管理者のタスクと注意事項

ここでは、業務用モバイルアプリの管理者に関連するタスクと注意事項について説明します。

機能フラグ管理

実稼働でiOS用とAndroid用のSecure Hub、Secure Mail、またはSecure Webに問題が発生した場合、影響を受ける機能をアプリのコード内で無効化できます。無効化するには、機能フラグと、Launch Darklyと呼ばれるサードパーティ製サービスを使用します。ファイアウォールまたはプロキシが送信トラフィックをブロックしている場合を除いて、Launch Darklyへのトラフィックを有効にするために構成する必要はありません。送信トラフィックがブロックされている場合、ポリシー要件に応じて、特定のURLまたはIPアドレス経由のLaunch Darklyへのトラフィックを有効にします。業務用モバイルアプリ10.6.15以降でMDXがドメインをトンネリングから除外する機能について詳しくは、MDX Toolkitのドキュメントを参照してください。

Launch Darklyへのトラフィックと通信は、次の方法で有効化できます:

次のURLへのトラフィックを有効にする:

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

ドメインごとのホワイトリストを作成する:

以前は、内部ポリシーがIPアドレスの一覧のみを必要とする場合に使用できるIPアドレス一覧を提供していました。インフラストラクチャの機能向上に伴い、2018年7月16日以降は、パブリックIPアドレスの使用を段階的に停止する予定です。そのため、可能な場合はドメインごとのホワイトリストを作成することをお勧めします。

IPアドレスのホワイトリストを作成する:

IPアドレスのホワイトリストを作成する必要がある場合、現在のすべてのIPアドレス範囲については、Launch DarklyのパブリックIP一覧を参照してください。この一覧を使用すると、インフラストラクチャの更新に合わせてファイアウォールの構成が自動的に更新されます。詳しくは、Launch Darklyのルートリソースを参照してください。インフラストラクチャの変更の最新状態については、Launch Darklyのステータスページを参照してください。

注:

パブリックアプリストアのアプリを初めて展開する場合は、新しくインストールする必要があります。現在のラッピングされたエンタープライズバージョンのアプリをパブリックストアバージョンにアップグレードすることはできません。

パブリックアプリストアでの配信では、シトリックスが開発したアプリをMDX Toolkitで署名およびラッピングしません。これによって、アプリの展開プロセスを大幅に合理化できます。MDX Toolkitを使って、サードパーティ製アプリまたはエンタープライズアプリをラッピングできます。

Launch Darklyのシステム要件

  • Endpoint Management 10.5以降。
  • NetScalerの分割トンネリングが [オフ] に設定されている場合、アプリが以下のサービスと通信できることを確認してください。

サポートされるアプリストア

業務用モバイルアプリは、Apple App StoreやGoogle Playで入手できます。Windowsデバイスでのネイティブ業務アプリのセキュリティ保護および展開については、Windows Information Protectionデバイスポリシーを参照してください。

中国では、Google Playを使用できないため、Secure Hub for Androidは以下のアプリストアで入手できます。

パブリックアプリストアでの配信の有効化

  1. iOSとAndroidのパブリックストア向け.mdxファイルは、Endpoint Managementのダウンロードページからダウンロードします。
  2. XenMobileコンソールに.mdxファイルをアップロードします。パブリックストアバージョンの業務用モバイルアプリは今までどおりMDXアプリケーションとしてアップロードします。パブリックストアアプリとしてサーバーにアップロードしないでください。手順については、「アプリの追加」を参照してください。
  3. セキュリティポリシーに基づくデフォルト設定からポリシーを変更します(オプション)。
  4. 必須アプリとしてプッシュ配信します(オプション)。この手順は、お使いの環境でモバイルデバイス管理が有効になっている必要があります。
  5. App Store、Google Play、またはEndpoint Managementアプリストアからデバイスにアプリをインストールします。
    • Androidでは、アプリをインストールするときにPlay Storeに移動されます。iOSでは、MDMによる展開で、ユーザーはApp Storeに移動することなくアプリがインストールされます。
    • App StoreまたはPlay Storeからアプリをインストールする場合、アプリが対応する.mdxファイルがサーバーにアップロードされていれば管理対象アプリになります。管理対象アプリに移行すると、アプリはCitrix PINの入力を要求します。Citrix PINを入力すると、アカウント構成画面が表示されます。
  6. アプリにアクセスできるのは、デバイスをSecure Hubに登録し、対応する.mdxファイルがサーバーにある場合のみです。いずれかの条件が満たされていない場合、アプリをインストールすることはできますが、アプリの使用がブロックされます。

