Citrix Endpoint Management

デバイス登録とリソース配信の準備

重要:

先に進む前に、「オンボードとリソースのセットアップ」で説明したすべてのタスクを完了してください。

今後の変更についてユーザーに通知します。Citrix Endpoint Managementユーザー採用キットへようこそを参照してください。

Endpoint Managementでは、さまざまな登録オプションがあります。この記事では、サポートされているすべてのデバイスの登録に必要な基本的なセットアップについて説明します。次の図に、基本的なセットアップの概要を示します。

デバイス登録のための環境を準備するワークフロー図

現在サポートされているデバイスの一覧については、「サポートされるデバイスオペレーティングシステム」を参照してください。

iOSデバイス用のAppleプッシュ通知サービス(APNs)証明書のセットアップ

重要:

APNsの従来のバイナリプロトコルに対するAppleのサポートは、2021年3月31日で終了します。代わりにHTTP/2ベースのAPNプロバイダーAPIの使用をお勧めします。リリース20.1.0以降、Citrix Endpoint ManagementはHTTP/2ベースのAPIをサポートしています。詳しくは、https://developer.apple.com/のニュースとアップデートで「Apple Push Notification Serviceのアップデート」を参照してください。APNsへの接続を確認する方法については、「接続確認」を参照してください。

Endpoint ManagementでiOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書が必要です。Secure Mail for iOSのプッシュ通知の場合も、Endpoint ManagementでAPNs証明書が必要です。

  • Appleから証明書を取得するには、Apple IDと開発者アカウントが必要です。詳しくは、Apple Developer ProgramのWebサイトを参照してください。

  • APNs証明書を取得してEndpoint Managementにインポートするには、「APNs証明書」を参照してください。

    証明書の作成ページ

  • Endpoint ManagementとAPNについて詳しくは、「Secure Mail for iOSのプッシュ通知」を参照してください。

Androidデバイス用のFirebase Cloud Messaging(FCM)のセットアップ

Firebase Cloud Messaging(FCM)は、AndroidデバイスがEndpoint Managementサービスに接続する方法とタイミングを制御します。セキュリティ操作や展開コマンドを実行しようとすると、プッシュ通知が送信されます。この通知は、ユーザーにEndpoint Managementへの再接続を求めます。

  • FCMをセットアップするには、Googleアカウントの設定が必要です。Google Play資格情報を作成するには、デベロッパーアカウント情報の管理を参照してください。Google Playは、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開するためにも使用します。Google Playを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを展開できます。

  • FCMをセットアップするには、「Firebase Cloud Messaging」を参照してください。

Endpoint Management AutoDiscoveryサービスのセットアップ

AutoDiscoveryサービスでは、メールベースのURL検出によってユーザー登録処理が簡単になります。また、AutoDiscoveryサービスは、登録確認や証明書のピン留めなどの機能をCitrix Workspaceのお客様に提供します。Citrix Cloudにホストされているこのサービスは、多くのEndpoint Management環境で重要な要素となります。

AutoDiscoveryサービスでは、ユーザーに次のメリットがあります:

  • 社内ネットワークの資格情報を使用して、デバイスを登録できます。
  • Endpoint Managementのサーバーアドレスの詳細を入力する必要がありません。
  • ユーザーは、ユーザー名をユーザープリンシパル名(UPN)形式で入力します。たとえば、user@mycompany.comなどです。

高セキュリティ環境では、AutoDiscoveryサービスを使用することをお勧めします。AutoDiscoveryサービスは、中間者攻撃を防ぐ証明書ピン留めをサポートしています。証明書ピン留めにより、CitrixクライアントがEndpoint Managementと通信するときに所属組織が署名した証明書が使用されます。Endpoint Managementサイトの証明書ピン留めを構成する方法については、Citrixサポートにお問い合わせください。証明書のピン留めについて詳しくは、「証明書ピン留め」を参照してください。

