Citrix Endpoint Management

iOS

Endpoint ManagementでiOSデバイスを管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。詳しくは、APNs証明書を参照してください。

登録プロファイルで、iOSデバイスをMDM+MAMで登録するかどうか、およびユーザーがMDMをオプトアウトするオプションを決定します。Endpoint Managementは、MDM+MAMのiOSデバイスに対して、次の種類の認証をサポートします。詳しくは、次の記事を参照してください:

iOS 13での信頼された証明書の要件:

Appleでは、TLSサーバー証明書の新しい要件を設定しています。すべての証明書が新しいAppleの要件に準拠していることを確認します。アップルの出版物である「https://support.apple.com/en-us/HT210176」を参照してください。証明書の管理については、「証明書のアップロード」を参照してください。

iOSデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。オンボードとリソースのセットアップおよびデバイス登録とリソース配信の準備を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. iOSデバイスポリシーの構成

  4. iOSデバイスの登録

  5. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされるオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

iOS 14との互換性

Endpoint ManagementとCitrixモバイルアプリはiOS 14と互換性がありますが、現在iOS 14の新機能をサポートしていません。

監視対象のiOSデバイスの場合、ソフトウェアのアップグレードを最大90日間遅らせることができます。iOSの制限デバイスポリシーで、次の設定を使用します:

  • ソフトウェア更新の強制延期
  • ソフトウェア更新の強制延期

iOSの設定」を参照してください。これらの設定は、ユーザー登録モードまたは監視対象外(完全MDM)モードのデバイスでは使用できません。

開いたままにする必要があるAppleのホスト名

iOS、macOS、Apple App Storeを正しく動作させるには、一部のAppleホスト名を開いたままにしておく必要があります。これらのホスト名をブロックすると、インストール、更新、および以下の適切な操作に影響が出る可能性があります:iOS、iOSアプリ、MDMの操作およびデバイスとアプリの登録詳しくは、「https://support.apple.com/en-us/HT201999」を参照してください。

サポートされている登録方法

登録プロファイルでiOSデバイスの管理方法を指定します。デバイスを登録するか、またはMDMに登録しないかを選択できます。

iOSデバイスの登録設定を構成するには、[構成]>[登録プロファイル]>[iOS] の順に移動します。

iOSの[登録プロファイル]ページ

次の表は、iOSデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポート対象
Apple Deployment Programs はい
Apple School Manager はい
Apple Configurator はい
手動登録 はい
登録招待 はい

Appleでは、ビジネスおよび教育機関アカウント向けのデバイス登録プログラムが提供されています。ビジネス用アカウントの場合、デバイスをEndpoint Managementで登録して管理するには、Apple Deployment Programに登録して、Apple Deployment Programを利用する必要があります。これは、iOS、macOS、Apple TVデバイス向けのプログラムです。「Apple Deployment Programでのデバイスの展開」を参照してください。

教育機関アカウントの場合は、Apple School Managerアカウントを作成します。Apple School Managerでは、Deployment Programと一括購入が統合されています。Apple School Managerは、教育向けApple Deployment Programの一種です。「Apple Education機能との統合」を参照してください。

Apple Deployment Programを使用して、iOS、iPadOS、macOS、tvOSデバイスを一括登録することができます。これらのデバイスは、Appleから直接購入するか、Apple正規販売代理店、または通信事業者から購入することができます。Appleから直接購入したかどうかにかかわらずApple Configuratorを使用してiOSデバイスを登録できます。「Appleデバイスの一括登録」を参照してください。

手動によるiOSデバイスの追加

テスト目的など、iOSデバイスを手動で追加する場合は、次の手順に従います。

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページ

  2. [追加] をクリックします。[デバイスの追加] ページが開きます。

    [デバイスの追加]ページ

  3. 次の設定を構成します:

    • プラットフォーム選択: [iOS] を選択します。
    • シリアル番号: デバイスのシリアル番号を入力します。
  4. [追加] をクリックします。[デバイス] の表に示される一覧の一番下に、追加したデバイスが表示されます。デバイスの詳細を表示して確認するには:追加したデバイスを選択して表示されるメニューで [編集] をクリックします。

    注:

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    • 構成されたLDAP

    • ローカルグループおよびローカルユーザーを使用する場合:

      • 1つまたは複数のローカルグループ。

      • ローカルグループに割り当てられたローカルユーザー。

      • デリバリーグループはローカルグループと関連付けられます。

    • Active Directoryを使用する場合:

