive Directoryパスワードを使用してデバイスを登録できます。Endpoint Managementサーバーの詳細を入力する必要はありません。ユーザーは、ユーザー名をユーザープリンシパル名(UPN)形式で入力します(例:user@mycompany.com)。

自動検出を有効化するには、AutoDiscoveryサービスポータル(https://xenmobiletools.citrix.com)にアクセスします。

一部の限られた事例では、自動検出を有効化する場合にCitrixサポートへの連絡が必要な場合があります。そうするために、以下の手順に従って展開の情報をシトリックステクニカルサポートチームに通知できます。また、Windowsデバイスの場合はSSL証明書も送信する必要があります。Citrixでこの情報を受け取った後、ユーザーがデバイスを登録するときに、ドメイン情報が抽出されてサーバーアドレスにマップされます。この情報はEndpoint Managementデータベースで管理され、ユーザーが登録するときに常にアクセスして使用できます。

  1. Autodiscoveryサービスポータル(https://xenmobiletools.citrix.com)で自動検出を有効にできない場合は、シトリックスサポートポータルでテクニカルサポートケースを作成して、以下の情報を入力します。

    • ユーザーが登録時に使用するアカウントを含むドメイン。
    • Endpoint Managementサーバーの完全修飾ドメイン名(FQDN)。
    • Endpoint Managementのインスタンス名。デフォルトでは、インスタンス名はzdmであり、大文字と小文字が区別されます。
    • ユーザーIDのタイプ。UPNまたはメールのいずれかにできます。デフォルトでは、タイプはUPNです。
    • デフォルトポート8443からポート番号を変更した場合は、iOS登録に使用されるポート。
    • デフォルトポート443からポート番号を変更した場合は、Endpoint Managementサーバーが接続を受け入れるポート。
    • Endpoint Management管理者のメールアドレス(オプション)。
  2. Windowsデバイスを登録する場合は、以下を実行します。

    • enterpriseenrollment.mycompany.comの公式に署名された非ワイルドカードSSL証明書を取得します。ここで、mycompany.comはユーザーが登録時に使用するアカウントを含むドメインです。要求に.pfx形式のSSL証明書とパスワードを添付します。
    • DNSで正規名(CNAME)レコードを作成し、SSL証明書のアドレス(enterpriseenrollment.mycompany.com)をautodisc.zc.zenprise.comにマップします。ユーザーがWindowsデバイスを登録時にUPNを使用する場合、Endpoint Managementサーバーの詳細の入力だけでなく、Citrix登録サーバーの指示でデバイスからEndpoint Managementサーバーの有効な証明書も要求されます。

    詳細情報および証明書(該当する場合)がCitrixサーバーに追加されると、テクニカルサポートケースが更新されます。これで、ユーザーは自動検出による登録を開始できます。

    注:

    複数のドメインを使用して登録する場合、マルチドメイン証明書を使用することもできます。マルチドメイン証明書は、次の構造を持つ必要があります。

    それがサービスするプライマリドメインを指定するCNを持つSubjectDN(たとえば、enterpriseenrollment.mycompany1.com)。

    残りのドメインに適切なSAN(たとえば、enterpriseenrollment.mycompany2.comenterpriseenrollment.mycompany3.comなど)。

デバイスの登録

ユーザーデバイスをリモートで安全に管理するため、ユーザーデバイスをEndpoint Managementに登録します。Endpoint Managementクライアントソフトウェアがユーザーデバイスにインストールされ、ユーザーのIDが認証されます。認証後、Endpoint Managementとユーザープロファイルがインストールされます。この処理が完了すると、Endpoint Managementコンソールでデバイス管理タスクを実行できるようになります。ポリシーの適用、アプリケーションの展開、データのデバイスへのプッシュ、紛失または盗難されたデバイスのロック、ワイプ、および捜索が可能です。

Azure Active Directoryへの登録は、iOS、Android、およびWindows 10デバイスでサポートされています。AzureをIDプロバイダー(IDP)として構成する方法について詳しくは、「Single sign in with Azure Active Directory(Azure Active Directoryを使用したシングルサインイン)」を参照してください。

注:

iOSデバイスユーザーを登録する前に、APNS証明書を要求する必要があります。詳しくは、「証明書と認証」を参照してください。

ユーザーとデバイスの構成オプションを更新するには、[管理]>[登録招待] ページを使用します。詳しくは、この記事の「登録招待の送信」を参照してください。

Androidデバイス

注:

Android Enterpriseデバイスの登録について詳しくは、「Android Enterprise」を参照してください。

  1. AndroidデバイスでGoogle Playストアにアクセスして、Citrix Secure Hubアプリをダウンロードしてタップします。
  2. インストールを求めるメッセージが表示されたら、[次へ]をクリックし、[インストール]をクリックします。
  3. インストールが完了したら、[開く]をタップします。
  4. 会社の資格情報として、Endpoint Managementサーバー名、ユーザープリンシパル名(User Principal Name:UPN)、メールアドレスなどを入力します。入力後、[次へ]をクリックします。
  5. [デバイス管理者を有効にしますか]画面で、[有効にする]をタップします。
  6. 会社のパスワードを入力し、[サインオン]をタップします。
  7. Endpoint Managementの構成方法によっては、Citrix PINを作成するよう求められます。このPINを使用すると、Secure Hubやその他のEndpoint Management対応アプリ(Secure MailおよびShareFileなど)にサインオンできます。Citrix PINは2回入力します。[Citrix PINの作成] 画面で、PINを入力します。
  8. PINを再入力します。Secure Hubが開きます。その後、アプリストアにアクセスすると、Androidデバイスにインストール可能なアプリを確認できます。
  9. 登録後にアプリをデバイスに自動的にプッシュするようにEndpoint Managementを構成している場合は、アプリのインストールを求めるプロンプトがユーザーに表示されます。また、Endpoint Managementで構成済みのポリシーがデバイスに展開されます。[インストール]をタップしてアプリをインストールします。

Androidデバイスを登録解除および再登録するには

ユーザーはSecure Hub内から登録解除できます。次の方法で登録解除する場合、デバイスはEndpoint Managementコンソールのデバイスインベントリに表示され続けます。ただし、そのデバイスで操作を実行することはできません。そのデバイスを追跡したり、デバイスのコンプライアンスを監視したりすることはできません。

  1. Secure Hubアプリケーションをタップして開きます。

  2. スマートフォンかタブレットかに応じて、次の操作を行います。

    スマートフォンの場合:

    • 画面左側からスワイプして設定ペインを開きます。

    • [設定][アカウント][アカウントの削除] の順にタップします。

    タブレットの場合:

    • 右上のメールアドレスの横の矢印をタップします。

    • [設定][アカウント][アカウントの削除] の順にタップします。

  3. [再登録]をタップします。デバイスの再登録を確認するメッセージが表示されます。

  4. [OK]をタップします。

    デバイスの登録が解除されます。

  5. 画面の指示に従って、デバイスを再登録します。

ユーザーが提供する資格情報を使用するiOSデバイス

  1. Secure HubアプリをデバイスのApple社のiTunes App Storeからダウンロードした後、アプリをデバイスにインストールします。

  2. iOSデバイスのホーム画面で、Secure Hubアプリをタップします。

  3. Secure Hubの起動後、ヘルプデスクが指定するサーバーアドレスを入力します。

    表示される画面は、Endpoint Managementの構成方法に応じて、次の例と異なる可能性があります。

    サーバアドレスを表示したSecure Hubの画面

  4. 画面に指示に従って、ユーザー名とパスワード、またはPINを入力します。[次へ] をクリックします。

    サインオン画面の画像

  5. 登録するよう求められたら [はい、登録します] をクリックし、続いて画面の指示に従って資格情報を入力します。

    [はい、登録します]ボタンの画像

  6. [インストール]をタップして、Citrix Profileサービスをインストールします。

    Citrix Profileサービス画面の画像

  7. [信頼] をタップします。

    リモート管理の[信頼]画面の画像

  8. [開く] をタップし、続いて資格情報を入力します。

    Secure Hubで開くプロンプトの画像

    資格情報プロンプトの画像

派生資格情報を使用するiOSデバイス

登録するには、デスクトップに取り付けられたスマートカードリーダーにユーザーが各自のカードを挿入する必要があります。

  1. 派生資格情報プロバイダーからSecure Hubとアプリをインストールします。

    IntercedeのIDプロバイダーアプリは、MyID for Citrixです。このアプリのロゴは次の通りです。

    Intercedeロゴの画像

  2. Secure Hubを起動します。プロンプトが表示されたら、Endpoint Managementサーバーの完全修飾ドメイン名を入力して [次へ] をクリックします。Secure Hubへの登録が開始されます。Endpoint Managementサーバーで派生資格情報がサポートされる場合、Secure HubからCitrix PINを作成するように求められます。