パブリックアプリストアにあるCitrix Ready Marketplaceのアプリを現在利用中であれば、展開プロセスについては既に精通しているはずです。業務用モバイルアプリでは、多くの独立系ソフトウェアベンダーが現在使用しているアプローチを採用しています。アプリ内にMDX SDKを埋め込み、アプリをパブリックストア対応にします。

注:

iOSおよびAndroid対応のCitrix Filesアプリのパブリックストアバージョンは、ユニバーサルアプリになりました。Citrix Filesアプリは、スマートフォンとタブレットで同じです。

Appleプッシュ通知サービス

プッシュ通知の構成について詳しくは、「プッシュ通知用Secure Mailの構成」を参照してください。

パブリックアプリストアのよくある質問

1. パブリックストアアプリの複数のコピーを複数のユーザーグループに展開できますか。たとえば、複数のポリシーを複数のユーザーグループに展開する必要がある場合があります。

ユーザーグループごとに異なる.mdxファイルをアップロードする必要があります。ただし、この場合、1人のユーザーが複数のグループに属することはできません。ユーザーが複数のグループに属していた場合、そのユーザーには同じアプリの複数のコピーが割り当てられます。パブリックストアアプリの複数のコピーを同じデバイスに展開することはできません。アプリのIDを変更できないからです。

2. 必須アプリとしてパブリックストアアプリをプッシュ配信できますか。

はい。アプリをデバイスにプッシュ配信するにはMDMが必要です。MAM-only展開をサポートしていません。

3. トラフィックポリシーまたはユーザーエージェントに基づくExchange Serverのルールの更新は必要ですか。

ユーザーエージェントベースポリシーやルールに対するプラットフォームごとの文字列は以下のとおりです。

Android

アプリ サーバー ユーザーエージェント文字列
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

アプリ サーバー ユーザーエージェント文字列
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes

4. アプリのアップグレードはしなくてもいいですか。

いいえ。更新プログラムがパブリックアプリストアにポストされると、自動更新を有効にしているユーザーはすべてこの更新プログラムを受信します。

5. アプリのアップグレードを強制することはできますか。

はい、アップグレードはアップグレード猶予期間ポリシーによって強制できます。更新バージョンのアプリに対応する新しい.mdxファイルがXenMobile Serverにアップロードされると、このポリシーは設定されます。

6. 更新スケジュールを調整できない場合、更新を受信する前にアプリをテストする方法はありますか。

Secure Hubの手順と同様に、EAR期間中にTest Flight for iOSでアプリのテストができます。Androidの場合、アプリはGoogle PlayベータプログラムによってEAR期間中に利用できます。この期間中はすべてのアプリの更新プログラムをテストできます。

7. 自動更新プログラムがユーザーデバイスに送信される前に新しい.mdxファイルに更新しないとどうなりますか。

更新されたアプリは引き続き古い.mdxファイルで動作します。新しいポリシーに依存した新機能は使えません。

8. Secure Hubがインストールされていればアプリを管理対象に移行できますか、それともアプリの登録が必要ですか。

パブリックストアアプリを管理対象アプリ(MDXで保護)としてアクティブ化して使用できるようにするには、Secure Hubへのユーザー登録が必要です。Secure Hubがインストールされていても登録していなければ、ユーザーはパブリックストアアプリを利用できません。

9. パブリックストアアプリにApple Enterpriseデベロッパーアカウントは必要ですか。

いいえ。現在はCitrixが証明書を管理し、業務用モバイルアプリ用のプロファイルをプロビジョニングしているため、アプリをユーザーに展開するためにApple Enterpriseデベロッパーアカウントは不要です。

10. エンタープライズ配信の終了はこれまで展開したラップされたアプリケーションにも適用されますか。

いいえ、次の業務用モバイルアプリにのみ適用されます:Secure Mail、Secure Web、Secure Notes、Secure Tasks、Citrix Files for Endpoint Management、ScanDirect for XenMobile、QuickEdit for XenMobile、ShareConnect for XenMobile。その他の展開したラップ済みエンタープライズアプリは社内開発またはサードパーティ製かを問わずすべてエンタープライズラッピングを使い続けることができます。MDX Toolkitはアプリ開発者向けにエンタープライズラッピングのサポートを継続します。