AutoDiscoveryサービスにアクセスするには、https://adsui.cloud.com(商用)またはhttps://adsui.cem.cloud.us(政府)に移動します。

前提条件

  • Citrix Cloudの新しいAutoDiscoveryサービスには、最新バージョンのSecure Hubが必要です:
    • iOSの場合、Secure Hubバージョン21.1.0以降
    • Androidの場合、Secure Hubバージョン21.2.1以降

      以前のバージョンのSecure Hubで実行されているデバイスでは、サービスが中断する可能性があります。

  • 新しいAutoDiscoveryサービスにアクセスするには、フルアクセス権を持つCitrix Cloud管理者アカウントが必要です。AutoDiscoveryサービスは、カスタムアクセス権を持つ管理者アカウントをサポートしていません。アカウントをお持ちでない場合は、「Citrix Cloudへのサインアップ」を参照してください。

    Citrixは、サービスを中断することなく、既存のすべてのAutoDiscoveryレコードをCitrix Cloudに移行しました。移行されたレコードは、新しいコンソールに自動的に表示されません。所有権を証明するには、新しいAutoDiscoveryサービスでドメインを解放する必要があります。詳しくは、「CTX312339」を参照してください。

  • Endpoint Management環境でAutoDiscoveryサービスの使用を開始する前に、ドメインを確認して要求してください。最大10個のドメインを要求できます。要求により、確認済みドメインがAutoDiscoveryサービスに関連付けられます。10を超えるドメインを申請するには、SREチケットを開くか、シトリックステクニカルサポートにお問い合わせください。
  • MAMトラフィックをデータセンターに転送するには、[Citrix Gateway FQDN]の代わりに [MAMポート] 設定を使用します。Citrix Gatewayのポートとともに完全修飾ドメイン名を入力すると、クライアントデバイスは [MAMポート] 設定の構成を使用します。
  • 広告ブロッカーによってWebサイトが開かない場合は、Webサイト全体で広告ブロッカーを無効にしてください。

ドメインの要求

  1. [要求]>[ドメイン] タブで、[ドメインの追加]をクリックします。

    ドメインの追加

  2. 表示されたダイアログボックスで、Endpoint Management環境のドメイン名を入力してから [確認] をクリックします。ドメインは [要求]>[ドメイン] に表示されます。

    ドメインの要求

  3. 追加したドメイン上で、省略記号メニューをクリックし、[ドメインの確認]を選択して確認プロセスを開始します。[ドメインの確認] ページが開きます。

    確認の開始

  4. [ドメインの確認] ページで、指示に従ってドメインを所有していることを確認します。

    ドメインの確認

    1. [コピー] をクリックして、DNSトークンをクリップボードにコピーします。

    2. ドメインのゾーンファイルでDNS TXTレコードを作成します。これを行うには、ドメインホスティングプロバイダーポータルに移動し、コピーしたDNSトークンを追加します。

      次のスクリーンショットは、ドメインホスティングプロバイダーポータルを示しています。ポータルの内容は異なる場合があります。

      ドメインの確認

    3. Citrix Cloudの [ドメインの確認] ページで、[DNSチェックの開始]をクリックして、DNS TXTレコードの検出を開始します。後でドメインを確認する場合は、[後でドメインを確認する]をクリックします。

    確認プロセスには通常、約1時間かかります。ただし、回答が返されるまでに最大で2日かかる場合があります。状態チェック中に、ログアウトしてから再度ログインしても問題ありません。

    構成が完了すると、ドメインの状態が [保留中] > [確認済] に変わります。

  5. ドメインを要求した後に、AutoDiscoveryサービス情報を提供します。追加したドメインの省略記号メニューをクリックしてから、[Endpoint Management情報の追加]をクリックします。[AutoDiscoveryサービス情報] ページが表示されます。

  6. 次の情報を入力してから、[保存]をクリックします。

    • Endpoint ManagementサーバーFQDN: Endpoint Managementサーバーの完全修飾ドメイン名を入力します。例:example.xm.cloud.com。この設定は、MDMおよびMAM制御トラフィックに使用されます。