    Secure Hub登録画面の画像

    [はい、登録します]ボタンの画像

    Citrix PIN画面の画像

  3. 指示に従ってスマート資格情報をアクティブ化します。スプラッシュ画面に続いて、QRコードのスキャンを求めるプロンプトが表示されます。

    QRコードスキャン画面の画像

  4. デスクトップに取り付けられたスマートカードリーダーに、カードを挿入します。デスクトップのアプリによってQRコードが表示され、モバイルデバイスを使用してコードをスキャンするよう求められます。

    ID確認画面の画像

  5. プロンプトが表示されたら、Secure HubのPINを入力します。

    PIN入力画面の画像

  6. PINの認証後に、Secure Hubによって証明書がダウンロードされます。後はプロンプトに従って登録を完了させます。

Endpoint Managementコンソールでデバイス情報を表示するには:

  • [管理]>[デバイス] の順に移動し、コマンドボックスを表示するデバイスを選択します。[詳細表示] をクリックします。

  • [分析]>[ダッシュボード] の順に移動します。

macOSデバイス

Endpoint Managementには、macOSを実行するデバイスの登録方法は2種類あります。いずれの方法でも、macOSユーザーは各自のデバイスから無線経由で直接登録できます。

  • ユーザーに登録招待を送信します。 この登録方法を使用すると、以下のmacOSデバイスの登録モードをいずれも設定できます。

    • ユーザー名およびパスワード

    • ユーザー名およびPIN

    • 2要素

    ユーザーが登録招待の指示に従うと、ユーザー名が入力されたサインオン画面が表示されます。

  • ユーザーにインストールリンクを送信します。 このmacOSデバイスの登録方法ではユーザーに登録リンクを送信し、ユーザーはSafariブラウザーまたはChromeブラウザーでこのリンクを開くことができます。ユーザーはユーザー名とパスワードを入力して登録を行います。

    macOSデバイスでの登録リンクの使用を防ぐには、サーバープロパティ [Enable macOS OTAE]falseに設定します。これにより、macOSユーザーは登録招待を使用してのみ登録できるようになります。

ユーザーへの登録招待の送信

  1. (任意)Endpoint ManagementコンソールでmacOSのデバイスポリシーを設定します。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。

  2. macOSユーザーを登録するための招待を追加します。詳しくは、この記事の「登録招待の送信」を参照してください。

  3. ユーザーが招待を受信してリンクをクリックすると、Safariブラウザーに次の画面が表示されます。ユーザー名はEndpoint Managementによって入力されます。登録モードに [2要素] を選択すると、別のフィールドが表示されます。

    Safariブラウザーのルート証明書メッセージの画像

  4. 必要に応じて、ユーザーが証明書をインストールします。ユーザーに証明書のインストールを求めるメッセージが表示されるかは、管理者がmacOS用の公式に信頼されるSSL証明書および公式に信頼されるデジタル署名証明書を構成したかどうかによります。証明書について詳しくは、「証明書と認証」を参照してください。

  5. 要求された資格情報をユーザーが入力します。

    Macのデバイスポリシーがインストールされます。これで、モバイルデバイスを管理するのと同じように、Endpoint ManagementでMacを管理できるようになります。

ユーザーへのインストールリンクの送信

  1. (任意)Endpoint ManagementコンソールでmacOSのデバイスポリシーを設定します。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。

  2. 登録リンク(https://serverFQDN:8443/instanceName/macos/otae)を送信します。ユーザーはこのリンクをSafariブラウザーまたはChromeブラウザーで開くことができます。

    • serverFQDNには、Endpoint Managementを実行しているサーバーの完全修飾ドメイン名(FQDN)を入力します。
    • ポート8443は、デフォルトのセキュアポートです。別のポートを構成している場合は、8443ではなく、構成済みのポートを使用します。
    • 通常zdmと表示されるinstanceNameは、サーバーのインストール時に指定された名前です。

    インストールリンクの送信について詳しくは、「インストールリンクを送信するには」を参照してください。

  3. 必要に応じて、ユーザーが証明書をインストールします。管理者がiOSおよびmacOS用の公式に信頼されるSSL証明書およびデジタル署名証明書を構成すると、ユーザーに証明書のインストールを求めるメッセージが表示されます。証明書について詳しくは、「証明書と認証」を参照してください。

  4. ユーザーがMacにサインオンします。

    Macのデバイスポリシーがインストールされます。これで、モバイルデバイスを管理するのと同じように、Endpoint ManagementでMacを管理できるようになります。

Windowsデバイス

注:

このセクションには、Microsoftが2017年7月11日にサポートを終了したWindows Phone 8.1デバイスのリファレンスも含まれます。現在Endpoint Managementでは、MDM登録でのみWindows Phone 8.1デバイスをサポートしています。

Windows 10が実行されているデバイスを、AzureをActive Directory認証の統合手段として使用して登録します。管理者は、以下のいずれかの方法を用いてWindows 10デバイスをMicrosoft Azure ADに統合できます。

  • 初めてデバイスの電源を入れたときに、特別な設定をすることなくAzure AD統合の一部としてMDMに登録する。
  • デバイスを構成したあとに、[Windowsの設定]ページからAzure AD統合の一部としてMDMに登録する。

Endpoint Managementには、以下のWindowsオペレーティングシステムが動作するデバイスを登録できます:

  • Windows 10のスマートフォンおよびタブレット
  • Windows Phone 8.1

登録は、ユーザーが各自のデバイスから直接実行できます。

注:

Windows 10 RS2 Phoneおよびタブレットでは、再登録時に、サーバーURLの入力を求めるメッセージがユーザーに表示されない点に注意してください。この問題を回避するには、デバイスを再起動します。または[メールアドレス]画面で [サービスへの接続] の反対側の[X]をタップし、[サーバーURL]ページに移動します。これはサードパーティ製品の問題です。

ユーザー登録のため自動検出およびWindows検出サービスを構成して、サポートされるWindowsデバイスの管理を有効にする必要があります。

WindowsデバイスユーザーがAzureを使用して登録できるようにするには、Microsoft Azureサーバーの設定をEndpoint Managementで構成する必要があります。詳しくは、「Single sign in with Azure Active Directory(Azure Active Directoryを使用したシングルサインイン)」を参照してください。

注:

Windowsデバイスの登録には、SSLリスナー証明書が公開証明書である必要があります。自己署名SSL証明書をアップロード済みの場合、登録は失敗します。

自己検出を使用してWindowsデバイスを登録するには

Windowsデバイスの管理を有効にするには、自動検出およびWindows検出サービスを構成することをお勧めします。詳しくは、「自己検出の有効化」を参照してください。

  1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。

  2. Windows 10の場合: チャームメニューで [設定] をタップし、続けて [アカウント]>[職場または学校へのアクセス]>[職場または学校への接続] の順にタップします。Windows 8.1のスマートフォンの場合: [PC設定]>[ネットワーク]>[社内] の順にタップします。

  3. コーポレートメールアドレスを入力してから、[続行] (Windows 10)または [デバイス管理を有効にする] (Windows 8.1)をタップします。ローカルユーザーとして登録するには、ドメイン名は正しいものの、存在しないメールアドレスを入力します(例:foo@mydomain.com)。これによって、Windowsの埋め込みデバイス管理によって登録が実行される、既知のMicrosoftの制限を回避できます。[サービスに接続しています]ダイアログボックスで、ローカルユーザーに関連付けられたユーザー名とパスワードを入力します。デバイスがEndpoint Managementサーバーを自動的に検出し、登録処理が開始されます。

  4. パスワードを入力します。パスワードは、Endpoint Managementのユーザーグループのメンバーであるアカウントに関連付けられているものを使用します。

  5. Windows 10の場合: [使用条件] ダイアログボックスで、デバイスの管理に同意して、[同意する] をタップします。Windows 8.1の場合: [IT管理者によるアプリやサービスの管理を許可する] ダイアログボックスで、デバイスの管理に同意して、[オンにする] をタップします。

自己検出なしでWindowsデバイスを登録するには

自動検出なしでWindowsデバイスを登録することができます。しかし、自動検出を構成するようお勧めします。自動検出なしで登録すると、希望するURLに接続する前にポート80を呼び出すことになるため、実稼働環境でのベストプラクティスとはみなせません。このような処理は、テスト環境や概念実証展開でのみ使用するようにしてください。

  1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。

  2. Windows 10の場合: チャームメニューで [設定] をタップし、続けて [アカウント]>[職場または学校へのアクセス]>[職場または学校への接続] の順にタップします。Windows 8.1の場合: [PC設定]>[ネットワーク]>[社内] の順にタップします。