11. Google Playからアプリをインストールすると、Androidエラー(エラーコード「505」)が発生します。

これは、Google PlayとAndroid 5.xバージョンで発生する既知の問題です。このエラーが発生した場合、以下の手順に従って、アプリのインストールを妨げているデバイス上の古いデータをすべて除去できます。

  1. デバイスを再起動します。

  2. デバイス設定でGoogle Playのキャッシュとデータをクリアします。

  3. 最終手段として、デバイスのGoogleアカウントを削除してからもう一度追加します。

詳しくは、 「Fix Google Play Store Error 505 in Android: Unknown Error Code」というキーワードを使用してこのサイトを検索してください。

12. Google Playでアプリが実稼働環境向けにリリースされ、新しいベータリリースがない場合でも、Google Playのアプリタイトルに「Beta」が表示され続けるのはなぜですか。

アーリーアクセスリリース(EAR)プログラムに参加している場合、必ずアプリタイトルの横に「Beta」と表示されます。これは単純に、特定のアプリへのユーザーのアクセスレベルを示しています。「Beta」がついている名前は、ユーザーが利用可能なアプリの最新バージョンを受け取っていることを示しています。最新バージョンとは、実稼働トラックまたはベータトラックに公開されている最も新しいバージョンとなります。

13. .mdxファイルがXenMobileサーバーにある場合でもアプリをインストールして開くと、「承認されていないアプリ」というメッセージが表示されます。

この問題は、App StoreまたはGoogle Playからアプリを直接インストールしてSecure Hubを更新していない場合に発生する可能性があります。Secure Hubは、無通信タイマーが期限切れしたときに更新する必要があります。ポリシーは、ユーザーがSecure Hubを開いて再認証したときに更新されます。アプリは、ユーザーが次回アプリを開いたときに認証されます。

14. アプリを利用するためにアクセスコードは必要ですか。App StoreやPlay Storeからアプリをインストールするとき、アクセスコードの入力を促す画面が表示されます。

アクセスコードの要求画面が表示される場合、Secure HubでEndpoint Managementに登録されていません。Secure Hubで登録してアプリ用の.mdxファイルが確実にサーバーに展開されていることを確認してください。また、アプリを使用できることも確認してください。アクセスコードは、Citrix内部使用のみに制限されています。アプリを有効化するにはEndpoint Managementの展開が必要です。

15. VPPまたはDEP経由でiOSパブリックストアアプリを展開できますか?

XenMobile Serverは、MDX対応ではないパブリックストアアプリのVPPディストリビューション用に最適化されています。Endpoint ManagementパブリックストアアプリをVPPで配布することはできますが、XenMobile ServerおよびSecure Hubストアに追加の拡張を行って制限に対応しない限り、展開は最適ではありません。VPP経由のEndpoint Managementパブリックストアアプリの展開に関する既知の問題と想定される解決策の一覧は、Citrix Knowledge Centerのトピックを参照してください。

業務用モバイルアプリに対するMDXポリシー

MDXポリシーでは、XenMobile Serverで適用される設定を構成できます。ポリシーは認証、デバイスセキュリティ、ネットワーク要件およびアクセス、暗号化、アプリ相互作用、アプリ制限などに対応します。多くのMDXポリシーがすべての業務用モバイルアプリに適用されます。一部、アプリ特定のポリシーがあります。

ポリシーファイルは、業務用モバイルアプリのパブリックストアバージョンのMDXファイルとして提供されます。アプリを追加する場合は、Endpoint Managementコンソールでポリシーを構成することもできます。

次のセクションでは、ユーザー接続に関連するMDXポリシーについて説明します。

内部ネットワークへのユーザー接続

内部ネットワークをトンネルする接続は、さまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。優先VPNモードポリシーがこれを制御します。デフォルトでは、SSOが必要な接続にはセキュアブラウズが推奨されます。内部ネットワークのリソースに対してクライアント証明またはエンドツーエンドのSSLを使用する接続には、完全なVPNトンネル設定が推奨されます。これは、TCP上のあらゆるプロトコルも処理し、iOSやAndroidデバイスと同様にWindowsやMacコンピューターでも使用できます。

iOSおよびAndroid用のセキュアウェブは、プロキシ認証にNetScalerを使用する場合、完全なVPNトンネル展開でのProxy Automatic Configuration(PAC)ファイルの使用をサポートします。