    • Citrix Gateway FQDN: Citrix Gatewayの完全修飾ドメイン名をFQDN形式またはFQDN:portで入力します。例:example.com。この設定は、MAMトラフィックをデータセンターに転送するために使用されます。MDMのみの環境の場合、このフィールドは空白のままにします。

      注:

      MAMトラフィックを制御するには、[Citrix Gateway FQDN]の代わりに [MAMポート] 設定を使用することをお勧めします。Citrix Gatewayのポートとともに完全修飾ドメイン名を入力すると、クライアントデバイスは [MAMポート] 設定の構成を使用します。

    • インスタンス名: 上記で構成したEndpoint Managementサーバーのインスタンス名を入力します。インスタンス名がわからない場合は、デフォルト値のzdmのままにします。

    • MDMポート: MDM制御トラフィックとMDM登録に使用されるポートを入力します。クラウドベースのサービスの場合、デフォルトは443です。

    • MAMポート: MAM制御トラフィック、MAM登録、iOS登録、アプリの列挙に使用されるポートを入力します。クラウドベースのサービスの場合、デフォルトは8443です。

WindowsデバイスのAutoDiscoveryの要請

Windowsデバイスを登録する場合は、以下を実行します。

  1. Citrixサポートに連絡して、Windows AutoDiscoveryの有効化を要求するサポートリクエストを作成します。

  2. enterpriseenrollment.mycompany.comの公式に署名された、非ワイルドカードSSL証明書を取得します。ここで、mycompany.com部分はユーザーが登録に使用するアカウントが含まれるドメインです。サポートリクエストに前述の手順で作成した.pfx形式のSSL証明書とパスワードを添付します。

    複数のドメインを使用してWindowsデバイスを登録する場合、以下の構造のマルチドメイン証明書を使用することもできます:

    • 対応するプライマリドメインを指定する、SubjectDNおよびCN(たとえば、enterpriseenrollment.mycompany1.com)。
    • 残りのドメインの適切なSAN(たとえば、enterpriseenrollment.mycompany2.com、enterpriseenrollment.mycompany3.comなど)。
  3. DNSで正規名(CNAME)レコードを作成し、SSL証明書のアドレス(enterpriseenrollment.mycompany.com)をautodisc.xm.cloud.comにマップします。

    ユーザーがWindowsデバイスの登録時にUPNを使用する場合、Citrix登録サーバーは以下を行います:

    • Endpoint Managementサーバーの詳細を入力します。
    • デバイスに対してEndpoint Managementの有効な証明書を要求するよう指示します。

この時点で、サポートされているすべてのデバイスを登録できます。次のセクションの手順に従って、リソースをデバイスに配信する準備をします。

Azure AD条件付きアクセスとの統合

Azure AD条件付きアクセスサポートをOffice 365アプリケーションに適用するようにEndpoint Managementを構成できます。この機能は現在プレビュー版であり、Office 365アプリケーションを展開するときにデバイスユーザーにゼロトラスト手法を展開できます。デバイスの状態、リスクスコア、位置情報、およびデバイス保護を使用して、自動化されたアクションを適用し、管理対象のAndroid EnterpriseおよびiOSデバイス上のOffice 365アプリケーションへのアクセスを定義できます。

Azure ADデバイスのコンプライアンスを適用するには、個々のOffice 365アプリケーションの条件付きアクセスポリシーを構成する必要があります。管理対象外および非準拠デバイス上の特定のOffice 365アプリケーションへのユーザーアクセスを制限し、管理対象および準拠デバイス上でのみ個々のアプリケーションへのアクセスを許可できます。