  3. 会社のメールアドレスを入力します。

  4. Windows 10の場合: 自動検出が構成されていない場合、手順5で説明されているようにサーバーの詳細を入力できるオプションが表示されます。Windows 8.1の場合: [サーバーアドレスを自動検出する][オン] に設定されている場合、タップしてこのオプションを [オフ] にします。

  5. Windows 10の場合: [サーバーアドレスを入力してください] フィールドに以下のアドレスを入力します。https://serverfqdn:8443/serverInstance/wpe

    未認証のSSL接続に8443以外のポートが使用される場合、このアドレスの8443の箇所にそのポート番号を指定します。

    Windows 8.1の場合:以下の形式でサーバーアドレスを入力します。https://serverfqdn:8443/serverInstance/Discovery.svc

    未認証のSSL接続に8443以外のポートが使用される場合、このアドレスの8443の箇所にそのポート番号を指定します。

  6. パスワードを入力します。

  7. Windows 10の場合: [使用条件] ダイアログボックスで、デバイスの管理に同意して、[同意する] をタップします。Windows 8.1の場合: [IT管理者によるアプリやサービスの管理を許可する] ダイアログボックスで、デバイスの管理に同意して、[オンにする] をタップします。

Windows Phoneデバイスを登録するには

Endpoint ManagementでWindows Phoneデバイスを登録するには、ユーザーはActive Directoryまたは内部ネットワークのメールアドレスおよびパスワードを入力する必要があります。Autodiscoveryがセットアップされていない場合は、Endpoint ManagementサーバーのWebアドレスも必要になります。以下の手順に従って、デバイスを登録します。

注:

Windows Phoneの業務用ストアを介してアプリケーションを展開する場合は、ユーザーが登録する前に、(署名済みのSecure Hub、サポートする各プラットフォーム向けWindows Phoneアプリを使って)Enterprise Hubポリシーを構成します。

  1. Window Phoneのメイン画面で [設定] アイコンをタップします。

    • Windows 10の場合:バージョンに応じて [アカウント]>[職場または学校へのアクセス]>[職場または学校への接続] の順にタップするか、[アカウント]>[職場のアクセス]>[デバイス管理に登録する] の順にタップします。
    • Windows 8.1の場合: [PC設定]>[ネットワーク]>[社内] の順にタップし、次に [アカウントの追加] をタップします。
  2. 次の画面でメールアドレスとパスワードを入力し、[サインイン]をタップします。

    ドメインに自動検出が構成されている場合、以降のいくつかの手順で求められる情報は自動的に抽出されます。手順8に進みます。

    ドメインに自動検出が構成されていない場合、次の手順に進みます。ローカルユーザーとして登録するには、ドメイン名は正しいものの、存在しないメールアドレスを入力します(例:foo@mydomain.com)。これによって既知のMicrosoftの制限を回避できます。[Connecting to a service]ダイアログボックスで、ローカルユーザーに関連付けられたユーザー名とパスワードを入力します。

  3. 次の画面で、Endpoint ManagementサーバーのWebアドレスを「https://<xenmobile_server>:<portnumber>/<instancename>/wpe」のように入力します。例:https://mycompany.mdm.com:8443/zdm/wpe

    注:

    ポート番号は実際の実装に合わせる必要があります。iOSの登録で使用したポートと同じである必要があります。

  4. ユーザー名とドメインを介して認証が検証される場合、ユーザー名とドメインを入力し、次に [サインイン] をタップします。

  5. 証明書に関する問題を通知する画面が表示された場合、そのエラーの原因は自己署名入り証明書の使用です。サーバーが信頼できる場合、[続行]をタップします。信頼できない場合は、[キャンセル]をタップします。

  6. Windows Phone 8.1で、アカウントを追加すると [業務用アプリをインストール] というオプションが表示されます。管理者が業務用アプリストアを構成済みの場合、このオプションをオンにして、[完了]をタップします。このオプションをオフにした場合、業務用アプリストアを受信するには再登録が必要になります。

  7. Windows Phone 8.1で、[アカウントが追加されました] 画面で [完了] をタップします。

  8. サーバーへの接続を強制的に実行するには、[最新の情報に更新]アイコンをタップします。デバイスを手動でサーバーに接続できない場合、Endpoint Managementは再接続を試行します。Endpoint Managementは3分ごとに5回連続でデバイスに接続し、その後は2時間ごとに接続を行います。この接続頻度は、[サーバーのプロパティ] にある [Windows WNSハートビートの間隔] で変更できます。登録の完了後、Secure Hubがバックグラウンドで登録を実行します。インストールが完了してもそれについては何も通知されません。[すべてのアプリ]画面からSecure Hubをタップします。

Chrome OSデバイス

重要: Chrome OSのサポートは現在、米国のお客様のみが利用できます。他地域のお客様に対しては、今後のリリースでサポートを提供する予定です。

Chrome OSデバイスは登録によって追加されます。自動検出はChrome OSデバイスでもサポートされています。Chrome OSデバイスはMDMモードでのみ登録されます。

Chrome OSデバイスの手動による追加、または一括登録はサポートされていません。Chrome OSデバイスで登録招待の送信はサポートされていません。

システム要件:

  • Chrome OS 46以降

Chrome OSデバイスの登録用にG Suiteを構成

Chrome OSデバイスを登録する前に、デバイス登録用にG Suiteを構成してください。

Chrome OSデバイスでSecure Hub拡張機能を強制的にインストールするよう構成し、この拡張機能を無効したり削除しないようにします。

  1. https://admin.google.comにアクセスして、G Suiteアカウントにログインします。

  2. Google管理者コンソールで、[端末管理]をクリックします。

    Google管理者コンソールの画像

  3. [Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. Chrome端末管理ページで、[ユーザー設定]をクリックします。

    Google管理者コンソールの画像

  5. ユーザー設定ページで、クライアント証明書を検索します。次のパターンを追加します。

    {"pattern": "https://[*.]xm.cloud.com", "filter": {}}

    このパターンをクライアント証明書に追加することで、Endpoint Managementからデバイスにプッシュされたデバイス証明書が、ユーザーに選択メッセージを表示せずに自動的に選択されるようになります。

    Google管理者コンソールの画像

  6. [保存] をクリックします。

  7. 自動インストールするアプリと拡張機能を検索し、[自動インストールするアプリを管理]をクリックします。

    Google管理者コンソールの画像

  8. [カスタムアプリを指定] をクリックします。

    Google管理者コンソールの画像

  9. [ID]フィールドをクリックし、「cnkimbgkdakemjcipljhmoplehfcjban」と入力します。

  10. [URL]フィールドをクリックし、「https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban」と入力します。

  11. [追加] をクリックします。

  12. [自動インストールするアプリと拡張機能]ダイアログウィンドウで[保存]をクリックします。

  13. [ユーザー設定]ページで [保存] をクリックします。

Chrome OSデバイスの登録

Chrome OSデバイスをEndpoint Managementに登録する前に、デバイスを企業のG Suiteドメインに登録する必要があります。Chrome OSデバイスの登録について詳しくは、Googleの記事Chromeデバイスの登録を参照してください。

Chrome OSデバイスがEndpoint Managementに登録されている場合は、Citrix PINを作成する必要があります。このPINはリセットできません。そのためユーザーがこのPINを忘れた場合、Chrome OSデバイスの登録を解除して再登録する必要があります。

  1. G Suiteの資格情報でChrome OSデバイスにログインします。

  2. ChromeのSecure Hub拡張機能をクリックします。Secure Hub拡張機能は、ブラウザーのアドレスバーの横に、次のように灰色表示されます。

    Secure Hub拡張機能の画像

  3. Secure Hub登録画面が表示されます。[登録] をクリックします。

    登録ウィンドウの画像

  4. 会社の資格情報として、Endpoint Managementサーバー名、ユーザープリンシパル名(User Principal Name:UPN)、メールアドレスなどを入力します。入力後、[次へ]をクリックします。

    会社の資格情報オプションの画像

  5. プロンプトが表示されたら、会社のユーザー名を入力します。会社のパスワードを入力します。[サインイン] をクリックします。

    サインインオプションの画像

  6. Citrix PINを作成します。このPINは6文字にする必要があります。文字と数字のみを使用できます。Citrix PINを2回入力し、[完了] をクリックします。

    Citrix PIN作成画面の画像

    登録の完了後、Secure Hub拡張機能のアイコンがアクティブになります。

登録したChrome OSデバイスにサインインする

Endpoint Managementに登録済みのChrome OSデバイスにサインインするには:

  1. G Suiteの資格情報でChrome OSデバイスにサインインします。

  2. 画面の指示に従ってCitrix PINを入力します。このPINは、デバイスをEndpoint Managementに登録した時に作成したものです。

    Citrix PINを入力しない場合:

    • PINを入力するまで1分ごとにCitrix PINを入力するよう求められます。
    • 5分後、google.com、citrix.com、gotomeeting.com、cloud.com以外のすべてのWebサイトへのアクセスがブロックされます。
    • 他のWebサイトにアクセスしようとすると、エラーメッセージが表示され、Citrix PINを使用してサインインするよう求められます。

Chrome OSデバイスの登録を解除して再登録する

Endpoint ManagementからChrome OSデバイスの登録を解除するには、アカウントを削除します。

  1. Chromeブラウザーで、Secure Hub拡張機能アイコンをクリックします。
  2. Secure Hub登録ウィンドウで、[削除] をクリックします。
  3. [はい、削除します] をクリックして削除を確定します。

    Secure Hubの登録ウィンドウが閉じ、Secure Hub拡張機能のアイコンが灰色表示になります。

再登録するには:

  1. Chrome OSデバイスからログアウトし、G Suiteの資格情報でログインし直します。
  2. [登録] をクリックし、表示される指示に従って再登録します。

登録招待の送信

Endpoint Managementコンソールで、iOSデバイス、macOSデバイス、およびAndroidデバイスを使用しているユーザーに登録招待状を送信できます。iOSまたはAndroidデバイスを使用しているユーザーにインストールリンクを送信することもできます。

登録招待は次のように送信されます。

  • 1人のローカルユーザーまたはActive Directoryユーザーあての登録招待の場合:指定された電話番号と通信事業者で、ユーザーあてに招待のSMSが送信されます。

  • グループ宛ての登録招待の場合:ユーザーはSMS経由で招待を受信します。Active Directoryユーザーのメールアドレスと携帯電話番号がActive Directoryに登録されている場合、ユーザーは招待を受信します。ローカルユーザーは、ユーザープロパティで指定されたメールアドレスと電話番号で招待を受信します。

ユーザーが登録すると、そのデバイスは [管理]>[デバイス] で管理対象として表示されます。招待URLの状態は [再開] と表示されます。

前提条件

  • 構成されたLDAP
  • ローカルグループおよびローカルユーザーを使用する場合

    • 1つまたは複数のローカルグループ。

    • ローカルグループに割り当てられたローカルユーザー。

    • デリバリーグループはローカルグループと関連付けられます。

  • Active Directoryを使用する場合

    • デリバリーグループはActive Directoryグループと関連付けられます。

登録招待の作成

  1. Endpoint Managementコンソールで、[管理]>[登録]の順にクリックします。[登録招待] ページが開きます。

    Endpoint Managementコンソールの[登録招待状]ページの画像

  2. [追加] をクリックします。登録オプションのメニューが表示されます。

    [招待の追加]メニューの画像

    • 1人のユーザーまたは1つのグループに登録招待を送信するには、[招待の追加] をクリックします。
    • SMTPまたはSMS経由で登録インストールリンクを受信者の一覧に送信するには、[インストールリンクの送信] を選択します。

    登録招待およびインストールリンクの送信は、次の手順の後に説明します。

  3. [招待の追加] をクリックします。[登録招待] 画面が開きます。

    [登録招待]画面の画像

  4. 次の設定を構成します。

    • 宛先: [グループ] または [ユーザー] を選択します。
    • プラットフォームを選択: [宛先][グループ] の場合はすべてのプラットフォームが選択されます。プラットフォームの選択は変更可能です。[宛先][ユーザー] の場合はいずれのプラットフォームも選択されません。プラットフォームを選択します。
    • デバイス所有権: [コーポレート] または [従業員] を選択します。

    次のセクションで説明するように、ユーザーまたはグループの設定が表示されます。

登録招待をユーザーに送信するには

[登録招待]設定の画像

  1. [ユーザー] について、次の設定を構成します。

    • ユーザー名: ユーザー名を入力します。このユーザーは、Endpoint Managementサーバーのローカルユーザー、またはActive Directoryのユーザーとして存在している必要があります。ローカルユーザーの場合、通知を送信できるようにユーザーのメールプロパティが設定されていることを確認します。Active Directoryユーザーの場合、LDAPが構成されていることを確認します。
    • デバイス情報: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。[シリアル番号][UDID]、または [IMEI] を選択します。オプションを選択すると、デバイスに応じて値を入力できるフィールドが表示されます。
    • 電話番号: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。任意で、ユーザーの電話番号を入力します。
    • キャリア: 複数のプラットフォームを選択した場合、またはmacOSのみを選択した場合は、この設定は表示されません。ユーザーの電話番号に関連付けるキャリアを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります。
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待 URLおよび PIN
      • 招待 URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。登録用のPINはワンタイムPINとも呼ばれます。このようなPINは、ユーザーの登録時にのみ有効です。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。このフィールドで、[登録PIN] を選択します。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モード を構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が追加されます。

    [登録招待]ページの表の画像

登録招待をグループに送信するには

以下は、グループへの登録招待を構成するための設定画面です。

グループへの登録招待ページの画像

  1. 次の設定を構成します。

    • ドメイン: 招待の宛先グループのドメインを選択します。
    • グループ: 招待の宛先グループを選択します。
    • 登録モード: ユーザーに求める登録の方法を選択します。デフォルトは [ユーザー名およびパスワード] です。次のオプションの中には、すべてのプラットフォームでは使用できないものもあります。
      • ユーザー名およびパスワード
      • 高セキュリティ
      • 招待URL
      • 招待 URLおよび PIN
      • 招待 URLおよびパスワード
      • 2要素
      • ユーザー名およびPIN

    選択した各プラットフォームに有効な登録モードのみが表示されます。

    注:

    PINを含む登録モードを選択すると、[登録PIN用テンプレート] フィールドが表示されます。このフィールドで、[登録PIN] を選択します。

    • エージェントダウンロード用テンプレート: ダウンロードリンクという名称のダウンロードリンクのテンプレートを選択します。このテンプレートは、サポートされているすべてのプラットフォームで使用できます。
    • 登録URL用テンプレート: [登録招待] を選択します。
    • 登録確認用テンプレート: [登録確認] を選択します。
    • 有効期限: このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
    • 最大試行数: このフィールドは登録処理を行う上限回数を示すものであり、登録モード を構成する時に設定します。
    • 招待を送信: 招待を直ちに送信するには、[オン] を選択します。[登録招待] ページの表に招待は追加するものの送信しない場合は、[オフ] を選択します。
  2. [招待を送信] を有効にした場合は [保存]および[送信] をクリックします。それ以外の場合は [保存] をクリックします。[登録招待] ページの表に招待が表示されます。

    [登録招待]の表の画像

インストールリンクを送信するには

登録インストールリンクを送信する前に、[設定] ページでチャネル(SMTPまたはSMS)を構成する必要があります。詳しくは、「通知」を参照してください。

[インストールリンクの送信]ページの画像

  1. これらの設定を構成し、[保存] をクリックします。

    • 宛先: 追加する宛先ごとに、[追加] をクリックして以下の操作を行います。
      • メール: 送信先のメールアドレスを入力します。このフィールドは必須です。
      • 電話番号: 送信先の電話番号を入力します。このフィールドは必須です。

      注:

      送信先を削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。項目を削除するには [削除] をクリックし、項目をそのままにするには [キャンセル] をクリックします。

      送信先を編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。項目を変更し、[保存] をクリックして変更した項目を保存するか、[キャンセル] をクリックして項目を変更せずそのままにします。

    • チャネル: 登録インストールリンクの送信に使用するチャネルを選択します。通知はSMTPまたはSMSで送信することができます。[通知サーバー][設定] ページでサーバー設定を構成するまでは、これらのチャネルをアクティブ化できません。詳しくは、「通知」を参照してください。
    • SMTP: 次の設定を任意で構成します。これらのフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • 差出人: オプションで送信者を入力します。
      • 件名: 任意でメッセージの件名を入力します。たとえば、「Enroll your device」などです。
      • メッセージ: 任意で、送信先に送信されるメッセージを入力します。たとえば、「Enroll your device to gain access to organizational apps and email.」などです。
    • SMS: 以下の設定を構成します。このフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • メッセージ: 送信先に送信されるメッセージを入力します。SMSベースの通知の場合、このフィールドは必須です。

        北米の場合、160文字を超えるSMSメッセージは複数のメッセージとして配信されます。

  2. [Send]をクリックします。

    注:

    環境がsAMAccountNameを使用している場合、ユーザーが招待を受け取ってリンクをクリックした後、認証を完了するには、ユーザー名を編集する必要があります。ユーザー名はsAMAccountName@domainname.comの形式で表示されます。ユーザーは「@domainname.com」の部分を削除する必要があります。

