Citrix Endpoint Management

Apple Education機能との統合

Apple Educationを使用する環境で、Endpoint Managementをモバイルデバイス管理(MDM)ソリューションとして使用できます。Endpoint Managementのサポートには、Apple School Manager(ASM)やiPad用のクラスルームアプリが含まれています。Endpoint Managementの教育の構成デバイスポリシーでは、Apple Educationを使用する講師および生徒のデバイスを構成します。

講師と生徒には事前に構成された監視対象iPadが提供されます。この構成には、Endpoint ManagementでのASMの登録、新しいパスワードで構成された管理対象Apple IDアカウント、および必須の一括購入アプリとiBooksが含まれます。

Appleの教育向け機能について詳しくは、Appleの「教育」サイトおよび同サイトの「教育用導入ガイド」を参照してください。

Apple School Manager

Endpoint ManagementをASMと統合するには、次の一般的な手順に従います。

  1. ASMで所属機関のアカウントを作成して、所属機関をASMに登録します。
  2. Apple School Managerの教育用一括購入アカウントを構成します。
  3. Apple School Managerユーザーのパスワードを追加します。
  4. リソースとデリバリーグループを計画してEndpoint Managementに追加します。
  5. 講師および生徒のデバイス登録をテストします。
  6. 事前に構成されたデバイスを講師と生徒に提供します。
  7. 講師、生徒、およびクラスのデータの管理
  8. デバイスの紛失または盗難が発生した場合は、デバイスをロックしたり検索したりすることができます。

ASMへの登録、およびアカウントとEndpoint Managementの接続については、「Apple Deployment Programでのデバイスの展開」を参照してください。

前提条件

  • Citrix Gateway

  • MDM+MAM用に構成された登録プロファイル。

  • Apple iPad第3世代(最小バージョン)、またはiOS 9.3(最小バージョン)を実行するiPad Mini

注:

Endpoint Managementは、LDAPまたはActive Directoryに対するASMユーザーアカウントの検証を行いません。ただし、Endpoint ManagementをLDAPまたはActive Directoryに接続して、ASMの講師や生徒と関連付けられていないユーザーとデバイスを管理できます。たとえば、Active Directoryを使用して、そのほかのASMメンバー(IT管理者やマネージャーなど)にSecure MailとSecure Webを提供できます。

ASMの講師と生徒はローカルユーザーであるため、彼らのデバイスにCitrix Secure Hubを展開する必要はありません。

Citrix Gatewayの認証を含むMAM登録では、ローカルユーザーはサポートされません(Active Directoryユーザーのみ)。このため、Endpoint Managementは講師と生徒のデバイスに必須の一括購入アプリとiBooksのみを展開します。

iPad用クラスルームアプリ

iPad用クラスルームアプリを使用すると、講師は生徒のデバイスに接続してデバイスを管理できます。デバイス画面を表示したり、iPadでアプリを開いたり、Webリンクを共有して開いたり、生徒の画面をApple TVに表示したりすることができます。

クラスルームアプリは、App Storeで無料で入手できます。Endpoint Managementコンソールにアプリをアップロードします。次に教育の構成デバイスポリシーを使用して、講師のデバイスに展開するクラスルームアプリを構成します。

クラスルームアプリを展開する方法について詳しくは、「Appleアプリの配布」を参照してください 。

クラスルームアプリの要件、セットアップ、機能について詳しくは、Appleサポートサイトのクラスルームユーザーガイドを参照してください。

Apple School Managerユーザーのパスワードの追加

ASMアカウントが追加されると、Endpoint ManagementがASMからクラスとユーザーをインポートします。Endpoint Managementはクラスをローカルグループとして扱い、コンソール内で「グループ」の用語が使用されます。ASMでグループ名があるクラスには、Endpoint Managementによってグループ名が割り当てられます。それ以外の場合、Endpoint Managementではグループ名にソースシステムIDを使用します。ASMのコース名は一意でないため、Endpoint Managementではクラス名にコース名を使用しません。

Endpoint Managementは管理対象Apple IDを使用して、ユーザーの種類がASMのローカルユーザーを作成します。ASMでは、すべての外部データソースとは別に資格情報が作成されるため、ユーザーはローカルです。そのため、Endpoint Managementではこれらの新しいユーザーの認証にディレクトリサーバーを使用しません。

ASMは、一時的なユーザーパスワードをEndpoint Managementに送信しません。CSVファイルからインポートするか、手動で追加します。一時的なユーザーパスワードをインポートするには、次の手順を実行します:

  1. 管理対象Apple IDの一時的なパスワードを作成するときにASMによって生成されたCSVファイルを取得します。

  2. CSVファイルを編集し、一時的なパスワードを、Endpoint Managementへの登録でユーザーが入力した新しいパスワードに置き換えます。この目的では、パスワードの種類に対する制約はありません。

    以下の形式でCSVファイルに入力します: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    各項目の意味は次の通りです:

    ユーザー:user@appleid.citrix.com

    名: Firstname

    ミドルネーム: Middle

    姓: Lastname

    パスワード:Password123!