      • デリバリーグループはActive Directoryグループと関連付けられます。

      [デバイス詳細]一覧

  5. [一般] ページには、シリアル番号やプラットフォームの種類に関するその他の情報など、デバイスの識別子が表示されます。[デバイス所有権] で、[コーポレート] または [BYOD] を選択します。

    [一般] ページには、デバイスの [セキュリティ] プロパティ([Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、プラットフォームの種類に関するその他の情報など)も表示されます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

  6. [プロパティ] ページには、Endpoint Managementがプロビジョニングするデバイスのプロパティが表示されます。この一覧は、デバイスの追加に使用されるプロビジョニングファイルに含まれるデバイスのプロパティを表示します。プロパティを追加するには、[追加] をクリックして一覧からプロパティを選択します。各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。

    プロパティを追加すると、最初に追加したカテゴリに表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切な一覧に表示されます。

    プロパティを削除するには、項目の上にマウスカーソルを置いて、右側の [X] をクリックします。Endpoint Managementデバイスによりその項目が削除されます。

  7. 残りの [デバイス詳細] セクションには、デバイスの概要が表示されます。

    • ユーザープロパティ: ユーザーのRBACの役割、グループメンバーシップ、一括購入アカウント、およびプロパティを表示します。このページでインベントリから一括購入アカウントを削除できます。
    • 割り当て済みポリシー: 展開済みのポリシー、保留中のポリシー、失敗したポリシーの数が表示されます。各ポリシーの名前、種類、最新展開の情報が表示されます。展開ステータスをリセットして保留にしたり、ユーザーが削除したポリシーを再展開したりできます。
    • アプリ: インストール済み、保留中、失敗のアプリ展開数を含む、最新のインベントリ時点のアプリ数が表示されます。アプリ名、ID、種類、その他の情報が表示されます。HasUpdateAvailableなどのiOSおよびmacOSのインベントリキーの説明については、「モバイルデバイス管理(MDM)プロトコル」を参照してください。
    • メディア: 展開済み、保留中、失敗のメディア展開数を含む、最新のインベントリ時点のメディア数が表示されます。
    • 操作: 展開済み、保留中、失敗のアクション数を含む、アクション数が表示されます。最新展開のアクション名と時間が表示されます。
    • デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数が表示されます。各展開のデリバリーグループ名と展開時間が表示されます。デリバリーグループを選択すると、状態、アクション、チャネル、またはユーザーなどの詳細な情報を表示できます。
    • iOSプロファイル: 名前、種類、組織、説明など、最新のiOSプロファイルインベントリが表示されます。
    • iOSプロビジョニングプロファイル: UUID、有効期限、管理対象かどうかなど、エンタープライズ配布プロビジョニングプロファイルの情報を表示します。
    • 証明書: 有効な証明書と期限切れまたは失効した証明書が表示され、種類、プロバイダー、発行者、シリアル番号、期限切れまでの残日数などの情報も表示されます。
    • 接続: 最初の接続状態と最後の接続状態が表示されます。各接続のユーザー名、最後から2番目の認証時間、最後の認証時間が表示されます。
    • MDMステータス: MDMステータス、最後のプッシュ時間、最後のデバイス応答時間などの情報が表示されます。

iOSデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint ManagementとiOSまたはiPadOSを実行するデバイスとの通信に関する構成を行います。次の表は、iOSおよびiPadOSデバイスで使用可能なデバイスポリシーの一覧です:

| | | | |— |— |—| |AirPlayミラーリング |AirPrint |アクセスポイント名 | |アプリアクセス |アプリ属性 |アプリ構成 | |アプリインベントリ |アプリのロック |アプリアンインストール | |アプリ通知 |カレンダー(CalDAV) |携帯ネットワーク | |連絡先(CardDAV) |OS更新の制御 |資格情報 | |デバイス名 |教育の構成 |Exchange | |フォント |ホーム画面のレイアウト |iOSおよびmacOSプロファイルのインポート | |LDAP |位置情報 |ロック画面のメッセージ | |メール |管理対象ドメイン |MDMオプション | |ネットワーク使用状況 | 組織情報 |パスコード | |パーソナルホットスポット |プロファイルの削除 |プロビジョニングプロファイル | |プロビジョニング プロファイルの削除 |プロキシ |制限 | |ローミング |SCEP |共有iPad - 最大常駐ユーザー数 | |共有 iPad - パスコードロックの猶予期間 |SSOアカウント |ストア | |購読済みカレンダー |使用条件|VPN | |壁紙 |Webコンテンツフィルター |Webクリップ | |ネットワーク | |

