デバイス登録とリソース配信の準備

重要:

先に進む前に、「オンボードとリソースのセットアップ」で説明したすべてのタスクを完了してください。

Endpoint Managementでは、さまざまな登録オプションがあります。この記事では、サポートされているすべてのデバイスの登録に必要な基本的なセットアップについて説明します。次の図に、基本的なセットアップの概要を示します。

デバイス登録のための環境を準備するワークフロー図

サポートされているデバイスの一覧については、「サポートされるデバイスオペレーティングシステム」を参照してください。

iOSデバイス用のAppleプッシュ通知サービス(APNs)証明書のセットアップ

Endpoint ManagementでiOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書が必要です。Secure Mail for iOSでプッシュ通知を使用する場合も、Endpoint ManagementでAPNs証明書が必要です。

  • Appleから証明書を取得するには、Apple IDと開発者アカウントが必要です。詳しくは、Apple Developer ProgramのWebサイトを参照してください。

  • APNs証明書を取得してEndpoint Managementにインポートするには、「APNs証明書」を参照してください。

    証明書の作成ページの画像

  • Endpoint ManagementとAPNsについて詳しくは、「Secure Mail for iOSのプッシュ通知」を参照してください。

Androidデバイス用のFirebase Cloud Messaging(FCM)のセットアップ

Firebase Cloud Messaging(FCM)は、AndroidデバイスがEndpoint Managementサービスに接続する方法とタイミングを制御します。セキュリティ操作や展開コマンドを実行しようとすると、ユーザーにEndpoint Managementへの再接続を求めるプッシュ通知が送信されます。

  • FCMをセットアップするには、Googleアカウントの設定が必要です。Google Play資格情報を作成するには、「デベロッパーアカウント情報の管理」を参照してください。Google Playは、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開するためにも使用します。Google Playを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを展開できます。

  • FCMをセットアップするには、「Firebase Cloud Messaging」を参照してください。

Endpoint Management AutoDiscoveryサービスのセットアップ

重要:

AutoDiscoveryサービスURL(discovery.mdm.zenprise.com)は、2018年12月31日を過ぎると利用できなくなります。新しい完全修飾ドメイン名はads.xm.cloud.comです。詳しくは、シトリックスサポートの記事(https://support.citrix.com/article/CTX202044)を参照してください。

多くのEndpoint Management展開で、AutoDiscoveryは重要な要素となります。自動検出を使用するとユーザー登録処理が簡単になります。ユーザーは、ネットワークユーザー名とActive Directoryパスワードを使用してデバイスを登録できます。Endpoint Managementの詳細を入力する必要はありません。ユーザーは、ユーザー名をユーザープリンシパル名(UPN)形式で入力します(例:user@mycompany.com)。Endpoint Management AutoDiscoveryサービスを使用すると、シトリックスサポートの補助を受けずに自動検出レコードを作成または編集できます。

高セキュリティの環境では、AutoDiscoveryを使用することをお勧めします。AutoDiscoveryは、中間者攻撃を防ぐ証明書ピンの留めをサポートしています。証明書ピン留めにより、CitrixクライアントがEndpoint Managementと通信するときに所属組織が署名した証明書が使用されます。証明書のピン留めについて詳しくは、「証明書ピン留め」を参照してください。

Endpoint Management AutoDiscoveryサービスにアクセスするには、https://tools.xm.cloud.comにアクセスして [Request Auto Discovery] をクリックします。

AutoDiscoveryサービスの画像

AutoDiscoveryのリクエスト

  1. AutoDiscoveryサービスのページで、ドメインを指定します。[Add Domain] をクリックします。

    ADS List画面の画像

  2. 表示されたダイアログボックスで、お使いのEndpoint Management環境のドメイン名を入力してから [Next] をクリックします。

    [Domain name]フィールドの画像

  3. 次の画面では、ユーザーがドメインの所有者であることを確認するための手順が示されます。

    [Verify your domain]画面の画像

    • Endpoint Managementツールポータルに表示されたDNSトークンをコピーします。

    • ドメインホスティングプロバイダーポータルで、ドメインのゾーンファイルにDNS TXTレコードを作成します。

      DNS TXTレコードを作成するには、前の手順で追加したドメインのドメインホスティングプロバイダーポータルにログインします。ドメインネームサーバーレコードを編集して、カスタムのTXTレコードを追加できます。

    • DNS TXTレコードにドメイントークンを貼り付け、ドメインネームサーバーレコードを保存します。

    • Endpoint Managementツールポータルに戻って [Done] をクリックし、DNSチェックを開始します。

    作成したDNS TXTレコードが検出されます。または、[I’ll update later] をクリックして、レコードを保存することもできます。ステータスが「Waiting」のレコードを選択して [DNS Check] をクリックするまで、DNSチェックは開始されません。

    このチェックにかかる時間は最短で約1時間ですが、応答が返されるまでに最大2日かかることがあります。ステータスの変更を確認するには、ポータルを閉じてから再びアクセスする必要がある場合もあります。

    [ADS List]画面のステータスが「Waiting」の画像

  4. ドメインを指定した後に、AutoDiscoveryサービス情報を提供します。自動検出をリクエストするドメインレコードを右クリックしてから、[Add ADS] をクリックします。

    [ADS List]画面のステータスが「Claimed」の画像

  5. 要求された情報を入力し、[Next] をクリックします。インスタンス名が不明な場合、デフォルトインスタンスの「zdm」を追加します。

    Endpoint Management情報オプションの画像

    注:

