Windowsデスクトップとタブレット

Endpoint ManagementでWindows 10デスクトップデバイスおよびタブレットデバイスを管理するには、Citrix AutoDiscoveryサービスを構成する必要があります。「デバイス登録とリソース配信の準備」を参照してください。

Endpoint Managementは、Windows 10デスクトップデバイスおよびタブレットデバイスをMDMモードに登録します。Endpoint Managementは、MDM+MAMモードのWindowsデスクトップデバイスおよびタブレットデバイスに対して、次の種類の認証をサポートします。詳しくは、「証明書と認証」のセクションの記事を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

Windows 10デスクトップデバイスおよびタブレットデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。オンボードとリソースのセットアップおよびデバイス登録とリソース配信の準備を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. Windowsデスクトップデバイスおよびタブレットデバイスポリシーの構成をします。

  4. Azure Active Directoryを使用したWindowsデスクトップデバイスおよびタブレットデバイスの登録をします。

  5. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされるオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

サポートされている登録方法

次の表は、WindowsデスクトップデバイスおよびタブレットデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポートされているか
Azure Active Directoryの登録 はい
Windows一括登録 はい
手動登録 はい
登録招待 いいえ

Azureの登録

Windows 10 Enterpriseが実行されているデバイスは、AzureをActive Directory認証の統合手段として使用して登録できます。このセットアップには、Azure Active Directory Premiumサブスクリプションが必要です。

管理者は、以下のいずれかの方法を用いてWindows 10デバイスをMicrosoft Azure ADに統合できます。

  • 初めてデバイスの電源を入れたときに、特別な設定をすることなくAzure AD統合の一部としてMDMに登録する。
  • デバイスを構成した後に、[Windowsの設定]ページからAzure AD統合の一部としてMDMに登録する。
  • 個人用デバイスでワークアカウントを追加する場合にAzure AD統合の一部としてMDMに登録する。

WindowsデバイスユーザーがAzureを使用して登録できるようにするには、Microsoft Azureサーバーの設定をEndpoint Managementで構成する必要があります。詳しくは、「Azure Active Directoryでのシングルサインイン」を参照してください。

Azureに登録するWindowsデバイスの場合は、Windows AutoPilotを使用してデバイスのセットアップと事前構成を行うことができます。「Windows AutoPilotを使用してデバイスをセットアップおよび構成する」を参照してください。

Windows一括登録

Windows一括登録では、デバイスを再イメージ化することなく、MDMサーバーで管理する多数のデバイスをセットアップできます。プロビジョニングパッケージを使用して、Windows 10デスクトップデバイスおよびノートブックデバイスを一括登録します。詳しくは、「Windowsデバイスの一括登録」を参照してください。

Workspace Environment Managementと統合した場合のデバイス管理

Workspace Environment Managment(WEM)だけでは、MDMは展開できません。Endpoint Managementだけでは、Windows 10デバイスしか管理できません。この2つを統合することで、WEMはMDM機能にアクセスでき、Endpoint Managementを通じて幅広いWindowsオペレーティングシステムを管理できます。管理は、Windows GPOの構成という形で行われます。現在、管理者はADMXファイルをCitrix Endpoint Managementにインポートし、Windows 10デスクトップおよびタブレットにプッシュして特定のアプリケーションを構成しています。Windows GPOの構成デバイスポリシーを使用して、GPOを構成し、変更をWEMサービスにプッシュできます。次にWEMエージェントを使用してGPOをデバイスとそのアプリに適用します。

MDM管理は、WEM統合の要件ではありません。Endpoint Managementがネイティブでサポートしていないデバイスであっても、WEMがサポートするすべてのデバイスにGPO構成をプッシュできます。

現在サポートされているデバイスの一覧については、「オペレーティングシステムの要件」を参照してください。

Windows GPOの構成デバイスポリシーを受信するデバイスは、WEMという新しいEndpoint Managementモードで実行されます。登録済みデバイスの [管理]>[デバイス] 一覧でWEM管理対象デバイスの [モード] 列に WEM が表示されます。