iOSデバイスの登録

このセクションでは、ユーザーがiOSデバイス(12.2以降)をEndpoint Managementに登録する方法について説明します。iOSの登録について詳しくは、次のビデオを開いてください:

iOS登録ビデオ

  1. iOSデバイスでAppleストアにアクセスし、Citrix Secure Hubアプリをダウンロードしてタップします。
  2. アプリをインストールするよう求められたら、[次へ] をタップし、[インストール] をタップします。
  3. インストールが完了したら、[開く] をタップします。
  4. 会社の資格情報として、Endpoint Managementサーバー名、ユーザープリンシパル名(User Principal Name:UPN)、メールアドレスなどを入力します。入力後、[次へ] をクリックします。 資格情報の入力
  5. [はい、登録します] をタップし、iOSデバイスを登録します。 デバイスの登録
  6. Endpoint Managementが収集したデータの一覧が表示されます。 [次へ] をクリックします。組織でそのデータがどのように使用されるかについての説明が表示されます。[次へ] をクリックします。 情報へのアクセス
  7. 資格情報を入力し、プロンプトが表示されたら [許可] をタップし、構成プロファイルをダウンロードします。構成プロファイルをダウンロードしたら、[閉じる] をタップします。 プロファイルのダウンロード
  8. デバイス設定で、XenMobileプロファイルをインストールします。
    • [設定]>[全般]>[プロファイル]>[XenMobile Profile Service] に移動し、[インストール] をタップしてプロファイルを追加します。
    • 通知ウィンドウで [信頼] をタップし、デバイスをリモート管理に登録します。 プロファイルの追加
  9. 登録に成功すると、Secure Hubが開きます。MDM+MAMに登録する場合:認証情報を検証した後、プロンプトが表示されたらCitrix PINを作成および確認します。
  10. ワークフローの完了後、デバイスが登録されます。その後、アプリストアにアクセスし、iOSデバイスにインストールできるアプリを確認することができます。

セキュリティ操作

iOSは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
アクティベーションロックのバイパス アプリのロック アプリのワイプ
ASMアクティベーションロック 証明書の書き換え 制限の削除
紛失モードを有効化/無効化 追跡を有効/無効にする 完全なワイプ
検索 ロック 警報
AirPlayミラーリングの要求/停止 再起動/シャットダウン 取り消し/承認
選択的なワイプ ロック解除  

iOSデバイスのロック

iOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示することができます。

ロックされたデバイスでメッセージと電話番号を表示するには、Endpoint Managementコンソールでパスコードポリシーがtrueに設定されている必要があります。あるいは、デバイス上でパスコードを手動で有効化できます。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページ

  2. ロックするiOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニュー

    オプションメニュー

  3. オプションメニューの [保護] を選択します。[セキュリティ操作] ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックス

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面

  5. 必要に応じて、デバイスのロック画面に表示するメッセージと電話番号を入力します。

    iOSは「Lost iPad」という文字列をユーザーが [メッセージ] フィールドに入力した内容に追加します。

    [メッセージ] フィールドを空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

  6. [デバイスのロック] をクリックします。

iOSデバイスを紛失モードにする

Endpoint Managementの紛失モードデバイスプロパティで、iOSデバイスを紛失モードにします。Appleのマネージド紛失モードと異なり、Endpoint Managementの紛失モードでは、ユーザーは自分のデバイスを探せるようにするために、次のどちらの操作も実行する必要がありません: [iPhone/iPadを探す] 設定を構成するか、またはCitrix Secure Hubの位置情報サービスを有効化する。

ただし、Endpoint Managementの紛失モードでは、デバイスのロックを解除できるのはEndpoint Managementだけです。一方、Endpoint Managementのデバイスロック機能を使用すると、ユーザーは管理者から提供されたPINコードを使用して、直接デバイスをロック解除できます。

紛失モードを有効または無効にするには: [管理]>[デバイス] に移動し、監視対象デバイスを選択して [保護] をクリックします。次に、[紛失モードを有効化] または [紛失モードを無効化] をクリックします。

紛失モードオプション

[紛失モードを有効化] をクリックした場合は、デバイスが紛失モードになったときにデバイスに表示される情報を入力します。

デバイスに表示される情報

次のいずれかの方法を使って紛失モードの状態を確認する:

  • [セキュリティ操作] ウィンドウで、ボタンが [紛失モードを無効化] であることを確認します。
  • [管理]>[デバイス] から、[セキュリティ][一般] タブで、[紛失モードを有効化]または[紛失モードを無効化]の最後の操作を確認します。

[一般]タブ

  • [管理]>[デバイス] から [プロパティ] タブで、[MDMの紛失モードの有効化] の設定値が正しいことを確認します。

[MDMの紛失モードの有効化]設定

iOSデバイスでEndpoint Managementの紛失モードを有効化すると、Endpoint Managementコンソールも以下のように変更されます:

  • [構成]>[操作][操作] 一覧には、自動化された操作 [デバイスを失効][デバイスの選択的なワイプ][デバイスを完全にワイプ] は含まれません。
  • [管理]>[デバイス][セキュリティ操作] 一覧に、[失効] および [選択的なワイプ] デバイス操作が含まれなくなりました。必要に応じて、セキュリティ操作を使ってフルワイプを実行することは引き続き可能です。

iOSは「Lost iPad」という文字列をユーザーが [セキュリティ操作] 画面の [メッセージ] に入力した内容に追加します。

[メッセージ] を空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

iOSアクティベーションロックのバイパス

アクティベーションロックは、紛失したり盗まれたりした管理対象デバイスが再アクティブ化されないようにすることを目的とした[iPhone/iPadを探す]の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードを入力してからでないと、以下の操作を実行することはできません:[iPhone/iPadを探す]をオフにする、デバイスを消去する、またはデバイスを再アクティブ化する。組織所有のデバイスの場合は、デバイスのリセットや再割り当てなどを行う際にアクティベーションロックをバイパスする必要があります。

アクティベーションロックを有効にするには、Endpoint ManagementのMDMオプションデバイスポリシーを構成し、展開します。これにより、ユーザーのApple資格情報なしで、Endpoint Managementコンソールからデバイスを管理できるようになります。アクティベーションロックで必要なApple資格情報の入力を省略するには、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行します。

たとえば、紛失したiPhoneがユーザーによって返却された場合や、フルワイプの前後にデバイスを設定する場合、iPhoneでApple App Storeアカウントの資格情報を求められた際に、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行することでこの手順を省略することができます。

アクティベーションロックバイパスのデバイス要件

  • Apple ConfiguratorまたはApple Deployment Programによる監視対象である
  • iCloudアカウントで構成済みである
  • [iPhone/iPadを探す]が有効になっている
  • Endpoint Managementに登録済みである
  • MDMオプションデバイスポリシー(アクティベーションロックが有効になっている)がデバイスに展開されている

デバイスのフルワイプを発行する前にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  2. デバイスをワイプします。デバイスの設定時に、アクティベーションロック画面は表示されません。

デバイスのフルワイプを発行した後にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. デバイスをリセットまたはワイプします。デバイスの設定時に、アクティベーションロック画面が表示されます。
  2. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  3. デバイスの[戻る]ボタンをタップします。ホーム画面が開きます。

次のことに注意してください:

  • ユーザーが「iPhone/iPadを探す」をオフにしないようアドバイスしてください。デバイスからフルワイプを実行しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後にすべてのコンテンツと設定が消去されると、iPhone/iPadのアクティブ化画面がユーザーに表示されなくなります。
  • デバイスでアクティベーションロックバイパスコードを作成済みであり、アクティベーションロックが有効になっている場合は、フルワイプ後に[iPhone/iPadのアクティブ化]ページを省略できなくても、Endpoint Managementからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに連絡することで、デバイスのブロックを直接解除することができます。
  • ハードウェアインベントリの際に、Endpoint Managementはデバイスのアクティベーションロックバイパスコードの照会を行います。バイパスコードが使用可能な場合は、デバイスからEndpoint Managementにバイパスコードが送信されます。その後、バイパスコードをデバイスから削除するには、Endpoint Managementコンソールから[アクティベーションロックバイパス]セキュリティ操作を送信します。この時点で、Endpoint ManagementとAppleに、デバイスのブロック解除に必要なバイパスコードが存在します。
  • [アクティベーションロックバイパス]のセキュリティ操作は、Appleのサービスの可用性に依存しています。操作がうまくいかない場合は、次の手順を実行してデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、[ユーザー名]フィールドは空のままにして、[パスワード]フィールドにバイパスコードを入力します。バイパスコードを見つけるには、[管理]>[デバイス] に移動し、デバイスを選択して [編集][プロパティ] の順にクリックします。[セキュリティ情報] の下に [アクティベーションロックバイパスコード] があります。
iOS