デバイス登録の制限

Endpoint Managementには、ユーザーがデバイスをいくつでも登録できるデフォルトの登録プロファイルが用意されています。デフォルトのプロファイル名はGlobalです。ユーザーが登録できるデバイスの数を制限する場合にのみ、登録プロファイルを作成します。登録プロファイルは、デリバリーグループに関連付けます。

デバイス登録の制限は、ENT、MDM、およびMAMサーバーモードに適用されます。この機能は、iOSおよびAndroidデバイスでのみ利用できます。

Endpoint Management展開にCOSUデバイスを含める場合、1人のEndpoint Management管理者、または数人の管理者グループがCOSUデバイスを多数登録することがあります。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。詳しくは、Android Enterpriseの記事で「Add a COSU enrollment profile」を参照してください。

  1. [構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

    デフォルトのGlobalプロファイルの画像

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報] ページで登録プロファイル名を入力してから、このプロファイルのメンバーが登録できるデバイスの数を選択します。

    [登録情報]の画像

  3. [次へ] をクリックします。[デリバリーグループ割り当て]ページが開きます。

    [デリバリーグループ割り当て]ページの画像

  4. この登録プロファイルのデリバリーグループを選択し、[保存] をクリックします。

    [デリバリーグループ] ページが開きます。

    [デリバリーグループ]ページの画像

    デリバリーグループに関連付けられた登録プロファイルを変更するには、[構成]>[デリバリーグループ] の順に移動して、[登録プロファイル] をクリックします。

    [登録プロファイル]ページの画像

デバイス登録制限のユーザーエクスペリエンス

デバイス登録制限を設定してユーザーが新しいデバイスを登録する場合、以下の手順に従います。

  1. Secure Hubにサインインします。

  2. 登録するサーバーアドレスを入力します。

  3. 資格情報を入力します。

  4. デバイスの上限に達すると、デバイス登録の上限を超えたことを知らせるエラーメッセージがユーザーに表示されます。

    Secure Hub登録画面の画像

    Secure Hub登録画面が再度表示されます。

セキュリティ操作

[管理]>[デバイス] ページでデバイスやアプリのセキュリティの操作を実行できます。デバイスの操作には、取り消し、ロック、ロック解除、ワイプがあります。アプリのセキュリティの操作には、アプリのロック、アプリのワイプが含まれます。

  • アクティベーションロックバイパス: デバイスのライセンス認証の前に、監視対象のiOSデバイスからアクティベーションロックを解除します。このコマンドでは、Appleの個人IDやユーザーのパスワードが要求されることはありません。

  • アプリのロック: デバイスのすべてのアプリケーションへのアクセスを拒否します。Androidでは、アプリのロックが行われるとユーザーはEndpoint Managementにサインインできなくなります。iOSでは、ユーザーはサインインできますが、アプリケーションにアクセスすることはできません。

  • アプリのワイプ: Androidでは、アプリのワイプを行うとEndpoint Managementからユーザーアカウントが削除されます。iOSでは、Secure Hubのユーザーアカウントが削除されます。

  • ASM DEPアクティベーションロック: Apple School Manager DEPに登録されているiOSデバイスのアクティベーションロックバイパスコードを作成します。

  • 制限の解除: 監視対象のiOSデバイスでこのコマンドを使用すると、ユーザーによって構成された制限パスワードと制限設定をEndpoint Managementで解除できるようになります。

  • 紛失モードを有効化/無効化: 監視対象のiOSデバイスを紛失モードにして、デバイスに表示されるメッセージ、電話番号、補足説明を送信します。2回目にこのコマンドを送信すると、デバイスの紛失モードは無効になります。

  • 完全なワイプ: デバイスからメモリカードを含むすべてのデータとアプリケーションを直ちに消去します。

    • Androidデバイスの場合、メモリカードをワイプするオプションをこの要求に含めることができます。

    • iOS、macOS、tvOSデバイスの場合、デバイスがロックされていても直ちにワイプが実行されます。

      iOS 11デバイス(最小バージョン)の場合:フルワイプを確認したら、携帯データネットワークプランをデバイスに保存することができます。

      iOS 11.3デバイス(最小バージョン)の場合:フルワイプを確認したら、iOSデバイスが近接セットアップを実行するのを防ぐことができます。新しいiOSデバイスを設定する場合、通常ユーザーは既に構成済みのiOSデバイスを使用して自分のデバイスを設定できます。ワイプ済みのEndpoint Management管理対象デバイスについて、近接セットアップを禁止することができます。

    • Windows Phoneデバイスの場合、フルワイプを実行すると、すべてのEndpoint Management情報に加え、個人的なコンテンツ(アプリ、メール、連絡先、メディアなど)を含むすべてのユーザーデータが削除されます。

    • Windows Mobile 6以前を実行しているWindows Mobileデバイスの場合、ワイプ実行後、デバイスを製造元に送り返して、元のオペレーティングシステムやソフトウェア、あるいはその両方を再ロードしなければならない場合があります。

    • メモリカードの内容が削除される前にユーザーがデバイスの電源をオフにした場合、ユーザーはデバイスのデータにまだアクセスできる場合があります。

    • ワイプの要求がデバイスに送信されるまでは、要求をキャンセルできます。

  • 検索: [管理]>[デバイス] ページの、[デバイス詳細]>[全般] で、デバイスを検索してデバイスの場所(マップなど)を報告します。

  • ロック: デバイスをリモートロックします。これは、紛失したデバイスが盗難に遭ったかどうか不明な場合に役立ちます。その後、Endpoint ManagementによってPINコードが生成されてデバイスに設定されます。デバイスにアクセスするには、PINコードを入力します。Endpoint Managementコンソールからロックを解除するには [ロックのキャンセル] を使用します。

  • ロックおよびパスワードのリセット: デバイスをリモートロックしてパスワードをリセットします。

  • 通知(通知音): Androidデバイスで通知音を鳴らします。

  • 再起動: Windows 10デバイスを再起動します。WindowsタブレットおよびPCでは、「システムを再起動します」という内容のメッセージが表示されて、5分以内に再起動が実行されます。Windows Phoneでは、ユーザーに警告メッセージは表示されず、数分後に再起動が実行されます。

  • AirPlayミラーリングの要求/停止: 監視対象のiOSデバイスで、AirPlayミラーリングを開始および停止します。

  • 再起動/シャットダウン: 監視対象のiOSデバイスを直ちに再起動またはシャットダウンします。

  • 取り消し: デバイスからEndpoint Managementへの接続を禁止します。

  • 取り消し/認証(iOS、macOS、tvOS): 選択的なワイプと同じ操作を実行します。取り消し後に、デバイスを再承認して再登録できます。

  • 警報: 監視対象のiOSデバイスが紛失モードの場合に、デバイスで警告音を鳴らします。警告音は、デバイスの紛失モードが解除されるか、ユーザーがサウンドを無効にするまで鳴り続けます。

  • 選択的なワイプ: 個人のデータとアプリケーションは残して、企業のすべてのデータとアプリケーションをデバイスから消去します。選択的なワイプ後に、ユーザーはデバイスを再登録できます。

    • Androidデバイスを選択的にワイプしても、Device Managerや社内ネットワークから切断されることはありません。デバイスがDevice Managerにアクセスしないようにするには、デバイス証明書を失効させる必要もあります。
    • Samsung KNOX APIに対応している場合、デバイスを選択的にワイプするには、Samsung KNOXコンテナーも削除する必要があります。
    • iOSデバイスおよびmacOSデバイスでは、このコマンドにより、MDMを通じてインストールされたすべてのプロファイルが削除されます。
    • Windowsデバイスに対して選択的ワイプを実行した場合、その時点でサインオンしているすべてのユーザーのプロファイルフォルダーの内容も削除されます。選択的なワイプでは、構成を介してユーザーに配信したWebクリップは削除されません。Webクリップを削除するには、ユーザーはデバイスを手動で登録解除します。選択的にワイプされたデバイスを再登録することはできません。
    • Windows Phoneデバイスを選択的にワイプすると、Endpoint Managementがデバイスにアプリケーションをインストールために必要なエンタープライズトークンが削除されます。また、このワイプによって、デバイスに展開済みのEndpoint Managementの証明書と構成もすべて削除されます。選択的にワイプされたWindows Phoneデバイスを再登録することはできません。
    • Androidデバイスでの選択的なワイプによってデバイスも取り消されます。デバイスを再度承認するかコンソールから削除した後にのみ、デバイスを再登録することができます。
  • ロック解除: デバイスがロックされたときに送信されたパスコードをクリアします。このコマンドによってデバイスがロック解除されることはありません。

[管理]>[デバイス][デバイス詳細] ページには、デバイスの[セキュリティ]プロパティも表示されます。これらのプロパティには、[Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、およびプラットフォームの種類に関するその他の情報などが含まれます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