    上記スクリーンショットの「WorxHome」は、現在のSecure Hubアプリの旧名称です。

  6. Secure Hubに次の情報を入力して、[Next] をクリックします。

    Secure Hub情報設定の画像

    • User ID Type: ユーザーがサインオンに使用するIDの種類(メールアドレスまたはUPN)を選択します。

      UPNは、ユーザーのユーザープリンシパル名がメールアドレスと同じである場合に使用します。どちらの方法も、サーバーアドレスを検出するために入力したドメインを使用します。メールアドレスを選択した場合は、ユーザー名とパスワードの入力を求められます。UPNを選択した場合は、パスワードの入力を求められます。

    • HTTPS Port: HTTPSでSecure Hubにアクセスする時に使用するポートを入力します。通常、HTTPSポートは443です。

    • iOS Enrollment Port: iOSの登録でSecure Hubにアクセスする時に使用するポートを入力します。通常、このポートは8443です。

    • Required Trusted CA for Endpoint Management: Endpoint Managementへアクセスする際に信頼された機関からの証明書が必要かどうかを指定します。このオプションは、必要に応じて [OFF] または [ON] にできます。現時点では、この機能のために証明書をアップロードすることはできません。この機能を使用する場合は、シトリックスサポートにAutoDiscoveryのセットアップを電話で依頼する必要があります。証明書ピン留めについて詳しくは、「Secure Hub」の証明書ピン留めに関するセクションを参照してください。証明書ピン留めを使用するために必要なポートについては、サポート記事「Endpoint Management Port Requirements for ADS Connectivity」を参照してください。

  7. 概要ページに、これまでの手順で入力したすべての情報が表示されます。データが正しいことを確認し、[Save] をクリックします。

    [Summary]ページの画像

この時点で、サポートされているすべてのデバイスを登録できます。次のセクションの手順に従って、リソースをデバイスに配信する準備をします。

Endpoint Managementの構成(続き)

デバイス登録の基本的なセットアップの完了後にEndpoint Managementを構成する方法は、ユースケースにより大きく異なります。次に例を示します。

  • セキュリティ要件は何ですか?また、セキュリティ要件とユーザーエクスペリエンスとをどのように両立させたいですか?
  • どのデバイスプラットフォームをサポートしていますか?
  • ユーザー所有のデバイスとコーポレート所有のデバイスのどちらを使用していますか?
  • デバイスにプッシュするために必要なデバイスポリシーは何ですか?
  • ユーザーにどのような種類のアプリを提供していますか?

このセクションでは、製品ドキュメントの各記事にリンクして、多様な構成オプションについて説明します。

サードパーティのサイトでの設定を完了したら、情報とその場所を書き留めて、Endpoint Managementコンソール設定を構成するときに参照してください。

セキュリティと認証

Endpoint Managementでは証明書を使用して、セキュアな接続を作成してユーザーを認証します。シトリックスでは、Endpoint Managementインスタンスで使用できるワイルドカード証明書を提供しています。

参照が必要な情報(推奨):

認証コンポーネントとセキュリティレベル別に推奨される構成については、「高度な設定」の「認証」を参照してください。

また、「セキュリティとユーザーエクスペリエンス」も参照してください。

Endpoint Managementの運用で使用される認証コンポーネントの概要については、「証明書と認証」を参照してください。

次の種類の認証から選択できます。認証の構成には、Endpoint ManagementコンソールおよびCitrix Gatewayコンソールのタスクが含まれます。

証明書をユーザーに配信するには、以下を構成します:

その他の認証オプションについては、「証明書と認証」の他の記事を参照してください。

デバイス登録

デバイス登録モードを構成して、ユーザーがデバイスをEndpoint Managementに登録できるようにします。Endpoint Managementには7つのモードがあり、それぞれに独自のセキュリティレベルと、ユーザーがデバイスを登録するときに行う必要がある手順があります。

  • Endpoint Managementの登録オプションについては、「登録モードの構成」を参照してください。

Azure Active Directoryへの登録は、iOS、Android、およびWindows 10デバイスでサポートされています。AzureをIDプロバイダー(IdP)として構成する方法については、「Azure Active Directoryでのシングルサインイン」を参照してください。

デバイスポリシーと管理

  • デバイス(MDM)ポリシー

    • すべてのEndpoint Managementデバイスポリシーは、「デバイスポリシー」に記載されています。すべてのデバイスに共通の一部のデバイスポリシーについて、「デバイスポリシーとユースケースの動作」を参照してください。

    • ポリシーには、複数のプラットフォームで共通して使用されるものと、プラットフォーム固有なものがあります。

      Endpoint Managementコンソールで、デバイスポリシーの一覧をフィルターすることができます。たとえば、プラットフォームごとにフィルターを適用して、そのプラットフォームで最も頻繁に使用されるポリシーを一覧表示できます。詳しくは、「デバイスポリシー」を参照してください。

  • クライアントプロパティ

  • デリバリーグループ

アプリの展開準備

Endpoint Managementでサポートされているアプリについては、「アプリの追加」を参照してください。

その他の構成

  • Endpoint Managementの役割ベースのアクセス制御(Role-Based Access Control:RBAC)機能では、権限の定義済みセットである役割をユーザーとグループに割り当てることができます。これらの権限によって、システム機能に対するユーザーのアクセスレベルを制御します。詳しくは、「RBACを使用した役割の構成」を参照してください。

  • Endpoint Managementで自動化された操作を作成して、イベント、特定の設定、またはユーザーデバイスでのアプリの存在に対する対応を指定します。詳しくは、「自動化された操作」を参照してください。