  3. Endpoint Managementコンソールで、[管理]>[ユーザー] の順にクリックします。[ユーザー] ページが開きます。

    次の [管理]>[ユーザー] 画面の例では、ASMからインポートされたユーザー一覧が表示されています。[ユーザー] 一覧には以下のように表示されます。

    • [ユーザー名] には管理対象Apple IDが表示されます。

    • [ユーザーの種類]のASMは、ASM由来のアカウントであることを示しています。

    • [グループ] にはクラスが表示されます。

    [ユーザー]画面

  4. [ローカルユーザーのインポート] をクリックします。[プロビジョニングファイルのインポート] ダイアログボックスが開きます。

  5. [形式]では [ASMユーザー] を選択し、手順2で準備したCSVファイルに移動して、[インポート] をクリックします。

    [ユーザー]画面

  6. ローカルユーザーのプロパティを表示するには、該当するユーザーを選択して [編集] をクリックします。

    [ユーザー]画面

    nameプロパティに加えて、次のASMプロパティを使用できます:

    • ASMのデータソース: クラスのデータソース(CSVまたはSFTPなど)です。
    • ASMの管理対象Apple ID: 管理対象Apple IDには、所属機関名とappleidを含めることができます。たとえば、IDはjohnappleseed@appleid.myschool.eduのようになります。Endpoint Managementでは、管理対象Apple IDの認証が要求されます。
    • ASM組織名: Endpoint Managementでアカウントに付けた名前です。
    • ASMのパスコードの種類: 複合(8つ以上の英数字で構成された生徒以外のパスワード)、4(桁)、または6(桁)の、個人のパスワードポリシーです。
    • ASMの一意の個人ID: ユーザーの識別子です。
    • ASMの個人の状態: 管理対象Apple IDがアクティブ非アクティブかを指定します。管理対象Apple IDアカウントにユーザーが新しいパスワードを入力すると、この状態がアクティブになります。
    • ASMの個人の役職: 講師、生徒、そのほかのいずれかです。
    • ASMの一意の個人ID: ユーザーの識別子です。
    • ASMソースシステムID: システムソースの識別子です。
    • ASMの生徒の学年: 生徒の学年情報です(講師は使用しません)。

リソースとデリバリーグループの計画とEndpoint Managementへの追加

デリバリーグループで、ユーザーのカテゴリに展開するリソースを指定できます。たとえば、講師と生徒のデリバリーグループを1つ作成できます。または、複数のデリバリーグループを作成して、さまざまな講師や生徒に送信するアプリ、メディア、ポリシーをカスタマイズできます。クラスごとに1つまたは複数のデリバリーグループを作成できます。また、マネージャー(教育機関のそのほかの職員)のデリバリーグループを1つまたは複数作成することもできます。

ユーザーデバイスに展開するリソースには、デバイスポリシー、一括購入アプリ、およびiBooksが含まれます。

  • デバイスポリシー:

    講師がクラスルームアプリを使用する場合は、教育の構成デバイスポリシーが必要です。そのほかのデバイスポリシーを確認して、講師と生徒のiPadをどのように構成および制限するかを決定します。

  • 一括購入アプリ:

    Endpoint Managementでは、一括購入アプリを必須アプリとして教育ユーザーに展開する必要があります。Endpoint Managementでは、このような一括購入アプリをオプションとして展開することはサポートされません。

    Appleのクラスルームアプリを使用する場合は、講師のデバイスにのみ展開します。

    講師や生徒に提供するそのほかのアプリを展開します。このソリューションではCitrix Secure Hubアプリを使用しないため、講師や生徒に展開する必要はありません。

  • 一括購入iBooks:

    Endpoint Management ServerをASMアカウントに接続すると、Endpoint Managementコンソールの [構成]>[メディア] に、購入したiBooksが表示されます。このページに一覧表示されたiBooksを、デリバリーグループに追加できます。Endpoint Managementでは、iBooksを必須メディアとしてのみ追加できます。

講師および生徒のリソースとデリバリーグループを計画したら、Endpoint Managementコンソールでこれらのアイテムを作成できます。

  1. 講師または生徒のデバイスに展開するデバイスポリシーを作成します。教育の構成デバイスポリシーについて詳しくは、「Educationの構成デバイスポリシー」を参照してください。

