Citrix Endpoint Management

Play Integrity API

Play Integrity APIは、不正行為や不正アクセスなど、潜在的にリスクの高い不正なやりとりからアプリやゲームを保護するのに役立ち、攻撃を防いだり不正使用を減らしたりするための適切な対応を取ることができます。詳しくは、「Play Integrity API」を参照してください。

Play Integrity APIの有効化

Play Integrity APIに切り替えるには、次の手順を実行します。

  1. afw.safetynet.attestation.api. 廃止フィーチャーフラグを、指定したCitrix Endpoint Managementサーバーに対して、オンにします。
  2. Citrix Endpoint Managementコンソールで、[Android のPlay Integrity][設定] ページから選択します。

    Play Integrityの有効化

  3. [構成証明スケジュール(時間)]フィールドに値を入力します。これは、PlayIntegrity Attestation APIがデバイスを評価する間隔の時間です。最小値は24時間で、最大値は1000時間です。デフォルト値は24時間です。[Save] をクリックします。
  4. Citrix Secure Hub Androidバージョン23.7.0へのアップグレードデバイスからサインオフし、Citrix Secure Hubにサインインして、Play Integrity API経由でAttestをトリガーします。

Play Integrity APIの構成証明による結果の表示と分析

  1. Citrix Endpoint Managementコンソールで、[管理]>[デバイス] に移動します。
  2. Play Integrity APIの構成証明の結果を表示するデバイスを選択します。[詳細を表示] をクリックします。
  3. [デバイス] タブで、[プロパティ] を選択します。結果が [セキュリティ情報] セクションに表示されます。

    Play Integrityの分析の

  4. Play Integrity APIの構成証明は次のステータスを返します。
    • [Play Integrity デバイスの認識判定] フィールドに「MEETS_BASIC_INTEGRITY」が含まれている場合、そのデバイス上で実行されているCitrix Secure Hubが少なくとも基本的なシステム整合性を満たしていることを意味します。
    • [Play Integrity デバイスの認識判定] フィールドに「MEETS_BASIC_INTEGRITY」が含まれていない場合、そのデバイス上のCitrix Secure Hubは、認識できないバージョンのAndroidで実行されているか、ロック解除されているブートローダーがあるか、製造元によって認定されていない可能性があることを意味します。
    • [Play Integrity の直前の既知の状態][成功] の場合、PlayIntegrity APIの構成証明が正常に実行されたことを意味します。
    • [Play Integrity の直前の既知の状態][失敗] の場合、PlayIntegrity APIの構成証明の実行が失敗したことを意味します。

注:

管理者は、2023年11月末のSafetyNet Attestationの最終ターンダウンの前に、SafetyNetの使用を許可するフィーチャーフラグをクリアできます。

制限事項

  1. 新規登録されたCOSUデバイスとDOデバイスについては、適合しているデバイスであっても不適合と表示されます。

    Play Integrity APIは、DOの登録中の最初の構成証明について空の値を返します。これにより、デバイスが不適合のように見えます。この制限はGoogleの既知の問題です。この問題を修正するためにDPC Support Lib 20230418が公開されています。

    この修正は、23.9.0バージョンから利用可能です。それまでは以下の手順を回避策として使用できます。

    • フィーチャーフラグをクリアし、引き続きSafetyNet APIを使用してSafetyNet Attestation APIの使用を継続します。
    • サインオフして再びサインインし、登録後に構成証明をトリガーします。また、次回の定期的な構成証明を待つこともできます(デフォルトでは24時間ごとに行われます)。

    この問題は登録中にのみ発生します。登録後、Play Integrity APIは正常に機能します。

  2. 新規登録されたWPCODデバイスは、適合している場合でも、不適合と表示されます。Googleはこの問題について調査中です。

Play Integrity API