前提条件

  • この統合には、IntuneおよびMicrosoft Office 365ライセンスなど、有効なAzure AD Premiumサブスクリプションが必要です。
  • Secure Hubバージョン21.4.0以降
  • Azure ADをCitrix CloudのIDプロバイダー(IDP)として構成してから、Citrix IDをEndpoint ManagementのIDPの種類として設定します。詳しくは、Citrix Cloudを介したAzure Active Directoryでの認証を参照してください。
  • Azure ADデバイスの登録プロセスを開始する前に、Microsoft Authenticatorアプリケーションをデバイスにインストールします。
  • Android Enterpriseプラットフォームの場合、Webブラウザーアプリを必要なパブリックストアアプリとして構成します。
  • Azure ADコンソールで [セキュリティの既定値] 設定を無効にします。Azure AD構成を開始すると、セキュリティのデフォルトを、より詳細なAzure AD条件付きアクセスポリシーに置き換えることができます。セキュリティのデフォルトについて詳しくは、Microsoft社のドキュメントを参照してください。

Azure AD条件付きアクセスポリシーを使用してデバイスコンプライアンスを構成する

Azure AD条件付きアクセスポリシーを使用してデバイスコンプライアンスを構成する一般的な手順は次のとおりです:

  1. Endpoint Management構成:
    • Microsoft Endpoint Manager管理センターで、Citrix Workspaceデバイスコンプライアンスを各デバイスプラットフォームのコンプライアンスパートナーとして追加し、ユーザーグループを割り当てます。
    • Endpoint Managementで、Microsoft Endpoint Manager管理センターからの情報を同期します。
  2. Azure AD構成: Azure ADポータルで、個々のOffic 365アプリの条件付きアクセスポリシーを設定します。

  3. Endpoint Management構成: Office 365アプリの条件付きアクセスポリシーを構成した後、Microsoft AuthenticatorアプリとOffice 365アプリをEndpoint Managementのパブリックアプリストアのアプリとして追加します。これらのパブリックアプリをデリバリーグループに割り当て、必要なアプリとして設定します。

Azure ADコンプライアンス管理用のEndpoint Managementを構成する

  1. Microsoft Endpoint Manager管理センターにサインインして、[テナント管理]>[コネクタとトークン]>[デバイスコンプライアンス管理] に移動します。[コンプライアンスパートナーの追加] をクリックし、各デバイスプラットフォームのコンプライアンスパートナーとしてCitrix Workspaceデバイスコンプライアンスを選択します。次に、ユーザーグループを割り当てます。

    Microsoft Endpoint Manager管理センター

  2. Endpoint Managementで、[設定]>[Azure ADコンプライアンス管理] に移動します。[接続] をクリックして、Microsoft Endpoint Manager管理センターからの情報を同期します。

    Microsoft Endpoint Manager管理センターからの情報を同期する

    この構成のアクセス許可を承認するよう求めるダイアログボックスが表示されます。[同意する] をクリックします。構成が完了すると、同期されたデバイスプラットフォームがリストに表示されます。

    アクセス権限の要求

Azure ADで条件付きアクセスポリシーを構成する

Azure ADポータルで、Office 365アプリの条件付きアクセスポリシーを構成して、デバイスコンプライアンスを適用します。[デバイス]>[条件付きアクセス]>[ポリシー]>[新しいポリシー] に移動します。詳しくは「Microsoft社のドキュメント」を参照してください。

Intune管理対象アプリのデバイスコンプライアンスを構成するには:

Endpoint Managementでアプリを構成する

Office 365アプリの条件付きアクセスポリシーを構成した後、Microsoft AuthenticatorアプリとOffice 365アプリをEndpoint Managementのパブリックアプリストアのアプリとして追加します。これらのパブリックアプリをデリバリーグループに割り当て、必要なアプリとして設定します。詳しくは、パブリックアプリストアのアプリの追加を参照してください。