    [教育の構成ポリシー]画面

    デバイスポリシーについて詳しくは、「デバイスポリシー」および個々のポリシーに関する記事を参照してください。

  2. アプリ([構成]>[アプリ])とiBooks( [構成]>[メディア] )を構成します。

    • デフォルトで、Endpoint ManagementはアプリとiBooksをユーザーレベルで展開します。初回展開時に、ASMへの登録を求めるメッセージが講師と生徒に送信されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)にASMアプリとiBooksを受信します。新規ASMユーザーに、アプリとiBooksの強制展開を適用することをCitrixではお勧めします。これを実行するには、デリバリーグループを選択して [展開] をクリックします。

      デバイスレベルで、アプリ(iBooksは除く)の割り当てを選択できます。これを実行するには、[デバイスへの強制ライセンス割り当て] の設定を [オン] に変更します。デバイスレベルでアプリを割り当てる場合、一括購入プログラム参加の招待状はユーザーに送信されません。

    アプリ構成画面

    • 講師にのみアプリを展開するには、講師のみを含むデリバリーグループを選択するか、次の展開規則を使用します。

       Deploy this resource by ASM device type
       only
       Instructor
       <!--NeedCopy-->
      

    アプリ構成画面

  3. オプションです。ASMのユーザープロパティに基づいてアクションを作成します。たとえば、新しいアプリのインストール時に生徒のデバイスに通知を送信するアクションを作成できます。または、次の例に示すように、ユーザープロパティによってトリガーされるアクションを作成できます。

    [アクション]構成画面

    アクションを作成するには、[構成]>[アクション] の順に選択します。アクションの構成について詳しくは、「自動化された操作」を参照してください。

  4. [構成]>[ デリバリーグループ] の順に選択し、講師と生徒のデリバリーグループを作成します。ASMからインポートしたクラスを選択します。また、講師と生徒の展開規則も作成します。

    たとえば、講師のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Instructor
    <!--NeedCopy-->
    

    デリバリーグループ構成画面

    生徒のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Student
    <!--NeedCopy-->
    

    デリバリーグループ構成画面

    ASM組織名に基づく展開規則を使用して、デリバリーグループをフィルター処理することもできます。

    デリバリーグループ構成画面

  5. リソースをデリバリーグループに割り当てます。次の例は、デリバリーグループに含まれるiBookを示しています。

    デリバリーグループ構成画面

    次の例は、デリバリーグループを選択して [展開] をクリックすると開く確認ダイアログボックスを示しています。

    デリバリーグループ構成画面

    詳しくは、「リソースの展開」の「デリバリーグループを編集するには」と「デリバリーグループを展開するには」を参照してください。

講師および生徒のデバイス登録のテスト

次の方法のいずれかを使用してデバイスを登録できます。

  • 学校管理者は、Endpoint Managementコンソールで設定したユーザーパスワードを使用して、講師と生徒のデバイスを登録できます。これにより、アプリとメディアが既にセットアップされたデバイスをユーザーに提供できます。

  • デバイスを受け取ったユーザーは、管理者によって提供されたユーザーパスワードを使用して登録します。登録が完了すると、Endpoint Managementによってデバイスポリシー、アプリ、およびメディアがデバイスに送信されます。

登録をテストするには、ASMにリンクしたApple Deployment Programデバイスを使用します。

  1. デバイスがASMにリンクしていない場合は、ハードリセットを実行してデバイスのコンテンツと設定を消去します。

  2. 講師のASMデバイスを登録します。次に、生徒のASMデバイスを登録します。

  3. [管理]>[デバイス] ページで、両方のASMデバイスがMDMのみに登録されていることを確認します。

    [デバイス] ページを、ASMデバイスの状態([ASM登録済み][ASM共有][講師][生徒] )ごとにフィルター処理できます。

    デバイス構成画面

  4. MDMリソースが各デバイスに適切に展開されたことを確認するには、デバイスを選択し、[編集] をクリックして、各種ページを確認します。

    デバイス構成画面

デバイスの配布

Appleでは、講師と生徒にデバイスを配布できるように、イベントをホストすることを推奨しています。

事前登録済みのデバイスを配布しない場合も、これらのユーザーに以下を提供します:

  • 登録用のEndpoint Managementパスワード

  • 管理対象Apple ID用の、ASMの一時的なパスワード。

初回時のユーザーエクスペリエンスは次のとおりです。

  1. ハードリセット後にユーザーが初めてデバイスを起動すると、Endpoint Managementにより登録画面でデバイスを登録するように求められます。

  2. ユーザーは管理対象Apple IDと、Endpoint Managementへの認証に使用するEndpoint Managementパスワードを入力します。