詳しくは、Windows GPOの構成デバイスポリシーを参照してください。

Windowsデスクトップデバイスおよびタブレットデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint Managementと、Windows 10を実行しているデスクトップデバイスおよびタブレットデバイスを実行するデバイスとの通信に関する構成を行います。次の表は、Windowsデスクトップデバイスおよびタブレットデバイスで使用可能なデバイスポリシーの一覧です。

     
アプリ構成 アプリインベントリ アプリのロック
アプリのアンインストール Application Guard BitLocker
OS更新の制御 資格情報 カスタムXML
ディフェンダー Device Guard デバイス正常性構成証明
交換 ファイアウォール キオスク
Office パスコード 制限
ストア 使用条件 VPN
Webクリップ Wi-Fi Windowsエージェント
Windows Hello for Business Windows GPOの構成 Windows Information Protection

Azure Active Directoryを使用したWindowsデスクトップデバイスおよびタブレットデバイスの登録

  1. Windows Enterpriseエディションコンピューターにサインオンします。[設定]>[アカウント]>[職場または学校へのアクセス][接続] をクリックします。

  2. [職場または学校アカウントのセットアップ][別の操作] で、[このデバイスをAzure Active Directoryに参加させる] をクリックします。

  3. Azure Active Directoryの資格情報を入力し、[サインイン] をクリックします。

  4. 組織が設定した利用規約に同意します。

  5. 登録処理を続行するには、[参加] をクリックします。

  6. [完了] をクリックして、登録処理を完了します。

AutoDiscoveryサービスを使用したWindowsデバイスの登録

注:

Windowsデバイスの登録では、SSLリスナー証明書が公開証明書である必要があります。自己署名SSL証明書の登録は失敗します。

  1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。

  2. チャームメニューで [設定] をタップし、[アカウント]>[職場または学校へのアクセス]>[職場または学校への接続] の順にタップします。

  3. 会社のメールアドレスを入力し、[続行] をタップします。

    ローカルユーザーとして登録するには、ドメイン名は正しいものの、存在しないメールアドレスを入力します(例:foo@mydomain.com)。存在しないメールアドレスを使用すると、Windowsの組み込みのデバイス管理によって登録が実行される、既知のMicrosoftの制限を回避できます。[サービスに接続しています] ダイアログボックスで、ローカルユーザーに関連付けられたユーザー名とパスワードを入力します。デバイスがEndpoint Managementサーバーを自動的に検出し、登録処理が開始されます。

  4. パスワードを入力します。パスワードは、Endpoint Managementのユーザーグループのメンバーであるアカウントに関連付けられているものを使用します。

  5. [使用条件] ダイアログボックスで、デバイスの管理に同意して、[同意する] をタップします。

自己検出なしでWindowsデバイスを登録するには(テスト環境のみ)

実稼働環境でのベストプラクティスは、AutoDiscoveryサービスを使用してWindowsデバイスを登録することです。テスト環境と概念実証の展開でのみ、自己検出なしでWindowsデバイスを登録することをお勧めします。AutoDiscoveryサービスを使用せずに登録すると、接続時にポート80が呼び出されます。

  1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。

  2. チャームメニューで [設定] をタップし、[アカウント]>[職場または学校へのアクセス]>[職場または学校への接続] の順にタップします。

  3. 会社のメールアドレスを入力します。

  4. [サーバーアドレスを入力してください] フィールドに以下のアドレスを入力します。https://url.cm.cloud.com:8443/zdm/wpe

    未認証のSSL接続に8443以外のポートが使用される場合、このアドレスの8443の箇所にそのポート番号を指定します。

  5. パスワードを入力します。

  6. [使用条件] ダイアログボックスで、デバイスの管理に同意して、[同意する] をタップします。

セキュリティ操作

Windows 10デスクトップおよびタブレットでは、次のセキュリティ操作がサポートされています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
検索 ロック 再起動
取り消し 選択的なワイプ ワイプ