ユーザー認証ワークフロー

  1. 新しいユーザーは、Azure AD資格情報を使用してデバイスをEndpoint Managementに登録する必要があります。以前Azure AD資格情報で登録したユーザーは、デバイスを再登録する必要はありません。
  2. Endpoint Managementは、Microsoft Authenticatorと構成済みのOffice 365アプリを必要なアプリとしてデバイスにプッシュします。Androidプラットフォームに必要なパブリックストアアプリとしてWebブラウザーアプリを構成した場合、Endpoint Managementはそれをユーザーデバイスにもプッシュします。
  3. Secure Hubは、Endpoint Managementで管理されているすべてのアプリを自動的にインストールして表示します。
  4. 利用可能なOffice 365アプリにユーザーがサインインしようとすると、デバイスはユーザーにAzure AD登録リンクをタップして登録プロセスを開始するように求めます。
  5. ユーザーが登録リンクをタップすると、Microsoft Authenticatorアプリが開きます。ユーザーはAzure AD資格情報を入力し、デバイスの登録条件に同意します。次に、Microsoft Authenticatorアプリが閉じ、Secure Hubが再び開きます。
  6. Secure Hubは、Azure ADデバイスの登録が完了したことを示すメッセージを表示します。これで、ユーザーはMicrosoftアプリを使用してクラウドリソースにアクセスできます。

    登録が完了すると、Azure ADは、コンソールでデバイスを管理対象および準拠としてマークします。

デフォルトのデバイスポリシーおよび業務用モバイルアプリ

Endpoint Management 19.5.0以降を使用してオンボードを開始する場合、いくつかのデバイスポリシーと業務用モバイルアプリが事前に構成されています。この構成により、以下を実行できます:

  • デバイスに基本機能をすぐに導入できます
  • セキュアなWorkspaceの推奨ベースライン構成を使用して開始できます

Android、Android Enterprise、iOS、macOS、Windowsデスクトップ/タブレットプラットフォームの場合、サイトでは次のデバイスポリシーが事前に構成されています:

  • パスコードデバイスポリシー: パスコードデバイスポリシーが [オン] になっていて、すべてのデフォルトのパスコード設定が有効になっています。

  • アプリインベントリデバイスポリシー: アプリインベントリデバイスポリシー [オン] になっています。

  • 制限デバイスポリシー: 制限デバイスポリシーが [オン] になっていて、すべてのデフォルトの制限設定が有効になっています。

これらのポリシーは、すべてのActive Directoryおよびローカルユーザーを含むAllUsersデリバリーグループに含まれています。AllUsersデリバリーグループは、初期テストにのみ使用することをお勧めします。次に、デリバリーグループを作成し、AllUsersデリバリーグループを無効にします。デリバリーグループで事前構成されたデバイスポリシーやアプリは再利用できます。

すべてのEndpoint Managementデバイスポリシーは、「デバイスポリシー」に記載されています。ここでは、コンソールを使用してデバイスポリシーを編集する方法について説明します。すべてのデバイスに共通の一部のデバイスポリシーについて、「デバイスポリシーとユースケースの動作」を参照してください。

サイトには次の事前構成されたiOSおよびAndroidプラットフォームの業務用モバイルアプリが含まれています:

  • Secure Mail
  • Secure Web
  • Citrix Files

これらのアプリは、AllUsersデリバリーグループに含まれています。

詳しくは、「業務用モバイルアプリについて」を参照してください。

Endpoint Managementの構成(続き)

デバイス登録の基本的なセットアップの完了後にEndpoint Managementを構成する方法は、ユースケースにより大きく異なります。例:

  • セキュリティ要件は何ですか?また、セキュリティ要件とユーザーエクスペリエンスとをどのように両立させたいですか?
  • どのデバイスプラットフォームをサポートしていますか?
  • ユーザー所有のデバイスとコーポレート所有のデバイスのどちらを使用していますか?
  • どのデバイスポリシーをデバイスにプッシュしますか?
  • ユーザーにどのような種類のアプリを提供していますか?

このセクションでは、製品ドキュメントの各記事にリンクして、多様な構成オプションについて説明します。

サードパーティのサイトでの設定を完了したら、情報とその場所を書き留めて、Endpoint Managementコンソール設定を構成するときに参照してください。