Androidデバイスのセキュリティ操作

セキュリティ操作 Android(Android Enterpriseデバイスを除く) Android Enterprise(BYOD) Android Enterprise(会社所有)
アプリのロック 不可 不可
アプリのワイプ 不可 不可
フル ワイプ 不可
検索 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、Endpoint Managementは検索コマンドの送信時に再度検索の権限を要求します。 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、Endpoint Managementは検索コマンドの送信時に再度検索の権限を要求します。 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、Endpoint Managementは検索コマンドの送信時に再度検索の権限を要求します。
ロック
ロックとパスワードのリセット 不可
通知(通知音)
取り消し
選択的なワイプ 不可

iOS、macOS、tvOSデバイスのセキュリティ操作

セキュリティ操作 iOS macOS tvOS
アクティベーション ロック バイパス 不可 不可
アプリのロック 不可 不可
アプリのワイプ 不可 不可
ASM DEPアクティベーションロック 不可 不可
制限の削除 不可 不可
紛失モードを有効化/無効化 不可 不可
追跡を有効/無効にする 不可 不可
フル ワイプ
検索 不可 不可
ロック 不可
警報 不可
AirPlayミラーリングの要求/停止 不可 不可
再起動/シャットダウン 不可 はい(再起動)
取り消し/承認
選択的なワイプ 不可
ロック解除 不可 不可

共有iPadのセキュリティ操作について詳しくは、「共有iPadのセキュリティ操作」を参照してください。

Windowsデバイスのセキュリティ操作

セキュリティ操作 Windows Phone 10 Windowsタブレット 10 Windows Phone 8.1
検索 不可
ロック
ロックとパスワードのリセット 不可
再起動 不可
取り消し
警報 不可
選択的なワイプ
ワイプ 不可

この記事の残りの部分では、各種セキュリティ操作を実行する手順について説明します。一部の操作を自動化することもできます。詳しくは、「自動化された操作」を参照してください。

iOSデバイスのロック

iOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示することができます。この機能は、iOS 7以降を実行しているデバイスでサポートされます。

ロックされたデバイスでメッセージと電話番号を表示するには、Endpoint Managementコンソールで [パスコード] ポリシーがtrueに設定されている必要があります。あるいは、デバイス上でパスコードを手動で有効化できます。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. ロックするiOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニューの画像

    オプションメニューの画像

  3. オプションメニューの [保護] を選択します。[セキュリティ操作]ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックスの画像

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面の画像

  5. 必要に応じて、デバイスのロック画面に表示するメッセージと電話番号を入力します。

    iOS 7以降を実行しているiPad:iOSは「Lost iPad」という文字列をユーザーが [メッセージ] フィールドに入力した内容に追加します。

    iOS 7以降を実行しているiPhone: [メッセージ] フィールドを空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

  6. [デバイスのロック] をクリックします。

Endpoint Managementコンソールからのデバイスの削除

重要:

Endpoint Managementコンソールからデバイスを削除しても、管理対象アプリとデータはそのデバイスに残ります。デバイスから管理対象アプリとデータを削除するには、この記事で後述する「デバイスの削除」を参照してください。

Endpoint Managementコンソールからデバイスを削除するには、[管理]>[デバイス]の順に選択し、管理対象デバイスを選択して [削除] をクリックします。

[削除]オプションの画像

デバイスの選択的なワイプ

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、[選択的なワイプ] をクリックします。

  3. Androidデバイスのみ、デバイスをワイプした後、[セキュリティ操作][取り消し] をクリックして、社内ネットワークからデバイスを切断します。

    選択的ワイプ要求が実行される前にその要求を取り消すには、[セキュリティ操作] で、[選択的なワイプのキャンセル] をクリックします。

デバイスの削除

この手順では、管理対象アプリとデータをデバイスから削除し、Endpoint Managementコンソールの[デバイス]一覧からデバイスを削除します。

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [選択的なワイプ] をクリックします。プロンプトが表示されたら、[選択的なワイプの実行] をクリックします。

  3. ワイプコマンドが成功したことを確認するには、[管理]>[デバイス] を更新します。[モード] 列でMDMとMAMが黄色の場合は、ワイプコマンドが成功したことを示します。

    ワイプコマンドが成功した画像

  4. [管理]>[デバイス] に移動し、デバイスを選択して [削除] をクリックします。プロンプトが表示されたら、再び [削除] をクリックします。

アプリのロック、ロック解除、ワイプ、ワイプ解除

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、アプリの操作をクリックします。

    [セキュリティ操作] ボックスは、アカウントが無効になっているか、Active Directoryから削除されているユーザーのデバイスの状態を確認するために使用することもできます。アプリロック解除またはアプリワイプ解除アクションが存在する場合、アプリがロックまたはワイプされていることを意味します。

iOSデバイスを紛失モードにする

Endpoint Managementの紛失モードデバイスプロパティで、iOSデバイスを紛失モードにします。Appleのマネージド紛失モードと異なり、Endpoint Managementの紛失モードでは、ユーザーは[iPhone/iPadを探す]の構成とCitrix Secure Hubの位置情報サービスの有効化を行わなくても、自分のデバイスの位置情報を検索可能にできます。

ただし、Endpoint Managementの紛失モードでは、デバイスのロックを解除できるのはEndpoint Managementだけです。一方、Endpoint Managementのデバイスロック機能を使用すると、ユーザーは管理者から提供されたPINコードを使用して、直接デバイスをロック解除できます。

紛失モードを有効または無効にするには: [管理]>[デバイス] に移動し、監視対象デバイスを選択して [保護] をクリックします。次に、[紛失モードを有効化] または [紛失モードを無効化] をクリックします。

紛失モードオプションの画像

[紛失モードを有効化] をクリックした場合は、デバイスが紛失モードになったときにデバイスに表示される情報を入力します。

デバイスに表示される情報の画像

次のいずれかの方法を使って紛失モードの状態を確認する:

  • [セキュリティ操作] ウィンドウで、ボタンが [紛失モードを無効化] であることを確認します。
  • [管理]>[デバイス] から、[セキュリティ][一般] タブで、[紛失モードを有効化]または[紛失モードを無効化]の最後の操作を確認します。

[一般]タブの画像

  • [管理]>[デバイス] から [プロパティ] タブで、[MDMの紛失モードの有効化] の設定値が正しいことを確認します。

[MDMの紛失モードの有効化]設定の画像

iOSデバイスでEndpoint Managementの紛失モードを有効化すると、Endpoint Managementコンソールも以下のように変更されます:

  • [構成]>[操作][操作] 一覧には、自動化された操作 [デバイスを失効][デバイスの選択的なワイプ][デバイスを完全にワイプ] は含まれません。
  • [管理]>[デバイス][セキュリティ操作] 一覧に、[失効] および [選択的なワイプ] デバイス操作が含まれなくなりました。必要に応じて、セキュリティ操作を使って [完全なワイプ] を実行することは引き続き可能です。

iOS 7以降を実行しているiPad:iOSは「Lost iPad」という文字列をユーザーが [セキュリティ操作] 画面の [メッセージ] に入力した内容に追加します。

iOS 7以降を実行しているiPhone: [メッセージ] を空白にして電話番号を入力すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

iOSアクティベーションロックのバイパス

アクティベーションロックは、紛失したり盗まれたりした管理対象デバイスが再アクティブ化されないようにすることを目的とした[iPhone/iPadを探す]の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードを入力してからでないと、[iPhone/iPadを探す]をオフにしたり、デバイスを消去したり、デバイスを再アクティブ化したりすることはできません。組織所有のデバイスの場合は、デバイスのリセットや再割り当てなどを行う際にアクティベーションロックをバイパスする必要があります。

アクティベーションロックを有効にするには、Endpoint ManagementのMDMオプションデバイスポリシーを構成し、展開します。これにより、ユーザーのApple資格情報なしで、Endpoint Managementコンソールからデバイスを管理できるようになります。アクティベーションロックで必要なApple資格情報の入力を省略するには、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行します。

たとえば、紛失したiPhoneがユーザーによって返却された場合や、フルワイプの前後にデバイスを設定する場合、iPhoneでiTunesアカウントの資格情報を求められた際に、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行することでこの手順を省略することができます。

アクティベーションロックバイパスのデバイス要件

  • iOS 7.1(最小バージョン)
  • Apple ConfiguratorまたはApple DEPによる監視対象である
  • iCloudアカウントで構成済みである
  • [iPhone/iPadを探す]が有効になっている
  • Endpoint Managementに登録済みである
  • MDMオプションデバイスポリシー(アクティベーションロックが有効になっている)がデバイスに展開されている

デバイスのフルワイプを発行する前にアクティベーションロックをバイパスするには、次の手順を実行します。

  1. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  2. デバイスをワイプします。デバイスの設定時に、アクティベーションロック画面は表示されません。