  3. Apple IDのセットアップ手順で、管理対象Apple IDとASMの一時的なパスワードの入力を求めるメッセージがデバイスに表示されます。これらの項目によって、Appleサービスへのユーザー認証が行われます。

  4. iCloudでのデータの保護に使用される、管理対象Apple IDのパスワード作成を求めるメッセージがデバイスに表示されます。

  5. セットアップアシスタントの終了時に、Endpoint Managementによりデバイスへのポリシー、アプリ、メディアのインストールが開始されます。ユーザーレベルで割り当てられるアプリとiBooksについては、講師と生徒に一括購入への登録を促すメッセージがセットアップアシスタントにより表示されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)に一括購入アプリとiBooksを受信します。

講師、生徒、およびクラスのデータの管理

講師、生徒、およびクラスのデータを管理する場合は、次のことに注意してください。

  • ASM情報をEndpoint Managementにインポートした後に、管理対象Apple IDを変更しないでください。Endpoint Managementは、ユーザーの特定にASMのユーザー識別子も使用します。

  • 1つまたは複数の教育の構成デバイスポリシーを作成した後に、ASMにクラスデータの追加や変更を行った場合は、ポリシーを編集してから再展開します。

  • 教育の構成デバイスポリシーを展開した後にクラスの講師を変更する場合は、ポリシーを確認してEndpoint Managementコンソールで確実に更新してから、ポリシーを再展開します。

  • ASMポータルでユーザープロパティを更新すると、Endpoint Managementでもコンソールでプロパティが更新されます。ただし、Endpoint Managementでは、そのほかのプロパティと同じ方法で[ASMの個人の役職]プロパティ(講師、生徒、またはそのほか)が受信されません。このため、ASMでASMの個人の役職を変更する場合は、次の手順を完了してEndpoint Managementに変更が反映されるようにします。

データを管理するには:

  1. ASMポータルで、生徒の学年を更新し、講師の学年を削除します。

  2. 生徒のアカウントを講師のアカウントに変更した場合は、クラスの生徒一覧からそのユーザーを削除します。次に、同じまたは別のクラスの講師一覧に、そのユーザーを追加します。

    講師のアカウントを生徒のアカウントに変更した場合は、クラスからそのユーザーを削除します。次に、同じまたは別のクラスの生徒一覧に、そのユーザーを追加します。更新内容は、次回の同期時(デフォルトで5分ごと)またはフェッチ時(デフォルトで24時間ごと)に、Endpoint Managementコンソールに表示されます。

  3. 教育の構成デバイスポリシーを編集し、変更を適用して再展開します。

    • ASMポータルからユーザーを削除すると、Endpoint Managementでもフェッチ後にEndpoint Managementコンソールからそのユーザーが削除されます。

      サーバープロパティ値bulk.enrollment.fetchRosterInfoDelayを変更することで、2つのベースライン間の間隔を短縮できます(デフォルトは1440分)。

    • リソース展開後に、生徒をクラスに参加させる場合は、その生徒だけで構成されたデリバリーグループを作成してリソースを展開します。

    • 生徒や講師が一時的なパスワードを紛失した場合は、ASM管理者に問い合わせるようにします。管理者によって一時的なパスワードが提供されるか、または新しいパスワードが生成されます。

紛失したか盗難に遭ったデバイスの管理

Appleの[iPhone/iPadを探す]サービスには、アクティベーションロック機能が含まれています。アクティベーションロックは、Apple Deployment Programに登録済みのデバイスが紛失または盗難に遭った場合に、不正ユーザーがそのデバイスを使用したり転売したりすることを防止します。

Endpoint Managementには、ASM Apple Deployment Programに登録済みのデバイスにロックコードを送信できる、[ASMアクティベーションロック] のセキュリティ操作が含まれています。

[ASMアクティベーションロック] のセキュリティ操作を使用すると、ユーザーに[iPhone/iPadを探す]サービスの有効化を要求せずに、Endpoint Managementでデバイスを検索できます。ASMデバイスが強制リセットまたは完全にワイプされた場合、ユーザーは管理対象Apple IDとパスワードを入力してデバイスのロックを解除します。

コンソールからロックを解除するには、セキュリティ操作 [アクティベーションロックバイパス] をクリックします。アクティベーションロックをバイパスする方法については、「iOSアクティベーションロックのバイパス」を参照してください。ログインパネルを空白のままにして、パスワードとして [ASMアクティベーションロックバイパスコード] を入力することもできます。この情報は、[プロパティ] タブの [デバイス詳細] で入手できます。

アクティベーションロックを設定するには、[管理]>[デバイス] の順に選択し、該当するデバイスを選択して、[セキュリティ][ASMアクティベーションロック] の順にクリックします。

デバイス構成画面

[ASMエスクローキー][ASMアクティベーションロックバイパスコード] のプロパティが、[デバイス詳細] に表示されます。

デバイス構成画面

ASMアクティベーションロックに対するRBACの権限は、[デバイス]>[ASM/バイパスアクティベーションロックを有効化] です。

RBAC構成画面