VPNモードの切り替えを許可 ポリシーにより、完全VPNトンネルとセキュアブラウズモードを必要に応じて切り替えることができます。デフォルトでは、このポリシーは無効になっています。このポリシーが有効な場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書に対するサーバーチャレンジは完全VPNトンネルモードでは処理できますが、セキュアブラウズモードでは処理できません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。

ネットワークアクセス制限

ネットワークアクセスポリシーは、ネットワークアクセスを制限するかしないかを指定します。デフォルトでは、Secure MailおよびSecure Notesのアクセスは無制限であり、ネットワークアクセスに制限はありません。アプリは無制限にデバイスが接続されるネットワークにアクセスします。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされ、内部ネットワークに戻るアプリケーションごとのVPNトンネルは、すべてのネットワークアクセスに使用されて、NetScalerスプリットトンネル設定が使用されます。またブロックされるアクセスを指定して、デバイスがネットワークに接続していないようにアプリを操作できます。

AirPrint、iCloud、FacebookおよびTwitterのAPIといった機能を有効にする場合は、ネットワークアクセスポリシーをブロックしないでください。

また、ネットワークアクセスポリシーはバックグラウンドネットワークサービスポリシーと相互に作用します。詳しくは、「Exchange ServerまたはIBM Notes Traveler Serverの統合」を参照してください。

Endpoint Managementクライアントプロパティ

クライアントプロパティには、ユーザーのデバイスのSecure Hubに直接提供される情報が含まれています。クライアントのプロパティはEndpoint Managementコンソールの [設定]>[クライアント]>[クライアントプロパティ] にあります。

クライアントのプロパティは次のような設定を構成するために使用されます。

ユーザーパスワードのキャッシュ

ユーザーパスワードキャッシュにより、ユーザーのActive Directoryパスワードをモバイルでバス上にローカルでキャッシュできます。ユーザーパスワードのキャッシュを有効にすると、ユーザーはCitrix PINまたはパスコードを設定するよう求められます。

無通信タイマー

ユーザーがデバイスを非アクティブにした後で、Citrix PINまたはパスコードの入力を求められずにアプリにアクセスできる時間(分単位)を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコードポリシー]を [オン] にする必要があります。[アプリのパスコードポリシー]が [オフ] である場合、ユーザーは完全認証を実行するようSecure Hubへリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。

Citrix PIN認証

Citrix PINは、ユーザー認証工程を簡素化します。PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。PIN設定を構成すると、ユーザーのサインオン工程は次のようになります。

  1. ユーザーが初めてSecure Hubを起動したときにPINの入力が求められ、Active Directory資格情報がキャッシュされます。

  2. それ以降は、Secure Mailなどの業務用モバイルアプリを起動する場合にPINを入力してサインインします。

クライアントのプロパティを使ってPIN認証を有効にし、PINの種類を指定し、またPINの強さや長さも指定して、要件を変更します。

指紋認証

指紋認証は、無通信タイマーがタイムアウトした場合など、Secure Hub以外のラップされたアプリでオフライン認証が必要なときに、Citrix PINの代替となります。この機能は、次の認証シナリオで有効化できます。

  • Citrix PIN +クライアント証明書構成
  • Citrix PIN +キャッシュされたADパスワード構成
  • Citrix PIN +クライアント証明書構成およびキャッシュされたADパスワード構成
  • Citrix PINがオフ

指紋認証が失敗した場合、またはユーザーが指紋認証プロンプトをキャンセルした場合は、ラップされたアプリはCitrix PINまたはADパスワード認証にフォールバックします。

指紋認証の要件:

  • 指紋認証をサポートし、1つ以上の指紋が構成されているiOSデバイス(バージョン8.1以上)

  • ユーザーエントロピーがオフである

指紋認証を設定するには

重要:

ユーザーエントロピーがオンの場合、Enable Touch ID Authenticationプロパティは無視されます。ユーザーエントロピーは、Encrypt secrets using Passcodeキーによって有効化されます。

  1. Endpoint Managementコンソールで、[設定]>[クライアント]>[クライアントプロパティ] の順に選択します。

  2. [追加] をクリックします。

    [新しいクライアントプロパティの追加]画面のイメージ

  3. ENABLE_TOUCH_ID_AUTHキーを追加し、その [値][True]、ポリシーの[名前]を [指紋認証機能を有効にする] に設定します。