デバイスのフルワイプを発行した後にアクティベーションロックをバイパスするには、次の手順を実行します。

  1. デバイスをリセットまたはワイプします。デバイスの設定時に、アクティベーションロック画面が表示されます。
  2. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  3. デバイスの[戻る]ボタンをタップします。ホーム画面が開きます。

次の点に注意してください。

  • ユーザーが「iPhone/iPadを探す」をオフにしないようアドバイスしてください。デバイスからフルワイプを実行しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後にすべてのコンテンツと設定が消去されると、iPhone/iPadのアクティブ化画面がユーザーに表示されなくなります。
  • デバイスでアクティベーションロックバイパスコードを作成済みであり、アクティベーションロックが有効になっている場合は、フルワイプ後に[iPhone/iPadのアクティブ化]ページを省略できなくても、Endpoint Managementからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに連絡することで、デバイスのブロックを直接解除することができます。
  • ハードウェアインベントリの際に、Endpoint Managementはデバイスのアクティベーションロックバイパスコードの照会を行います。バイパスコードが使用可能な場合は、デバイスからEndpoint Managementにバイパスコードが送信されます。その後、バイパスコードをデバイスから削除するには、Endpoint Managementコンソールから[アクティベーションロックバイパス]セキュリティ操作を送信します。この時点で、Endpoint ManagementとAppleに、デバイスのブロック解除に必要なバイパスコードが存在します。
  • [アクティベーションロックバイパス]のセキュリティ操作は、Appleのサービスの可用性に依存しています。操作がうまくいかない場合は、次の手順を実行してデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、[ユーザー名]フィールドは空のままにして、[パスワード]フィールドにバイパスコードを入力します。バイパスコードを見つけるには、[管理]>[デバイス] に移動し、デバイスを選択して [編集][プロパティ] の順にクリックします。[セキュリティ情報] の下に [アクティベーションロックバイパスコード] があります。

共有デバイス

Endpoint Managementでは、複数のユーザーで共有可能なデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリケーションやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。

共有デバイスに関する注意点

MDMモード

  • iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。Endpoint Management Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用する必要があります。
  • クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。

MDM+MAMモード

  • iOSおよびAndroidタブレットでのみ使用できます。
  • Endpoint Management 10.3.x以降でサポートされます。
  • Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
  • クライアント証明書認証、Worx PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
  • MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
  • Secure Mail、Secure Web、およびShareFileモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
  • Active Directoryユーザーのみがサポートされます。ローカルユーザーおよびグループはサポートされません。
  • 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
  • ユーザーが共有できるのはCitrix業務用モバイルアプリおよびMDXラップしたアプリのみであり、デバイスのネイティブのアプリケーションは共有できません。
  • 最初の登録時にCitrix業務用モバイルアプリをダウンロードすれば、新しいユーザーがデバイスにログオンするたびにこのアプリがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
  • セキュリティのためにAndroid上で各ユーザーのデータを隔離する場合は、Endpoint Managementコンソールで [Root化済みデバイスの禁止] ポリシーを [オン] にする必要があります。

共有デバイスの登録の前提条件

共有デバイスを登録する前に、以下の操作を行う必要があります。

MDM+MAMモードの前提条件

  1. Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
  2. 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。

共有デバイスの要件

サイレントインストールやアプリケーションの削除など、最善のユーザーエクスペリエンスが提供されるよう、共有デバイスの構成は以下のプラットフォームで行うことをお勧めします。

  • iOS 9(MDMのみ)とiOS 10
  • Android M
  • Android 5.x
  • Android 4.4.x(MDMのみ)
  • Android 4.0.x(MDMのみ)

共有デバイスを構成する

以下の手順に従って、共有デバイスを構成します。

  1. Endpoint Managementコンソールで、右上隅にある歯車をクリックします。[設定] ページが開きます。
  2. [Role-Based Access Control][Add]の順にクリックします。[デバイスの追加] ページが開きます。
  3. [承認済みのアクセス][共有デバイスの登録機能]権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[Console features]の[Devices]を展開し、[Selective Wipe device]をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。

    適用権限]で、デフォルト設定の[すべてのユーザー グループ]を保持するか、特定のActive Directoryユーザーグループに[特定のユーザー グループ]で権限を割り当てます。

    [適用権限]オプションの画像

    [次へ]をクリックして[割り当て]画面に進みます。作成したばかりの共有デバイス登録の役割を、前提条件の手順1で共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図でcitrix.labはActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。

    [割り当て]ページの画像

  4. ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリケーション、アクションを含むデリバリーグループを作成し、共有デバイス登録ユーザーActive Directoryグループにそのデリバリーグループを関連付けます。

    デリバリーグループ設定の画像

  5. 共有デバイスにSecure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してEndpoint Managementにデバイスを登録します。これで、Endpoint Managementコンソールでデバイスを表示および管理できるようになります。詳しくは、「デバイスの登録」を参照してください。

  6. 認証されたユーザーに異なるポリシーを適用したり、追加のアプリケーションを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは、「リソースの展開」を参照してください。

  7. デバイスの共有を停止するには、選択的なワイプを実行して、共有デバイス登録ユーザーアカウントおよび展開されたアプリケーションとポリシーをデバイスから削除します。

共有デバイスのユーザーエクスペリエンス

MDMモード

ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリケーションがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録に必要とされているものを除いて、ポリシーおよびアプリケーションは削除されます。

MDM+MAMモード

共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。

Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリケーション、データが削除されている間、新しいユーザーはサインオンできません。

共有デバイス登録によって、アプリケーションのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリケーションをアップグレードできます。

推奨されるSecure Mailポリシー

  • Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて[Max sync period]を設定します。無制限同期を許可することは推奨されません。
デバイスを共有するユーザーの数 推奨される[同期の最大期間]
21~25 1週間以内
6~20 2週間以内
5以下 1か月以内
  • [連絡先のエクスポートの有効化] を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。

  • iOSでは、次の設定のみをユーザーごとに設定できます。その他の設定は、デバイスを共有するユーザー間で共通になります。

    • 通知
    • 署名
    • 不在
    • メール期間の同期
    • S/MIME
    • スペルチェック

デバイス情報の取得

Endpoint Managementのデータベースには、モバイルデバイスの一覧が保存されます。各モバイルデバイスは、一意のシリアル番号またはIMEI(International Mobile Station Equipment Identity)/MEID(Mobile Equipment Identifier)識別番号よって定義されます。Endpoint Managementコンソールにデバイスを追加するには、手動でデバイスを追加するか、ファイルからデバイスの一覧をインポートします。デバイスプロビジョニングファイル形式について詳しくは、「デバイスプロビジョニングファイル形式」を参照してください。

Endpoint Managementコンソールの [管理]>[デバイス] ページには、各デバイスと以下の情報が表示されます:

  • 状態(デバイスがジェイルブレイクされているか、管理されているか、Active Sync Gatewayが使用可能か、およびデバイスの展開環境の状態などを示すアイコンです)
  • モード(デバイスのモードがMDM、MAM、またはその両方かを示します)
  • ほかに、次のようなデバイスの情報を表示できます。ユーザー名デバイスプラットフォームオペレーティングシステムバージョンデバイスモデル最終アクセス日時非アクティブ日数。これらの見出しは、デフォルトで表示されます。

デバイス表をカスタマイズするには、見出しの右端の下向き矢印をクリックします。次に、その表に表示する追加の見出しをオンにするか、または削除する見出しをオフにします。

[デバイス]表のカスタマイズオプションの画像

手動によるデバイスの追加、デバイスプロビジョニングファイルからのデバイスのインポート、デバイスの詳細の編集、セキュリティの操作の実行、デバイスへの通知の送信を行うことができます。デバイス表のデータ全体を.csvファイルにエクスポートして、このファイルからカスタムレポートを作成することもできます。サーバーはすべてのデバイス属性をエクスポートします。フィルターを適用している場合、Endpoint Managementは.csvファイルの作成時にそのフィルターを使用します。

手動によるデバイスの追加

  1. Endpoint Managementコンソールで、[管理]>[デバイス]の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. [追加] をクリックします。[デバイスの追加] ページが開きます。

    [デバイス]ページの画像

  3. 次の設定を構成します。

    • プラットフォーム選択: [iOS] または [Android] を選択します。
    • シリアル番号: デバイスのシリアル番号を入力します。
    • IMEI/MEID: Androidデバイスに限り、任意で、デバイスのIMEi/MEID情報を入力します。
  4. [追加] をクリックします。[デバイス] の表に示される一覧の一番下に、追加したデバイスが表示されます。追加したデバイスを選択して表示されるメニューで [編集] をクリックし、デバイスの詳細を表示して確認します。

    注:

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    • 構成されたLDAP

    • ローカルグループおよびローカルユーザーを使用する場合

      • 1つまたは複数のローカルグループ。

      • ローカルグループに割り当てられたローカルユーザー。

      • デリバリーグループはローカルグループと関連付けられます。

    • Active Directoryを使用する場合

      • デリバリーグループはActive Directoryグループと関連付けられます。

      [デバイス詳細]一覧の画像

  5. [一般] ページには、シリアル番号、ActiveSync ID、プラットフォームの種類に関するその他の情報など、デバイスの識別子が表示されます。[デバイス所有権] で、[コーポレート]または [BYOD] を選択します。

    [一般] ページには、デバイスの [セキュリティ] プロパティ([Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、プラットフォームの種類に関するその他の情報など)も表示されます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

  6. [プロパティ] ページには、Endpoint Managementがプロビジョニングするデバイスのプロパティが表示されます。この一覧は、デバイスの追加に使用されるプロビジョニングファイルに含まれるデバイスのプロパティを表示します。プロパティを追加するには、[追加] をクリックして一覧からプロパティを選択します。各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。

    プロパティを追加すると、最初に追加したカテゴリに表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切な一覧に表示されます。

    プロパティを削除するには、項目の上にマウスカーソルを置いて、右側の [X] をクリックします。Endpoint Managementデバイスによりその項目が削除されます。

  7. 残りの [デバイス詳細] セクションには、デバイスの概要が表示されます。

    • ユーザープロパティ: ユーザーのRBACの役割、グループメンバーシップ、VPPアカウント、およびプロパティを表示します。このページでインベントリからVPPアカウントを削除できます。
    • 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を含む、割り当て済みポリシーの数が表示されます。各ポリシーの名前、種類、最新展開の情報が表示されます。
    • アプリ: インストール済み、保留中、失敗のアプリ展開数を含む、最新のインベントリ時点のアプリケーション数が表示されます。アプリ名、ID、種類、その他の情報が表示されます。HasUpdateAvailable などのiOSおよびmacOSのインベントリキーの説明については、「モバイルデバイス管理(MDM)プロトコル」を参照してください。
    • メディア: 展開済み、保留中、失敗のメディア展開数を含む、最新のインベントリ時点のメディア数が表示されます。
    • 操作: 展開済み、保留中、失敗のアクション数を含む、アクション数が表示されます。最新展開のアクション名と時間が表示されます。
    • デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数が表示されます。各展開のデリバリーグループ名と展開時間が表示されます。デリバリーグループを選択すると、状態、アクション、チャネル、またはユーザーなどの詳細な情報を表示できます。
    • iOSプロファイル: 名前、種類、組織、説明など、最新のiOSプロファイルインベントリが表示されます。
    • iOSプロビジョニングプロファイル: UUID、有効期限、管理対象かどうかなど、エンタープライズ配布プロビジョニングプロファイルの情報を表示します。
    • 証明書: 有効な証明書と期限切れまたは失効した証明書が表示され、種類、プロバイダー、発行者、シリアル番号、期限切れまでの残日数などの情報も表示されます。
    • 接続: 最初の接続状態と最後の接続状態が表示されます。各接続のユーザー名、最後から2番目の認証時間、最後の認証時間が表示されます。
    • MDMステータス: MDMステータス、最後のプッシュ時間、最後のデバイス応答時間などの情報が表示されます。
    • TouchDown: (Androidデバイスのみ)最後のデバイス認証と最後のユーザー認証の情報が表示されます。それぞれ該当するポリシー名とポリシー値が表示されます。

デバイスプロビジョニングファイルからのデバイスのインポート

モバイル事業者やデバイス製造元が提供するファイルをインポートしたり、独自のデバイスプロビジョニングファイルを作成したりすることができます。詳しくは、「デバイスプロビジョニングファイル形式」を参照してください。

  1. [管理]、[デバイス] に移動して、[インポート] を選択します。[Import Provisioning File]ダイアログボックスが開きます。

    [プロビジョニングファイルのインポート]ダイアログボックスの画像

  2. [ファイルの選択] を選択して、インポートするファイルまで移動します。

  3. [インポート] をクリックします。インポートされたファイルが [デバイス] の表に追加されます。

  4. デバイスの情報を編集するには、[デバイス詳細]を選択して [編集] をクリックします。[デバイス詳細] ページについて詳しくは、「手動によるデバイスの追加」を参照してください。

デバイスへの通知の送信

[Devices]ページで、デバイスに通知を送信できます。通知について詳しくは、「通知」を参照してください。

  1. [管理]>[デバイス] ページで、通知を送信するデバイスを選択します。

  2. [通知] をクリックします。[通知] ダイアログボックスが開きます。[受信者] フィールドに、通知を受信するすべてのデバイスの一覧が表示されます。

    [通知]ダイアログボックスの画像

  3. 次の設定を構成します。

    • テンプレート: 一覧から、送信する通知の種類を選択します。[アドホック] を選択した場合を除き、[件名] フィールドおよび [メッセージ] フィールドには、選択したテンプレートで構成済みのテキストが入力されます。
    • チャネル: メッセージの送信方法を選択します。デフォルトは [SMTP] および [SMS] です。各チャネルのメッセージの形式を表示するには、タブをクリックします。
    • 差出人: オプションで送信者を入力します。
    • 件名: [アドホック]メッセージの場合、件名を入力します。
    • メッセージ: [アドホック]メッセージの場合、メッセージを入力します。
  4. [通知] をクリックします。

[デバイス]の表のエクスポート

  1. エクスポートファイルで表示する内容によって、[デバイス] の表にフィルターを適用します。

  2. [デバイス] の表の上にある [エクスポート] をクリックします。Endpoint Managementによって [デバイス] 表の情報が抽出され、.csvファイルに変換されます。

  3. .csvファイルを開くか、保存します。

ユーザーデバイスの手動タグ付け

Endpoint Managementでは、次のいずれかの方法でデバイスに手動でタグ付けすることができます:

  • 招待状に基づく登録処理中
  • Self Help Portal登録処理中
  • デバイスの所有権をデバイスプロパティとして追加する

組織または個人所有のいずれかとして、デバイスにタグ付けするオプションが用意されています。Self Help Portalを使ってデバイスを自動登録するときに、組織または個人所有のいずれかとして、デバイスにタグを付けることができます。以下のように手動でデバイスにタグを付けることもできます。

  1. Endpoint Managementコンソールの [デバイス] タブで、プロパティをデバイスに追加します。
  2. [所有者] という名前のプロパティを追加し、[コーポレート][BYOD](個人所有)のいずれかを選択します。

    [所有者]プロパティ設定の画像

デバイスの検索

高速検索の場合、デフォルト検索のスコープには、次のデバイスプロパティのみが含まれています。

  • シリアル番号
  • IMEI
  • Wi-Fi MACアドレス
  • Bluetooth MAC アドレス
  • Active Sync ID
  • ユーザー名

新しいサーバープロパティinclude.device.properties.during.searchを使用して検索スコープを構成できます。デフォルトはfalseです。デバイス検索にすべてのデバイスプロパティを含めるには、[設定]>[サーバープロパティ] に移動し、設定をtrueに変更します。

デバイスプロビジョニングファイル形式

携帯電話会社またはデバイス製造業者の多くが公認のモバイルデバイスの一覧を提供しています。この一覧を使用することで、モバイルデバイスの長い一覧を手動で入力することを避けることができます。Endpoint Managementは、Android、iOS、Windowsの3種類のサポート対象デバイスすべてに共通のインポートファイル形式をサポートしています。

Endpoint Managementへのデバイスのインポートに使用するプロビジョニングファイルを手動で作成する場合、次の形式に従う必要があります:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

次の点に注意してください。

  • 各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。
  • UTF-8形式の文字セットを使用します。
  • プロビジョニングファイル内では、フィールドをセミコロン(;)で区切ります。フィールドの一部としてセミコロンが含まれる場合は、バックスラッシュ文字(\)を使ってエスケープする必要があります。

    例えば、このプロパティの場合は次のようになります。

    propertyV;test;1;2

    以下のようにエスケープします。

    propertyV\;test\;1\;2

  • シリアル番号はiOSデバイスの識別子であるため、iOSデバイスにはシリアル番号が必須です。
  • その他のデバイスプラットフォームの場合、シリアル番号またはIMEIが必要です。
  • OperatingSystemFamilyの有効な値は、WINDOWSANDROIDiOSのいずれかです。

デバイスプロビジョニングファイルの例

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

ファイルの各行にデバイスの説明が含まれています。上のサンプルの最初のエントリは以下を意味しています。

  • シリアル番号: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • オペレーティングシステムファミリ: WINDOWS
  • プロパティ名: propertyN
  • プロパティ値: propertyV\;test\;1\;2;prop 2